Обзор эксплойтов

Докучаев Дмитрий aka Forb

Хакер, номер #073, стр. 073-047-1

(forb@real.xakep.ru)

phpBB <= 2.0.10

Описание:

Во всех форумах есть ошибки. Я, например, когда-то нашел сокрушительный баг в отечественном wtboard. Мой хороший знакомый обнаружил брешь в UBBThreads и даже написал действующий сплойт. Теперь вот выяснилось, что и phpBB хранит в своем коде уязвимость. Баг проявляет себя при вставке в запрос специального символа =%2527. В результате взломщик способен не только прочитать все админские хэши, а даже выполнить произвольную команду. Достаточно сделать нехитрый реквест вида www.weakly.com/phpBB/viewtopic.php?t=31337&highlight=%2527.system($_GET[id]).%2527&id=cmd, и вывод команды cmd успешно отобразится на экране. Чуваки из команды RusH посчитали, что процесс необходимо автоматизировать, и написали действующий эксплойт. Перловому скрипту нужно передать четыре параметра: адрес сервера, путь к форуму, номер темы и команду, и сценарий выполнит черное дело.

Защита:

Единственный способ защиты – переустановить phpBB до более стабильной версии. На сей момент баг отсутствует только в релизе 2.0.11. Скачать форум можно с сайта www.phpbb.com.

Ссылки:

Чудодейственный сплойт находится по адресу www.xakep.ru/post/24769/exploit1.txt.

Злоключение:

С уверенностью утверждаю, что брешь в phpBB – самая горячая уязвимость за осенний сезон. После выхода эксплойта были взломаны сотни серверов, включая хостинги, коммерческие порталы и, конечно же, www.phpbb.com :).

Greets:

Эксплойт был написан хакерами из команды RusH Security Team. Их сайт www.rst.void.ru. Двойной респект за кроссплатформенную Perl-реализацию ;).

Windows Compressed Folders Exploit

Описание:

В который раз MicroSoft радует своими недоделками. 28 ноября на лентах багтрака появился свежий эксплойт для Windows XP. Баг таится в библиотеке zipfldr.dll, которая служит для обработки так называемых сжатых папок (или попросту zip-архивов). В этой либе было замечено целочисленное переполнение буфера. Срыв стека проявляется при попытке распаковать файл с длинным именем. Прежде чем запускать хакерское творение, тебе необходимо узнать адрес возврата бажной библиотеки. Для этого прицепи какой-нибудь дебаггер к проводнику, а затем попытайся добавить файл в zip-архив (обычный архив, который нужно открыть стандартным эксплорером). Либа проявит себя, и в дебаггере высветится заветный адресок. Аккуратно пропатчь код эксплойта и скомпилируй файл. После этих действий можно создавать подложный архив и смело переполнять буфер винды.

Защита:

MicroSoft посчитал ошибку критической, так как буфер переполняется даже в винде со вторым сервис-паком. Рекомендуется обновить библиотеку очередным патчем с сайта мелкомягких.

Ссылки:

Эксплойт можно взять с www.xakep.ru/post/24771/exploit.txt. Техническое описание бага можно прочитать по адресу www.security.nnov.ru/search/document.asp?docid=6979. Там же ищи ссылку на патч.

Злоключение:

Помимо WinXP, уязвимым считается и Win2003 Server, поэтому всем админам этой операционки нужно обновиться. Для тех, кто еще не понял, подчеркиваю, что эксплойт локальный. Он может использоваться лишь для поднятия привилегий.