Hello, World! На этот раз расскажу вам про взлом vBulletin 4 ветки с последующим входом в админский аккаунт, тем самым продолжая свой цикл статей про vBulletin.


Будем юзать известные всем (даже дошкольникам) баги в 4 ветки, а это 2 SQL-Injection, одна из них находится в search.php, другая в group.php, но эти две скули все равно связаны между собой, ибо без search.php ни одна из них работать не будет. После проведения SQL-Injection мы получим хэш и соль любого юзера (в нашем случае хэш админа). После получения хэша админа мы будем авторизироваться в аккаунт благодаря подмене кукисов, не имея при этом расшифрованного пароля.

• Интернет - Без него никак.
  
• FireFox (Браузер, К.О) - Понадобится именно этот браузер, ибо не потребуется много времени для поиска нужных плагинов для взлома.
  
• Live HTTP Header (Дополнение) - Этим дополнением будем отлавливать HTTP / GET запросы, которые происходят в браузере при определенных действиях и не только.
  
• Cookie Manager (Дополнение) - Для просмотра всех кукисов которые хранятся в браузере.

Искать жертв проще некуда, учитывая популярность 4 ветки и неопытность юзеров, что очень разочаровывает меня, но тру хакиров это только радует. Что ж, приступим к первому шагу.

Идем в гугл, вбиваем:

Вместо 4.0.7 можно писать и другие версии от 4.0.1 до 4.1.4, но насколько я знаю фича с подменами кукисов работает не на всех версиях, однако расшифровку хэша в таких случаях никто не отменял

И вот перед нами список форумов, иногда на первых страницах поиска могут быть левые ссылки, но нам нужны только такие:

http://savepic.su/1672548.png

Можно определить нужный форум по подписи с версией.

Жертву нашли, приступим к следующему шагу.


Вот мы на форуме и в голове всплывает вопрос: "Какую скулю юзать?". Лично я всегда начинаю с SQL-Injection в search.php, ибо эта скуля обычно не требует регистрации на форуме, но бывает и иначе, что регистрация нужна и для поиска.

SQL-Injection в Поиске:

Итак. Идем в поиск, который обычно располагается по адресу site.ru/path/search.php, здесь нам понадобится наш плагин Live HTTP Headers (который уже установлен, не так ли?). Включаем плагин, вбиваем в поле поиска любую чушь, к примеру: "hdajsdas" и жмем на кнопку поиска, открываем плагин и видим следующее:

http://savepic.su/1686887.png

Цифрами я обозначил наши дальнейшие действия:

1. Жмем на ссылку.

2. Жмем кнопку повтора, чтобы можно было немного изменить запрос и отправить его еще раз.

3. И уберите птичку с чекбокса "Фиксировать" чтобы плагин отключился.

После нажатия кнопки "Повтор" появилось еще одно окно, там мы видим неизвестный нашему сознанию код, дописываем туда следующее:

Должно получиться так:

http://savepic.su/1648999.png

Красной полоской я отделил первоначальный код и код который вставили мы. Пришло время рассказать вам о проблеме с который можно столкнуться после отправки этого запроса. На скрине видно, что я обвел красным кружочком "vb_" - это префикс, который может быть в названиях таблиц в базе данных, если вы отправляете запрос без префикса, а в БД таблицы с префиксом, то очевидно вы никакого хэша не получите, только ошибку. Как быть в таком случае? Все очень просто, отправляем запрос без префиксов, получаем страницу с ошибкой базы данных, открываем исходный код страницы и ищем следующее:

http://savepic.su/1693030.png

Красным кружочком опять же обвел префикс, он всегда будет в этом месте и это может быть не только слово "vb_", но и другой набор букв.

Префикс мы определили, дописали его в запрос, отправляем его и так же получаем ошибку базы данных, не пугайтесь, так и должно быть, открываем исходный код страницы и ищем:

http://savepic.su/1670502.png

Это и есть хэш админа. Таким образом мы вытащили только хэш, чтобы вытащить соль нужно вставлять такой код:

Про префиксы не забываем.

SQL-Injection в социальных группах:

Для проведения данной SQL-Injection понадобится регистрация на форуме. Идем в социальные группы, обычно находятся по адресу: site.ru/path/group.php, перед нами список некоторых созданных групп, копируем название любой группы и идем в поиск.

В поиске нужно поставить галочку возле чекбокса "Группы", а в поле поиска вставляем название группы которое только что скопировали, должно получится так:

http://savepic.su/1649017.png

Включаем уже знакомый нам плагин: Live HTTP Header и жмем на кнопку поиска. Проделываем те же манипуляции в плагине, что и в прошлый раз. В "Повторе" дописываем уже другой код:

Должно получится так:

http://savepic.su/1693048.png

На скрине видно, что в данной скуле префикс нужно дописывать только в одном месте.

Что получаем после отправки запроса:

http://savepic.su/1671544.png

То есть на выхлопе мы имеем гораздо больше информации по сравнению с предыдущей скулей, а это: Логин, E-Mail, хэш и соль.

На этом можно было бы закончить, но если я так сделаю, то наверняка получу статус баяниста года, ибо таких статей про взлом vBulletin 4 ветки и так навалом, да еще и видео на youtube есть, поэтому я расскажу вам еще кое-что.


Что ж, хэш у нас есть, теперь попробуем войти в аккаунт владельца хэша. Самое забавное, что нам не придется расшифровывать хэш, всего лишь немного поменять куки полученные от форума.

Открываем наш плагин Cookie Manager, в поле "Filter Domains" пишем домен форума который является "жертвой", нажимаем на появившийся домен и справа видим все куки полученные от форума, так-как мы еще не авторизовывались там, у нас не будет главных кукисов: bb_password и bb_userid, исправим это. Идем на сайт lj.onas/md5 и делаем все, что там написано, после чего в поле "а здесь сразу же получается md5:" появится новый хэш, который понадобится нам дальше. Копируем его, возвращаемся к Cookie Manager'у и справа нажимаем на надпись "Add Cookie", чуть выше увидим поля для заполнения, в поле Name пишем: bb_password, в поле Value вставляем хэш недавно полученный на сайте lj.onas. Жмем "Add", готово, куки добавились, теперь тоже самое проделываем с bb_userid, только в Value нужно будет вписать ID пользователя чей хэш мы стырили. В итоге должно получится так:

http://savepic.su/1641851.png

И последнее действие, нужно удалить bb_sessionhash, нажимаем на надпись тем самым выделяя ее и жмем Delete. Теперь все, возвращаемся к форуму, жмем F5 и вуаля, мы в аккаунте!

Теперь спешу вас огорчить, в админку вы не зайдете, можно забанить юзера с помощью нарушений, удалить некоторые темы, сообщения, но не более. Если вам нужно именно в админку, то попасть в нее сможете только если расшифруете хэш, юзайте cmd5.ru, я с помощью него расшифровал немало хэшей, не исключение и форум который был испытательным полигоном при написании статьи

На этом пожалуй закончу.


P.S Писалось для конкурса на хакнете.

Бро без обид.. но что здесь ты раскрыл?

бага уже всем известная сто500 раз, зачем стравливать школоту в очередной раз ломать одни и те же сайты?

OxoTnik, ни разу не видел чтоб кто-то писал про авторизацию через куки.

Упс не уследил, красава!

Нулевые знания. Переданный копипаст.

"Но насколько я знаю фича с подменами кукисов работает не на всех версиях, однако расшифровку хэша в таких случаях никто не отменял "

Не работает из-за того что в кукках соль пароля не еденица. Может работать/не работать на любых версиях, все зависит от настроек.

Про авторизацию через куки конечно хорошо, но вот ведь если в админку залезать, пароль заново спрашивает =) Как быть?

По старинке)

Можно заюзать XSS, кукки одолжить, я про баг в редакторе написания постов.

Модифицировал запрос.

Извлекаем логин, хэш и соль ОДНИМ запросом!

Первыая скуль с поиском:

Ловим запрос, посли нашего текста добавляем следующее:

В слове "salt" форум вставляет пробелы.

В исходнике будет LOGIN:HASH:SALT!

p.s. добавте в шапку.

спасибо понравилось

а символьное ограничение не смущает?

Влезает. хэш 32, соль меньше.

ТС,забыл добавить что в соле могут быть знаки,которые нужно заменить

" = "

& = &

> = >

< =

Подскажите как попасть в админку если есть доступ к базе данных?Булка 4.2.0

to Sat-hacker

Вывести логин и пароль администратора форума и если вариант с авторизацией через cookie не пройдет, расшифровывать hash, не забыв при этом прихватить salt!

UPD. Читайте тему внимательно, в первом посте все подробно расписано!

А как найти пароли в базе?База 1,5 GB

Подскажите кто то!

скачать любой брут, в разделе криптография и бруть

Посмотреть id/ник администратора.

Обычно - 1.

А в какой именно таблице?Или просто откріть всю базу 1,5 GB в текстовом документе и через поиск искать id 1?

Какой к примеру?

Да как угодно.

Можно вывести соль и пароль определенного юзера, а можно слить себе б.д и искать там, если есть такая возможность.

Брути обычным брутом по видяхе.

Не в обиду ТС конечно, но нахер такую тему.

Базу уже слил,а вот как пароль там искать не пойму.

Здравствуйте, подскажите как получить эту самую страницу с ошибкой, о которой пишет автор (выделено зелёным цветом). Я делал как в статье, в Live HTTP Replay в Post запрос дописывал код

нажимаю повтор, а затем обновляю в Мозиле страницу с поиском??? Но ошибку на ней не выводит (вот здесь я может не то что-то делаю?)... Пробовал на разных версиях vBulletin

может пофикшенная версия, может все таки ты что то не так делал, возможно пробелы не убрал , когда копировал запрос(форум имеет свойство поставить пробел в слове),

мда.. ачат уже не тот, что ранее

Еще бы.В этой теме идет подмена кук, содержащих хэш залогиненного юзера, а это боян страшнейший.

Я извиняюсь за беспокойство, но мне не понятен один пункт.

Идем на сайт lj.onas/md5 и делаем все, что там написано

Что вписывать в поле здесь пишем свой текст, из которого надо получить md5?

Спасибо за ответ.

ne aktualno

Думаю не только у меня был шелл на данном сервере.

здравствуйте за поздний час, все же, думаю, что тема все еще актуальна и стоит продолжить.

Сделал регистрацию чисто из-за того, чтобы посмотреть эти самые картинки опубликованные автором темы, которые не отображаются, видимо, их удалили. Только текст прочел и сам смысл понял.

Может, поможете?

Картинки в веб-архиве сохранились

http://web.archive.org/web/201204012...ead326318.html

Спасибо. Не знаете, где скачать старую версию Live HTTP Headers? Нигде не нахожу. Если есть, скиньте ссылку пожалуйста