Виконання довільного коду через phpBB

22:45 13.04.2010

Продовжуючи розпочату традицію, після попереднього відео про захоплення Linux-сервера через SQL Injection, пропоную новий відео секюріті мануал. Цього разу відео про виконання довільного коду через phpBB. Рекомендую подивитися всім хто цікавиться цією темою.

Injecting Malicious Code via phpBB

В даному відео ролику демонструється Code Execution атака на phpBB. Коли при доступі до адмінки, що можна зробити через різні дірки в движку, можна виконувати довільний код (довільні системні команди) через phpBB за допомогою спеціального методу, розробленого автором даного відео.

Для цього в адмінці виконується спеціальний SQL запит, що дозволяє в движку виконувати довільні системні команди. Після чого автор виконує декілька команд, в тому числі додає новий акаунт адміністратора в систему. Рекомендую подивитися дане відео для розуміння Code Execution атак.


Leave a Reply

You must be logged in to post a comment.