Hello, World! На этот раз расскажу вам про взлом vBulletin 4 ветки с последующим входом в админский аккаунт, тем самым продолжая свой цикл статей про vBulletin.
[:Что будем делать?:]
Будем юзать известные всем (даже дошкольникам) баги в 4 ветки, а это 2 SQL-Injection, одна из них находится в search.php, другая в group.php, но эти две скули все равно связаны между собой, ибо без search.php ни одна из них работать не будет. После проведения SQL-Injection мы получим хэш и соль любого юзера (в нашем случае хэш админа). После получения хэша админа мы будем авторизироваться в аккаунт благодаря подмене кукисов, не имея при этом расшифрованного пароля.
[:Что понадобится?:]
- Интернет - Без него никак.
- FireFox (Браузер, К.О) - Понадобится именно этот браузер, ибо не потребуется много времени для поиска нужных плагинов для взлома.
- Live HTTP Header (Дополнение) - Этим дополнением будем отлавливать HTTP / GET запросы, которые происходят в браузере при определенных действиях и не только.
- Cookie Manager (Дополнение) - Для просмотра всех кукисов которые хранятся в браузере.
[:Ищем жертву:]
Искать жертв проще некуда, учитывая популярность 4 ветки и неопытность юзеров, что очень разочаровывает меня, но тру хакиров это только радует. Что ж, приступим к первому шагу.
Идем в гугл, вбиваем:
Код:
Code:
Powered by vBulletin 4.0.7
Вместо 4.0.7 можно писать и другие версии от 4.0.1 до 4.1.4, но насколько я знаю фича с подменами кукисов работает не на всех версиях, однако расшифровку хэша в таких случаях никто не отменял
И вот перед нами список форумов, иногда на первых страницах поиска могут быть левые ссылки, но нам нужны только такие:
Можно определить нужный форум по подписи с версией.
Жертву нашли, приступим к следующему шагу.
[:SQL-Injection:]
Вот мы на форуме и в голове всплывает вопрос: "Какую скулю юзать?". Лично я всегда начинаю с SQL-Injection в search.php, ибо эта скуля обычно не требует регистрации на форуме, но бывает и иначе, что регистрация нужна и для поиска.
SQL-Injection в Поиске:
Итак. Идем в поиск, который обычно располагается по адресу site.ru/path/search.php, здесь нам понадобится наш плагин Live HTTP Headers (который уже установлен, не так ли?). Включаем плагин, вбиваем в поле поиска любую чушь, к примеру: "hdajsdas" и жмем на кнопку поиска, открываем плагин и видим следующее:
Цифрами я обозначил наши дальнейшие действия:
1. Жмем на ссылку.
2. Жмем кнопку повтора, чтобы можно было немного изменить запрос и отправить его еще раз.
3. И уберите птичку с чекбокса "Фиксировать" чтобы плагин отключился.
После нажатия кнопки "Повтор" появилось еще одно окно, там мы видим неизвестный нашему сознанию код, дописываем туда следующее:
Код:
Code:
humanverify[]=&searchfromtype=vBForum%3ASocialGroupMessage&do=process&contenttypeid=5&categoryid[]=-99) union select password from user where userid=1 and row(1,1)>(select count(*),concat( (select user.password) ,0x3a,floor(rand(0)*2)) x from (select 1 union select 2 union select 3)a group by x limit 1) -- /*
Должно получиться так:
Красной полоской я отделил первоначальный код и код который вставили мы. Пришло время рассказать вам о проблеме с который можно столкнуться после отправки этого запроса. На скрине видно, что я обвел красным кружочком "vb_" - это префикс, который может быть в названиях таблиц в базе данных, если вы отправляете запрос без префикса, а в БД таблицы с префиксом, то очевидно вы никакого хэша не получите, только ошибку. Как быть в таком случае? Все очень просто, отправляем запрос без префиксов, получаем страницу с ошибкой базы данных, открываем исходный код страницы и ищем следующее:
Красным кружочком опять же обвел префикс, он всегда будет в этом месте и это может быть не только слово "vb_", но и другой набор букв.
Префикс мы определили, дописали его в запрос, отправляем его и так же получаем ошибку базы данных, не пугайтесь, так и должно быть, открываем исходный код страницы и ищем:
Это и есть хэш админа. Таким образом мы вытащили только хэш, чтобы вытащить соль нужно вставлять такой код:
Код:
Code:
humanverify[]=&searchfromtype=vBForum%3ASocialGroupMessage&do=process&contenttypeid=5&categoryid[]=-99) union select salt from user where userid=1 and row(1,1)>(select count(*),concat( (select user.salt) ,0x3a,floor(rand(0)*2)) x from (select 1 union select 2 union select 3)a group by x limit 1) -- /*
Про префиксы не забываем.
SQL-Injection в социальных группах:
Для проведения данной SQL-Injection понадобится регистрация на форуме. Идем в социальные группы, обычно находятся по адресу: site.ru/path/group.php, перед нами список некоторых созданных групп, копируем название любой группы и идем в поиск.
В поиске нужно поставить галочку возле чекбокса "Группы", а в поле поиска вставляем название группы которое только что скопировали, должно получится так:
Включаем уже знакомый нам плагин: Live HTTP Header и жмем на кнопку поиска. Проделываем те же манипуляции в плагине, что и в прошлый раз. В "Повторе" дописываем уже другой код:
Код:
Code:
&cat[0]=1) UNION SELECT concat(username,0x3a,email,0x3a,password,0x3a,salt) FROM user WHERE userid=1#
Должно получится так:
На скрине видно, что в данной скуле префикс нужно дописывать только в одном месте.
Что получаем после отправки запроса:
То есть на выхлопе мы имеем гораздо больше информации по сравнению с предыдущей скулей, а это: Логин, E-Mail, хэш и соль.
На этом можно было бы закончить, но если я так сделаю, то наверняка получу статус баяниста года, ибо таких статей про взлом vBulletin 4 ветки и так навалом, да еще и видео на youtube есть, поэтому я расскажу вам еще кое-что.
[:Cookies:]
Что ж, хэш у нас есть, теперь попробуем войти в аккаунт владельца хэша. Самое забавное, что нам не придется расшифровывать хэш, всего лишь немного поменять куки полученные от форума.
Открываем наш плагин Cookie Manager, в поле "Filter Domains" пишем домен форума который является "жертвой", нажимаем на появившийся домен и справа видим все куки полученные от форума, так-как мы еще не авторизовывались там, у нас не будет главных кукисов: bb_password и bb_userid, исправим это. Идем на сайт
lj.onas/md5 и делаем все, что там написано, после чего в поле "а здесь сразу же получается md5:" появится новый хэш, который понадобится нам дальше. Копируем его, возвращаемся к Cookie Manager'у и справа нажимаем на надпись "Add Cookie", чуть выше увидим поля для заполнения, в поле Name пишем: bb_password, в поле Value вставляем хэш недавно полученный на сайте lj.onas. Жмем "Add", готово, куки добавились, теперь тоже самое проделываем с bb_userid, только в Value нужно будет вписать ID пользователя чей хэш мы стырили. В итоге должно получится так:
И последнее действие, нужно удалить bb_sessionhash, нажимаем на надпись тем самым выделяя ее и жмем Delete. Теперь все, возвращаемся к форуму, жмем F5 и вуаля, мы в аккаунте!
Теперь спешу вас огорчить, в админку вы не зайдете, можно забанить юзера с помощью нарушений, удалить некоторые темы, сообщения, но не более. Если вам нужно именно в админку, то попасть в нее сможете только если расшифруете хэш, юзайте cmd5.ru, я с помощью него расшифровал немало хэшей, не исключение и форум который был испытательным полигоном при написании статьи
На этом пожалуй закончу.
The End.
P.S Писалось для конкурса на хакнете.
Древовидный вид