Чат бородина - уязвимости (мелкие)
 

№1 для кого пишется? и другое что стоит сказать
для всех кому интересно, но кто не мог сам этого найти.
не надейтесь увидеть Здесь нечто типа php/sql-inject!
Здесь скорее уязвимости для того чтоб приколоться над злыми админами или своими друзьями... ;)


№2 степень опасности
низкая...


итак поехали... раскрытие пути
имя скрипта:help.php (доступен всем и присутвует практически везде где есть сам чат)

вот уязвимый кусок кода
как известно switch не работает с массивами ... а тип переменной $help ни где не проверяется.
По этому нам всего лишь стоит обратится к скрипту с параметром ?help[]=1
как скрипт тутже выдаст нам ошибку ...
Как пример этой уязвимости подвержен официальный сайт чата _http://chat.php.spb.ru/
http://chat.php.spb.ru/www/help.php?help[]=1

p.s. думаю каждый из нас знает что нам может дать раскрытие пути... здесь мы видим что на
официальном сайте чата стоит Windows хз какой??? Вероятнее всего Server 2003/2008
(логичнее было поставить его, но то что там работает apache а не iis немного толкает
на мысль что там может мыть и XP)) , и видим что это не хостинг =)
... ну еще как вариант это может быть vps/vds



Флуд
Как известно в чате есть защита от флуда/мата.
он реагирует на повторение более 4 раз (зависит менял ли настройки админ) одного и тогоже символа...
но тут мы получаем возможность флуда, повторяя не один символ а два и более разных символов типа:
так же и повторяя слова и другое....
количество вводимых знаков ограничено 1001 символом, но кому надо тот
решит эту проблемму.

Идем далее pXSS

Не надейтесь что это xss в самом чате =( к сожалению все ксс которые только можно было найти, нашли и залатали.
уязвимость присутствует в модуле рейтинга пользователей.
скачать модуль: http://nik-chat.net/downloads/top.rar
Уязвимые параметры c3, top_title, top_td_title (дополнено)
Вообще C3 не фильтруется ни при одном из зарание заданных c2.

Важно будет сказать: не забывайте что это xss работает только если пользователь
переходящий по ссылке находится в чате (в браузере есть активные куки чата) в противном
случае данные фильтруются и пересылаются пост запросом... вот...)

обычно скрипт top.php находится в папке с самим чатом но некоторые
админы могут его и перенести в какое либо другое место =)

№4 END.
ну вот вобщем то и все) пользуйтесь но не злоупотребляйте....

все материалы выложены исключительно для ознакомления! (так надо :D);

© KIR@PRO + Спец для Antichat.ru
дополнено 14.04.2009

заплатка от xss:
ищем код (у меня 54 строчка):
после неё вписываем:

заплатка для help.php
ищем строчку:
заменяем на:

про флуд чтота я не понял. в таких чатах стоит ограничение по весу сообщения. два таких сообщения как ты написал и бан ... или я что-то неправильно понял?

Дополнение. Раскрытие пути.
Уязвимые скрипты:
все....

Условия выполнения:
Отсутсвие в браузере cookie чата... для просмотра результата рекомендуется использовать спецпроги типа AccessDriver

Ближе к делу. Эксплуатация уязвимости:
обращаемся к любому существующему скрипту который подключает файл __main.php или __dima.php... как пример файл index.php
обращаемся к файлу с параметром: ?s[nick]=

как пример офф сайт: шттп://chat.php.spb.ru/www/index.php?s[nick]=


все уязвимости присутствуют во всех версиях (если кто то найдет версию где нет отпишите в ПМ изправлю)....



© KIR@PRO + Спец для Antichat.ru

А что дает раскрытие пути, для чего оно?

2Win64
само по себе раскрытие пути дает мало результатов:
1) мы узнаем какая OC стоит на сервере.. для тех кто непонял поясню. Если мы видим путь как в первом посте на офф сайте
C:\Inetpub\site\cpsr\www\www\help.php on line 12
то мы видим что здесь стоит Windows и стоит копать в эту сторону, если же мы видим что то такое:
/var/www/chat/.... или /usr/....
то понимаем что на сервере стоит Linux

2) если мы нашли php-include на сайте или sql-inject с возможностью заливки файлов то раскрытие пути нам поможет....)




2profile
в чате стоит ограничение на повторение одного символа несколько раз (украшение из символов)... бывает даже 5-6 повторяющихся символов и уже бан.... еще есть бан за определённое колличество килобайт за какойто проежуток времени (типо 1096 Кбайт за 10 секунд = бан) ... первое мы можем обойти так:
за 2 повторяющихся символа чат не банит, тоесть за /*/*/*/*/*/*/*/*/*/* бан не получим(разве что от модеров или киллеров) но это не красиво...
Тогда вспомним видео от Silveran в котором он расказывал про "невидимый" символ. Символ существует но браузеры его не отображают, символ имеет код AD в блокноте он отображается как "-", но - имеет код 2D. Чередуем этот символ с любым другим и получяем на выходе повторение только одного символа(визуально, то что нам и нужно)
пример:

Эх, как я далёк от всего этого :)

А как можно обойти защиту от флуда, чтобы не банили за много фраз за короткое время?