.JPEG Cargar shell a través de comentarios EXIF

10

Me encontré con este aviso recientemente y estoy un poco confundido por ambos exploits, pero específicamente la vulnerabilidad de carga de archivos. No entiendo cómo explotar realmente esta condición (o incluso por qué esto existe como condición).

Intenté usar un shell como este e insertarlo en la sección de comentarios del EXIF datos, pero no pude encontrar ninguna manera de ejecutar el código después.

¿Alguien puede ayudar? ¿Por qué es que incluso existe una condición como esta? ¿Es esta vulnerabilidad realmente una vulnerabilidad? ¿O es solo un PoC que muestra que puedes subir cosas dentro de cosas (pero no explotarlas realmente)?

    
pregunta NULLZ 29.04.2013 - 04:35
fuente

1 respuesta

8

Lo que dicen es lo siguiente:

  • La página de carga no impone extensiones de archivo y le permite cargar un archivo de imagen con una extensión de .aspx .
  • Puede insertar código dentro de una etiqueta de comentario EXIF de JPEG, y sobrevivirá al proceso de cambio de tamaño (es decir, la etiqueta de comentario no se elimina)
  • Al ver el archivo, el servidor analiza los datos del archivo como una página ASPX normal. El servidor genera los datos binarios antes de las etiquetas EXIF, ve el <% y luego ejecuta el código en la etiqueta de comentario EXIF, deja de analizar cuando encuentra el %> y luego genera el resto de los datos binarios.

No estoy seguro de si este realmente funciona , ya que no lo he probado, pero suena legítimo. Un truco similar funciona con PHP, por lo que cualquier sistema de carga de archivos que le permita subir una imagen con la extensión .php le permitirá explotar las etiquetas EXIF mediante la inyección de <?php /* code here */ ?> en ellas.

    
respondido por el Polynomial 29.04.2013 - 11:17
fuente

Lea otras preguntas en las etiquetas