Нове використання аплоадера
22:42 27.09.2008Основне використання аплоадера при атаці на веб сайт - це завантаження скрипту, для його виконання на сервері. У випадку, коли не можна завантажити скрипт безпосередньо, то його можна завантажити як txt-файл, і використовучи Local File Inclusion уразливість виконати необхідний код. Нещодавно я писав про уразливість в FCKeditor, що дозволяє проводити дану атаку - завантажувати код на сайт, який потім через LFI можна виконати.
Досліджуючи дану уразливість в FCKeditor я виявив, що аплоадер можна використати по іншому. Його можна використати для проведення нового виду атаки через аплоадер - завантаження html-файлу для заміни індексної сторінки (partial deface).
Дана атака може використовуватися для часткового дефейса (однієї директорії), проведення Persistent XSS та HTML Injection атак, для редирекції або розміщення шкідливого коду. І ефективність атаки буде високою, тому що URL на сайті, на який потрібно заманити жертву, не буде виглядати підозріло - це буде адреса директорії на сайті.
Суть атаки зводиться до завантаження index.html файла в діректорію для закачки. У випадку, якщо в налаштуваннях сайта не була задана інша індексна сторінка (тобто виводився список файлів даної директорії) і якщо не було заборонено закачувати index.html (або index.htm чи інші індексні файли), то даний файл виведеться по замовчуванню при заході в дану папку. Що призведе до виконання коду, що міститься в даному файлі.
Ось декілька прикладів похаканих мною сайтів (в Інтернеті можна знайти й інші взломані хакерами сайти):
http://www.labradorwest.com/contentImages/File/
http://www.pequenodavi.org.br/gerencia/docs/File/
З вищезазначеного видно, що навіть обмежений аплоадер (що дозволяє завантажувати html-файли), може бути використаний для проведення різноманітних атак на веб сайт.