getfile.php – část II.

Nedávno jsem narazil na ScrewTurn Wiki. Pokud ji používáte, vězte, že i ona trpí dírou zvanou getfile. Tentokrát sice .aspx místo .php, ale princip je stejný.

Nebudu napínat; pro úspěšný útok budete potřebovat GetFile.aspx a dost vám pomůže Upload.aspx. GetFile.aspx obsahuje bezpečnostní prvek v podobě

filename = filename.Replace("..", "");

z čehož plyne nutnost použít absolutní cestu. Upload.aspx pouze využívá komponentu FileManager.ascx, která dvě tečky nenahrazuje, ale před cestu přidává root složku. Takže zde je potřeba naopak použít relativní cestu.

Postup bude přibližně následující – pomocí Upload.aspx se dostaneme co nejvýše; s největší pravděpodobností kvůli omezeným právům IIS ne moc daleko. A pak uhodneme začátek absolutní cesty, ve které se weby nacházejí.

http://www.firma.cz/wiki/Upload.aspx?Dir=../../../
http://www.firma.cz/wiki/GetFile.aspx?File=C:/www/firma.cz/wiki/web.config
Zveřejněno 13.2.2011 v 01:29 v rubrice Hacking · Trvalý odkaz

Přidat komentář