Уязвимости форумов Invision Power Board

[dfc_darkman]

function revalidate_two()
       {
               global $ibforums, $DB, $std;

               //-----------------------------------------
               // Check in the DB for entered member name
               //-----------------------------------------

               if ( $_POST['username'] == "" )
               {
                       $this->revalidate_one('err_no_username');
                       return;
               }

               $DB->simple_construct( array( 'select' => '*', 'from' => 'members', 'where' => "name='".$ibforums->input['username']."'" ) );
               $DB->simple_exec();

У меня вот так

[Ryoko]

Значит надо фиксить:

$DB->simple_construct( array( 'select' => '*', 'from' => 'members', 'where' => "name='".addslashes($ibforums->input['username'])."'" ) );

 

Я с них балдю... Блин... Похоже надо бы им сообщить о уязвимости... Раз до сих пор не закрыто... Хотя я не проверяла, можно ли таким образом действительно SQL иньектить... Но теоретически - запросто можно. Это... Народ, может напишите кто им?

[dfc_darkman]

Так пусть народ сначала ответит действительно ли это баг

[SAT]

dfc_darkman

а ты попробуй зарегайся например с ником O'reilly(по идее должно выдать SQL ошибку), каким образом можно из этого извлечь злую выгоду в плане вытаскивания пароля админа я не представляю.

[dfc_darkman]

Народ

Хелп

какая-то фигня

мне чел сказал что это вирь какой-то завёлся на форуме

Smile называеться

выскакиевает окошко конектинга к какому-то фтп, когда просматриваешь форум.

Чё за нах?

вот сриншот:

 

http://www.dancegalaxy.net/forums/index.ph...pe=post&id=1287

 

чё делать и как лечить!? и вобще что это!?

[Anna]

1. Скриншот можно посмотреть только будучи зарегенным, а региться в лом.

2. Надо посмотреть твой результирующий HTML страницы, на которой это окошко таинственным образом всплывает. В этом коде надо найти какой-то скрипт popup, или что-то еще с window.open, или другим инородным кодом, способным открывать данное окошечко.

3. Затем надо просмотреть главный шаблон и шаблоны частей, которые имеют отношение к формированию того куска HTML кода в котором ты найдешь инородные строки.

 

Это что касается устранения. А по поводу того как это могло быть - надо просмотреть логи доступа к админпанели и phpmyadmin и много еще куда посмотреть. Хорошо бы проверить наличие скрытых админских прав у юзеров неадминских групп - это в таблице мемберов есть поле mgroup_others - оно не должно содержать в себе номер админской группы.

Как-то так наверное.

Изменено 9 Сентября 2005 пользователем Anna

[nafigator]

Народ

Хелп

какая-то фигня

мне чел сказал что это вирь какой-то завёлся на форуме

Smile называеться

выскакиевает окошко конектинга к какому-то фтп, когда просматриваешь форум.

Чё за нах?

вот сриншот:

 

http://www.dancegalaxy.net/forums/index.ph...pe=post&id=1287

 

чё делать и как лечить!? и вобще что это!?

<{POST_SNAPBACK}>

Это значит только то, что в тэге стоит ссылка на картинку, размещённую на чьём-то FTP. И всё.

Если просит логин-пароль и т.п., значит на FTP доступ открыт не всем.

 

Это не уязвимость, это руки выложившего.

[Anna]

Nafigator, ИМХО, такой код:

<img src="ftp://....jpg" border="0" />

не способен открыть новое окошко

или я ошибаюсь?

И еще. Чел просмотривет ФОРУМ, а не тему. Какие там могут быть ТЕГИ?

Обратите внимание на логин, с которым происходит обращение к IP адресу данного FTP сервера: Smail - (а не Smile, как писал автор исходного поста). Smail - это по всей видимости Send Mail - отправка письма. И я думаю, что в письме которое пытается отправить данное "окошечко" находится ничто иное, как куки просматривающего страницу пользователя, возможно и админа.

Изменено 9 Сентября 2005 пользователем Anna

[dfc_darkman]

блин

говниво какое-то

надо покапаться щас в коде

просто оно то выскакивает, то не выскакиевает.[1126262247:1126262744]Все ок

проехали

это тип просто в своём посте ссылался на картинку с фтп

проблема решена

Спасибо![1126262744:1126263011]Вот такой прикол был

[img=ftp://Smail@82.207.38.14/be.gif]

[nafigator]

Nafigator, ИМХО, такой код:

<img src="ftp://....jpg" border="0" />

не способен открыть новое окошко

или я ошибаюсь?

И еще. Чел просмотривет ФОРУМ, а не тему. Какие там могут быть ТЕГИ?

Обратите внимание на логин, с которым происходит обращение к IP адресу данного FTP сервера: Smail - (а не Smile, как писал автор исходного поста). Smail - это по всей видимости Send Mail - отправка письма. И я думаю, что в письме которое пытается отправить данное "окошечко" находится ничто иное, как куки просматривающего страницу пользователя, возможно и админа.

<{POST_SNAPBACK}>

Анна, извини, всё мимо...

Способен. ИЕ пытается сгружать все картинки и выводит запрос логина-пароля, если он требуется для загрузки какой-либо из них.

Насчёт "просматривает форум"- видимо, это было образно сказано. Тема, конечно. Не форум.

Ну и Smail, естественно, никакой не sendmail... Честно говоря, не могу сходу назвать способ прямого обращения из браузера к sendmail

 

 

проблема решена

Ну вот и хорошо

[millstone]

Всем привет. Мой форум недавно взломали, а потом поделились тем, как это было сделано. (Очень благородно Выкладываю описание, если кому-то это поможет исправить дыру. Если не трудно поделитесь советом, как это можно сделать!

 

привет. я coyl. сегодня я покажу, как ломать ипб 2.0.ч до 2.0.4

это я буду делать при помощи самописного сплоита, который вскоре будет доступен на rst.void.ru =)

итак ломать будем на локалхосте, так как скорость максимальна.

сплоит работает. работает долго. поэтому есть время рассказать что да как=)

в некоторых форумах (которые были конвертированы) в мискле хранится пароль в первом своем мд5 хеше. мой сплоит прет его из ипб2.0.х до 2.0.4 при любом мискле.

но если 1только он есть, а если нет, то он прет соль и хитро зашифр. пароль

SALT : ]qsna

соль есть

прет он их только при мискле от 4.0 =(

пароль шифруется по формуде мд5(мд5(соль).мд5(пароль))

PASS HASH : 0bad8e6cabd561ea38d02276d9e65f9c

пароль, а вернее его хэш найден.

как видите

[~] SEARCHING THE EASIEST WAY... [ FAILED ]

то есть первого хэша нету =(

ну что ж будемломать

подготовим файл со словарем. зашифруем его по формуле мд5(соль).мд5(пароль).

для этого я юзаю также самописную прогу. она нам еще пригодится не раз =)

всё. сконвертилось. вот такой вот файли-словарик получился =)

ищем... долго... чё-т тормозить...

ну да лана... пока позырим имя цели под номером 2

http://x3m.lo.ru/fo/index.php?showuser=2 - это он!

super admin его имя.

8b42647c84b31c5de4af94a6b45d566c99754106633f94d350db34d548d6091a

это соответствует формуле мд5(соль).мд5(пароль)

теперь отделим мд5(пароль) и расшифруем =)

99754106633f94d350db34d548d6091a

это пароль в первом мд5 =) ттеперь расшифруем его исходным словарём =)

бля... опять тормоза...

повезло. пароль был в словаре, а еслиб его не было, то можн было бы попробовать по маске подбирать. первые 32 символа известны. =)проверяем

вуаля!

[GiV]

мде... одни идиоты пишут туторы для других... ужос...

 

Любезнейший, курите Исправление уязвимостей форумов , помогает...

[dfc_darkman]

мда...

ему бы не помешало подучить русский язык

[Terabyte]

del

Изменено 13 Августа 2017 пользователем Terabyte

[selt]

Подскажите пожалуйста какую заплатку поставить?

 

Трабл следующий - "хакер" может постить сообщения от любого зарегиного ника, в том числе админа (я думаю это какой нибудь эмулятор), потому как если бы он мог взломать пароль - зашел бы в админку и побольше проблем сделал...

Версия ipb 2.0.3 без всяких фиксов.

[Mokkey]

Версия ipb 2.0.3 без всяких фиксов.

<{POST_SNAPBACK}>

Хочешь добрый совет? Ставь ВСЕ заплатки, что есть под 2.0.3 (найдешь в этой теме ссылки и описания). Пытаться закрывать одну проблему, имея при этом кучу других потенциальных проблем - не рационально...

[selt]

Mokkey обновил форум до версии 2.0.4 и поставил заплатку про инекцию в MySQL от 2 сентября 2005г. Думаешь поможет? Может что-то еще?

[Anna]

Теперь пароли надо менять. Либо может всем соль перестроить, если хакером использовалась автоматическая авторизация (эмуляция отправки кука, а не дешифровка-авторизация) и еще надо бы сменить префикс для куков. Изменено 26 Сентября 2005 пользователем Anna

[selt]

Anna а что даст смена префикса? Можно на любое значение поменять?

Сегодня очередная его попытка - мне на мыло пришло письмо, я кобы я забыл пароль и пользовался службой восстановления пароля. Это чем-то грозит?

 

Можете подсказать где взять мод для установки доп. пароля на админку.

Еще хочу создать и положить файл htaccess - прописать там несколько Ip - с которых можно заходить, а остальные заблокировать. Это реально? Если да, то какого должно быть содержимое этого файла и куда его заливать.[1127737293:1127738137]Кстати это обновление версии и фикс от 2.09 не помог. Он сегодня запостил от другого админа сообщение....

Что делать?

[Anna]

Смена префикса поможет в том случае, если куки были тупо похищены и имитированы. Если же похищен хеш и расшифрован, то поможет только смена пароля.

Я бы еще сменила Соль - это там же где пароль меняется.

 

Доп. пароль я рекомендовала бы реализовать через htaccess

<Files ~ "\admin.php$">
     AuthType Basic
     AuthUserFile /root/.../.htpasswd
     AuthName "Authorization required"
     Require valid-user
</Files>

 

Фикс тебе уже не поможет, если пароли хеши паролей похищены и расшифрованы. Смени префикс у куков, чтобы они больше не действовали и поменяй пароли всем админам и модераторам, + поменяй соль. Я думаю поможет.

Изменено 26 Сентября 2005 пользователем Anna

[selt]

Я вычислял и банил уже порядка 15 его ip. Выходит он по диал-апу. И каждый раз без проблем регистрируется...Как такое может быть? Может есть какой эмулятор IP? Не может же так бесконечно продолжаться....

[Dr.Freddy]

Что делать — тебе уже написали. Бан по IP бесполезен, если он ходил по диал-апу — в этом случае он каждый раз получает новый IP. Кроме того, есть прокси.

[nafigator]

Смени всем пароли. Это сейчас единственное решение, которое поможет, если ты, конечно, всё пропатчил, как и сказал.

[docdoc]

лохов ищем в другом месте Изменено 27 Сентября 2005 пользователем Mitos

[selt]

Anna я поставил в админке префикс на куки (раньше это поле пустым было) - сейчас надо авторизовываться при каждом посещении и все картинки и просмотр тем на главной странице форума в куки не сохраняется. Так и должно быть?

 

Dr Freddy Так можно все забаненные IP открывать? Смысла в этом нет? Дело в том, что в нас. пункте откуда выходят пользователи телефонных линий не много - номера типа XYZZZ, где Y-3 значения, а Z все. И у других, кто выходит с модема ip всегда один и тот же и не меняется, а у этого "хакера" меняется... как так?

 

Так зачем тогда бан если он бесполезен? Неужели нет способа ограничить таким пользователям доступ?

 

NaFigator из темы "уязвимость" все патчи которые были поставил.