Форум АНТИЧАТ - Ikonboard 3.1.5 Неуязвим ?

УСТРАНЕНИЕ КОНКУРЕНТОВ. БЛОКИРОВКА ДОМЕНОВ, БЛОКИРОВКА ИНСТАГРАМ/ТЕЛЕГРАМ И ДРУГОЕ. ПРОВЕРЕННЫЙ СЕЛЛЕР.

Antichat снова доступен.
Форум Antichat (Античат) возвращается и снова открыт для пользователей. Здесь обсуждаются безопасность, программирование, технологии и многое другое. Сообщество снова собирается вместе.
Новый адрес: forum.antichat.xyz

		Форум АНТИЧАТ > Безопасность и Уязвимости > Уязвимости > Форумы
Ikonboard 3.1.5 Неуязвим ?

Опции темы

Поиск в этой теме

Опции просмотра

Ikonboard 3.1.5 Неуязвим ?

05.07.2006, 17:35

JFKenedi

Новичок

Регистрация: 10.06.2006

Сообщений: 16

Провел на форуме:
108388

Репутация: 7

Ikonboard 3.1.5 Неуязвим ?

Я начал задумываться почему об этом форумном движке говорят так мало (имеется ввиду на "хакерских" форумах).
Может он неуязвим ???

Врядли !

Предлагаю обсуждать здесь уязвимости движка Ikonboard версии 3.1.5 !!!
От себя добавлю недавнюю уязвимость.
Нашел буквально вчера.

Начнемс:
Уязвимость позволяет производить листинг директорий сервера ! (к сожалению пока недопер как просматривать файлы)

Сама уязвимость находится в Панели управления ---->
Настройки аватара !

Щелкаем на настройку аватара как всегда увидим папки аватаров и ниже списки самих картинок.

Ссылка будет иметь вид :
cgi-bin/forum/ikonboard.cgi?act=UserCP;CODE=01;MODE=1

Заглянем в код страницы и увидим что меню выбора папок имеет id useravatar_dir

Добавляе в ссылку .. э. например вот это
cgi-bin/forum/ikonboard.cgi?act=UserCP;CODE=01;MODE=1;useravatar _dir=../../../

и спокойно просматриваем папки...
если надо узнать какие папки в директории то
ПКМ --> Просмотреть Исходный код листаем вниз и смотрим.
Тестил на многих форумах.
Везде работает.
Версии ниже 3.1.5 не проверял .

У меня пока всё

05.07.2006, 23:14

~~add~~

Banned

Регистрация: 04.07.2006

Сообщений: 17

Провел на форуме:
86034

Репутация: 0

Вобщем делаю так :
Захожу:|
->панель управления
далее :
->Личные данные
потом:
"Свойства 'Аватара'"
открываеться страница с аватарой моей и свйоства:
вижу там аватары
перед этим смотрю HTML код
далее ввоже ту ссылку что написана:
"cgi-bin/forum/ikonboard.cgi?act=UserCP;CODE=01;MODE=1"
далее опять смотрю HTML код и в нём нечё не изменилось

может я чё-та не правильно зделал ?
подскажите.

Последний раз редактировалось add; 06.07.2006 в 00:00..

05.07.2006, 23:39

qBiN

Постоянный

Регистрация: 20.01.2005

Сообщений: 899

Провел на форуме:
1535446

Репутация: 182

Отправить сообщение для qBiN с помощью ICQ

Мдя...Вы правильно задавайте вопросы,что невыходит,где,после чего,как и прочее...Ваще очень вразумительный пост у тебя add
зы В след. раз если мне не будет лень буду всем ставить минусы и удалять посты,вот такой я злой...

06.07.2006, 01:08

Hao Asakura

Новичок

Регистрация: 23.06.2006

Сообщений: 14

Провел на форуме:
50680

Репутация: 0

http://www.securitylab.ru/vulnerability/source/210953.php
http://www.fssr.ru/hz.php?name=News&file=print&sid=3703 - неуязвимых движков нет...

Пока есть Гугла.

Add, ты не правильно делаешь, всё великолепно работает, просто надо не код менять, а в строку адреса браузера подставлять.

Последний раз редактировалось Hao Asakura; 06.07.2006 в 02:51..

06.07.2006, 07:31

JFKenedi

Новичок

Регистрация: 10.06.2006

Сообщений: 16

Провел на форуме:
108388

Репутация: 7

Цитата:

Сообщение от add

далее ввоже ту ссылку что написана:
"cgi-bin/forum/ikonboard.cgi?act=UserCP;CODE=01;MODE=1"
далее опять смотрю HTML код и в нём нечё не изменилось

может я чё-та не правильно зделал ?
подскажите.

Вы эту ссылку что у тебя есть надо добавить
;useravatar_dir=../../../
У тебя должно получится следующее
/cgi-bin/forum/ikonboard.cgi?act=UserCP;CODE=01;MODE=1;useravatar _dir=../../../

Вот например уязвимый форум.
_http://watchforyou.ru/cgi-bin/forum/ikonboard.cgi

06.07.2006, 07:32

JFKenedi

Новичок

Регистрация: 10.06.2006

Сообщений: 16

Провел на форуме:
108388

Репутация: 7

Цитата:

Сообщение от Hao Asakura

http://www.securitylab.ru/vulnerability/source/210953.php
http://www.fssr.ru/hz.php?name=News&file=print&sid=3703 - неуязвимых движков нет...

Пока есть Гугла.

Про эти версии я знаю я же говорил именно про 3.1.5

Цитата:

Сообщение от Hao Asakura

Add, ты не правильно делаешь, всё великолепно работает, просто надо не код менять, а в строку адреса браузера подставлять.

Хоть у кого то получилось !

07.07.2006, 01:20

~~add~~

Banned

Регистрация: 04.07.2006

Сообщений: 17

Провел на форуме:
86034

Репутация: 0

Вот посмотрите вроде не получаеться или я чёта неправильно опять зделал:
_http://kolokol.ho.com.ua/12.JPG
всё папки или файлы которые юыли при начале так и остались после дабовления кода :
Зарание блогодарен!
Извените что такие глупые вопросы задаю!

05.01.2007, 22:53

~~_-Ramos-_~~

Banned

Регистрация: 04.01.2007

Сообщений: 193

Провел на форуме:
4213286

Репутация: 728

ну есть у меня листинг директорий и что мне дает эта уязвимость кроме мучений просмотра папок находящихся на сервере?

« Предыдущая тема | Следующая тема »

Похожие темы
Тема	Автор	Раздел	Ответов	Последнее сообщение
Вопрос про уязвимости в Ikonboard 3.1.2a	BMaster	Форумы	3	15.01.2006 12:31
Как попасть в админку Ikonboard 3.0.1	Crimson	Форумы	7	30.12.2005 21:07
Какие бывают уязвимости в Ikonboard 3.1.1?	mynhauzen	Форумы	20	20.10.2004 03:35
Вопрос про ikonboard 2.1.9 (Как передать снифферу данные и куки пользователя )	Toshik	Форумы	3	18.08.2004 17:59

Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)

Быстрый переход