Форум АНТИЧАТ

Форум АНТИЧАТ (https://forum.antichat.xyz/index.php)
-   Уязвимости (https://forum.antichat.xyz/forumdisplay.php?f=74)
-   -   Множественные уязвимости в INVISION POWER BOARD 2.1.x (https://forum.antichat.xyz/showthread.php?t=14908)

GreenBear 23.02.2006 12:30
Множественные уязвимости в INVISION POWER BOARD 2.1.x
 
Множественные уязвимости в INVISION POWER BOARD 2.1.x
3 крупных уязвимости обнаружили ребята из ru-24 team.
SQL-инъекции: 2 штуки, а также раскрытие полного пути. От себя добавлю несколько таких раскрытй в IPB 2.0.х.
Подробно читаем далее:
1) SQL Injection
В скрипте calendar.php в функции cal_event_save(
Код:
$type='add' ) отсутствует проверка на тип в переменной event_id
Код:
$event_id          = $this->ipsclass->input['event_id'];
Далее эта переменная подставляется напрямую в запрос к БД

Код:
$this->ipsclass->DB->simple_construct( array( 'select' => '*', 'from' => 'cal_events', 'where' => "event_id=$event_id" ) );
(и еще один запросwink.gif Это позволяет модифицировать запрос к базе данных

Код:
http://path_to_forum/index.php?act=calendar&code=doedit&type=qqq&event_id=your_SQL
Для успешной эксплуатации данной уязвимоти необходимо обладать правами для манипуляции с событиями календаря (добавление, редактирование)
Для исправления данной уязвимости достаточно

Код:
$event_id          = $this->ipsclass->input['event_id'];
заменить на

Код:
$event_id = intval($this->ipsclass->input['event_id']);

2) Из-за ошибок в скриптах можно определить полный путь к установочной дирректории форума обратившись к одному из следующих скриптов напрямую:

path_to_forum/sources/loginauth/ldap/auth.php
path_to_forum/sources/loginauth/internal/auth.php
path_to_forum/sources/loginauth/external/auth.php
path_to_forum/sources/loginauth/convert/auth.php
path_to_forum/sources/loginauth/convert/auth.php.bak
path_to_forum/sources/lib/search_mysql_man.php
path_to_forum/sources/lib/search_mysql_ftext.php
path_to_forum/sources/classes/post/class_post_edit.php
path_to_forum/sources/classes/post/class_post_new.php
path_to_forum/sources/classes/post/class_post_reply.php
path_to_forum/sources/classes/editor/class_editor_std.php
path_to_forum/sources/classes/editor/class_editor_rte.php
path_to_forum/sources/classes/bbcode/class_bbcode.php
path_to_forum/sources/classes/bbcode/class_bbcode_legacy.php
path_to_forum/sources/acp_loaders/acp_pages_components.php
path_to_forum/ips_kernel/PEAR/Text/Diff3.php
path_to_forum/ips_kernel/PEAR/Text/Diff/Renderer/inline.php
path_to_forum/ips_kernel/PEAR/Text/Diff/Renderer/unified.php

Уязвимости найдены в форуме v2.1.3.Возможно уязвимы и другие версии.

От себя добавлю, что в ipb 2.0.x в файлах из папки mysql_queries такаяже уязвимость.

3) SQL-injecrion exploit
Можно получить ссылку на смену пароля админа или любого юзера.
Есть условия: подходящая MySQL версия и включенный CURL-module.
http://netsec.ru/txt/poc/20.txt

damagelab.org

KaMiKadZe 25.02.2006 19:13
Код:
Login...
Fatal error: Call to undefined function: curl_setopt() in x:\home\*************\www\ipb.php on line 207
Как исправить?

SanyaX 25.02.2006 20:40
Эх дурачки вы дурачки.

KaMiKadZe 25.02.2006 20:43
Цитата:
Сообщение от SanyaX
Эх дурачки вы дурачки.
Ну уж извени я php пока не знаю но уже собрался изучать!
Если несложно помоги !)
Остальное я там настроил вроде)

Vandal 25.02.2006 20:45
"line 207" Открой сплойт и посмотри что на 207 строке )))

KaMiKadZe 25.02.2006 21:13
Цитата:
Сообщение от Vandal
"line 207" Открой сплойт и посмотри что на 207 строке )))
О да ты гений а я этого не знал )))
Там вот че
$ch = curl_init ();
И что в нем нетак непойму)))

podkashey 02.03.2006 21:36
cURL слить и установить.
Запаздало правда ответил, только заметил.


Время: 18:34