Уязвимости в IPB 2.*

Тема в разделе ".:: Уязвимости", создана пользователем schut123, 2 окт 2007.

Статус темы:
Закрыта.
  1. schut123

    schut123 Писатель

    Регистр.:
    17 авг 2007
    Сообщения:
    6
    Симпатии:
    5
    вот я тут выложу информацию о некоторых уязвимостях.
    Уязвимым оказался скрипт кп админки. Если поставить вместо ссылки на аватару ссылку на пхп-сплоит, то при просмотре админом (это должен быть рут-админ) акка пользователя через контрпанельку имеется возможность выполнить скуль-комманды через IPB's SQL Toolbox.

    Вот сам текст с багтрака:
    Код:
    From: Rapigator <rapigator_at_yahoo.com>
    Date: Wed, 4 Oct 2006 11:58:38 -0700 (PDT)
    
    Invision Power Board Multiple Vulnerabilities
    Affects: IPB <=2.1.7
    Risk: High
    
    An attack exists where an admin can be redirected and
    forced to execute SQL commands through IPB's SQL
    Toolbox.
    
    The following requirements must be met for this attack
    to take place:
    - The database table prefix must be known
    - The admin must have access to the SQL Toolbox (any
    "root admin")
    - The admin must have images and referers turned on in
    their browser, and their browser must follow Location
    headers (default behaviour for most browsers)
    - The admin must view a malicious script as an image
    in their browser.
    
    This attack works invisibly to the admin because only
    the image is redirected, not the page.
    
    
    1st method:
    In this method, any user can force the admin to
    execute SQL commands.
    
    1. A user sets their avatar to the malicious script's
    address
    2. The admin looks up the user's account in the Admin
    CP
    3. The user's avatar is shown and the admin is
    redirected....
    
    
    2nd method:
    A restricted admin can add any HTML to a forum's
    description(including javascript).
    
    1. A restricted admin adds the malicious script as an
    image to a forum's description.
    2. Upon going to the "Manage Forums" link in Admin CP,
    an unrestricted admin will be redirected and the SQL
    will be executed.
    
    
    Example malicious image script:
    <?php
    
    //The member id to promote to root admin
    $mid = 145;
    
    //The database prefix (usually "ibf_")
    $prefix = "ibf_";
    
    if (preg_match('/(.*adsess=[\\w]{32})/',
    $_SERVER['HTTP_REFERER'], $admin_loc) and $mid)
    {
    header("Location:
    ".$admin_loc[1]."&act=sql&code=runsql&query=UPDATE+{$prefix}members+SET+mgroup%3D4+where +id%3D{$mid}+LIMIT+1");
    }
    
    ?>
    
    http://seclists.org/bugtraq/2006/Oct/0049.html
    
    Уязвимы версии:
    Invision Power Board 2.0.x
    Invision Power Board 2.1.0 - 2.1.7
    Invision Power Board 2.2 Beta 1

    Неуязвимы:
    Invision Power Board 2.1.7 (ID: 21013.61005.s)
    Invision Power Board 2.2 Beta 2

    Не пугайтесь сильно, вот вам Ручное исправление уязвимостей от 05.10.06

    Файл ./sources/action_admin/member.php, найти код:
    Код
    Код:
    //-----------------------------------------
                // Avatar?
                //-----------------------------------------
    
                if ( $r['avatar_location'] and $r['avatar_type'] )
                {
                    $avatar = $this->ipsclass->get_avatar( $r['avatar_location'], 1, '25x25', $r['avatar_type'] );
    
                    if ( ! strstr( $avatar, 'width=' ) )
                    {
                        $avatar = str_replace( '<img', "<img width='25' height='25'", $avatar );
                    }
                }
                else
                {
                    $avatar = "<img src='{$this->ipsclass->skin_url}/images/memsearch_head.gif' border='0' />";
    
    
    заменить на код
    Код:
     //-----------------------------------------
                // Avatar?
                //-----------------------------------------
    
                //-----------------------------------------
                // SECURITY UPDATE: Removing  user avatar
                //-----------------------------------------
    
                $avatar = "<img src='{$this->ipsclass->skin_url}/images/memsearch_head.gif' border='0' />";
    

    Не забываем нажимать кнопочку "спасибо" =)
     
    DJSTIVE, zip111, dragonstyle и 2 другим нравится это.
  2. schut123

    schut123 Писатель

    Регистр.:
    17 авг 2007
    Сообщения:
    6
    Симпатии:
    5
    Никому не интересно? хороше.. я еще нашел уязвимости, но наверное никому они не интересны...
     
  3. unkn0wn

    unkn0wn

    Регистр.:
    22 дек 2006
    Сообщения:
    163
    Симпатии:
    86
    Именно поэтому на своем форуме я отключил удаленные картинки и аватары. Вообще же маскировка скрипта под картинку - давно изъезженный метод, грамотный одмин такие фени давно знает.

    А строить из себя обиженного брось, не разводи детский сад.
     
  4. -Зверик-

    -Зверик- Прохожие

    schut123, если новые 0day то конечно же пость под большим хайдом.

    а вот баян с 2006 года не надо....
     
  5. schut123

    schut123 Писатель

    Регистр.:
    17 авг 2007
    Сообщения:
    6
    Симпатии:
    5
    Поищим.. Пока что для булки отпишу..
     
  6. romverru

    romverru Писатель

    Регистр.:
    2 мар 2009
    Сообщения:
    8
    Симпатии:
    0
    ответ

    Интересно бы почитать как эти уязвимости можно использовать для взлома
     
  7. Shotlandec

    Shotlandec

    Регистр.:
    17 сен 2007
    Сообщения:
    728
    Симпатии:
    162
    все это старье... на античате то же уже толком ни чего по IPB не пишут... Есть ли грамотные люди, кто подскажет, что актуально на сегодняшний день? Меня конкретно интересует >=2.2.2. По всем мануалам что смог найти и использовать, получилось только открытие путей сотворить...
     
  8. WuZi

    WuZi Постоялец

    Регистр.:
    2 окт 2008
    Сообщения:
    96
    Симпатии:
    37
    Уязвимости находят, нужно смотреть забугорные багтраки =)

    Вот кое-что нагуглил :


    Power Board 2.2.2 Cross Site Scripting vulnerability
    http://www.tith4ck.net/k3600/ipb-lt-222-xss-exploit/



    IPB <= 2.3.3 blind sql-injection
    http://exploit.in/modules.php?name=News&file=view&news_id=2091



    IPB <= 2.3.5 sql injection exploit
    www.milw0rm.com/exploits/6507

     
    Виллен нравится это.
  9. ziv

    ziv Постоялец

    Регистр.:
    5 дек 2006
    Сообщения:
    104
    Симпатии:
    5
    У нас городском форуме под IPB2 ломают через день.
    Вот очередной обиженный начал на нем тренироваться, теперь в собщениях через каждую букву выводятся 5 знаков (######).
     
  10. ziv

    ziv Постоялец

    Регистр.:
    5 дек 2006
    Сообщения:
    104
    Симпатии:
    5
    А мне то че помогать?
    И вообще ты че здесь посты набираешь? Если есть что поделу - говори, напомню обсуждается уязвимость IPB 2.
     
Статус темы:
Закрыта.