Множественные уязвимости в INVISION POWER BOARD 2.1.x

Discussion in 'Уязвимости' started by GreenBear, 23 Feb 2006.

  1. GreenBear

    GreenBear наркоман с медалью

    Joined:
    7 May 2005
    Messages:
    2,547
    Likes Received:
    1,398
    Reputations:
    612
    Множественные уязвимости в INVISION POWER BOARD 2.1.x
    3 крупных уязвимости обнаружили ребята из ru-24 team.
    SQL-инъекции: 2 штуки, а также раскрытие полного пути. От себя добавлю несколько таких раскрытй в IPB 2.0.х.
    Подробно читаем далее:
    1) SQL Injection
    В скрипте calendar.php в функции cal_event_save(
    Code:
    $type='add' ) отсутствует проверка на тип в переменной event_id
    Code:
    $event_id          = $this->ipsclass->input['event_id'];
    Далее эта переменная подставляется напрямую в запрос к БД

    Code:
    $this->ipsclass->DB->simple_construct( array( 'select' => '*', 'from' => 'cal_events', 'where' => "event_id=$event_id" ) );
    (и еще один запросwink.gif Это позволяет модифицировать запрос к базе данных

    Code:
    http://path_to_forum/index.php?act=calendar&code=doedit&type=qqq&event_id=your_SQL
    Для успешной эксплуатации данной уязвимоти необходимо обладать правами для манипуляции с событиями календаря (добавление, редактирование)
    Для исправления данной уязвимости достаточно

    Code:
    $event_id          = $this->ipsclass->input['event_id'];
    заменить на

    Code:
    $event_id = intval($this->ipsclass->input['event_id']);

    2) Из-за ошибок в скриптах можно определить полный путь к установочной дирректории форума обратившись к одному из следующих скриптов напрямую:

    path_to_forum/sources/loginauth/ldap/auth.php
    path_to_forum/sources/loginauth/internal/auth.php
    path_to_forum/sources/loginauth/external/auth.php
    path_to_forum/sources/loginauth/convert/auth.php
    path_to_forum/sources/loginauth/convert/auth.php.bak
    path_to_forum/sources/lib/search_mysql_man.php
    path_to_forum/sources/lib/search_mysql_ftext.php
    path_to_forum/sources/classes/post/class_post_edit.php
    path_to_forum/sources/classes/post/class_post_new.php
    path_to_forum/sources/classes/post/class_post_reply.php
    path_to_forum/sources/classes/editor/class_editor_std.php
    path_to_forum/sources/classes/editor/class_editor_rte.php
    path_to_forum/sources/classes/bbcode/class_bbcode.php
    path_to_forum/sources/classes/bbcode/class_bbcode_legacy.php
    path_to_forum/sources/acp_loaders/acp_pages_components.php
    path_to_forum/ips_kernel/PEAR/Text/Diff3.php
    path_to_forum/ips_kernel/PEAR/Text/Diff/Renderer/inline.php
    path_to_forum/ips_kernel/PEAR/Text/Diff/Renderer/unified.php

    Уязвимости найдены в форуме v2.1.3.Возможно уязвимы и другие версии.

    От себя добавлю, что в ipb 2.0.x в файлах из папки mysql_queries такаяже уязвимость.

    3) SQL-injecrion exploit
    Можно получить ссылку на смену пароля админа или любого юзера.
    Есть условия: подходящая MySQL версия и включенный CURL-module.
    http://netsec.ru/txt/poc/20.txt

    damagelab.org
     
    1 person likes this.
  2. KaMiKadZe

    KaMiKadZe Elder - Старейшина

    Joined:
    24 Feb 2006
    Messages:
    163
    Likes Received:
    35
    Reputations:
    19
    Code:
    Login...
    Fatal error: Call to undefined function: curl_setopt() in x:\home\*************\www\ipb.php on line 207
    
    Как исправить?
     
  3. SanyaX

    SanyaX .::Club Life::.

    Joined:
    28 Jan 2005
    Messages:
    936
    Likes Received:
    396
    Reputations:
    261
    Эх дурачки вы дурачки.
     
  4. KaMiKadZe

    KaMiKadZe Elder - Старейшина

    Joined:
    24 Feb 2006
    Messages:
    163
    Likes Received:
    35
    Reputations:
    19
    Ну уж извени я php пока не знаю но уже собрался изучать!
    Если несложно помоги !)
    Остальное я там настроил вроде)
     
  5. Vandal

    Vandal Elder - Старейшина

    Joined:
    10 Mar 2005
    Messages:
    207
    Likes Received:
    18
    Reputations:
    3
    "line 207" Открой сплойт и посмотри что на 207 строке )))
     
  6. KaMiKadZe

    KaMiKadZe Elder - Старейшина

    Joined:
    24 Feb 2006
    Messages:
    163
    Likes Received:
    35
    Reputations:
    19
    О да ты гений а я этого не знал )))
    Там вот че
    $ch = curl_init ();
    И что в нем нетак непойму)))
     
  7. podkashey

    podkashey С крышкой по жизни!

    Joined:
    18 Jun 2005
    Messages:
    756
    Likes Received:
    351
    Reputations:
    353
    cURL слить и установить.
    Запаздало правда ответил, только заметил.