【freo】Web Liberty総合2【Web Diary Pro】 (914レス)
前次1-
抽出解除 レス栞
リロード規制です。10分ほどで解除するので、他のブラウザへ避難してください。
621(3): 593 [sage] 2014/01/25(土) 17:24:32.94 ID:ZaJSS7Nq(3/4) AAS
やっとこさ再現出来た
プラグインの処理で、クエリをそのままevalしてるところがあって、そこを使えば突破できた

mode=admin&work=new&admin_user=1&admin_pwd=1&plugin=Sample;require webliberty::App::Admin;
${$self}{init}{data_user} %3d 'echo 1 11b0WGZJEBWiw admin|';
my $app_ins %3d new webliberty::App::Admin(${$self}{init}, ${$self}{config}, ${$self}{query});
$app_ins::run;
(途中改行してます)
GETの確認までで、実際のPOSTまでは進んでないが、理屈では通るはず

こんな感じで、最初っからSampleのプラグインが存在するのを利用して、evalルーチンにやりたいことを渡せばOK
admin_user以降のクエリを付加し続ければ、adminとしてその後なんでもできる

なんでevalでrequireなんてしてるのかというと、攻撃者はわざわざ新規記事投稿して、その際のファイルアップロードを利用してファイルを置いてたのよね
俺ならuser.logでも追記しちゃうけど、それをしないでどうみてもブラウザでちまちまファイルアップしてるのよ
アップ記事の確認までちゃんとしてる
それを再現するために、わざわざパスワードを完全無効化できるパラメータにした
evalの部分を見つけるのは早かったが、パスワード無効化のパラメータ作る方に苦労したw

ってか、中華がこんなことわざわざやるとも思えないし、もっと別の脆弱性があるんだと思う
誰か手伝ってもらえませんか?
穴を塞ぎたいので
683: 593 [sage] 2014/02/28(金) 19:45:21.74 ID:xC6xqaMH(5/6) AAS
パスワードの解析は犯罪です。
desの逆変換は犯罪ではありません。

>>677
user.logは普通ならhtaccess等でwebからは見られないようにするでしょうね
そうして全く問題ないので
9桁以上の表記は、パスワードは8文字分までしか反映していないよって意味でした
例えば8文字のパスワードの人は、ログイン時になにか適当に文字列をパスワードに付加しても、
普通にログインできるはずです。
また逆に、9文字以上のパスワードを設定している人も、8文字分までしか入力しなくても、ログインできます。
8文字のパスワードも20文字のパスワードも全く変わらないって意味です。

>>681
私のポンコツcore2duoで、1ヶ月ぐらいですね >671の記述は
いつもの 儲 対策で、そういうことができますよって話でした。すんません。
4時間なのは、6文字の半角小文字+数字のみの場合なのでした。

そもそも、私の使ってるDES解析ツールが、そのままでは記号を含められないので、
記号が入ってると大変なのです。中華もきっとありきたりなツールを使ってると思うので、
記号入れてれば多分今回の攻撃者からは逃れられるはずです。
ちなみに8文字で大小文字英+数+記号なら、480年ぐらいかかります。

でもそもそも、>>621で書いてる通り、穴はあるので、そこの対策はせにゃなりませんが。
700: 593 [sage] 2014/03/04(火) 08:57:33.42 ID:RUaNI2wv(1/3) AAS
追加のセキュリティ対策をしていないと悪い使い方になっちゃうプログラムってw
それがPGとしてどうなのよって話 頭悪いさん
>>697
>621でパスワードを完全に無効にする脆弱性の話してるのに、それを見ても対応の必要を感じないとか
試しもしないPGってのはやっぱ終わってるよ俺からしたら
702(1): Trackback(774) [sage] 2014/03/04(火) 13:11:18.38 ID:Gpii5YlC(1/2) AAS
>621 はまだ確認していない
usr.logの置いてあるディレクトリにはup fileとかもあるので.htaccessを置くわけにはいかない。
ソースコードがオープンなんだから破る側が圧倒的に有利だなぁ
前次1-
スレ情報 赤レス抽出 画像レス抽出 歴の未読スレ AAサムネイル
ぬこの手 ぬこTOP 0.039s