По многочисленным просьбам решил описать суть уязвимости, используемой эксплоитом, как пользоваться эксплоитом, а так же почему эксплоит может не срабатывать.

Уязвимость в виде sql-injection в форуме Invision Power Board была найдена в начале января, (точнее даже две, но одна некритическая в календаре, и адвис на нее был опубликован чуть раньше http://ru24-team.net/advisories/ru24_ipb213.txt ) и в то вребя работала на всех версиях форума ИПБ.
Уязвимость касалась неправильной обработки массива, в параметрах cookie.
Переменная topicsread в куках, попадает в массив, который соответствующим образом обрабатывается, но проверка на правильность ввода отсутствует.
Переменная topicsread содержит в себе список просмотренных тем и выглядит примерно так:
topicsread=a%3A1%3A%7Bi%3A5%3Bi%3A1140956642%3B%7D ;
Данная переменная используется в нескольких разных местах форума, но реализовать эксплоит для этой уязвимости удалось только в Панели Управления пользователя. Для того, чтобы попасть в Панель управленя необходимо сперва зарегистрироваться на форуме и в эксплоите подставить соответствующие значения логина и пароля на форум.
Попробуйте просмотреть любой топик на форуме, после этого зайти в Панель Управления и у вас появится список Recently Read Topics (Недавно Прочитаные Сообщения). Вот этот список как раз и содержит переменная topicsread, точнее айди топиков из базы, что можно увидет применив функцию php unserialize():
$ser=unserialize(urldecode("a%3A1%3A%7Bi%3A5%3Bi%3 A1140956642%3B%7D"));
foreach ($ser as $k=>$v) echo $k.":".$v."<br>";
В итоге получим:
5:1140956642
Это означает, что я смотрел тему под номером 5. 1140956642 - время, когда я смотрел тему, в юникс формате. При разборе этого массива айди темы не фильтруется и попадает вместе с запросом в базу то, что мы туда вставим.
Не забываем после просмотра топика вставить его айди в эксплоит. Т.е. здесь $topic необходимо установить в 3.
Но реализация данной уязвимости оказалось нетривиальной, т.к. по стандартной методике было очень сложно отследить, выполняется ли условие в поле юнион или там ошибка.
Основная проблема при реализации эксплоита - то что очень трудно отличить различные запросы к базе. т.е. подзапрос с условием where 1=1 и where 1=2 часто возвращает совершенно одинаковую страницу - и это пожалуй единственная причина (кроме естественно патчей), по которой эксплоит не срабатывает на некоторых форумах. Такое поведение зависит от версии форума и от версии базы данных. (может и от других - невыявленных мной факторов).
Кроме того необходимо помнить, что имя переменной topicsread опционально, т.е. задается администратором при настройке форума.
Написаный мной эксплоит старается получить из базы код, который необходим для изменения пароля пользователя. Естественно, чтобы этот код появился в базе, необходимо инициировать смену пароля, путем востановления забытого пароля. Т.е. вы выбираете, к какому пользователю вы хотите востановить пароль, к примеру пользователь admin с id=3 и административными правами. В эксплоите target необходимо установить в 3.
Далее идете на страницу ввода пароля и жмете на линк I've forgotten my password! Click here!. Заполняете необходимые поля и код для изменения пароля будет записан в базу, а так же выслан на емаил пользователя admin. После этого можно запускать эксплоит, который постарается узнать этот код, с помощью которого вы сможете изменить пароль пользователя admin. Если этот пользователь обладает административными правами, то нично не помешает нам зайти в Административную Панель Управления=).
При написании эксплоита я пошел двумя путями:
1 - подстановка своих значений через запрос union
Путем долгих исследований удалось определить набор полей которые должны участвовать в запресе union, чтобы вместо названия топика выдавался код, необходимый для востановления пароля. Но проблема в том, что в разных версиях форума, с разными дополнительными модулями - список полей может сильно различается. Поэтому эксплоит через юнион срабатыват только на дефолтной установке форума версии 2.1.3, и то не всегда. Зато теоретически должен срабатывать на всех версиях форума до 2.1.4 и при версии базы mysql 4.0 и выше.
2 - использование подзапросов
Подзабросы поддерживаются в mysql с версии 4.1, что резко сужает число успешных срабатываний, зато практически на любом форуме версии 2.*, стоящем на такой версии базы, можно получить код для подтверждения пароля. Данный код имеет длину 32 символа и в данном случае подбирается посимвольно. Причем для подбора одного символа требуется от 5 до 9 запросов к форуму. Поэтому в зависимости от скорости соединения необходимо от 2 до 20 минут для получения необходимого кода.

ну вот вроде и все. Если что непонятно, то попробуйте разобраться в коде эксплоита, а потом задать вопросы на форуме.

ЗЫ: В интернете могут встретиться различные версии эксплоита, например с реализацией только первого или только второго метода, или оба метода сразу.
(c)Автор сплойта.