Bonjour à tous,
Suite à l'epreuve 1 de hacking du forum phpBB j'ai voulu tester en local un autre hack. Et pour cela, je me suis basé sur l'exploit :
http://www.frsirt.com/exploits/20051224.r57phpbb2017.pl.phpApparement il marche, car il me cree bien le user, mais je comprends pas comment il m'affiche la commande d'un ls passé en paramètre du script et tout simplement voir le résultat du ls.
De plus, je n'ai pas compris comment le script fonctionne .. je sais qu'il y a un rapport avec la variable signature_bbcode_uid qui est initialisé en faisant un post sur la bonne page :
$path.'profile.php?GLOBALS[signature_bbcode_uid]=(.%2B)/e%00'
Dans le code phpbb on a un moment cette ligne :
$signature = ($signature_bbcode_uid != '') ? preg_replace("/:(([a-z0-9]+:)?)$signature_bbcode_uid(=|\])/si", '\\3', $userdata['user_sig']) : $userdata['user_sig'];
Donc j'imagine que '(.%2B)/e%00'' doit faire quelque chose mais quand on convertir l'hexa en ascii ca me donne quelque chose comme "(.+)/e" et c'est la que je bloque ...
De plus, d'après le site frsirt, on doit pouvoir faire de l'injection sql et la je bloque aussi ... je pense qu'il faut ajouter des choses dans l'initialisation de la variable mais vu que je ne sais comment ca marche ...
j'ai vu que preg_replace avec l'option e permet d'executer du code php mais je vois pas du tout comment l'intégrer au script ..
Merci d'avance pour vos lumières