P-News 'db/user.dat'web根目录敏感信息泄露漏洞

QQ空间 新浪微博 微信 QQ facebook twitter
漏洞ID 1111914 漏洞类型 未知
发布时间 2006-12-31 更新时间 2006-12-31
CVE编号 CVE-2006-6888 CNNVD-ID CNNVD-200612-672
漏洞平台 PHP CVSS评分 5.0
|漏洞来源
https://www.exploit-db.com/exploits/3054
https://www.securityfocus.com/bid/87110
http://www.cnnvd.org.cn/web/xxk/ldxqById.tag?CNNVD=CNNVD-200612-672
|漏洞详情
P-News1.16和1.17版在web根目录下存在敏感信息并且没有足够访问控制,远程攻击者可以通过直接请求db/user.dat来获取管理员账户名和密码哈希。
|漏洞EXP
##########################################################################################################
#P-News (user.dat)Remote Password Disclosure Vulnerablity                    #
##########################################################################################################
#S.name:P-News                                                               #
#Affected versions:1.17 and 1.16                                             #
#Vendor:www.ppopn.net                                                        #
#Risk:Very Highly Critical                                                   #
##########################################################################################################
#Author:Dr Max Virus                                                         #
#Location:Egypt                                                              #
##########################################################################################################
#POC:                                                                        #
#http:/[target]/[path]/db/user.dat                                           #
#As We see Admin name and hash          !!!!!!!!!!!!!!!!!!!!!!!!!!           #
##########################################################################################################
#You can crack the password with any md5 encrypt                             #
#Or u can register and inject the info in any cookie editor can be in FireFox or Opera                   #
##########################################################################################################
#Dorks:                                                                      #
#V1.16;                                                                      #
#allintitle:"P-news ver. 1.16"                                               #
#V1.17;                                                                      #
#powered by P-News 1.17                                                      #
##########################################################################################################
#Thx:str0ke-koray-Timq-r0ut3r-mTk-nuffsaid-MrSwan-All Friends                #
#Special Gr33ts:AsianEagle-Kacper-The master-Hotturk                         #
##########################################################################################################

# milw0rm.com [2006-12-31]
|受影响的产品
P-News P-News 1.17 P-News P-News 1.16
|参考资料

来源:XF
名称:pnews-user-info-disclosure(31197)
链接:http://xforce.iss.net/xforce/xfdb/31197
来源:MILW0RM
名称:3054
链接:http://www.milw0rm.com/exploits/3054
来源:MILW0RM
名称:3054
链接:http://milw0rm.com/exploits/3054