Форум АНТИЧАТ - Взлом vBulletin 4.x.x с последующией авторизацией в админский аккаунт

http://all-cmska.ru/uploads/posts/20...lvbulletin.png

Hello, World! На этот раз расскажу вам про взлом vBulletin 4 ветки с последующим входом в админский аккаунт, тем самым продолжая свой цикл статей про vBulletin.

[:Что будем делать?:]

Будем юзать известные всем (даже дошкольникам) баги в 4 ветки, а это 2 SQL-Injection, одна из них находится в search.php, другая в group.php, но эти две скули все равно связаны между собой, ибо без search.php ни одна из них работать не будет. После проведения SQL-Injection мы получим хэш и соль любого юзера (в нашем случае хэш админа). После получения хэша админа мы будем авторизироваться в аккаунт благодаря подмене кукисов, не имея при этом расшифрованного пароля.

[:Что понадобится?:]

Интернет - Без него никак.
FireFox (Браузер, К.О) - Понадобится именно этот браузер, ибо не потребуется много времени для поиска нужных плагинов для взлома.
Live HTTP Header (Дополнение) - Этим дополнением будем отлавливать HTTP / GET запросы, которые происходят в браузере при определенных действиях и не только.
Cookie Manager (Дополнение) - Для просмотра всех кукисов которые хранятся в браузере.

[:Ищем жертву:]

Искать жертв проще некуда, учитывая популярность 4 ветки и неопытность юзеров, что очень разочаровывает меня, но тру хакиров это только радует. Что ж, приступим к первому шагу.

Идем в гугл, вбиваем:

Код:

Code:

Powered by vBulletin 4.0.7

Вместо 4.0.7 можно писать и другие версии от 4.0.1 до 4.1.4, но насколько я знаю фича с подменами кукисов работает не на всех версиях, однако расшифровку хэша в таких случаях никто не отменял

И вот перед нами список форумов, иногда на первых страницах поиска могут быть левые ссылки, но нам нужны только такие:

http://savepic.su/1672548.png

Можно определить нужный форум по подписи с версией.

Жертву нашли, приступим к следующему шагу.

[:SQL-Injection:]

Вот мы на форуме и в голове всплывает вопрос: "Какую скулю юзать?". Лично я всегда начинаю с SQL-Injection в search.php, ибо эта скуля обычно не требует регистрации на форуме, но бывает и иначе, что регистрация нужна и для поиска.

SQL-Injection в Поиске:

Итак. Идем в поиск, который обычно располагается по адресу site.ru/path/search.php, здесь нам понадобится наш плагин Live HTTP Headers (который уже установлен, не так ли?). Включаем плагин, вбиваем в поле поиска любую чушь, к примеру: "hdajsdas" и жмем на кнопку поиска, открываем плагин и видим следующее:

http://savepic.su/1686887.png

Цифрами я обозначил наши дальнейшие действия:

1. Жмем на ссылку.

2. Жмем кнопку повтора, чтобы можно было немного изменить запрос и отправить его еще раз.

3. И уберите птичку с чекбокса "Фиксировать" чтобы плагин отключился.

После нажатия кнопки "Повтор" появилось еще одно окно, там мы видим неизвестный нашему сознанию код, дописываем туда следующее:

Код:

Code:

humanverify[]=&searchfromtype=vBForum%3ASocialGroupMessage&do=process&contenttypeid=5&categoryid[]=-99) union select password from user where userid=1 and row(1,1)>(select count(*),concat( (select user.password) ,0x3a,floor(rand(0)*2)) x from (select 1 union select 2 union select 3)a group by x limit 1) -- /*

Должно получиться так:

http://savepic.su/1648999.png

Красной полоской я отделил первоначальный код и код который вставили мы. Пришло время рассказать вам о проблеме с который можно столкнуться после отправки этого запроса. На скрине видно, что я обвел красным кружочком "vb_" - это префикс, который может быть в названиях таблиц в базе данных, если вы отправляете запрос без префикса, а в БД таблицы с префиксом, то очевидно вы никакого хэша не получите, только ошибку. Как быть в таком случае? Все очень просто, отправляем запрос без префиксов, получаем страницу с ошибкой базы данных, открываем исходный код страницы и ищем следующее:

http://savepic.su/1693030.png

Красным кружочком опять же обвел префикс, он всегда будет в этом месте и это может быть не только слово "vb_", но и другой набор букв.

Префикс мы определили, дописали его в запрос, отправляем его и так же получаем ошибку базы данных, не пугайтесь, так и должно быть, открываем исходный код страницы и ищем:

http://savepic.su/1670502.png

Это и есть хэш админа. Таким образом мы вытащили только хэш, чтобы вытащить соль нужно вставлять такой код:

Код:

Code:

humanverify[]=&searchfromtype=vBForum%3ASocialGroupMessage&do=process&contenttypeid=5&categoryid[]=-99) union select salt from user where userid=1 and row(1,1)>(select count(*),concat( (select user.salt) ,0x3a,floor(rand(0)*2)) x from (select 1 union select 2 union select 3)a group by x limit 1) -- /*

Про префиксы не забываем.

SQL-Injection в социальных группах:

Для проведения данной SQL-Injection понадобится регистрация на форуме. Идем в социальные группы, обычно находятся по адресу: site.ru/path/group.php, перед нами список некоторых созданных групп, копируем название любой группы и идем в поиск.

В поиске нужно поставить галочку возле чекбокса "Группы", а в поле поиска вставляем название группы которое только что скопировали, должно получится так:

http://savepic.su/1649017.png

Включаем уже знакомый нам плагин: Live HTTP Header и жмем на кнопку поиска. Проделываем те же манипуляции в плагине, что и в прошлый раз. В "Повторе" дописываем уже другой код:

Код:

Code:

&cat[0]=1) UNION SELECT concat(username,0x3a,email,0x3a,password,0x3a,salt) FROM user WHERE userid=1#

Должно получится так:

http://savepic.su/1693048.png

На скрине видно, что в данной скуле префикс нужно дописывать только в одном месте.

Что получаем после отправки запроса:

http://savepic.su/1671544.png

То есть на выхлопе мы имеем гораздо больше информации по сравнению с предыдущей скулей, а это: Логин, E-Mail, хэш и соль.

На этом можно было бы закончить, но если я так сделаю, то наверняка получу статус баяниста года, ибо таких статей про взлом vBulletin 4 ветки и так навалом, да еще и видео на youtube есть, поэтому я расскажу вам еще кое-что.

[:Cookies:]

Что ж, хэш у нас есть, теперь попробуем войти в аккаунт владельца хэша. Самое забавное, что нам не придется расшифровывать хэш, всего лишь немного поменять куки полученные от форума.

Открываем наш плагин Cookie Manager, в поле "Filter Domains" пишем домен форума который является "жертвой", нажимаем на появившийся домен и справа видим все куки полученные от форума, так-как мы еще не авторизовывались там, у нас не будет главных кукисов: bb_password и bb_userid, исправим это. Идем на сайт lj.onas/md5 и делаем все, что там написано, после чего в поле "а здесь сразу же получается md5:" появится новый хэш, который понадобится нам дальше. Копируем его, возвращаемся к Cookie Manager'у и справа нажимаем на надпись "Add Cookie", чуть выше увидим поля для заполнения, в поле Name пишем: bb_password, в поле Value вставляем хэш недавно полученный на сайте lj.onas. Жмем "Add", готово, куки добавились, теперь тоже самое проделываем с bb_userid, только в Value нужно будет вписать ID пользователя чей хэш мы стырили. В итоге должно получится так:

http://savepic.su/1641851.png

И последнее действие, нужно удалить bb_sessionhash, нажимаем на надпись тем самым выделяя ее и жмем Delete. Теперь все, возвращаемся к форуму, жмем F5 и вуаля, мы в аккаунте!

Теперь спешу вас огорчить, в админку вы не зайдете, можно забанить юзера с помощью нарушений, удалить некоторые темы, сообщения, но не более. Если вам нужно именно в админку, то попасть в нее сможете только если расшифруете хэш, юзайте cmd5.ru, я с помощью него расшифровал немало хэшей, не исключение и форум который был испытательным полигоном при написании статьи

На этом пожалуй закончу.

The End.

P.S Писалось для конкурса на хакнете.