31 ответов в теме

[STM]

Нашли серьёзную уязвимость. Через дефолтный загрузчик файлов в визульном редакторе легко загружаются php файлы и так же легко выполняются. Через него легко залить шелл и получить доступ ко всему серверу не говоря уже про сам сайт. В таком случае разграничения прав не имеют значения если у пользователя есть доступ визуальному редактору в любом разделе.
Особенно эта уязвимость касается тех кто предоставляет демо админки с какой-то доработкой. Через заливку шелла можно легко выкачать весь сайт и сделать дамп базы данных. К тому же можно получить доступ к другим сайтам на сервере.

Изменено: STM, 22.01.2018 - 14:26

[Noxter]

Проверил, да действительно.

[STM]

Собственно пруф. За 1 минуту залил шелл и получил доступ к сайту демки Simpla.

Изменено: STM, 22.01.2018 - 14:57

[Maksclub]

Да создатели плагина даже и не скрывали такое дело — скрин из доки плагина:

 

[STM]

Да создатели плагина даже и не скрывали такое дело — скрин из доки плагина:

 

 

Да это ладно. Загрузить то можно. Скрипт не должен выполняться из папки /files/uploads

Почему-то .htaccess в паке files не запрещает выполнение. В старых версиях эта уязвимость вроде не работает.

Изменено: STM, 22.01.2018 - 16:00

[STM]

Если заменить содержимое файла .htaccess в паке files

 

на 

php_flag engine 0
AddType "text/html" .php .cgi .pl .fcgi .fpl .phtml .shtml .php2 .php3 .php4 .php5 .asp .jsp

То всё ок.

Файл выполняется как html

Изменено: STM, 22.01.2018 - 16:07

[Maksclub]

Если заменить содержимое файла .htaccess в паке files

 

на 

php_flag engine 0
AddType "text/html" .php .cgi .pl .fcgi .fpl .phtml .shtml .php2 .php3 .php4 .php5 .asp .jsp

То всё ок.

Файл выполняется как html

 

я также прочитал ту же статью на Хабре и так уже делал, но у меня срабатывает все равно

Изменено: Maksclub, 22.01.2018 - 16:10

[STM]

я также прочитал ту же статью на Хабре и так уже делал, но у меня срабатывает все равно

 

На демке закрылась уязвимость. Видимо дело в разных серверах.  

[Maksclub]

На демке закрылась уязвимость. Видимо дело в разных серверах.  

 

да, на недели вообще на Nginx перенесу,позже убью эту проблемку...

[STM]

да, на недели вообще на Nginx перенесу,позже убью эту проблемку...

 
Лучше всего сразу обновить TinyMCE и сменить загрузчик на responsive filemanager.

[yr4ik]

 
Лучше всего сразу обновить TinyMCE и сменить загрузчик на responsive filemanager.

 

думаете достаточно? Дайте доступ к админке и я вам и там загружу 

[STM]

думаете достаточно? Дайте доступ к админке и я вам и там загружу

По крайней мере там не разгружаются php.

Есть какое-то лучше решение?
Можно то загрузчик вообще отключить.
Ну это не поможет так как нужно защитить всю директорию files. Так как залить можно и через цифровые товары.

Изменено: STM, 22.01.2018 - 17:01

[Noxter]

Лучше всего сразу обновить TinyMCE и сменить загрузчик на responsive filemanager.

Лучше уж http://www.moxiemanager.com/

[STM]

У меня получилось через

 

Order Deny, Allow
Deny from all
 

сделать запрет.

[a13x]

На демке закрылась уязвимость. Видимо дело в разных серверах.  

Нет, скорее просто добавили проверку на тип загружаемого файла и если тип файла запрещенный, то просто отклонять запрос. Думаю разница в сервере тут не играет роли. К тому же не каждый будет переписывать файлы чтобы перенести симплу на нгинкс.

 

/simpla/design/js/tiny_mce/plugins/smexplorer/php/action.php

найти action = upload и добавить проверку.

А ещё лучше вобще убрать этот модуль из системы, т.к. прямой доступ к этому файлу никто не отменял и я думаю можно подделать запрос и залить без проблем файл, даже не имея доступ к админке.

Изменено: a13x, 23.01.2018 - 00:26

[yr4ik]

Нет, скорее просто добавили проверку на тип загружаемого файла и если тип файла запрещенный, то просто отклонять запрос. Думаю разница в сервере тут не играет роли. К тому же не каждый будет переписывать файлы чтобы перенести симплу на нгинкс.

 

/simpla/design/js/tiny_mce/plugins/smexplorer/php/action.php

найти action = upload и добавить проверку.

А ещё лучше вобще убрать этот модуль из системы, т.к. прямой доступ к этому файлу никто не отменял и я думаю можно подделать запрос и залить без проблем файл, даже не имея доступ к админке.

 

Без доступа к админке этот файл под защитой http авторизации.

А вот если авторизовался то почти полный карт-бланш

Изменено: yr4ik, 23.01.2018 - 00:38

[STM]

Нет, скорее просто добавили проверку на тип загружаемого файла и если тип файла запрещенный, то просто отклонять запрос. Думаю разница в сервере тут не играет роли. К тому же не каждый будет переписывать файлы чтобы перенести симплу на нгинкс.

 

/simpla/design/js/tiny_mce/plugins/smexplorer/php/action.php

найти action = upload и добавить проверку.

А ещё лучше вобще убрать этот модуль из системы, т.к. прямой доступ к этому файлу никто не отменял и я думаю можно подделать запрос и залить без проблем файл, даже не имея доступ к админке.

 

Дело в том что в папке files есть .htaccess с содержимым 

RemoveType .phtml .php .php3 .php4 .php5 .php6 .phps .cgi .exe .pl .asp .aspx .shtml .shtm .fcgi .fpl .jsp .htm .html .wml

Который должен запрещать выполнение перечисленных файлов из этой директории. Но видимо это работает не на всех серверах.

Файл можно залить не только через загрузчик. 

 

У меня получилось запретить доступ в такой способ:

<FilesMatch ".(htaccess|ini|phps|fla|psd|log|sh|php)$">
 Order Allow,Deny
 Deny from all
</FilesMatch>

где нужно перечислить расширения файлов доступ к которым хотите запретить. 

Изменено: STM, 23.01.2018 - 01:08

[STM]

Нет, скорее просто добавили проверку на тип загружаемого файла и если тип файла запрещенный, то просто отклонять запрос. Думаю разница в сервере тут не играет роли. К тому же не каждый будет переписывать файлы чтобы перенести симплу на нгинкс.

 

/simpla/design/js/tiny_mce/plugins/smexplorer/php/action.php

найти action = upload и добавить проверку.

А ещё лучше вобще убрать этот модуль из системы, т.к. прямой доступ к этому файлу никто не отменял и я думаю можно подделать запрос и залить без проблем файл, даже не имея доступ к админке.

 

Методов как залить файл без загрузчика тоже хватает. К примеру добавление цифрового товара. Сначала заливаем пустой .htaccess он заменяет существующий, потом заливаем шелл, и всё можно выполнять из папки files/downloads если .htaccess в папке files не работает.

Админку тоже можно взломать. В Simpla это не так сложно. Проблема будет в том что через шелл можно получить доступ к всему серверу и к другим сайтам если он не один.

Изменено: STM, 23.01.2018 - 01:19

[ABSORBER]

Да это ладно. Загрузить то можно. Скрипт не должен выполняться из папки /files/uploads

Почему-то .htaccess в паке files не запрещает выполнение. В старых версиях эта уязвимость вроде не работает.

Загрузить можно и не только в /files/uploads/

Можно хоть в корень сайта

[STM]

Загрузить можно и не только в /files/uploads/
Можно хоть в корень сайта

Кокретней можно? Это как бы далеко не шутки. Для интернет магазина который связан с онлайн оплатами такие дырки недопустимы.