Compiler et exécuter le code Exploit-DB

Question

J'ai trouvé cet exploit sur exploit-db, et il correspond à la version de mon routeur. Je suis un peu un n00b, et je voulais savoir si quelqu'un savait comment utiliser cet exploit pour exploiter un routeur. Ou plutôt, comment compiler et exécuter cet exploit. J'ai fait une recherche exhaustive et je n'arrivais toujours pas à trouver un moyen.

http://www.exploit-db.com/exploits/35325/

Merci. P.S- Ce langage, je ne me trompe pas, c'est javascript non? Alors, comment compiler et exécuter cet exploit?

Answer 1

Cet exploit a 12 ans et je serais surpris qu'il ne soit toujours pas corrigé. En outre la liste ne contient pas de javascript, et ne vous dit pas la manière exacte d'exploiter la faiblesse, vous pouvez cependant lire la description comme il est dit:

Le routeur souffre d'une vulnérabilité d'inclusion de fichiers authentifié (LFI) lorsque l'entrée est passée par le paramètre 'getpage' à 'webproc' Le script n'est pas correctement vérifié avant d'être utilisé pour inclure des fichiers. Cela pourrait être exploité pour inclure des fichiers provenant de ressources locales avec des attaques de traversée de répertoire .

Answer 2

Ce ne sont que HTTP GET methods: Le routeur semble souffrir d'remote directory traversal (vous n'êtes pas censé accéder à des répertoires parents à partir d'une URL, en utilisant ../).

Vous pouvez le faire avec tout ce qui peut faire des requêtes HTTP (navigateurs, outils, la plupart des langages de programmation, etc.). Dans le "exploit", le navigateur Mozilla Firefox a été utilisé. Il suffit d'aller à cette URL, c'est simple comme ça!