|
Множественные(совсем детские) XSS в SetCMS 3.5(обновление за 29 июня)
Так как на днях вышло обновление до версии 3.6, выкладываю примитивнейшие дыры, которые были найдены в версии 3.5. Кстати цмс`ка сделана довольно классно, учитывая ещё то, что она не использует mysql. Итак...
1. Уязвимость в чате. Фильтры стоят только на слова javascript, style, <script>, но....тем немение, фильтры можно обойти такой комбинацией: первое сообщение: ")</script 1> и сразу за ним, второе: <script 1>alert(document.cookie)(" . В итоге, получаем такой вот html код: Код:
<br><script 1> alert(document.cookie)("</font><br><font face=Verdana size=2><b><a href=mailto:admin@loca.ho>admin</a></b><br>")</script 1></font><br>2. Уязвимость в форуме, гостевой книге, приватных сообщениях. Тут всё тоже самое, только вставляем всё как и должно быть, по порядку: <script 1>alert(document.cookie)</script 1> 3. Уязвисость в профиле пользователя. Уязвимые поля: * E-mail, * Город, Сайт. Эти поля подвержены супер пасивным уязвимостям, т.е. код внедренный в эти поля будет действовать только в процессе редактирования профиля, который может осуществлятся только 2 пользователями: владельцем аккаунта или администратором. Есть ещё не суперпасивное поле О себе, но… Но вставить полноценный скрипт позволят только поля: * E-mail и Сайт, и хотя в поле Сайт и фильтруются слова http, двоеточие и слеш, обойти это уже не составит проблем, имхо. В остальных же полях, которые приведены мной только для общего развития, можно довольствоватся только локальным алертом.=( 4. Пассивные. /setcms/index.php?set=pm&mc=send&to="><script>alert(document.cookie)</script> 5. Что делать когда ты админ. А ничего, просто радоватся жизни...Админпанель-->Модули-->Файловый менеджер.....и полный экстаз, загрузка .php файлов на серв разрешена и никак не фильтруется. Вот так вот, от XSS мы добрались до веб шелла. З.Ы. В более старых версиях, админский пасс можно вытащить простым: /setcms/fies/admin.txt, где он находится зашифрованным md5. З.З.Ы. Тут пасс возможно получить, только в том случае, если пользователь при авторизации поставил галочку «Запомнить меня». В противном же случае, мы будем хватать только сессию. Пароль приходит на сниффер в открытом виде. |
Хе-хе какраз по этим xss видео снимал неделю назад, только еще КЕЗ не повесил, возможно скоро увидим. Кстати в новой версии тоже есть интересные моменты!
|
madnet vbmenu_register("postmenu_59414", true); , ты мой брат по разуму!!! =))))
А про новую, ну чтож, если завтра не умру у стоматолога, то будем смотреть. Кстати надо будет также пропарсить на пхп инклуды.... |
нет проблем, а по поводу зубного больная тема я на следующей неделе тоже иду =(
|
Да братва респект вам.
1 > Только вот на v.6 нашел XSS.При добовление новости . Я уверен что это CuteNEWS. CuteNews никогда не закрывал за сабой эту багу . Думаю до сих пор она сушествует . 2 > В поиске форума. Там тоже не фильтруется Цитата:
2 madnet А что ты нашел ?? ЗЫ. Идет поиск новыйх багов в том числе php-inj. |
Хей брозе ламанули Cms ку без нас . Так где бага было то ??
|
| Время: 21:05 |