Register_Global emulation vulns + security

[i-Hmx]

السلام عليكم
درس معتقدش شوفته فى منتدى عربى قبل كده
نوع بسيط من الثغرات لكن قوى نوعا
بيعتمد على الـRegister_globals
خطورة الثغره دى انها ممكن تتعامل بيها فى السيشون تبع البى اتش بى او الكوكيز او البوست اى حاجه
هههه
مثال بسيط

كود PHP:

<form action='' method=post>
username:<br><input type=text size=10 name=usr><br><br>
Password:<br><input type=password size=10 name=pwd><br><br>
<input type=submit value=login></form>
<?
$user='faris';
$pass='********';
if($user==$_POST***91;'usr'***93; and $pass==$_POST***91;'pwd'***93;)
{
$loggedin = true;
}
if ($loggedin)
{
echo 'logged in succesfully';
}
else
{
echo "login error";
}
?>

كود بيتأكد من اليوزر والباسوورد
لو صح الاتنين بيضيف باراميتر اسمه loggedin
وبعدين بعد كده السكربت بيتأكد اذا الباراميتر loggedin موجود
بيكتب logged in successfully
اذا مش موجود الباراميترloggedin بيطبع error
ايه المشكله؟؟
المشكله انو لو الـ register_global = on
بيقدر اى مستخدم يضيف الباراميتر loggedin يدوى
زى كده مثلا
vuln.php?loggedin=whatever
جرب كده
هتلاقى طبع لك logged in
من غير ما تكتب يوزر وباس
مثال للثغره دى
ثغرة الـwhmcs
http://www.exploit-db.com/exploits/17999/

مثال آخر لتنفيذ الثغره فى السيشون ودى خطيره جدا

كود PHP:

<?php
//******** register_global en. example
//i-Hmx
if (isset($_SESSION***91;'admin'***93;)) {
    echo "Hello <b>{$_SESSION***91;'admin'***93;}</b><br>You are in admin panel";
} else {
    echo "Not logged in :)";
}
?>

بتشوف السيشون تبع الادمن
لو موجود فيها المتغير admin
ايا كانت قيمته بقى
بتدخلك اللوحه زى الفل
لو مش موجود بيانات الادمن فى السيشون
بتطبع لك not logged in
اوك
ازاى نستغلها؟؟
ببساطه شديده
reg.php?_SESSION[admin]=fa
هتلاقيه طبع رسالة الترحيب وكله تمام
على فكره سكربتات كتير بتستخدم طريقة السيشون دى فى التأكد من ان المستخدم داخل اللوحه
كيفية الحمايه من الثغره؟

الحل الأول
تعديل ملف الـphp.ini
ابحث عن
register_global
وخليها
register_globals = Off

الحل التانى
فى السكربت تبعك تخلى الديفولت او الوضع العادى تبع السكربت انو يكون الباراميتر ده ملغى
يعنى يكون loggedin=false
مثال

كود PHP:

<form action='' method=post>
username:<br><input type=text size=10 name=usr><br><br>
Password:<br><input type=password size=10 name=pwd><br><br>
<input type=submit value=login></form>
<?
$user='faris';
$pass='********';
$loggedin = false;
if($user==$_POST***91;'usr'***93; and $pass==$_POST***91;'pwd'***93;)
{
$loggedin = true;
}
if ($loggedin)
{
echo 'logged in succesfully';
}
else
{
echo "login error";
}
?>

كل اللى عملناه ضفنا السطر
$loggedin = false;
بكده الباراميتر ده مش هيتفعل ويكون true غير اما المستخدم يكتب اليوزر والباسوورد صح
الحل الثالث
بسيط ويوفر وقت

كود PHP:

function unregister_globals()
{
    if (!ini_get('register_globals'))
    {
        return false;
    }

    foreach (func_get_args() as $name)
    {
        foreach ($GLOBALS***91;$name***93; as $key=>$value)
        {
            if (isset($GLOBALS***91;$key***93;))
                unset($GLOBALS***91;$key***93;);
        }
    }
}
unregister_globals('_POST', '_GET', '_COOKIE', '_REQUEST', '_SERVER', '_ENV', '_FILES'); 


حط الكود ده فى اى ملف بتعمل له انكلود فى السكربت تبعك
وبتكون فى امان من المشكله دى
اى استفسار موجود ان شاء الله
بالتوفيق للجميع
Faris/.

[chevr0sky]

انا سبق لي و ان تكلمت عن دورتك بال s.e.c.4.e.v.e.r وقلت :

[]

نصيحة لجميع الاخوة العرب , تعلموا منه ووقروه فهو من القلائل في عالمنا العربي الذين يدرون ما يفعلون. :-)

[ViRuS_Ra3cH]

الله الله عليك يا أخي فارس موضوع ستهل نجوم
موضوع في غاية الأهمية
والله أنسان يدري مايقول تمام الدرايه

[yasMouh]

شرح احترافي اخي فارس

والثغرة موجودة فعلا خصوصا مع انتشار استخدام الـ SESSION[admin]

ذكرتني بايام السكيورتي رولز

[ViRuS_Ra3cH]

حراح أخد سكربت whmcs ونجرب علي سكربتات أخرى أن شاء الله تزبط .......

اقتباس:

yasMouh يقول

ذكرتني بايام السكيورتي رولز

الله على أيام SEC-R1Z وناسها والله نتمني تلك الايام .وأيام الغضب ........

[i-Hmx]

اقتباس:

chevr0sky يقول

انا سبق لي و ان تكلمت عن دورتك بال s.e.c.4.e.v.e.r وقلت :

[]

نصيحة لجميع الاخوة العرب , تعلموا منه ووقروه فهو من القلائل في عالمنا العربي الذين يدرون ما يفعلون. :-)

أحرجتنى والله يا حج
مشكور على المرور
@virus_ra3ch
@YasMouh
مشكورين على المرور يا رجاله

[T!frani-hk]

**** لك شرح رائع .

[H4m1d]

يعطيك العافية يا فارس يابطل

[Hacker_Dz]

سلام عليكم يعطيك
العافية خويا فارس كبير وتبقى كبير حبيبي
ولله روعة وفقت خوووو
..الله يحفظك

[Dr.AnTi_HaCkEr]

مشكور اخي العزيز
وانا منذ ايام تدور في راسي الثغرة وقمت بتجربتها عالسرفر المحلي ونجحت!
لكن ياريت نعرف اسم الثغرة
تحياتي

[mahdi-snoop]

**** أخي جزاك الله كل خير

[دام علاء العماد]

شرح رائع يا أخي الكريم، بارك الله فيك و جزاك الله عنا كل خير

[bakback]

**** على المعلومات

[ama550u]

جزاكم الله خيراً

[mr.hosam]

رائع بكل ما تعنيه الكلمة

[alixavi]

مشكوووووووووووووووووووووووور

[hamza killer]

شيئ جميل يمكن فعل اشياء كثيرة به

[Mr.MeDo]

فعلا الثغرة منتشرة بكثرة

[big2]

ش****ا جزيلاا

[الديلر الفلسطيني]

مشكور يا حج