Так как на днях вышло обновление до версии 3.6, выкладываю примитивнейшие дыры, которые были найдены в версии 3.5. Кстати цмс`ка сделана довольно классно, учитывая ещё то, что она не использует mysql. Итак... 1. Уязвимость в чате. Фильтры стоят только на слова javascript, style, <script>, но....тем немение, фильтры можно обойти такой комбинацией: первое сообщение: ")</script 1> и сразу за ним, второе: <script 1>alert(document.cookie)(" . В итоге, получаем такой вот html код: Code: <br>[color=seagreen][b]<script 1> alert(document.cookie)("[/b][/color]</font><br><font face=Verdana size=2><b><a href=mailto:[email protected]>admin</a></b><br>[color=seagreen][b]")</script 1>[/b][/color]</font><br> Можно также осуществить вставку скрипта через картинку: <script src = "http://localhost/e107.js"> 2. Уязвимость в форуме, гостевой книге, приватных сообщениях. Тут всё тоже самое, только вставляем всё как и должно быть, по порядку: <script 1>alert(document.cookie)</script 1> 3. [color=white][font=Times New Roman]Уязвисость в профиле пользователя.[/font][/color] [color=white]Уязвимые поля: [b]* E-mail[/b], [b]* Город[/b], [b]Сайт[/b]. Эти поля подвержены супер пасивным уязвимостям, [/color] [color=white]т.е. код внедренный в эти поля будет действовать только в процессе редактирования[/color] [color=white]профиля, который может осуществлятся только 2 пользователями: владельцем аккаунта или[/color] [color=white]администратором. Есть ещё не суперпасивное поле [b]О себе[/b], но… Но вставить полноценный скрипт позволят только поля: [b]* E-mail[/b] и [b]Сайт[/b], и хотя в поле [b]Сайт[/b] и фильтруются слова http, двоеточие и слеш, обойти это уже не составит проблем, имхо. В остальных же полях, которые приведены мной только для общего развития, можно довольствоватся только локальным алертом.=([/color] [b][b][color=white][font=Times New Roman][font=Times New Roman][font=Times New Roman][font=Times New Roman][font=Verdana][size=1][color=white][font=Times New Roman][color=seagreen][font=Times New Roman][font=Times New Roman][font=Times New Roman][font=Times New Roman][font=Times New Roman][font=Verdana][size=1][color=white][font=Times New Roman]4. Пассивные[font=Times New Roman].[/font][color=white][font=Times New Roman] [b][font='Times New Roman'][color=white]/setcms/index.php?set=pm&mc=send&to=[/color][color=seagreen]">[/color][/font][url="http://localhost/setcms/index.php?set=pm&mc=send&to="][color=seagreen][color=seagreen]<[/color]script>alert(document.cookie)</[/color][color=seagreen]script[/color][/url][color=seagreen]>[/color] [font=Times New Roman][font=Times New Roman][font=Times New Roman][font=Times New Roman][font=Verdana][size=1][color=white][font=Times New Roman][color=seagreen][font=Times New Roman][font=Times New Roman][font=Times New Roman][font=Times New Roman][font=Times New Roman][font=Verdana][size=1][color=white][font=Times New Roman][b]5. [color=white][font=Times New Roman]Что делать когда ты админ.[/font][/color][/b][/font][/color][/size][/font][/font][/font][/font][/font][/font][/color][/font][/color][/size][/font][/font][/font][/font][/font] [font=Times New Roman][font=Times New Roman][font=Times New Roman][font=Times New Roman][font=Verdana][size=1][color=white][font=Times New Roman][color=seagreen][font=Times New Roman][font=Times New Roman][font=Times New Roman][font=Times New Roman][font=Times New Roman][font=Verdana][size=1][color=white][font=Times New Roman][color=white][font=Times New Roman][color=white]А ничего, просто радоватся жизни...Админпанель-->Модули-->Файловый менеджер.....и полный экстаз, [/color] [color=white]загрузка .php файлов на серв разрешена и никак не фильтруется. Вот так вот, от XSS мы[/color] [color=white]добрались до веб шелла.[/color] [color=white]З.Ы. В более старых версиях, админский пасс можно вытащить простым: [url="http://site/fies/admin.txt"]/setcms/fies/admin.txt[/url], где он находится зашифрованным md5.[/color] [color=white]З.З.Ы. Тут пасс возможно получить, только в том случае, если пользователь при авторизации поставил галочку «Запомнить меня». В противном же случае, мы будем хватать только сессию. Пароль приходит на сниффер в открытом виде.[/color] [/font][/color][/font][/color][/size][/font][/font][/font][/font][/font][/font][/color][/font][/color][/size][/font][/font][/font][/font][/font][/b][/font][b][/b][/color][b][/b][/font][b][/b][/color][b][/b][/size][b][/b][/font][b][/b][/font][/font][/font][/font][/font][/color][/font][/color][/size][/font][/font][/font][/font][/font][/color][/b][color=white][font=Times New Roman][font=Times New Roman][font=Times New Roman][font=Times New Roman][font=Verdana][size=1][color=white][font=Times New Roman][color=seagreen][/color][/font][/color][/size][/font][/font][/font][/font][/font][/color][/b]
Хе-хе какраз по этим xss видео снимал неделю назад, только еще КЕЗ не повесил, возможно скоро увидим. Кстати в новой версии тоже есть интересные моменты!
madnet vbmenu_register("postmenu_59414", true); , ты мой брат по разуму!!! =)))) А про новую, ну чтож, если завтра не умру у стоматолога, то будем смотреть. Кстати надо будет также пропарсить на пхп инклуды....
Да братва респект вам. 1 > Только вот на v.6 нашел XSS.При добовление новости . Я уверен что это CuteNEWS. CuteNews никогда не закрывал за сабой эту багу . Думаю до сих пор она сушествует . 2 > В поиске форума. Там тоже не фильтруется только это ***ня ничего не даст ... 2 madnet А что ты нашел ?? ЗЫ. Идет поиск новыйх багов в том числе php-inj.
