Трекер-движок TBDev 2.0

Discussion in 'Веб-уязвимости' started by Qwazar, 5 Aug 2008.

  1. Yuna

    Yuna Member

    Joined:
    22 Jun 2009
    Messages:
    41
    Likes Received:
    8
    Reputations:
    12
    $ajax = (string) $_POST["ajax"];
    а ошибка ибо уникальные индексы
     
  2. Gray_Wolf

    Gray_Wolf Active Member

    Joined:
    7 Mar 2009
    Messages:
    377
    Likes Received:
    135
    Reputations:
    10
    Но в паблик их врядли станут выкладывать :)
     
  3. HAXTA4OK

    HAXTA4OK Super Moderator
    Staff Member

    Joined:
    15 Mar 2009
    Messages:
    946
    Likes Received:
    838
    Reputations:
    605
    Ну лан спалю одын приват =) на те старые версии
    куча LFI & RFI =) мб и не приват

    к примеру файл recover.php

    PHP:
    require "include/bittorrent.php";

    dbconn();

    if (
    $_SERVER["REQUEST_METHOD"] == "POST")
    {
    подгружает файлик bittorrent.php а в нем

    PHP:
    if (empty($rootpath))
        
    $rootpath ROOT_PATH;
    require_once(
    $rootpath 'include/core.php');
    ?>
    если прочесть его, то по смыслу ,если $rootpath не пустой ,тогда такой $rootpath = ROOT_PATH; замены не будет; и значит - уязвим :) надеюсь я правильно его прочел))

    При REGISTER_globals = on и MQ= off

    http://127.0.0.1/treker/recover.php?rootpath='%00

    Warning: require_once(') [function.require-once]: failed to open stream: No such file or directory in C:\xampp\htdocs\treker\include\bittorrent.php on line 57


    файлы имеющие такую особенность :
    faq.php
    recover.php
    bookmarks.php
    rules.php
    download.php
    ....по моему почти все =\

    Раскрытие путей :

    так как mysql_real_escape_string
    PHP:
    function sqlesc($value) {
        
    // Stripslashes
       /*if (get_magic_quotes_gpc()) {
           $value = stripslashes($value);
       }*/
       // Quote if not a number or a numeric string
       
    if (!is_numeric($value)) {
           
    $value "'" mysql_real_escape_string($value) . "'";
       }
       return 
    $value;
    }
    captcha.php?imagehash[]=

    Warning: mysql_real_escape_string() expects parameter 1 to be string, array given in C:\xampp\htdocs\treker\include\functions.php on line 462

    гуглом поискал не нашел))
    еще раскрытие путей
    PHP:
    $pic htmlspecialchars($_GET["pic"]);

    stdhead("Просмотр картинки");
    print(
    "<h1>$pic</h1>\n");
    print(
    "<p align=center><img src=\"torrents/images/$pic\"></p>\n");
    ?>
    viewimage.php?pic[]=
     
    _________________________
    #223 HAXTA4OK, 29 Sep 2009
    Last edited: 29 Sep 2009
    2 people like this.
  4. Yuna

    Yuna Member

    Joined:
    22 Jun 2009
    Messages:
    41
    Likes Received:
    8
    Reputations:
    12
    для меня это как два года боян, два - я указываю что отключайте регистер глобалс, не отключили - их личные проблемы ;)
     
  5. Rostov114

    Rostov114 Elder - Старейшина

    Joined:
    5 Sep 2008
    Messages:
    33
    Likes Received:
    10
    Reputations:
    5
    :D Что же подольем немного масла. Слоит v3.3.

    На данный момент он умеет обходить:
    • Коды регистрации
    • Запросы инвайтов
    • Бан по IP

    Совершает атаки через:
    • ./rss.php (слепая SQL, ибо запись файла не айс)
    • ./requests.php
    • ./takesignup.php
    • ./check_signup.php
    • ./viewoffers.php
    • ./sendbonus.php
    • ./bonuscode.php
    • Форум

    Также имеет 2 способа работы:
    • Multi mode - атака по всем файлам, в том числе авторигистрация.
    • Login exploit mode - работает только с логином и пассом.

    Добавлено и доработано:
    • Получение всех IP адресов сайта и подключение
    • Если не верно указан хост то сплоит и не начнет работу.
    • Получение: соли, пассхеша, пасскея и инфы привязан ли пасскей к IP
    • Если в конце адреса трекера не был указан слеш, то теперь сплоит с ума не сходит
    • Вывод каким методом сплоит будет атаковать (чисто для информации)

    В данный релиз не вошло следующие веши и также были удалены
    • Генерация приятных уху никнеймов
    • Удалена атака через rss.php - file record

    В связи с тем что форум не захотел отобразить не маленький сплоит. Пришлось его загрузить на отдельный сервер. Взять его можете здесь

    Если по каким то причинам данный скрипт у вас не запускается, виноваты вы. Он рабочий, проверялся на оригинальном TBDev 2.0.

    Внимание: Данная программа выложена здесь для ознакомления.
    Автор не несёт ответственности за негативные последствия, причинённые данной программой в результате правильного или неправильного её использования.
    Также автор не несет ответственности за причерченный вред кому либо данной программой.


    ;) Чтож, прикрываем оперативно дырки.
     
    2 people like this.
  6. Yuna

    Yuna Member

    Joined:
    22 Jun 2009
    Messages:
    41
    Likes Received:
    8
    Reputations:
    12
    sendbonus, bonuscode?????? WTF?

    Как вы поясните собираетесь обходить $b = get_row_count("captcha", "WHERE imagehash = ".sqlesc($_POST["imagehash"])." AND imagestring = ".sqlesc($_POST["imagestring"]));?

    Даже если оба 0000000 и 0 - строчек-то тоже 0!
     
  7. Rostov114

    Rostov114 Elder - Старейшина

    Joined:
    5 Sep 2008
    Messages:
    33
    Likes Received:
    10
    Reputations:
    5
    Да. Если включен error_reporting. То вывалиться ошибка, по которой уже можно судить, тому ли равна данная позиция или нет.

    Хм... ну у нас выходит запрос вида:
    Code:
    SELECT COUNT(*) FROM captcha WHERE imagehash = 'принятый_imagehash' AND imagestring = 0
    :) Чесно не вникал как MySQL обрабатывает данный запрос, но по моему он хватает только 1й параметр а т.к. второй 0 отбрасывает.
    Кстати, бага такого же вида и на инвайтах. Есть ведь супер инвайт в 32 нуля...и работает ведь.
     
    #227 Rostov114, 2 Oct 2009
    Last edited: 2 Oct 2009
  8. Yuna

    Yuna Member

    Joined:
    22 Jun 2009
    Messages:
    41
    Likes Received:
    8
    Reputations:
    12
    ну не работет ведь блин! :) проверь =))) tracker.hdclub.com.ua uniongang.ru

    фулл бред, зачем тогда придумывали SQL?
     
  9. Rostov114

    Rostov114 Elder - Старейшина

    Joined:
    5 Sep 2008
    Messages:
    33
    Likes Received:
    10
    Reputations:
    5
    1. Не работает, согласен, если в SQL запросе не стоит '', то тогда да облом.
    2. Я же говорил, я не вникал как MySQL обрабатывает данный запрос.
     
  10. Yuna

    Yuna Member

    Joined:
    22 Jun 2009
    Messages:
    41
    Likes Received:
    8
    Reputations:
    12
    А то что твои "обходники" НЕ РАБОТАЮТ!
     
  11. Rostov114

    Rostov114 Elder - Старейшина

    Joined:
    5 Sep 2008
    Messages:
    33
    Likes Received:
    10
    Reputations:
    5
    :) Ну у меня в локалке работают на ура.
    Только там большинство стоит на Windows и сервером является TopServer.
     
  12. Yuna

    Yuna Member

    Joined:
    22 Jun 2009
    Messages:
    41
    Likes Received:
    8
    Reputations:
    12
    Видимо у них или очень старая версия, или что-то еще хуже =))

    Два - ты не знал что если открыта рега но включена инвайтная рега - тебя будет просить ввести инвайт но если введеш на него забьет? ;)

    Так-что проверь еще раз ;)
     
  13. Rostov114

    Rostov114 Elder - Старейшина

    Joined:
    5 Sep 2008
    Messages:
    33
    Likes Received:
    10
    Reputations:
    5
    TBDev.18.05.07.zip (2,49 MB) :) У нас в основном такая древность стоит.
     
  14. Yuna

    Yuna Member

    Joined:
    22 Jun 2009
    Messages:
    41
    Likes Received:
    8
    Reputations:
    12
    а на свежестях? :)
     
  15. X_Hunter

    X_Hunter New Member

    Joined:
    23 Oct 2007
    Messages:
    1
    Likes Received:
    0
    Reputations:
    0
    Хотел запустить сплойт на 3 разных пхп - везде одна и таже ошибка:
    PHP Fatal error: Call to undefined function dns_get_record() in C:\sql.php on line 448
     
  16. Rostov114

    Rostov114 Elder - Старейшина

    Joined:
    5 Sep 2008
    Messages:
    33
    Likes Received:
    10
    Reputations:
    5
    :) Не поддерживается значит в PHP работа с DNS.
    :) Последнюю, согласен не прошибает.
    И вообще давай жить дружно ^_^.

    P.S. Кстати, а форум phpBB 3.0 прикрутить нельзя что ли?
     
    #236 Rostov114, 4 Oct 2009
    Last edited: 4 Oct 2009
  17. foot

    foot New Member

    Joined:
    6 Apr 2009
    Messages:
    5
    Likes Received:
    0
    Reputations:
    0
    :) Не поддерживается значит в PHP работа с DNS.

    Уважаемый Rostov114 Есть ли другие варианты??? :confused: :confused: :confused:
     
    #237 foot, 5 Oct 2009
    Last edited: 5 Oct 2009
  18. Rostov114

    Rostov114 Elder - Старейшина

    Joined:
    5 Sep 2008
    Messages:
    33
    Likes Received:
    10
    Reputations:
    5
    Эм...просто посмотреть сплоит 3.0 и снести к чертям данную функцию.
     
  19. foot

    foot New Member

    Joined:
    6 Apr 2009
    Messages:
    5
    Likes Received:
    0
    Reputations:
    0
    Ув.Rostov114
    Я начинающий не могли бы вы показать код который надо удалить...

    Я убрал этот$result = dns_get_record($host, $type);
    и после этого он постоянно писал: A host tracker.com not found!
    Тобишь кажется сплоит не работает (((
    :confused: :confused: :confused: :confused:
     
    #239 foot, 5 Oct 2009
    Last edited: 5 Oct 2009
  20. DREASTY

    DREASTY Elder - Старейшина

    Joined:
    19 Nov 2007
    Messages:
    38
    Likes Received:
    21
    Reputations:
    1
    ну если убрал днс тогда пробуй по айпи

    У меня такой вопрос:
    хеш закодирован как: md5($salt.$pass.$salt);
    откуда собственно брать соль?
    посмотрел в базе, есть только password и passkey.