23 thg 10, 2012

[Report] ChangUonDyU Advanced Statistics - SQL injection


Mấy ngày nay DaiCa.Net đã bị kẻ lạ login vào account admin.
Tuy nhiên kẻ lạ mặt chưa làm gì được


Sau khi được juno_okyo Report là có bug tại mod Changuondyu Static.
Mình đã kiểm tra lại các input, tất cả các input chỉ có 1 input được đưa vào truy vấn, đó là 
$_REQUEST['listforumid']

Và quả thật là có bug SQLi. Đây là 1 lỗi cực kỳ nghiêm trọng và sai xót của coder (Còn nghiêm trọng hơn Bug Search VBB vì rất nhiều người đang sử dụng mod này).

Từ Bug này, chúng ta có thể lấy được dữ liệu từ database => Login vào admin => Login vào admincp => Up shell => blah blah

Ở đây DuyK sẽ không nói đến cách khai thác để đề phòng "Hacker chẻ châu" quậy phá mọi người (Hacker thực sự sẽ hiểu vấn đề ngay nên khỏi cần phải nói)

Vì rất nhiều người đang sử dụng mod này và chưa fix nên DuyK hi vọng mọi người sẽ lan truyền report này.

Để fix mod này. Các bạn vào: Admincp -> Plugin & product option -> Plugin manage -> ChangUonDyU - Advanced Statistics - Get Data -> EDIT

Bạn tìm đến dòng: 
Trích dẫn
$foruminid = $vbulletin->db->escape_string($_REQUEST['listforumid']);


Thay bằng: 
Trích dẫn
$foruminid = intval($_REQUEST['listforumid']);


Report từ: DaiCa.Net - Forum newbie học hỏi

P/S by Juno_okyo:

Rất nhiều Diễn đàn đang sử dụng mod Statstics này nên mọi người nhanh chóng fix nhé.
Bug này được phát hiện từ mod tương tự của bác Chang cho MyBB, kiểm tra thì thấy mod bên vBB cũng dính.

Không có nhận xét nào:

Đăng nhận xét