Изменение содержимого логов поиска с целью выполнение команд на сервере в Ikonboard 2.1.9 RussianFullPack форуме

Описание: Уязвимость в Ikonboard в search.cgi позволяет удаленному пользователю изменить содержимое логов поиска, чтобы выполнить произвольные команды на сервере.

Уязвимость обнаружена в сценарии search.cgi. Скрипт не проверяет параметры поиска, занося их в лог файл. Т.к. лог файл храниться в папке /cgi-bin/board/search, то при вызове лог файла, последний вызовется, как скрипт. Тем самым, придав сохраняемым в лог параметрам вид выполняемых perl - функций, становится возможным выполнять команды. Взломщика интересует 2 параметра. Первый параметр, вносимый в лог - это CUR_TIME, задав его значение как "#/usr/bin/perl" взломщик задаст первую строку лога.

Второй параметр SEARCH_STRING, задав вместо него "print 'Content-type: text/html\n\n'; system('ls');", взломщим получит выполнение команды "ls". Важно заметить, что двойные кавычки фильтруются сценарием, но их нужно заменить на одинарные. Знаки ">" и "<" так же фильтруются, поэтому открыть файл на запись не состоит возможным.

Так же стоит заметить, что при использовании функции поиска зарегистрированным пользователем лог файл имеет название [USERNAME]_sch.txt, если пользователь не зарегистрирован в форуме, то файл имеет название Guest[IP-адрес без точек]_sch.txt. (например, Guest127001_sch.txt).

Пример/Эксплоит: Эксплоит под Windows Apache (perl) вложен ниже. Проверено на локальной системе.

Содержание Guest127001_sch.txt после эксплоита:

#!perl
print 'Content-type: text/html\n\n'; system('dir');

URL производителя: http://www.ikonboard.com/

Решение:Способов устранения обнаруженной уязвимости не существует в настоящее время.

Уязвимость обнаружил Иван Жданов [dokk21@rambler.ru]