Форум АНТИЧАТ - сплоит для IPB v2.1.6

Форум АНТИЧАТ (https://forum.antichat.xyz/index.php)

- Форумы (https://forum.antichat.xyz/forumdisplay.php?f=16)

- - сплоит для IPB v2.1.6 (https://forum.antichat.xyz/showthread.php?t=20934)

сплоит для IPB v2.1.6

есть у кого нить ?)

De1eT
Есть несколько идей по этому поводу, если хочешь включайся тоже подумаешь. Я прочитал о уязвимости в 2.1.6....Там короче в скрипте "classes/post/class_post.php", недостаточно корректно проверяет переменную "post_icon", при помощи чего можно выполнить код. Я пока даже не смотрел эту дырку..... т.к. времени нет к эказаменам надо готовится и в универ поступать. На днях займусь, а если у тебя идеи есть по этому поводу то делись.

Решил глянуть эту уязвимость. Вот уязвимое место в коде IPB:

PHP код:


		
			
/* \forum\sources\classes\post\class_post.php */

/*-------------------------------------------------------------------------*/

    // HTML: Post Icons

    // ------------------

    // Returns the HTML for post area, code buttons and

    // post icons

    /*-------------------------------------------------------------------------*/

    

    function html_post_icons($post_icon="")

    {

        if ($this->ipsclass->input['iconid'])

        {

            $post_icon = $this->ipsclass->input['iconid'];

        }

        

        $this->ipsclass->lang['the_max_length'] = $this->ipsclass->vars['max_post_length'] * 1024;

        

        $html = $this->ipsclass->compiled_templates['skin_post']->PostIcons();

        

        if ( $post_icon )

        {

//в следущей строке возможно исполнение кода

            $html = preg_replace( "/name=[\"']iconid[\"']\s*value=[\"']$post_icon\s?[\"']/", "name='iconid' value='$post_icon' checked", $html );

            $html = preg_replace( "/name=[\"']iconid[\"']\s*value=[\"']0[\"']\s*checked=['\"]checked['\"]/i"  , "name='iconid' value='0'", $html );

        }

        

        return $html;

    }

Все бы вроде хорошо, и использовать можно ее из браузера прямо в виде ссылки, например:
hxxp://127.0.0.1/forum/index.php?act=post&do=new_post&f=2&iconid=|phpinfo ();/e%00
Но из-за конструкции preg_replace всегда перед полезным кодом вставляется еще и бяка(name='iconid' value='), которую php естественно не воспринимает. Как обойти это дело, может какая то хитрость есть в php? Если что, то можно в личку :)

ЗЫ С moderate.php такая же проблема.

у меня есть сплоит для 2.1.6 )

Beaver, использующий именно данную багу(выполнение своего кода) или xss ? xss то мне и даром не нужон ))

Да я тебе сам склепаю :) токо скажи как обмануть парсер php, наверняка каких нить спецсимволов можно напихать, чтоб он игнорил ненужный кусок текста, ну почему здесь в шаблоне для замены не применили "\\1" как в search.php до этого, задача была бы уже выполнена ))

Цитата:

ну что ж кто нить сплоит выложит в данной теме ?

Сплоит для IPB v2.1.6 - приватный, врядли у когото хватит ума его выложить =\
Но если кому-то !!!очень очень!!! нужно, я могу помочь, применив его на вашей жертве. Велкам в ЛС.

spheere небудь жмотом! Вылжи мне хоть в ПМ, позарез надо!

Цитата:

Сообщение от DimaHbl4

в скрипте "classes/post/class_post.php", недостаточно корректно проверяет переменную "post_icon", при помощи чего можно выполнить код.

помоему это пофиксали давно
http://www.ibresource.ru/files/216_sec.html