есть у кого нить ?)

De1eT
Есть несколько идей по этому поводу, если хочешь включайся тоже подумаешь. Я прочитал о уязвимости в 2.1.6....Там короче в скрипте "classes/post/class_post.php", недостаточно корректно проверяет переменную "post_icon", при помощи чего можно выполнить код. Я пока даже не смотрел эту дырку..... т.к. времени нет к эказаменам надо готовится и в универ поступать. На днях займусь, а если у тебя идеи есть по этому поводу то делись.

Решил глянуть эту уязвимость. Вот уязвимое место в коде IPB:


/* \forum\sources\classes\post\class_post.php */
/*-------------------------------------------------------------------------*/
// HTML: Post Icons
// ------------------
// Returns the HTML for post area, code buttons and
// post icons
/*-------------------------------------------------------------------------*/

function html_post_icons($post_icon="")
{
if ($this->ipsclass->input['iconid'])
{
$post_icon = $this->ipsclass->input['iconid'];
}

$this->ipsclass->lang['the_max_length'] = $this->ipsclass->vars['max_post_length'] * 1024;

$html = $this->ipsclass->compiled_templates['skin_post']->PostIcons();

if ( $post_icon )
{
//в следущей строке возможно исполнение кода
$html = preg_replace( "/name=[\"']iconid[\"']\s*value=[\"']$post_icon\s?[\"']/", "name='iconid' value='$post_icon' checked", $html );
$html = preg_replace( "/name=[\"']iconid[\"']\s*value=[\"']0[\"']\s*checked=['\"]checked['\"]/i" , "name='iconid' value='0'", $html );
}

return $html;
}


Все бы вроде хорошо, и использовать можно ее из браузера прямо в виде ссылки, например:
hxxp://127.0.0.1/forum/index.php?act=post&do=new_post&f=2&iconid=|phpinfo();/e%00
Но из-за конструкции preg_replace всегда перед полезным кодом вставляется еще и бяка(name='iconid' value='), которую php естественно не воспринимает. Как обойти это дело, может какая то хитрость есть в php? Если что, то можно в личку :)

ЗЫ С moderate.php такая же проблема.

у меня есть сплоит для 2.1.6 )

Beaver, использующий именно данную багу(выполнение своего кода) или xss ? xss то мне и даром не нужон ))

- - -

Да я тебе сам склепаю :) токо скажи как обмануть парсер php, наверняка каких нить спецсимволов можно напихать, чтоб он игнорил ненужный кусок текста, ну почему здесь в шаблоне для замены не применили "\\1" как в search.php до этого, задача была бы уже выполнена ))

ну что ж кто нить сплоит выложит в данной теме ?
Сплоит для IPB v2.1.6 - приватный, врядли у когото хватит ума его выложить =\
Но если кому-то !!!очень очень!!! нужно, я могу помочь, применив его на вашей жертве. Велкам в ЛС.

spheere небудь жмотом! Вылжи мне хоть в ПМ, позарез надо!

в скрипте "classes/post/class_post.php", недостаточно корректно проверяет переменную "post_icon", при помощи чего можно выполнить код.
помоему это пофиксали давно
http://www.ibresource.ru/files/216_sec.html

spheere небудь жмотом! Вылжи мне хоть в ПМ, позарез надо!
ппц, пашол вон, папрашайка. Я написал что !!! ПОМОГУ !!! но ничего выкладывать не буду. Сплойт приватный, если ДЕЙСТВИТЕЛЬНО позарез надо - на ВХ продают - там купи. Я итак предлагал бесплатно помощь. Есть люди которым всего 1 форум нужен, а тратить из-за этого 100$ не хочется. А вы совсем о*уели. Уже 4 человека просят сплойт нахаляву в личке, причем не просят, а требуют, типа "вот мое мыло LAMER@DOLBOEB.NAX - скинь туда сплойт, и залей шелы на этот сайт www.PINTAGON.GOV/IPB216/ , а я тебе репутацию поставлю" )))))))))))))))) БУГАГАГАГАГАГАГА
помоему это пофиксали давно
http://www.ibresource.ru/files/216_sec.html
Бага не там ...

Кстати, в личку больше не писать, благотворительная акция окончена.

http://rst.void.ru/download/r57ipb216gui.txt

http://rst.void.ru/download/r57ipb216gui.txt

Класный exploit, но он не на всех форумах работает :(

Ага, символы экранируются

na kakom princypie on rabotajit ?

na kakom princypie on rabotajit ?

Запускапешь через актив-перл далее там интерфейс, просто всё. Еще хотел добавить, с утра, из 20 форумов нашёл только 2 уязвимых. И версии 2.1.6. Вот так :(. Паблик - зло.

Возможно дыру просто уже залатали и некоторые не успели прикрыть :mad:

Я 100 долларов отдавал за кусок паблика???
Я что-то непонел.

аську свою скажи

- - -

Народ сплоит работает но не везде, вопрос :
Как создавать то нового админа ? Ничего не получилось совсем -
Данные любые вводишь и админ ведь создавать должен - пишет CREATED но в админку не пускает - пишет нету такого юзверя ...
И что тако Get admin session - как тока не пробывало пишет всё время ошибку - может быть админ должен выйти из логина ?

Если ошибка - админа не было в админке в течении 2 часов. Регать админа из 40 форумов у меня вышло только на двух, от чего это зависит - хз, предположительно от прав сесии админа которого ты угнал, и как говорит автор сплойта - от дополнительных полей профиля.


Возможно дыру просто уже залатали и некоторые не успели прикрыть :mad:

Не возможно, а залатали, 2.1.7 уже видел + все говорят об дыре этой.

- - -

Да... видно под лицензию патчи еще выходили, которых не було под нуленые...

Да... видно под лицензию патчи еще выходили, которых не було под нуленые...
Все критические патчи качаются свободно с ibresource.ru

Народ хочу сделать руками (т.к пёрл не работает), да и руками можно обойти фильтрование символов (ну по крайней мере некоторых). Подскажите что мне прописать вместо этого:

?s=$rand_session",'USER_AGENT'=>'','CLIENT_IP'=>"'

Ну $rand_session - это понятно, а дальше...

З.Ы. Ненадо говорить скачай(переустанови) perl, уже пробывал...

- - -

http://rst.void.ru/download/r57ipb216gui.txt

Классный сплоил, уважаю за то что подсказал а то 3 страницы флуда

?s=$rand_session",'USER_AGENT'=>'','CLIENT_IP'=>"'
Собственно... из названия должно быть понятно. USER_AGENT - Название броузера и еще кое-какая инфа о тебе. CLIENT_IP - IP, о чем-нибудь говорит?

Говорит то говорит...
Только вот как заюзать это? Допустим что бы в админку попасть, подставив в переменную Client_ip правильный адресс...

Ну дак ты и узнай Ip адрес администратора, на это много способов существует!

я знаю Ip адресс администратора! и сессию знаю! только админка ругается, говорит что ваш айпи левый, сессия зарегистрирована на другой айпи, я его знаю, мне просто нужно знать как его влепить в запрос!
сплоит не помогает :( говорит что все ок, админ сделан, а на самом деле нет :(

a kak yznavat ip adres admina

- - -

- - -

- - -

Vilen да ето реально. вот так например SELECT name, pass FROM user WHERE 1
осталось только выполнить запрос ;)

Кстати, не стоит забывать что UNION прокатывает только на => 4.* MySql...
Так что причина неуязвимости некоторых 2.1.* форумов может заключаться еще в <=3 MySql...

Народ а как сделать чтобы например выдерало хэш пасс ни у одного человека а например сразу у всех или человек так 10... это реально ?
делаешь WHERE и, например, LIMIT 10 )
А проще сделай оутфайл, скорпируй дамп и пользуйся им, гораздо удобнее.

ктонить подскажите ссылку с иньекцией чтоб ручкаими всё ето сделать
да и ещё при команде UNION SELECT данные из таблицы должны выводитса в самом сайте (форуме, портале) или их нада ловить какойнить прогой типа InetCrack

в самом сайте :)

Как выдернуть хеш у админов в 2.1.6 ?

Как выдернуть хеш у админов в 2.1.6 ?

Сплоитом :)
Там кнопка есть :)
Вбиваешь ID админа и выбираешь login_key, или pass_hash, или pass_salt в зависимости от того, что именно тебе нужно... и жмешь кнопку get data from database...

есть таблица ipb_conf_settings и в ней есть поле conf_evalphp, никто случайно не занет куда лучше написать код чтоб он выполнился без проблем, а то я что-то не разберу.

заливаю шелл в смайлики, потом обрашаюсь к нему а агава выдает
CGI приложение доступно на запись другим пользователям. Для выполнения оно должно иметь права 0755 или 0711.
можно ли с этим что-нибудь сделать или другой способ заливки подскажите.

Скрипт заливает шелл в правах менее 711 и 755, что тут сделать... ищи другой способ, хотя, у меня ощущение - что у тебя форум постоянно будет маленькие права шеллу выставлять. Попробуй через мускуль...

мускуль тож не катит, запрещена into outfile.
Никто незнает почему если заливаешь через аватарки или фото файл *.php он меняет расширение на *.txt, это настройка такая или в самом коде прописано?

а как узнать сесию админа?

Перечитал весь топик,что могу сказать типа да модно кнопочку нажал и ты админ но он создаётся очень редко!

И наверно никто из вас так и не знает что пользуясь этип сплойтов вы токо помогаете rst так как при создании того самого админа туда тыкается их ифрейм!!

Что в очередной раз потверждает что rst в топку!
Хоть тотже милворм делает сплойты с ошыбками зато они без кидалава!!

Кто низнает rst шел тож кидалово!

Ну во первых сплойт можно отредактировать.
Во вторых это всё таки их сплойт.

Ну во первых сплойт можно отредактировать.
Во вторых это всё таки их сплойт.
Никтож не спорит что его можно отредактировать но я уверен что большая часть пользователей так его и юзает не догадываясь что за этим скрывается!

Перечитал весь топик,что могу сказать типа да модно кнопочку нажал и ты админ но он создаётся очень редко!

И наверно никто из вас так и не знает что пользуясь этип сплойтов вы токо помогаете rst так как при создании того самого админа туда тыкается их ифрейм!!

Что в очередной раз потверждает что rst в топку!
Хоть тотже милворм делает сплойты с ошыбками зато они без кидалава!!

Кто низнает rst шел тож кидалово!


не нравится код сплоита от rst так и не используй, мы не заставляем, напиши свой, выложи в паблик.

btw: milw0rm просто выкладывает сплоиты а не пишет

2xbIx
вульф, он просто завидует :D

2Inferno дык а вырезать рефер не додумывался ? -)

Если не нравится то что я написал не читай мне нравится какой вы делаете умный вид, я вырезал а ктото может и не вырезал и харе прикапыватся к словам!

2Inferno молодец =) зачем вырезал если тебе так рст не нравится.. пиши свйо собственный.. и баги в скриптах сам находи.. ) придирчивый нашелся

Народ, требуется помощь с Invision Power Board v2.1.6 © 2006 IPS, Inc. ... Моя ася 220834881 ... Кому не сложно помогите... Уж оченно форум мне ентот нужен...
И желательно быстрей т.к. Админы догадываются что написан сплойт для лома, и собпраются обновлять...

2Inferno молодец =) зачем вырезал если тебе так рст не нравится.. пиши свйо собственный.. и баги в скриптах сам находи.. ) придирчивый нашелся
А я смотрю ты великий защитник нашолся!!

2Inferno молодец =) зачем вырезал если тебе так рст не нравится.. пиши свйо собственный.. и баги в скриптах сам находи.. ) придирчивый нашелся

Поверь он то найдет и напишет.
А некоторые будут чужое юзать и из себя умных строить.

http://forum.antichat.ru/thread21753-2.1.6+SQL+Injection.html