Тема: Sql injection Joomla com_artforms
Показать сообщение отдельно

  #6  
Старый 12.01.2014, 19:43
winstrool
Познающий
Регистрация: 06.03.2007
Сообщений: 59
С нами: 10095779

Репутация: 137
По умолчанию
Расковырял такую багу в версии ArtForms 2.1b7.2 думаю имеет смысл покапать и другие версии.

Заполняем форму прикрепляем свой шелл и идем в папку куда все заливается:

Цитата:
Сообщение от None  
site.com/images/artforms/attachedfiles/
сам код заливки:

Цитата:
Сообщение от None  
if (!in_array('error', $attfileerrchk) && $_FILES['attfile']['name'][$g] != '' ){
jimport('joomla.user.helper');
$saltpass = JUserHelper::genRandomPassword('5');
$attachmentsucc = $_FILES['attfile']['name'][$g];
$attachmentsname = date('Y-m-d-H-i-s-').$saltpass.'-'.str_replace(' ','-',$_FILES['attfile']['name'][$g]);
$attachments[] = $artuplpfad.$attachmentsname;
$attachmentstodb[] = $attachmentsname;
move_uploaded_file($_FILES['attfile']['tmp_name'][$g],$artuplpfad.$attachmentsname);
$meldung .= ''.$attachmentsucc.': '.JText::_( 'ARTF_SUCCESS' ).'
';
}
протестировал тут успешно:

Цитата:
Сообщение от None  
http://coon-cat.com/?option=com_artforms&formid=1&Itemid=1
Формат в котором заливается:

PHP код:
[COLOR="#000000"][COLOR="#0000BB"]$attachmentsname[/COLOR][COLOR="#007700"]=[/COLOR][COLOR="#0000BB"]date[/COLOR][COLOR="#007700"]([/COLOR][COLOR="#DD0000"]'Y-m-d-H-i-s-'[/COLOR][COLOR="#007700"]).[/COLOR][COLOR="#0000BB"]$saltpass[/COLOR][COLOR="#007700"].[/COLOR][COLOR="#DD0000"]'-'[/COLOR][COLOR="#007700"].[/COLOR][COLOR="#0000BB"]str_replace[/COLOR][COLOR="#007700"]([/COLOR][COLOR="#DD0000"]' '[/COLOR][COLOR="#007700"],[/COLOR][COLOR="#DD0000"]'-'[/COLOR][COLOR="#007700"],[/COLOR][COLOR="#0000BB"]$_FILES[/COLOR][COLOR="#007700"][[/COLOR][COLOR="#DD0000"]'attfile'[/COLOR][COLOR="#007700"]][[/COLOR][COLOR="#DD0000"]'name'[/COLOR][COLOR="#007700"]][[/COLOR][COLOR="#0000BB"]$g[/COLOR][COLOR="#007700"]]);[/COLOR][/COLOR
2014-01-12-16-15-32-PhpjV-shell.php

2014-01-12-16-19-22-vyEVm-shell.php

попадались сайты с расшареной папкой по запросу:

Цитата:
Сообщение от None  
Index of /images/artforms/attachedfiles
Но не везде проходила эта бага...

с закрытыми папками остается только брутить соль в название из 5 символов.

сам проект ведется здесь:

Цитата:
Сообщение от None  
http://joomlacode.org/gf/project/jartforms/
 
Ответить с цитированием