На днях занимался исследованием CMS Ortus. Нашёл серьёзную уязвимость, заодно подучил латынь. Теперь, знаю что Ortus по латыни означает "рассвет". Короче, век живи - век учись, как говорил Цицерон

Сайт вендора: http://ortus.nirn.ru

Уязвимые версии: 1.12, 1.13

Гуглится так: inurl:index.php?ortupg=

Уязвимость присутствует в формах добавления пользователя и редактирования профиля, в поле "City".

Рассмотрим по порядку:

1. Зарегистрируем нового пользователя
Данные из POST-формы будут помещены в следующий SQL-запрос
А поскольку параметр "City" не фильтруется, можно пробовать изменять запрос под свои нужды. Правда, максимум, что мне удалось выжать из данной формы - это активную XSS после вставки в поле "City"
что в принципе тоже достаточно нефигово, но идём дальше...

2. Аутентифицируемся на сайте
3. Редактируем профиль пользователя
Обновление профиля пользователя производится запросом
Мы можем видоизменить данный запрос вставив
в поле "City". То есть наш запрос стал выглядеть так
Пользователь pupkin был членом группы user, а стал членом группы admin. Убедиться в этом можно посмотрев список пользователей
4. Видео-урок

Видео-урок показывает практическую эксплуатацию данной уязвимости + не упомянутый выше вопрос заливки шелла. Демонстрация уязвимости производится на примере официального сайта CMS Ortus. Особо хочу отметить, что видео носит исключительно образовательный характер и никаких деструктивных действий на сайте не производилось. За косяки третьих лиц автор ответственности не несёт! Само видео льём отсюда:

http://depositfiles.com/files/h8sbwikey