Date de Publication: 2003-04-21
 Titre: BadBlue Arbitrary Administrative Actions Vulnerability
 K-Otik ID : 0025
 Exploitable à distance : Oui
 Exploitable en local : Oui

 
  * Description Technique - Exploit *

BadBlue est un serveur Web/P2P (CGI,ISAPI). Il fonctionne avec un module ISAPI qui fourni des pages web dynamiques. Ce module ISAPI permet de surfer sur les pages avec la commande LoadPage, comme le montre la syntaxe suivante :


http://[target]/ext.dll?MfcIsapiCommand=LoadPage&page=[pagename]&a0=[arg]&a1=...


La DLL essaye d'empêcher les utilisateurs distants d'accéder à des pages .hts en vérifiant l'en-tête 'referer' des requêtes HTTP, et en verifiant que les requêtes de .hts proviennent de la machine locale (127.0.0.1).

Grâce à certains caractères données au nom du fichier demandé, il est possible de faire interpréter à BadBlue des commandes admin à distance. Un attaquant peut effectuer n'importe quelle action administrative sur le serveur. Exemple :


http://[target]/ext.dll?MfcIsapiCommand=LoadPage&page=admin.hts%20&a0=add&a1=root&a2=%5C


  * Versions Vulnérables *
 
BadBlue v2.15 et versions inférieures.
 

  * Solution *
 
Utiliser BadBlue v2.16
 

  * Crédits *
 
Faille découverte par Matthew Murphy (Avril 2003).