Уязвимость Point Market System – SQL Инъекция

11-12-2014, 05:11 PM

Плагин: http://www.vbulletin.org/forum/showthread.php?t=232676
Версия: 3.1.2

Уязвимость находится в файле pointmarket/market_purchase.php

Code:

// *********** Change User Name Glow *************
    if ($itembuy[marketid] == 15 AND $error == 0) {
        if (!$color) {
            $error = 9; // User did not select a color.
        }
        if ($error == 0) {
            if ($method != 4) {
            $vbulletin->db->query_read("update " . TABLE_PREFIX . "user set $xperience `$payment`=$ppoints-$amount, market_purchases=market_purchases+1, market_username_glow='$color' where userid='$userid'");
            $vbulletin->db->query_read("insert into " . TABLE_PREFIX . "market_transactions set `expire_date`='$expire', `coupon`='$cid[id]', `date`='$time', marketid='$itembuy[marketid]', mid='$itembuy[mid]',  userid='$userid', affecteduser='$userid', `$pamount`='$amount'");
                // vBExperience Addon
                if ($payment == "market_xperience") {
                $vbulletin->db->query_write("update " . TABLE_PREFIX . "xperience_stats set points_xperience=points_xperience-$amount, points_shop=points_shop+$amount where userid='$userid'");
                }           
            } else {
            $vbulletin->db->query_read("update " . TABLE_PREFIX . "user set $xperience `$pointfield`=$points-$amount1, `$pointfield2`=$points2-$amount2, market_purchases=market_purchases+1, market_username_glow='$color' where userid='$userid'");
            $vbulletin->db->query_read("insert into " . TABLE_PREFIX . "market_transactions set `expire_date`='$expire', `coupon`='$cid[id]', `date`='$time', marketid='$itembuy[marketid]', mid='$itembuy[mid]',  userid='$userid', affecteduser='$userid', `amount`='$amount', `amount2`='$amount2'");
                // vBExperience Addon
                if ($pointfield == "market_xperience") {
                $vbulletin->db->query_write("update " . TABLE_PREFIX . "xperience_stats set points_xperience=points_xperience-$amount1, points_shop=points_shop+$amount1 where userid='$userid'");
                }
                if ($pointfield2 == "market_xperience") {
                $vbulletin->db->query_write("update " . TABLE_PREFIX . "xperience_stats set points_xperience=points_xperience-$amount2, points_shop=points_shop+$amount2 where userid='$userid'");
                }
            }
        }
    }

Как вы видите, многие переменные не проверяются перед отправкой в базу данных. В данном примере, можно злоупотребить переменной $color. Мы можем изменить наш usergroup и получить доступ к панели управления.
В этом магазине по большому счету уязвимых мест вагон: Change User Title Color, Change User Title Glow, Change User Name Color, Change User Name Glow, Post Font Face, Post Font Color, Thread Color.
Достаточно просто открыть инструмент разработчика на любой странице продукта и изменить значение color/face на значение POST.

11-12-2014, 09:12 PM

Quote:

Originally Posted by artscripts

получить доступ к панеле управления

я покорнейше извиняюсь, но

11-12-2014, 10:40 PM

Оффтоп

11-12-2014, 10:42 PM

Оффтоп