----[ NITRO ... ]

Эта уязвимость была найдена с года два назад да и патч к ней уже существует год , форумов с этой версией становится все меньше а это значит что пора опубликовать рабочий эксплоит . Суть его работы состоит в сборе сессий юзеров с помощью активной xss иньекции , размещенной самим юзером , и получении данных с помощью SQL иньекции. Эксплоит состоит из нескольких частей - генератор активной xss , javascript файл , который будет вызван при посещении страницы с xss , просмотрщик логов и компонент , который извлечет данные из MySQL таблицы форума нужные данные в случае если перехваченная сессипринадлежала человеку с правами модератора.

----[ ACTIVE XSS ... ]

Скрипт xss.php , входящий в состав пакета , сгенерирует xss для последующего размещения ее в теме . В качестве ссылки следует указать полный путь до файла ya.js ( в котором вы уже предварительно исправили путь на свой ) , скорей всего останется всего лишь нажать на кнопку так как путь уже выставлен програмно .

Цитата:

◄■■■■■■■■■■■■■■■■■■■■■■■■■■■►
■■■■ Введите ссылку { url } ■■■■
■■■■ Результат { xss code } ■■■■
◄■■■■■■■■■■■■■■■■■■■■■■■■■■■►

Патч

sources/classes/bbcode/class_bbcode_core.php, Function "regex_check_image", line 924:

1.

PHP код:

$default = "[img]".$url."[/img]"; 


PHP код:

$default = "[img]".str_replace( '[', '[', $url )."[/img]"; 


2.

PHP код:

if ( preg_match( "/[?&;]/", $url) ) 


PHP код:

if ( preg_match( "/[?&;\<\[]/", $url) ) 


sources/classes/bbcode/class_bbcode_core.php, Function "post_db_parse_bbcode", line 486

1.

PHP код:

preg_match_all( "#(\[$preg_tag\])((?!\[/$preg_tag\]).+?)?(\[/$preg_tag\])#si", $t, $match ); 


PHP код:

preg_match_all( "#(\[$preg_tag\])((?!\[/$preg_tag\]).+?)?(\[/$preg_tag\])#si", $t, $match );

if ( $row['bbcode_tag'] == 'snapback' )
{
    $match[2][$i] = intval( $match[2][$i] );
} 


----[ SQL INJECTION ... ]

Иньекция осуществима лишь тогда , когда имеется сессия пользователя с доступом в модераторскую панель .

Цитата:

?act=mod&f=-6&CODE=prune_finish&pergo=50&current=50&max=3&star ter=1+union+select+1/*

Патч.Необходимо привести параметр starter к числовому виду посредством функции intval

----[ SNIFFER ... ]

Результат работы эксплоита оформлен в виде простого php cookie сниффера .

Цитата:

◄■■■■■■■■■■■■■■■■■■■■■■■■■■■►
■■■■ IP ADDRESS { ip } ■■■■
■■■■ REFERER { referer } ■■■■
■■■■ COOKIES { cookie } ■■■■
■■■■ USER ID { user id } ■■■■
◄■■■■■■■■■■■■■■■■■■■■■■■■■■■►

В случае удачного проведения SQL иньекции будут также представленая полная информация о администраторском составе форума

Цитата:

◄■■■■■■■■■■■■■■■■■■■■■■■■■■■►
■■■■ IP ADDRESS { ip } ■■■■
■■■■ REFERER { referer } ■■■■
■■■■ COOKIES { cookie } ■■■■
■■■■ USER ID { user id } ■■■■
■■■■ ADMIN NAME { } ■■■■
■■■■ ADMIN PASS { } ■■■■
■■■■ ADMIN SALT { } ■■■■
◄■■■■■■■■■■■■■■■■■■■■■■■■■■■►

----[ EOF ... ]

Выражаю большую благодарность лицам из закрытых разделов Античата , а также всем кто меня знает и не знает , тем кто дышал и не дышал в этот момент за поддержку . Скорей всего скрипт не работает или работает не так как надо . Вся информация указана выше . Надеюсь скоро линк умрет и тема будет удалена xD

www.underwater.itdefence.ru/isniff.rar
http://www.milw0rm.com/exploits/4841