Уразливості в плагінах для WordPress №19
23:59 30.06.2009Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.
Цього разу повідомляю про уразливості в плагінах DM Albums і Related Sites. Для котрих з’явилися експлоіти. DM Albums - це плагін для створення фото альбомів та галерей, Related Sites - це плагін для показу лінок на сайти інших користувачів даного плагіна.
- WordPress Plugin DM Albums 1.9.2 Remote File Inclusion Vuln (деталі)
- WordPress Plugin DM Albums 1.9.2 Remote File Disclosure Vulnerability (деталі)
- WordPress Plugin Related Sites 2.1 Blind SQL Injection Vulnerability (деталі)
Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.
P.S.
Експлоіт до плагіна Related Sites неробочий, тому що заявлена SQL Injection уразливість відсутня. Тому власники даного плагіна можуть не переживати з приводу цього експлоіта.
Середа, 11:55 01.07.2009
хех ) і мій тут є )
Середа, 20:20 01.07.2009
poma
Твій експлоіт неробочий, тому що заявленої тобою SQL Injection уразливості в плагіні Related Sites немає. Я звернув увагу на цю обставину ще вночі, як оприлюднив даний запис про уразливості в плагінах для WordPress і переглянув тексти експлоітів на мілвормі. Вночі про це не було часу писати, вирішив пізніше про це написати. І раз ти підтвердив, що це твій експлоіт, то одразу тобі про це скажу.
По-перше, я вирішив, що eLwaux - це інший член вашої групи UASC (бо в мене в коментарях ти використовуєш інший нік). Тому виріш зробити коментар в себе на сайті і на на вашому сайті з приводу цього неробочого експлоіту, але як вияснилося, що це твій експлоіт, то ти одразу дізнаєшся про мою думку з цього приводу
.
По-друге, два твої експлоіті (для Related Sites та TSEP), що були нещодавно опубліковані на milw0rm.com, є достатньо ламерськими. Тому що це не експлоіти, а PoCи, бо замість тексту експлоіта ти використовуєш конструкції “POST: …” (мовляв через POST передайте ці дані). І навіть для PoC можна зробити менш ледачий код.
Тобто експлоіти зроблені дуже ледачо (бо немає тексту експлоіта, тільки інструкції, тому й це не експлоіти взагалі). І тому й вони ламерські. До того ж, коли немає робочого експлоіту (чи неледачого PoC), це говорить про те, що автор не перевіряв дану уразливість, про яку він повідомляє, а це може свідчити, що ця уразливість може взагалі неспрацювати.
По-третє, milw0rm.com - це сайт з експлоітами (або як мінімум неледачими PoCами). І те, що str0ke ламер, і регулярно постить PoCи, в тому числі ледачі PoCи (як два твої), і з року в рік все більше - це вже проблеми Строка. Не варто самому страждати подібним ламеризмом.
По-четверте, не знаю чи працює експлоіт для TSEP (чи робоча дірка - бо про необхідність відключених mq ти ламерським чином не вказав ні для TSEP, ні для Related Sites), але експлоіт для Related Sites не працює, бо дірки там немає. Бо обидва параметри, що $guid який ти використав в експлоіті, що другий $clickinfo, вони екрановані лапками. І в WP, незалежно від того чи включені mq чи ні, ти не обійдеш лапки, бо в усіх версіях WP 2.х движок має вбудоване екранування всіх переданих запитом змінних (якщо визивається скрипт конфіга движка).
Тому, тільки я побачив код експлоіта (з фрагментом коду вразливого скрипта) я зрозумів, що він неробочий. Могло бути, що цей скрипт не визиває скрипт конфіга WP і тому при відключених mq атака спрацює, але як я глянув на код BTE_RW_webajax.php, викачавши архів плагіна, там чітко (як і треба) визивається wp-blog-header.php (який вже визиває скрипт конфіга WP). Тому експлоіт неробочий і ти не перевіривши його запостив його на мілворм. А ламер str0ke його опублікував. Тим самим лише поморочивши голову людям, які читають інформацію на мілвормі.
Середа, 20:31 01.07.2009
Тому poma aka eLwaux, тобі варто завжди перевіряти всі уразливості, які ти знаходиш, перед тим як їх публікувати. Щоб не публікувати неробочі уразливості чи експлоіти.
Бо те, що член групи uasc.org.ua запостив подібній ламерський експлоіт, це вже неприємо. А те, що це саме ти його запостив, то вдвічі неприємно. Бо ти здавався мені таким непоганим хлопцем (не ламером). Просто тяжко на душі стало із-за цього
.
Тому в мене буде одне важливе прохання. На майбутнє постарайся, щоб я більше ніколи не бачив подібних ламерських неробочих експлоітів від uasc.org.ua. Або не роби таких взагалі, або пость їх там, де я їх напевно не побачу.
Бо якщо я побачу (на сайтах які я читаю, зокрема на тих сайтах звідки я беру дані для публікації в себе на сайті, зокрема на milw0rm.com) хоча б один подібний неробочий експлоіт від вашої групи, то я буду змушений відмінити наш обмін лінками і прибрати лінку на ваш сайт. Сподіваюся ваша група, і ти зокрема, врахуєте це моє прохання і більше подібних інцидентів не повториться.
Середа, 22:36 01.07.2009
так, дякую.
врахуємо твої замітки на майбутнє.
зокрема я буду ретельніше перевіряти найдені мною помилки, і серйозніше до цього від тепер відноситися.
вибачай, якшо завтравив засмутитися
Четвер, 01:13 02.07.2009
poma, завжди будь ласка. Обов’язково врахуй
Фейкові експлоіти (до неіснуючих уразливостей) періодично з’являються. І тим самим засмітчуючи секюріті простір в Інтернеті. Не варто долучатися до цього неблагородного процесу.
Я особливо не засмучувався, шкода лише витраченого часу на мороку з неробочим експлоітом
(намагаюся виявляти подібні якомога раніше, щоб не писати про них і не витрачати на це ні свого часу, ні своїх чатачів). Я завжди намагаюся не засмучуватися (незалежно від обставин), щоб не витрачати на це час.
Четвер, 10:46 02.07.2009
>>>По-третє, milw0rm.com - це сайт з експлоітами (або як мінімум неледачими PoCами)
Або з описами вразливостей(присутній вразливий код, та метод експлуатації). Якщо MustLive, ти не помітив, то в таких записах в заголовку пишеться Vulnerability, що свідчить про відсутність сплойта.
Тому eLWAux зробив все коректно, окрім не працюючого сплойта.
Далі,
>>Тобто експлоіти зроблені дуже ледачо (бо немає тексту експлоіта, тільки інструкції, тому й це не експлоіти взагалі). І тому й вони ламерські.
До чого тут ламеризм? Пробач, то вже не здорова критика. Думаю в знаннях eLWAux`a ніхто не сумнівається
>>Або не роби таких взагалі, або пость їх там, де я їх напевно не побачу.
При всій повазі, MustLive, ти не бог “інтернету”, не бог в галузі ІТ, тому думаю такі вислови тобі не пасують, більш того, вони зовсім недоречні
Четвер, 12:48 02.07.2009
офтоп:
MustLive, молодец! просто чудовий життєвий принцип!
не засмучуватися - головне в нашому житті )
Dimi4, дякую за дружню підтримку )
Понеділок, 23:57 06.07.2009
poma, я стараюся використовувати цей принцип. Звичайно не завжди це виходить, але я докладаю зусиль для його активного використання
. До того ж, на засмучування просто немає зайвого часу.
Це не той випадок, де варто було підтримувати. Ти був не правий з фейковим описом неробочої уразливості й навіть (судячи по попередньому коментару) з цим погодився. А Dimi4 своїм коментарем тільки зробив вигляд, що він (і в цілому UASC) солідарні з цією практикою. Розробка PoC/експлоітів для неробочих дірок - це не те, що варто підтримувати (і подібними справами краще не займатися).
Також, poma, ти можеш перевірити свої експлоіти і PoCи, що розмістив на мілвормі, зокрема ті, де ти не перевіряв уразливості (а лише “по підозрі” звинуватив ті веб додатки в наявності дірок), чи насправді ті дірки там мають місце. Щоб виявити інші неробочі уразливості (якщо такі будуть), як у випадку Related Sites, щоб я не публікував їх в себе на сайті. Зробиш добру справу.
Вівторок, 01:00 07.07.2009
Dimi4, про яку відсутність сумнівів може йти мова. eLWAux зробив фейковий опис неробочої уразливості, що є дуже несерйозною справою (яку я не поважаю). Як я казав, подібні речі (фейкові уразливості) мають місце в Інтернеті й вони засмічують секюріті простір Мережі (й робляться подібні публікації виключно для піара). І подібним не варто займатися.
Тому для реабілітації в моїх очах eLWAux’у доведеться докласти чималих зусиль після подібного інциденту.
Критика в мене завжди здорова і конструктивна (бо такий в мене підхід)
. Ламером я називаю лише за діло. І я достатньо пояснив (і завжди пояснюю), за що саме я назвав це ламеризмом.
Ледачі описи уразливостей (PoC) я відношу до ознак ламеризму. І там паче такі PoC, де використовуються фрази “{SQL}” (до “{XSS}” це також відноситься), тобто не реальний SQL запит, а плейсхолдер (як у випадку опису уразливостей в TSEP) - бо це дуже ледачі PoCи. Які, про що я казав, також свідчать, що автор PoC не перевіряв уразливість і тому вона може виявитися неробочою. А неробоча дірка - це інша ознака ламеризму.
Що з себе представляє сайт milw0rm.com мені добре відомо (за 3,5 роки, що я слідкую за даним ресурсом).
По-перше зверни увагу на URL (для даного описа eLWAux’a) - milw0rm.com/exploits/9054 - де ти побачиш слово exploits. По-друге, вчитайся в текст “експлоіта” (який є насправді PoCом) - в тексті присутнє слово “exploit” (хоча ви обоє робите вигляд, що розумієте, що це не є експлоітом). По-третє, Строк заніс цей “експлоіт” в розділ “web apps”, хоча на сайті є розділ “dos / poc” (бо він так часто робить). По-четверте, ти навіть сам в тексті говориш про “сплойт” (дивися цитату нижче), хоча це є PoC.
А по-п’яте, я знаю з власного досвіду, коли я надіслав на початку 2008 року Строку опис SQL Injection уразливості (з гарним PoC, що демонстрував визначення версії MySQL на сервері), то він мені відповів, що PoCи він не розміщує, тільки експлоіти. При тому, що і до того випадку, і після нього він PoCи розміщував, і з року в рік все більше. Тому я добре знаю офіційну позицію адміна milw0rm.com про розміщення тільки експлоітів. А те, що ламер Строк розміщує все що хоче (в тому числі й неробочі уразливості), то це його справа.
Яка коректність може бути в фейковому PoC для неробочої уразливості.
Діма, мені видніше, які вислови використовути, тим паче в себе на сайті. До того ж, дані порівняння дуже дивні, і ними ти мені лестиш, а цього можна не робити. Схоже, що ти мене не зовсім зрозумів. Реально справа полагає в наступному.
Я не поважаю публікації про неіснуючи уразливості. І я не поважаю людей які роблять дані публікації. І відповідно намагаются не публікувати подібні PoC/експлоіти з інших джерел в себе на сайті (зокрема у випадку експлотів для WP). І після того, як UASC допустила подібну річ, я звернув вашу увагу не неприпустимість подібного.
Бо якщо ви будете займатися цим і надалі, то я не буду вас поважати. І враховуючи те, що я не міняюся лінками з тими, кого я не поважаю, я буду змушений завершити наш лінкообмін. Ось в цьому і полягає суть мого звернення. Просто тоді я вирішив дещо кути згладити, щоб не задіти вас, якщо сказати все напряму. Тому прийміть рішення, яка ваша позиція стосовно публікації неробочих уразливостей, і від цього ми будемо рухатися далі (в ту чи іншу сторону).
Вівторок, 12:51 07.07.2009
>>А Dimi4 своїм коментарем тільки зробив вигляд, що він (і в цілому UASC) солідарні з цією практикою
Ти дещо помиляєшся, я тільки намагався уточнити що на сайті мілворму доступні не лише експлойти, а й описи вразливостей, а те що в УРЛі присутнє слово exploit справи аж ніяк не міняє
(Якщо ти помітив навіть розділ dos\poc знаходится у теці /exploits/).
Вибачай за порівняння, ним я не намагався образити, такий вже я є 
Куди там Строк запостив повідомлення Елваукса - не наша справа. Те що Строк не запостив колись твоє повідомлення - ну вибачай, такими рядками ти виглядаєш як ображена дитина, якій не купили чогось-там, а брату купили
>> дані порівняння дуже дивні
Ти намагався виглядати вище за нас, а я не люблю вислови без суті, мета яких піднятись вище когось 
Дивні не порівняння, дивні твої вислови) Ще нічого якби ти сказав “не хочу бачити в себе на сайті”
Це є не зовсім гарно, адже ми колеги, партнери і надіюсь ними будем. І в таких стосунках не допустимо щоб хтось був вище, а хтось нище.
Немаю наміру перетворювати цю дискусію у конфлікт.
П.С. Доречі, ми ж визнали що неробоча вразливісьт - прокол наш, чого до нього повертатись?