Если добавить (int) как написано в твоём посте, то спасает. Я не знаю может в новой версии есть строгое приведение типа, я на старой смотрел, там его нет.

З.Ы.
Вот у меня код такой:

Ну и хорошо, что разработчики обращают внимание на уязвимости своих продуктов. Очень правильный подход.

З.Ы.
Завязываем оффтопить.

З.З.Ы.
Разработчикам советую обратить внимание на: https://forum.antichat.ru/thread30641.html

Не, ну это старенький код =)))

А насчет SQL-inj - да там проблема что когда движок весь собирался - (а это 2006-й год!!!) то малость я тогда и не знал что такое есть, и как защищаться

А лазить по всему коду - так влень, лучше списочком де дырки =)))))

$userid = $_POST["userid"];

$res = sql_query("SELECT warned, enabled, username, class, modcomment, uploaded, downloaded FROM users WHERE id = $userid") or sqlerr(__FILE__, __LINE__);

все это из файла modtask.php
посмари там через пост не уязвим ли? просто с постом работать не умею :(

Не уязвим ))

if (!is_valid_id($userid) || !is_valid_user_class($class))

меня больше волнует проблема траффика и проверка аватарки - ну залью я туда jph весом 500 метров и все, удаленном трекеру жопа

http://127.0.0.1/treker/users.php?search=1&page=1

тут у меня выдает

Ответ от сервера MySQL: You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near '-100,100' at line 1

в C:\xampp\htdocs\treker\users.php, линия 131

Запрос номер 12.

Конфигурация upload_max_filesize спасает от разовой загрузки больших файлов ;)

нет, я не об этом я о возможности нагрузить канал трекера просто забив в поле аватара (урл аватарки!!) ссылку на файлик весом эдак под 500мб

т.е беру файлик Therion_-_The_Miskolc_Experience-2CD-2009-FKK.rar переименовываю в avatar.jpg

кидаю на какой-то хостинг, и давай на 3-х юзерских профилях - пункт проверка аватарки т.е установка, а там уже дело техники - каждый пхп будет качать эти 150 метров файлик, потом удалять, а мы тем временем продолжаем процесс.

результат - на сервере забит канал, и вот вам по сути ддос

if (!preg_match('#^((http)|(ftp):\/\/[a-zA-Z0-9\-]+?\.([a-zA-Z0-9\-]+\.)+[a-zA-Z]+(:[0-9]+)*\/.*?\.(gif|jpg|jpeg|png)$)#is', $avatar))
stderr($tracker_lang['error'], $tracker_lang['avatar_adress_invalid']);
if(!(list($width, $height) = getimagesize($avatar)))
stderr($tracker_lang['error'], $tracker_lang['avatar_adress_invalid']);

Yuna привет:) Чет ты немнога поздно тут зарегался. Юзай идею:

Скуль тут не возможен из-за строки:

эксплоит Qwazar'a как-будто вымер.

Сейчас тестировал его на чистом SKy tracker где есть уязвимость:

Trying to get your cookies... [DONE]
Trying to get passhash:
Exploit failed


Проверьте сами, даже где пахал не пашет, помогите...

:) Cнимай штаны и бегай.
А по сабжу....проблема не в сплоите, а в тебе.

P.S. Простите не удержался.

http://127.0.0.1/treker/rss.php?passkey=1'

SQL

XSS

http://127.0.0.1/treker/viewrequests.php?sort=%3E%3Cscript%3Ealert(/XSS/)%3C/script%3E





P.S. сорр не бегал по всем страницам так что не знаю выкладывали или нет багу =)



http://127.0.0.1/treker/usersearch.php?r=%22%3Cscript%3Ealert(/XSS/)%3C/script%3E

=\ что то не понял...есть тут что нить или просто косяк кода?

во всех(или нет, не проверял) usersearch.php?....=%22%3Cscript%3Ealert(/XSS/)%3C/script%3E

такой косяк))))

http://127.0.0.1/treker/userhistory.php?action=viewposts&id=x


x= id у которого нету постов как я понял ..и он выдаст ошибку ))) но SQL не провернуть так как нету таблы такой у меня

так что наверно к разряду раскрытие путей

usersearch.php дыряв на XSS лучше чем решето =)))

а по подробнее можно? и в каких версиях?

во всех

напиши что за XSS ты узал если не трудно...

для начала просто код откройте - нет проверки $_GET ваще никакой в файле...

Yuna
а через какой скрипт Вы в usersearch.php параметры передавали? просто так его вызвать нельзя...

Это видимо особый стиль написания движка с новым подходом?
Хоть одну дырку (пусть беспонтовую) осмысленно оставить...

? в смисле нельзя

ну доступа к нему нет, ошибка 403, проверял и на локалхосте и во всех сайтах с этим движком

Видимо у вас что -то не так, вызвать его напрямую можно...
Только он доступен-то модератором только т.к это против них XSS

Новый сплоит от меня. Базируеться на сплоите от Qwazar.

На данный момент он умеет обходить:

• Коды регистрации
• Запросы инвайтов
• Бан по IP

Совершает атаки через:

• ./rss.php
• ./requests.php
• ./takesignup.php
• ./check_signup.php
• ./viewoffers.php
• Форум

Также имеет 2 способа работы:

• Multi mode - атака по всем файлам, в том числе авторигистрация.
• Qwazar exploit mode - работает как вторая версия эксплоита от Qwazar

В связи с тем что форум не захотел отобразить не маленький сплоит. Пришлось его загрузить на отдельный сервер. Взять его можете здесь

Если по каким то причинам данный скрипт у вас не запускается, виноваты вы. Он рабочий, проверялся на оригинальном TBDev 2.0.

Внимание: Данная программа выложена здесь для ознакомления.
Автор не несёт ответственности за негативные последствия, причинённые данной программой в результате правильного или неправильного её использования.
Также автор не несет ответственности за причерченный вред кому либо данной программой.

как еще можно залить шелл??кроме блоков

Спасибо за сплоит, пару багов закрыл ;)

Если лишних модов не ставились, и баги в rss.php и прочие закрыты - никак.

Делись фиксами :D

зарегай меня там...а то скока мылов у тебя блочены =) а новые версии интересны =)

Можно, если есть доступ в админку. По крайней мере в той версии, что сейчас доступна для скачивания и во всех предыдущих. Палю превад (From ROA with love):

RFI/LFI:

В каталоге 'admin' вообще лежит файлик (core.php) следующего содержания: Этот файл инклудится в admin.php . Который в свою очередь инклудится в admincp.php. (Файлы из /admin/ закрыты при помощи .htaccess)

т.е. :

Если ты про Remote Code inclusion - работаьтьб бдует только если register_globals = On

а про доступ к админке -не думаю что там уже нужно что-то больше ;)

Yuna
LFI порой бывает вполне достаточно. Вариантов масса.

LFI? расшифруй

Local file inclusion?

в данном случае он тоже не пройдет, кстаи такая фишка и в announce.php Тоже ;)

Local File Inclusion, вкрадце, мы в логи фигачим PHP код, а потом эти лог файлы инклудим. (как один из вариантов, есть ещё)

В общем, обычно этого достаточно чтобы на сервере получить полноценный веб-шелл.

З.Ы.
На последней версии доступной для скачивания, проходит на 100%.

повторяю - если register_globals = On

Неа, при Off

http://test2.ru/admincp.php?rootpath=../2.php%00

Это при

php_flag register_globals Off
php_flag magic_quotes_gpc Off

Нормально запускает 2.php

при magic_quotes_gpc On также есть вариант отрезать всё что после нашего имени файла (в соседних темах метод описан).

ммм, да, вижу в чем прикол =)) забавно
у аннонсера просто прикол тоже с rootpath + globals + разрешить fopen + url =))

Угу, при глобалс он права админа не нужны :)

можно сделать попроще - доступ к admincp.php - там тоже проверку если ты админ - проблему решает, не на 100%, но решает.

Нельзя решать проблему не на 100%, к тому же мой метод пашет только для админа и так. Лучше заменить $rootpath на чтото типа dirname(__FILE__), или путь к корню дефайном куда нибудь засунуть, в общем избавиться от переменной.

P.S.
А вообще надо думать нафига вот такой кусок кода вообще нужен, т.к.он заведомо будет являться причиной уязвимостей, даже если конкретно эту пофиксить. (Там при добавлении каких нибудь модулей к примеру, ну или может где нибудь ещё какая переменная в админке инклудится, а не только $rootpath)