p = Paste(uuid="yoyo/../../../views/ya", content="code")  # écrit un fichier dans views, et peut probablement écraser le html présent si au lieu de mettre "ya" on met base.tpl...

p.save()

Il va sans dire que ca peut aussi marche pour n’importe quel fichier de n’importe quelle dir qui se trouve en static.

Je pense que je vais essayer le soir à la maison

Dominique

Par contre regardez quand même de manière un peu plus large (l’attaquant a peut être trouvé d’autres pistes) : https://8ack.de/dontpanic/linsacheatsheet.pdf

 # ps aux | grep zerobin
root      4967  0.0  0.0  11292   972 pts/0    S+   07:46   0:00 grep --color=auto zerobin
zerobin  18993  0.0  0.6 895720 19436 ?        Sl   Oct20   8:42 python /home/zerobin/zerobin.py --settings-file /home/zerobin/zerobin/settings.py

Et on crée le chemin avec os.makedirs, os.mkdir and open: https://github.com/sametmax/0bin/blob/master/zerobin/paste.py#L143

. D’ailleurs ça me fait remarqué qu’on a une optimisation inutile dans cette partie du code qu’on devrait virer.

Normalement on est bon, mais il y a peut être eu d’autres essais qu’on a pas vu ^^

makedirs() ? subprocess() avec shell=True ? os.system() ? os.popen() ?

Si c’est makedirs vous ne craignez rien (amha) par contre si l’une des 3 suivantes vous pouvez continuer votre analyse, ça sent le pwnage.

Hum, voilà qui n’est pas pratique à analyser depuis le bash.

Pourtant, si, il est très facile de lire un fichier ou dossier de ce type, que ce soit Bash ou tout autre programme :

– soit utiliser le chemin complet,

– ou le chemin relatif en rajoutant “./” (ce qui donne ls ./–, pareil pour les jokers, ls ./*)

my_2_cts

Sinon analyser un fichier/dossier nommé “–” depuis le bash ne pose aucun souci: suffit de rajouter “–” entre la commande et le nom du fichier

Exemple: ls -l — “–”

Le premier “–” indique au bash que ce qui suit n’est plus de l’option et qu’il doit alors le gérer comme un argument normal.