dfc_darkman Опубликовано 8 Сентября 2005 Жалоба Поделиться Опубликовано 8 Сентября 2005 function revalidate_two() { global $ibforums, $DB, $std; //----------------------------------------- // Check in the DB for entered member name //----------------------------------------- if ( $_POST['username'] == "" ) { $this->revalidate_one('err_no_username'); return; } $DB->simple_construct( array( 'select' => '*', 'from' => 'members', 'where' => "name='".$ibforums->input['username']."'" ) ); $DB->simple_exec();У меня вот так Ссылка на комментарий Поделиться на других сайтах Прочее
Ryoko Опубликовано 8 Сентября 2005 Жалоба Поделиться Опубликовано 8 Сентября 2005 Значит надо фиксить:$DB->simple_construct( array( 'select' => '*', 'from' => 'members', 'where' => "name='".addslashes($ibforums->input['username'])."'" ) ); Я с них балдю... Блин... Похоже надо бы им сообщить о уязвимости... Раз до сих пор не закрыто... Хотя я не проверяла, можно ли таким образом действительно SQL иньектить... Но теоретически - запросто можно. Это... Народ, может напишите кто им? Ссылка на комментарий Поделиться на других сайтах Прочее
dfc_darkman Опубликовано 8 Сентября 2005 Жалоба Поделиться Опубликовано 8 Сентября 2005 Так пусть народ сначала ответит действительно ли это баг Ссылка на комментарий Поделиться на других сайтах Прочее
SAT Опубликовано 8 Сентября 2005 Жалоба Поделиться Опубликовано 8 Сентября 2005 dfc_darkmanа ты попробуй зарегайся например с ником O'reilly(по идее должно выдать SQL ошибку), каким образом можно из этого извлечь злую выгоду в плане вытаскивания пароля админа я не представляю. Ссылка на комментарий Поделиться на других сайтах Прочее
dfc_darkman Опубликовано 8 Сентября 2005 Жалоба Поделиться Опубликовано 8 Сентября 2005 НародХелпкакая-то фигнямне чел сказал что это вирь какой-то завёлся на форумеSmile называетьсявыскакиевает окошко конектинга к какому-то фтп, когда просматриваешь форум.Чё за нах?вот сриншот: http://www.dancegalaxy.net/forums/index.ph...pe=post&id=1287 чё делать и как лечить!? и вобще что это!? Ссылка на комментарий Поделиться на других сайтах Прочее
Anna Опубликовано 9 Сентября 2005 Жалоба Поделиться Опубликовано 9 Сентября 2005 (изменено) 1. Скриншот можно посмотреть только будучи зарегенным, а региться в лом.2. Надо посмотреть твой результирующий HTML страницы, на которой это окошко таинственным образом всплывает. В этом коде надо найти какой-то скрипт popup, или что-то еще с window.open, или другим инородным кодом, способным открывать данное окошечко.3. Затем надо просмотреть главный шаблон и шаблоны частей, которые имеют отношение к формированию того куска HTML кода в котором ты найдешь инородные строки. Это что касается устранения. А по поводу того как это могло быть - надо просмотреть логи доступа к админпанели и phpmyadmin и много еще куда посмотреть. Хорошо бы проверить наличие скрытых админских прав у юзеров неадминских групп - это в таблице мемберов есть поле mgroup_others - оно не должно содержать в себе номер админской группы.Как-то так наверное. Изменено 9 Сентября 2005 пользователем Anna Ссылка на комментарий Поделиться на других сайтах Прочее
nafigator Опубликовано 9 Сентября 2005 Жалоба Поделиться Опубликовано 9 Сентября 2005 НародХелпкакая-то фигнямне чел сказал что это вирь какой-то завёлся на форумеSmile называетьсявыскакиевает окошко конектинга к какому-то фтп, когда просматриваешь форум.Чё за нах?вот сриншот: http://www.dancegalaxy.net/forums/index.ph...pe=post&id=1287 чё делать и как лечить!? и вобще что это!?<{POST_SNAPBACK}>Это значит только то, что в тэге стоит ссылка на картинку, размещённую на чьём-то FTP. И всё.Если просит логин-пароль и т.п., значит на FTP доступ открыт не всем. Это не уязвимость, это руки выложившего. Ссылка на комментарий Поделиться на других сайтах Прочее
Anna Опубликовано 9 Сентября 2005 Жалоба Поделиться Опубликовано 9 Сентября 2005 (изменено) Nafigator, ИМХО, такой код:<img src="ftp://....jpg" border="0" />не способен открыть новое окошко или я ошибаюсь?И еще. Чел просмотривет ФОРУМ, а не тему. Какие там могут быть ТЕГИ?Обратите внимание на логин, с которым происходит обращение к IP адресу данного FTP сервера: Smail - (а не Smile, как писал автор исходного поста). Smail - это по всей видимости Send Mail - отправка письма. И я думаю, что в письме которое пытается отправить данное "окошечко" находится ничто иное, как куки просматривающего страницу пользователя, возможно и админа. Изменено 9 Сентября 2005 пользователем Anna Ссылка на комментарий Поделиться на других сайтах Прочее
dfc_darkman Опубликовано 9 Сентября 2005 Жалоба Поделиться Опубликовано 9 Сентября 2005 блинговниво какое-тонадо покапаться щас в кодепросто оно то выскакивает, то не выскакиевает.[1126262247:1126262744]Все окпроехалиэто тип просто в своём посте ссылался на картинку с фтппроблема решенаСпасибо![1126262744:1126263011]Вот такой прикол был[img=ftp://[email protected]/be.gif] Ссылка на комментарий Поделиться на других сайтах Прочее
nafigator Опубликовано 9 Сентября 2005 Жалоба Поделиться Опубликовано 9 Сентября 2005 Nafigator, ИМХО, такой код:<img src="ftp://....jpg" border="0" />не способен открыть новое окошко или я ошибаюсь?И еще. Чел просмотривет ФОРУМ, а не тему. Какие там могут быть ТЕГИ?Обратите внимание на логин, с которым происходит обращение к IP адресу данного FTP сервера: Smail - (а не Smile, как писал автор исходного поста). Smail - это по всей видимости Send Mail - отправка письма. И я думаю, что в письме которое пытается отправить данное "окошечко" находится ничто иное, как куки просматривающего страницу пользователя, возможно и админа.<{POST_SNAPBACK}>Анна, извини, всё мимо...Способен. ИЕ пытается сгружать все картинки и выводит запрос логина-пароля, если он требуется для загрузки какой-либо из них.Насчёт "просматривает форум"- видимо, это было образно сказано. Тема, конечно. Не форум.Ну и Smail, естественно, никакой не sendmail... Честно говоря, не могу сходу назвать способ прямого обращения из браузера к sendmail проблема решенаНу вот и хорошо Ссылка на комментарий Поделиться на других сайтах Прочее
millstone Опубликовано 10 Сентября 2005 Жалоба Поделиться Опубликовано 10 Сентября 2005 Всем привет. Мой форум недавно взломали, а потом поделились тем, как это было сделано. (Очень благородно Выкладываю описание, если кому-то это поможет исправить дыру. Если не трудно поделитесь советом, как это можно сделать! привет. я coyl. сегодня я покажу, как ломать ипб 2.0.ч до 2.0.4это я буду делать при помощи самописного сплоита, который вскоре будет доступен на rst.void.ru =) итак ломать будем на локалхосте, так как скорость максимальна.сплоит работает. работает долго. поэтому есть время рассказать что да как=)в некоторых форумах (которые были конвертированы) в мискле хранится пароль в первом своем мд5 хеше. мой сплоит прет его из ипб2.0.х до 2.0.4 при любом мискле.но если 1только он есть, а если нет, то он прет соль и хитро зашифр. парольSALT : ]qsnaсоль естьпрет он их только при мискле от 4.0 =(пароль шифруется по формуде мд5(мд5(соль).мд5(пароль))PASS HASH : 0bad8e6cabd561ea38d02276d9e65f9cпароль, а вернее его хэш найден.как видите [~] SEARCHING THE EASIEST WAY... [ FAILED ]то есть первого хэша нету =(ну что ж будемломатьподготовим файл со словарем. зашифруем его по формуле мд5(соль).мд5(пароль).для этого я юзаю также самописную прогу. она нам еще пригодится не раз =)всё. сконвертилось. вот такой вот файли-словарик получился =)ищем... долго... чё-т тормозить...ну да лана... пока позырим имя цели под номером 2http://x3m.lo.ru/fo/index.php?showuser=2 - это он!super admin его имя.8b42647c84b31c5de4af94a6b45d566c99754106633f94d350db34d548d6091aэто соответствует формуле мд5(соль).мд5(пароль)теперь отделим мд5(пароль) и расшифруем =)99754106633f94d350db34d548d6091aэто пароль в первом мд5 =) ттеперь расшифруем его исходным словарём =)бля... опять тормоза...повезло. пароль был в словаре, а еслиб его не было, то можн было бы попробовать по маске подбирать. первые 32 символа известны. =)проверяемвуаля! Ссылка на комментарий Поделиться на других сайтах Прочее
GiV Опубликовано 10 Сентября 2005 Жалоба Поделиться Опубликовано 10 Сентября 2005 мде... одни идиоты пишут туторы для других... ужос... Любезнейший, курите Исправление уязвимостей форумов , помогает... Ссылка на комментарий Поделиться на других сайтах Прочее
dfc_darkman Опубликовано 10 Сентября 2005 Жалоба Поделиться Опубликовано 10 Сентября 2005 мда...ему бы не помешало подучить русский язык Ссылка на комментарий Поделиться на других сайтах Прочее
Terabyte Опубликовано 19 Сентября 2005 Автор Жалоба Поделиться Опубликовано 19 Сентября 2005 (изменено) del Изменено 13 Августа 2017 пользователем Terabyte Ссылка на комментарий Поделиться на других сайтах Прочее
selt Опубликовано 25 Сентября 2005 Жалоба Поделиться Опубликовано 25 Сентября 2005 Подскажите пожалуйста какую заплатку поставить? Трабл следующий - "хакер" может постить сообщения от любого зарегиного ника, в том числе админа (я думаю это какой нибудь эмулятор), потому как если бы он мог взломать пароль - зашел бы в админку и побольше проблем сделал...Версия ipb 2.0.3 без всяких фиксов. Ссылка на комментарий Поделиться на других сайтах Прочее
Mokkey Опубликовано 25 Сентября 2005 Жалоба Поделиться Опубликовано 25 Сентября 2005 Версия ipb 2.0.3 без всяких фиксов.<{POST_SNAPBACK}>Хочешь добрый совет? Ставь ВСЕ заплатки, что есть под 2.0.3 (найдешь в этой теме ссылки и описания). Пытаться закрывать одну проблему, имея при этом кучу других потенциальных проблем - не рационально... Ссылка на комментарий Поделиться на других сайтах Прочее
selt Опубликовано 26 Сентября 2005 Жалоба Поделиться Опубликовано 26 Сентября 2005 Mokkey обновил форум до версии 2.0.4 и поставил заплатку про инекцию в MySQL от 2 сентября 2005г. Думаешь поможет? Может что-то еще? Ссылка на комментарий Поделиться на других сайтах Прочее
Anna Опубликовано 26 Сентября 2005 Жалоба Поделиться Опубликовано 26 Сентября 2005 (изменено) Теперь пароли надо менять. Либо может всем соль перестроить, если хакером использовалась автоматическая авторизация (эмуляция отправки кука, а не дешифровка-авторизация) и еще надо бы сменить префикс для куков. Изменено 26 Сентября 2005 пользователем Anna Ссылка на комментарий Поделиться на других сайтах Прочее
selt Опубликовано 26 Сентября 2005 Жалоба Поделиться Опубликовано 26 Сентября 2005 Anna а что даст смена префикса? Можно на любое значение поменять?Сегодня очередная его попытка - мне на мыло пришло письмо, я кобы я забыл пароль и пользовался службой восстановления пароля. Это чем-то грозит? Можете подсказать где взять мод для установки доп. пароля на админку.Еще хочу создать и положить файл htaccess - прописать там несколько Ip - с которых можно заходить, а остальные заблокировать. Это реально? Если да, то какого должно быть содержимое этого файла и куда его заливать.[1127737293:1127738137]Кстати это обновление версии и фикс от 2.09 не помог. Он сегодня запостил от другого админа сообщение....Что делать? Ссылка на комментарий Поделиться на других сайтах Прочее
Anna Опубликовано 26 Сентября 2005 Жалоба Поделиться Опубликовано 26 Сентября 2005 (изменено) Смена префикса поможет в том случае, если куки были тупо похищены и имитированы. Если же похищен хеш и расшифрован, то поможет только смена пароля.Я бы еще сменила Соль - это там же где пароль меняется. Доп. пароль я рекомендовала бы реализовать через htaccess<Files ~ "\admin.php$"> AuthType Basic AuthUserFile /root/.../.htpasswd AuthName "Authorization required" Require valid-user </Files> Фикс тебе уже не поможет, если пароли хеши паролей похищены и расшифрованы. Смени префикс у куков, чтобы они больше не действовали и поменяй пароли всем админам и модераторам, + поменяй соль. Я думаю поможет. Изменено 26 Сентября 2005 пользователем Anna Ссылка на комментарий Поделиться на других сайтах Прочее
selt Опубликовано 27 Сентября 2005 Жалоба Поделиться Опубликовано 27 Сентября 2005 Я вычислял и банил уже порядка 15 его ip. Выходит он по диал-апу. И каждый раз без проблем регистрируется...Как такое может быть? Может есть какой эмулятор IP? Не может же так бесконечно продолжаться.... Ссылка на комментарий Поделиться на других сайтах Прочее
Dr.Freddy Опубликовано 27 Сентября 2005 Жалоба Поделиться Опубликовано 27 Сентября 2005 Что делать — тебе уже написали. Бан по IP бесполезен, если он ходил по диал-апу — в этом случае он каждый раз получает новый IP. Кроме того, есть прокси. Ссылка на комментарий Поделиться на других сайтах Прочее
nafigator Опубликовано 27 Сентября 2005 Жалоба Поделиться Опубликовано 27 Сентября 2005 Смени всем пароли. Это сейчас единственное решение, которое поможет, если ты, конечно, всё пропатчил, как и сказал. Ссылка на комментарий Поделиться на других сайтах Прочее
docdoc Опубликовано 27 Сентября 2005 Жалоба Поделиться Опубликовано 27 Сентября 2005 (изменено) лохов ищем в другом месте Изменено 27 Сентября 2005 пользователем Mitos Ссылка на комментарий Поделиться на других сайтах Прочее
selt Опубликовано 28 Сентября 2005 Жалоба Поделиться Опубликовано 28 Сентября 2005 Anna я поставил в админке префикс на куки (раньше это поле пустым было) - сейчас надо авторизовываться при каждом посещении и все картинки и просмотр тем на главной странице форума в куки не сохраняется. Так и должно быть? Dr Freddy Так можно все забаненные IP открывать? Смысла в этом нет? Дело в том, что в нас. пункте откуда выходят пользователи телефонных линий не много - номера типа XYZZZ, где Y-3 значения, а Z все. И у других, кто выходит с модема ip всегда один и тот же и не меняется, а у этого "хакера" меняется... как так? Так зачем тогда бан если он бесполезен? Неужели нет способа ограничить таким пользователям доступ? NaFigator из темы "уязвимость" все патчи которые были поставил. Ссылка на комментарий Поделиться на других сайтах Прочее
Рекомендуемые сообщения