Форум АНТИЧАТ
Страница 1 из 2 1 2 >
Показывать 40 сообщений этой темы на одной странице

Форум АНТИЧАТ (https://forum.antichat.xyz/index.php)
-   Форумы (https://forum.antichat.xyz/forumdisplay.php?f=16)
-   -   сплоит для IPB v2.1.6 (https://forum.antichat.xyz/showthread.php?t=20934)

De1eT 26.06.2006 08:06
сплоит для IPB v2.1.6
 
есть у кого нить ?)

DimaHbl4 26.06.2006 08:53
De1eT
Есть несколько идей по этому поводу, если хочешь включайся тоже подумаешь. Я прочитал о уязвимости в 2.1.6....Там короче в скрипте "classes/post/class_post.php", недостаточно корректно проверяет переменную "post_icon", при помощи чего можно выполнить код. Я пока даже не смотрел эту дырку..... т.к. времени нет к эказаменам надо готовится и в универ поступать. На днях займусь, а если у тебя идеи есть по этому поводу то делись.

w0lf99 05.07.2006 23:22
Решил глянуть эту уязвимость. Вот уязвимое место в коде IPB:

PHP код:
/* \forum\sources\classes\post\class_post.php */
/*-------------------------------------------------------------------------*/
    // HTML: Post Icons
    // ------------------
    // Returns the HTML for post area, code buttons and
    // post icons
    /*-------------------------------------------------------------------------*/
    
    function html_post_icons($post_icon="")
    {
        if ($this->ipsclass->input['iconid'])
        {
            $post_icon $this->ipsclass->input['iconid'];
        }
        
        $this->ipsclass->lang['the_max_length'] = $this->ipsclass->vars['max_post_length'] * 1024;
        
        $html $this->ipsclass->compiled_templates['skin_post']->PostIcons();
        
        if ( $post_icon )
        {
//в следущей строке возможно исполнение кода
            $html preg_replace"/name=[\"']iconid[\"']\s*value=[\"']$post_icon\s?[\"']/""name='iconid' value='$post_icon' checked"$html );
            $html preg_replace"/name=[\"']iconid[\"']\s*value=[\"']0[\"']\s*checked=['\"]checked['\"]/i"  "name='iconid' value='0'"$html );
        }
        
        return $html;
    } 
Все бы вроде хорошо, и использовать можно ее из браузера прямо в виде ссылки, например:
hxxp://127.0.0.1/forum/index.php?act=post&do=new_post&f=2&iconid=|phpinfo ();/e%00
Но из-за конструкции preg_replace всегда перед полезным кодом вставляется еще и бяка(name='iconid' value='), которую php естественно не воспринимает. Как обойти это дело, может какая то хитрость есть в php? Если что, то можно в личку :)

ЗЫ С moderate.php такая же проблема.

Beaver 06.07.2006 02:42
у меня есть сплоит для 2.1.6 )

w0lf99 06.07.2006 03:35
Beaver, использующий именно данную багу(выполнение своего кода) или xss ? xss то мне и даром не нужон ))

Vilen 06.07.2006 19:36
- - -

w0lf99 07.07.2006 01:21
Да я тебе сам склепаю :) токо скажи как обмануть парсер php, наверняка каких нить спецсимволов можно напихать, чтоб он игнорил ненужный кусок текста, ну почему здесь в шаблоне для замены не применили "\\1" как в search.php до этого, задача была бы уже выполнена ))

spheere 09.07.2006 13:14
Цитата:
ну что ж кто нить сплоит выложит в данной теме ?
Сплоит для IPB v2.1.6 - приватный, врядли у когото хватит ума его выложить =\
Но если кому-то !!!очень очень!!! нужно, я могу помочь, применив его на вашей жертве. Велкам в ЛС.

~Real F@ck!~ 12.07.2006 02:43
spheere небудь жмотом! Вылжи мне хоть в ПМ, позарез надо!

Hello 12.07.2006 10:36
Цитата:
Сообщение от DimaHbl4
в скрипте "classes/post/class_post.php", недостаточно корректно проверяет переменную "post_icon", при помощи чего можно выполнить код.
помоему это пофиксали давно
http://www.ibresource.ru/files/216_sec.html

spheere 12.07.2006 19:24
Цитата:
spheere небудь жмотом! Вылжи мне хоть в ПМ, позарез надо!
ппц, пашол вон, папрашайка. Я написал что !!! ПОМОГУ !!! но ничего выкладывать не буду. Сплойт приватный, если ДЕЙСТВИТЕЛЬНО позарез надо - на ВХ продают - там купи. Я итак предлагал бесплатно помощь. Есть люди которым всего 1 форум нужен, а тратить из-за этого 100$ не хочется. А вы совсем о*уели. Уже 4 человека просят сплойт нахаляву в личке, причем не просят, а требуют, типа "вот мое мыло LAMER@DOLBOEB.NAX - скинь туда сплойт, и залей шелы на этот сайт www.PINTAGON.GOV/IPB216/ , а я тебе репутацию поставлю" )))))))))))))))) БУГАГАГАГАГАГАГА
Цитата:
помоему это пофиксали давно
http://www.ibresource.ru/files/216_sec.html
Бага не там ...

Кстати, в личку больше не писать, благотворительная акция окончена.

xbIx 14.07.2006 15:53
http://rst.void.ru/download/r57ipb216gui.txt

samurays 14.07.2006 18:08
Цитата:
Сообщение от xbIx
http://rst.void.ru/download/r57ipb216gui.txt
Класный exploit, но он не на всех форумах работает :(

w0lf99 14.07.2006 18:14
Ага, символы экранируются

jusuf 14.07.2006 18:33
na kakom princypie on rabotajit ?

Sulf aka Joker 14.07.2006 19:18
Цитата:
Сообщение от jusuf
na kakom princypie on rabotajit ?
Запускапешь через актив-перл далее там интерфейс, просто всё. Еще хотел добавить, с утра, из 20 форумов нашёл только 2 уязвимых. И версии 2.1.6. Вот так :(. Паблик - зло.

j0nathan 14.07.2006 20:08
Возможно дыру просто уже залатали и некоторые не успели прикрыть :mad:

xbIx 14.07.2006 20:44
Цитата:
Сообщение от froZen*
Я 100 долларов отдавал за кусок паблика???
Я что-то непонел.
аську свою скажи

Vilen 15.07.2006 03:16
- - -

Sulf aka Joker 15.07.2006 03:58
Цитата:
Сообщение от Vilen
Народ сплоит работает но не везде, вопрос :
Как создавать то нового админа ? Ничего не получилось совсем -
Данные любые вводишь и админ ведь создавать должен - пишет CREATED но в админку не пускает - пишет нету такого юзверя ...
И что тако Get admin session - как тока не пробывало пишет всё время ошибку - может быть админ должен выйти из логина ?
Если ошибка - админа не было в админке в течении 2 часов. Регать админа из 40 форумов у меня вышло только на двух, от чего это зависит - хз, предположительно от прав сесии админа которого ты угнал, и как говорит автор сплойта - от дополнительных полей профиля.


Цитата:
Сообщение от j0nathan
Возможно дыру просто уже залатали и некоторые не успели прикрыть :mad:
Не возможно, а залатали, 2.1.7 уже видел + все говорят об дыре этой.

Vilen 15.07.2006 12:07
- - -

Driver 15.07.2006 13:14
Да... видно под лицензию патчи еще выходили, которых не було под нуленые...

degeneration x 15.07.2006 13:24
Цитата:
Сообщение от Driver
Да... видно под лицензию патчи еще выходили, которых не було под нуленые...
Все критические патчи качаются свободно с ibresource.ru

bandera 15.07.2006 14:54
Народ хочу сделать руками (т.к пёрл не работает), да и руками можно обойти фильтрование символов (ну по крайней мере некоторых). Подскажите что мне прописать вместо этого:

?s=$rand_session",'USER_AGENT'=>'','CLIENT_IP'=>"'

Ну $rand_session - это понятно, а дальше...

З.Ы. Ненадо говорить скачай(переустанови) perl, уже пробывал...

Vilen 15.07.2006 15:16
- - -

_GaLs_ 15.07.2006 16:07
Цитата:
Сообщение от xbIx
http://rst.void.ru/download/r57ipb216gui.txt
Классный сплоил, уважаю за то что подсказал а то 3 страницы флуда

Brahma 15.07.2006 19:08
Цитата:
?s=$rand_session",'USER_AGENT'=>'','CLIENT_IP'=>"'
Собственно... из названия должно быть понятно. USER_AGENT - Название броузера и еще кое-какая инфа о тебе. CLIENT_IP - IP, о чем-нибудь говорит?

Driver 15.07.2006 20:21
Говорит то говорит...
Только вот как заюзать это? Допустим что бы в админку попасть, подставив в переменную Client_ip правильный адресс...

Brahma 15.07.2006 20:41
Ну дак ты и узнай Ip адрес администратора, на это много способов существует!

Driver 15.07.2006 20:56
я знаю Ip адресс администратора! и сессию знаю! только админка ругается, говорит что ваш айпи левый, сессия зарегистрирована на другой айпи, я его знаю, мне просто нужно знать как его влепить в запрос!
сплоит не помогает :( говорит что все ок, админ сделан, а на самом деле нет :(

CCHQ 15.07.2006 22:47
a kak yznavat ip adres admina

Vilen 16.07.2006 03:02
- - -

Vilen 16.07.2006 03:31
- - -

Vilen 16.07.2006 14:26
- - -

A110ut 16.07.2006 15:43
Vilen да ето реально. вот так например SELECT name, pass FROM user WHERE 1
осталось только выполнить запрос ;)

Driver 16.07.2006 16:34
Кстати, не стоит забывать что UNION прокатывает только на => 4.* MySql...
Так что причина неуязвимости некоторых 2.1.* форумов может заключаться еще в <=3 MySql...

Brahma 17.07.2006 18:24
Цитата:
Народ а как сделать чтобы например выдерало хэш пасс ни у одного человека а например сразу у всех или человек так 10... это реально ?
делаешь WHERE и, например, LIMIT 10 )
А проще сделай оутфайл, скорпируй дамп и пользуйся им, гораздо удобнее.

arts 17.07.2006 18:44
ктонить подскажите ссылку с иньекцией чтоб ручкаими всё ето сделать
да и ещё при команде UNION SELECT данные из таблицы должны выводитса в самом сайте (форуме, портале) или их нада ловить какойнить прогой типа InetCrack

Brahma 17.07.2006 18:51
в самом сайте :)

Edgar Davids 19.07.2006 04:02
Как выдернуть хеш у админов в 2.1.6 ?


Время: 13:46
Страница 1 из 2 1 2 >
Показывать 40 сообщений этой темы на одной странице