----[ NITRO ... ]

Эта уязвимость была найдена с года два назад да и патч к ней уже существует год , форумов с этой версией становится все меньше а это значит что пора опубликовать рабочий эксплоит . Суть его работы состоит в сборе сессий юзеров с помощью активной xss иньекции , размещенной самим юзером , и получении данных с помощью SQL иньекции. Эксплоит состоит из нескольких частей - генератор активной xss , javascript файл , который будет вызван при посещении страницы с xss , просмотрщик логов и компонент , который извлечет данные из MySQL таблицы форума нужные данные в случае если перехваченная сессипринадлежала человеку с правами модератора.

----[ ACTIVE XSS ... ]

Скрипт xss.php , входящий в состав пакета , сгенерирует xss для последующего размещения ее в теме . В качестве ссылки следует указать полный путь до файла ya.js ( в котором вы уже предварительно исправили путь на свой ) , скорей всего останется всего лишь нажать на кнопку так как путь уже выставлен програмно .

Цитата:

◄■■■■■■■■■■■■■■■■■■■■■■■■■■■► ■■■■ Введите ссылку { url } ■■■■ ■■■■ Результат { xss code } ■■■■ ◄■■■■■■■■■■■■■■■■■■■■■■■■■■■►

Патч

sources/classes/bbcode/class_bbcode_core.php, Function "regex_check_image", line 924:

1.

PHP код:

---

$default = "[img]".$url."[/img]"; 


---

PHP код:

---

$default = "[img]".str_replace( '[', '[', $url )."[/img]"; 


---

2.

PHP код:

---

if ( preg_match( "/[?&;]/", $url) ) 


---

PHP код:

---

if ( preg_match( "/[?&;\<\[]/", $url) ) 


---

sources/classes/bbcode/class_bbcode_core.php, Function "post_db_parse_bbcode", line 486

1.

PHP код:

---

preg_match_all( "#(\[$preg_tag\])((?!\[/$preg_tag\]).+?)?(\[/$preg_tag\])#si", $t, $match ); 


---

PHP код:

---

preg_match_all( "#(\[$preg_tag\])((?!\[/$preg_tag\]).+?)?(\[/$preg_tag\])#si", $t, $match );

if ( $row['bbcode_tag'] == 'snapback' )
{
    $match[2][$i] = intval( $match[2][$i] );
} 


---

----[ SQL INJECTION ... ]

Иньекция осуществима лишь тогда , когда имеется сессия пользователя с доступом в модераторскую панель .

Цитата:

?act=mod&f=-6&CODE=prune_finish&pergo=50&current=50&max=3&star ter=1+union+select+1/*

Патч.Необходимо привести параметр starter к числовому виду посредством функции intval

----[ SNIFFER ... ]

Результат работы эксплоита оформлен в виде простого php cookie сниффера .

Цитата:

◄■■■■■■■■■■■■■■■■■■■■■■■■■■■► ■■■■ IP ADDRESS { ip } ■■■■ ■■■■ REFERER { referer } ■■■■ ■■■■ COOKIES { cookie } ■■■■ ■■■■ USER ID { user id } ■■■■ ◄■■■■■■■■■■■■■■■■■■■■■■■■■■■►

В случае удачного проведения SQL иньекции будут также представленая полная информация о администраторском составе форума

Цитата:

◄■■■■■■■■■■■■■■■■■■■■■■■■■■■► ■■■■ IP ADDRESS { ip } ■■■■ ■■■■ REFERER { referer } ■■■■ ■■■■ COOKIES { cookie } ■■■■ ■■■■ USER ID { user id } ■■■■ ■■■■ ADMIN NAME { } ■■■■ ■■■■ ADMIN PASS { } ■■■■ ■■■■ ADMIN SALT { } ■■■■ ◄■■■■■■■■■■■■■■■■■■■■■■■■■■■►

----[ EOF ... ]

Выражаю большую благодарность лицам из закрытых разделов Античата , а также всем кто меня знает и не знает , тем кто дышал и не дышал в этот момент за поддержку . Скорей всего скрипт не работает или работает не так как надо . Вся информация указана выше . Надеюсь скоро линк умрет и тема будет удалена xD

www.underwater.itdefence.ru/isniff.rar
http://www.milw0rm.com/exploits/4841