Большинство нормальных серверов проапдейтилось, теперь я могу рассказать о баге подробнее. Уязвимы SQL версии eAthena до SVN 11244 включительно, на сервере должна функционировать mail-система. SQL – инжекция возможна в функции mail_send (файл /map/mail.c):
sprintf(tmp_sql,"SELECT `account_id`,`name` FROM `%s` WHERE `name` = \"%s\"", char_db, jstrescape(name));
Используемая в афине функция jstrescape не обрабатывает двойные кавычки, но mysql их поддерживает на равне с апострофами. Всю инжекцию необходимо разместить в нике того, кому мы хотим отправить письмо. Появляется две проблемы: 1) В нике неможет быть пробелов, 2) Длина ника ограничена. Первая проблема решается путем использования всяческих извращений типа 0*, вторая проблема обходится благодаря наличию в MySql временных переменных, в которых путем серии коротких запросов собирается финальный длинный запрос. Счет там идет на байты, прошло несколько недель, пока я смог найти это решение
Дальше встает другая проблема – надо получить результат. Описанный выше запрос выбирает из базы два столбца account_id и name. Строка, полученная из столбца name, не проходит jstrescape, и напрямую попадает в следующий запрос, заносящий сообщение в базу:
sprintf(tmp_sql, "INSERT DELAYED INTO `%s` (`to_account_id`,`to_char_name`,`from_account_id`,`from_char_name`,`message`,`priority`) VALUES ('%d', '%s', '%d', '%s', '%s', '%d')",mail_db, atoi(mail_row[0]), mail_row[1], sd->status.account_id, sd->status.name, jstrescape(message), flag);
Разработчики афины надеялись, что в mail_row[1] инжекции быть уже не может
На предыдущем шаге в name формируется апостроф, и результат собранного во временных переменных запроса письмом уходит на наш собственный аккунт.
В образовательных целях выкладываю реализацию этого алгоритма на самодельном RO-боте. Не спрашивайте меня, как его юзать, достойные разберуться, а остальным халявы не будет
Мое предложение услуг более не действительно.
http://myfolder.ru/4588531
