STM Опубликовано 22 января, 2018 Жалоба Поделиться Опубликовано 22 января, 2018 (изменено) Нашли серьёзную уязвимость. Через дефолтный загрузчик файлов в визульном редакторе легко загружаются php файлы и так же легко выполняются. Через него легко залить шелл и получить доступ ко всему серверу не говоря уже про сам сайт. В таком случае разграничения прав не имеют значения если у пользователя есть доступ визуальному редактору в любом разделе. Особенно эта уязвимость касается тех кто предоставляет демо админки с какой-то доработкой. Через заливку шелла можно легко выкачать весь сайт и сделать дамп базы данных. К тому же можно получить доступ к другим сайтам на сервере. Изменено 22 января, 2018 пользователем STM Цитата Ссылка на сообщение Поделиться на другие сайты
Noxter Опубликовано 22 января, 2018 Жалоба Поделиться Опубликовано 22 января, 2018 Проверил, да действительно. Цитата Ссылка на сообщение Поделиться на другие сайты
STM Опубликовано 22 января, 2018 Автор Жалоба Поделиться Опубликовано 22 января, 2018 (изменено) Собственно пруф. За 1 минуту залил шелл и получил доступ к сайту демки Simpla. Изменено 22 января, 2018 пользователем STM Цитата Ссылка на сообщение Поделиться на другие сайты
Maksclub Опубликовано 22 января, 2018 Жалоба Поделиться Опубликовано 22 января, 2018 Да создатели плагина даже и не скрывали такое дело — скрин из доки плагина: Цитата Ссылка на сообщение Поделиться на другие сайты
STM Опубликовано 22 января, 2018 Автор Жалоба Поделиться Опубликовано 22 января, 2018 (изменено) Да создатели плагина даже и не скрывали такое дело — скрин из доки плагина: Да это ладно. Загрузить то можно. Скрипт не должен выполняться из папки /files/uploadsПочему-то .htaccess в паке files не запрещает выполнение. В старых версиях эта уязвимость вроде не работает. Изменено 22 января, 2018 пользователем STM Цитата Ссылка на сообщение Поделиться на другие сайты
STM Опубликовано 22 января, 2018 Автор Жалоба Поделиться Опубликовано 22 января, 2018 (изменено) Если заменить содержимое файла .htaccess в паке files на php_flag engine 0 AddType "text/html" .php .cgi .pl .fcgi .fpl .phtml .shtml .php2 .php3 .php4 .php5 .asp .jsp То всё ок.Файл выполняется как html Изменено 22 января, 2018 пользователем STM Цитата Ссылка на сообщение Поделиться на другие сайты
Maksclub Опубликовано 22 января, 2018 Жалоба Поделиться Опубликовано 22 января, 2018 (изменено) Если заменить содержимое файла .htaccess в паке files на php_flag engine 0 AddType "text/html" .php .cgi .pl .fcgi .fpl .phtml .shtml .php2 .php3 .php4 .php5 .asp .jsp То всё ок.Файл выполняется как html я также прочитал ту же статью на Хабре и так уже делал, но у меня срабатывает все равно Изменено 22 января, 2018 пользователем Maksclub Цитата Ссылка на сообщение Поделиться на другие сайты
STM Опубликовано 22 января, 2018 Автор Жалоба Поделиться Опубликовано 22 января, 2018 я также прочитал ту же статью на Хабре и так уже делал, но у меня срабатывает все равно На демке закрылась уязвимость. Видимо дело в разных серверах. Цитата Ссылка на сообщение Поделиться на другие сайты
Maksclub Опубликовано 22 января, 2018 Жалоба Поделиться Опубликовано 22 января, 2018 На демке закрылась уязвимость. Видимо дело в разных серверах. да, на недели вообще на Nginx перенесу,позже убью эту проблемку... Цитата Ссылка на сообщение Поделиться на другие сайты
STM Опубликовано 22 января, 2018 Автор Жалоба Поделиться Опубликовано 22 января, 2018 да, на недели вообще на Nginx перенесу,позже убью эту проблемку... Лучше всего сразу обновить TinyMCE и сменить загрузчик на responsive filemanager. Цитата Ссылка на сообщение Поделиться на другие сайты
yr4ik Опубликовано 22 января, 2018 Жалоба Поделиться Опубликовано 22 января, 2018 Лучше всего сразу обновить TinyMCE и сменить загрузчик на responsive filemanager. думаете достаточно? Дайте доступ к админке и я вам и там загружу Цитата Ссылка на сообщение Поделиться на другие сайты
STM Опубликовано 22 января, 2018 Автор Жалоба Поделиться Опубликовано 22 января, 2018 (изменено) думаете достаточно? Дайте доступ к админке и я вам и там загружуПо крайней мере там не разгружаются php. Есть какое-то лучше решение? Можно то загрузчик вообще отключить. Ну это не поможет так как нужно защитить всю директорию files. Так как залить можно и через цифровые товары. Изменено 22 января, 2018 пользователем STM Цитата Ссылка на сообщение Поделиться на другие сайты
Noxter Опубликовано 22 января, 2018 Жалоба Поделиться Опубликовано 22 января, 2018 Лучше всего сразу обновить TinyMCE и сменить загрузчик на responsive filemanager.Лучше уж http://www.moxiemanager.com/ Цитата Ссылка на сообщение Поделиться на другие сайты
STM Опубликовано 22 января, 2018 Автор Жалоба Поделиться Опубликовано 22 января, 2018 У меня получилось через Order Deny, Allow Deny from all сделать запрет. Цитата Ссылка на сообщение Поделиться на другие сайты
a13x Опубликовано 22 января, 2018 Жалоба Поделиться Опубликовано 22 января, 2018 (изменено) На демке закрылась уязвимость. Видимо дело в разных серверах. Нет, скорее просто добавили проверку на тип загружаемого файла и если тип файла запрещенный, то просто отклонять запрос. Думаю разница в сервере тут не играет роли. К тому же не каждый будет переписывать файлы чтобы перенести симплу на нгинкс. /simpla/design/js/tiny_mce/plugins/smexplorer/php/action.phpнайти action = upload и добавить проверку.А ещё лучше вобще убрать этот модуль из системы, т.к. прямой доступ к этому файлу никто не отменял и я думаю можно подделать запрос и залить без проблем файл, даже не имея доступ к админке. Изменено 22 января, 2018 пользователем a13x Цитата Ссылка на сообщение Поделиться на другие сайты
yr4ik Опубликовано 22 января, 2018 Жалоба Поделиться Опубликовано 22 января, 2018 (изменено) Нет, скорее просто добавили проверку на тип загружаемого файла и если тип файла запрещенный, то просто отклонять запрос. Думаю разница в сервере тут не играет роли. К тому же не каждый будет переписывать файлы чтобы перенести симплу на нгинкс. /simpla/design/js/tiny_mce/plugins/smexplorer/php/action.phpнайти action = upload и добавить проверку.А ещё лучше вобще убрать этот модуль из системы, т.к. прямой доступ к этому файлу никто не отменял и я думаю можно подделать запрос и залить без проблем файл, даже не имея доступ к админке. Без доступа к админке этот файл под защитой http авторизации.А вот если авторизовался то почти полный карт-бланш Изменено 22 января, 2018 пользователем yr4ik Цитата Ссылка на сообщение Поделиться на другие сайты
STM Опубликовано 22 января, 2018 Автор Жалоба Поделиться Опубликовано 22 января, 2018 (изменено) Нет, скорее просто добавили проверку на тип загружаемого файла и если тип файла запрещенный, то просто отклонять запрос. Думаю разница в сервере тут не играет роли. К тому же не каждый будет переписывать файлы чтобы перенести симплу на нгинкс. /simpla/design/js/tiny_mce/plugins/smexplorer/php/action.phpнайти action = upload и добавить проверку.А ещё лучше вобще убрать этот модуль из системы, т.к. прямой доступ к этому файлу никто не отменял и я думаю можно подделать запрос и залить без проблем файл, даже не имея доступ к админке. Дело в том что в папке files есть .htaccess с содержимым RemoveType .phtml .php .php3 .php4 .php5 .php6 .phps .cgi .exe .pl .asp .aspx .shtml .shtm .fcgi .fpl .jsp .htm .html .wml Который должен запрещать выполнение перечисленных файлов из этой директории. Но видимо это работает не на всех серверах.Файл можно залить не только через загрузчик. У меня получилось запретить доступ в такой способ: <FilesMatch ".(htaccess|ini|phps|fla|psd|log|sh|php)$"> Order Allow,Deny Deny from all </FilesMatch> где нужно перечислить расширения файлов доступ к которым хотите запретить. Изменено 22 января, 2018 пользователем STM Цитата Ссылка на сообщение Поделиться на другие сайты
STM Опубликовано 22 января, 2018 Автор Жалоба Поделиться Опубликовано 22 января, 2018 (изменено) Нет, скорее просто добавили проверку на тип загружаемого файла и если тип файла запрещенный, то просто отклонять запрос. Думаю разница в сервере тут не играет роли. К тому же не каждый будет переписывать файлы чтобы перенести симплу на нгинкс. /simpla/design/js/tiny_mce/plugins/smexplorer/php/action.phpнайти action = upload и добавить проверку.А ещё лучше вобще убрать этот модуль из системы, т.к. прямой доступ к этому файлу никто не отменял и я думаю можно подделать запрос и залить без проблем файл, даже не имея доступ к админке. Методов как залить файл без загрузчика тоже хватает. К примеру добавление цифрового товара. Сначала заливаем пустой .htaccess он заменяет существующий, потом заливаем шелл, и всё можно выполнять из папки files/downloads если .htaccess в папке files не работает.Админку тоже можно взломать. В Simpla это не так сложно. Проблема будет в том что через шелл можно получить доступ к всему серверу и к другим сайтам если он не один. Изменено 22 января, 2018 пользователем STM Цитата Ссылка на сообщение Поделиться на другие сайты
ABSORBER Опубликовано 23 января, 2018 Жалоба Поделиться Опубликовано 23 января, 2018 Да это ладно. Загрузить то можно. Скрипт не должен выполняться из папки /files/uploadsПочему-то .htaccess в паке files не запрещает выполнение. В старых версиях эта уязвимость вроде не работает.Загрузить можно и не только в /files/uploads/Можно хоть в корень сайта Цитата Ссылка на сообщение Поделиться на другие сайты
STM Опубликовано 23 января, 2018 Автор Жалоба Поделиться Опубликовано 23 января, 2018 Загрузить можно и не только в /files/uploads/Можно хоть в корень сайтаКокретней можно? Это как бы далеко не шутки. Для интернет магазина который связан с онлайн оплатами такие дырки недопустимы. Цитата Ссылка на сообщение Поделиться на другие сайты
a13x Опубликовано 23 января, 2018 Жалоба Поделиться Опубликовано 23 января, 2018 Без доступа к админке этот файл под защитой http авторизации.А вот если авторизовался то почти полный карт-бланшКто вам это сказал? Покажите мне в файле строчку где показано что там авторизация сработает? Либо прописана какая то переменная от авторизации и условие на её проверку. Цитата Ссылка на сообщение Поделиться на другие сайты
Maksclub Опубликовано 23 января, 2018 Жалоба Поделиться Опубликовано 23 января, 2018 Кто вам это сказал? Покажите мне в файле строчку где показано что там авторизация сработает? Либо прописана какая то переменная от авторизации и условие на её проверку. вы серьезно? весь каталог /simpla/ под авторизацией Цитата Ссылка на сообщение Поделиться на другие сайты
a13x Опубликовано 23 января, 2018 Жалоба Поделиться Опубликовано 23 января, 2018 Да, видимо это на нгинксе у меня надо править конфиг, в апаче требуется авторизация. Цитата Ссылка на сообщение Поделиться на другие сайты
yr4ik Опубликовано 23 января, 2018 Жалоба Поделиться Опубликовано 23 января, 2018 (изменено) Кто вам это сказал? Покажите мне в файле строчку где показано что там авторизация сработает? Либо прописана какая то переменная от авторизации и условие на её проверку.проверьте подхватывается ли .htaccess с папки симпла. Иначе у вас полигон для всех проверок уязвимостей Изменено 23 января, 2018 пользователем yr4ik Цитата Ссылка на сообщение Поделиться на другие сайты
a13x Опубликовано 23 января, 2018 Жалоба Поделиться Опубликовано 23 января, 2018 проверьте подхватывается ли .htaccess с папки симпла. Иначе у вас полигон для всех проверок уязвимостейНет, не подхватывается. Я на нгиксе сижу + авторизацию переписал давно на сессионную + не использую дефолтные визивиг редакторы Цитата Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения
Присоединяйтесь к обсуждению
Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.