Внедрение JS в phpBB

Vovochka · Сообщение **Vovochka** » 14.06.2005 1:55

http://antichat.ru/
Ищите
XSS в phpBB с использованием phpNuke
Автор: Green Bear

Суть в том, что в каталог форума можно загрузить файл с JS и выполнить...
В Opera закачать файл можно и с локальной машины, и с URL, а в IE - только с URL

Если я запостил не в ту тему - скажите...

Romiyo · Сообщение **Romiyo** » 14.06.2005 6:38

Что значит "Ищите"?!. Вам нужен ответ, вы и давайте ссылку!

И вообще, в чём суть вопроса то?!.

Сообщение **Xpert** » 14.06.2005 8:21

Vovochka
phpNuke - очень измененная по сравнению с phpBB система и ее глюки - не глюки phpBB.

Vovochka · Сообщение **Vovochka** » 14.06.2005 11:19

Это относится и к phpBB
Я смог закачать gif файл с содержанием:
<script>alert(document.cookie);</script>
А затем выполнил.

Вот что пишет тот, кто нашел эту уязвимость

Бага существует в модуле форума phpbb (дуршлаг ентот -)
После взлома с помощью аватары форума IPB, я решил проверить на туже уязвимость форум phpbb. Сначала мне не дало результатов это. Форум писал, мол, нельзя загружать такое. Думал не прокатит. Но потом решил попробовать загрузить аватору с сервера... прописал: http://flood3r.com/avatar.jpg и... все ок! Она загрузилась!
Потом идем на форум, кидаем ссылку типа:
"Всем привет! Заходите на мой сайт - [url=http://adress_saita/modules/forum/avatars/users/xxxxx.jpg]ссылка[\url], где ххххх - это адрес вашей аватары. "

"Ищите" я написал затем, чтобы вы своими глазами увидели, как это делается (там видео есть).

Суть вопроса в том, что это - уязвимость phpBB и куда написать я не знал.

Сообщение **Mr. Anderson** » 14.06.2005 12:19

Vovochka
Сами на 2.0.15 пробовали? Дырку с Remote Avatars закрывали AFAIK давненько (до конца ли - вопрос).

Vovochka · Сообщение **Vovochka** » 14.06.2005 13:20

Mr. Anderson,
проверял, даже на этом форуме.
Резутьтат [удалено]
Закачиваем картинку под Opera, на ссылку жмем под IE...

Я временно запретил у себя загрузку аватар. Пришлось изменить исходники, поскольку форум не показывал уже загруженные картинки.

Сообщение **Mr. Anderson** » 14.06.2005 13:35

Vovochka
Хм... Алерт выскочил

И?

Сообщение **Siava** » 14.06.2005 15:09

Нет никаких алетртов, потому что Опера

Vovochka · Сообщение **Vovochka** » 14.06.2005 15:40

Mr. Anderson,
Я получил Ваши cookies. Сейчас я их просто показал через alert. Но я их могу отправить себе куда-то, а потом заменить свои отстойные на админские...

Хоть до административной панели не доберусь (из-за повторной аутентификации), но нагадить успею...

А теперь вопрос:
Как эту уязвимость прикрыть?
Это не спасет
http://phpbbhacks.com/download/3159
Я еще это не ставил и не тестировал, но главное - чтобы злоумышленник не узнал адрес той аватарки, что он закачал и не успел ее подсунуть, скажем, админу.

lEO-dead · Сообщение **lEO-dead** » 14.06.2005 17:03

хых, ну админ то исчо должен по ссылке перейти...
а чтоб перейти по этой ссылке надо быть очень тугим админом...
хотя х.з. конечно...

Сообщение **Mr. Anderson** » 14.06.2005 18:06

Vovochka писал(а):Я получил Ваши cookies. Сейчас я их просто показал через alert.

Алерт у меня в ИЕ был пустой - окошко и кнопа. Чего я не так делаю?

Vovochka · Сообщение **Vovochka** » 14.06.2005 18:15

Mr. Anderson писал(а):Алерт у меня в ИЕ был пустой - окошко и кнопа. Чего я не так делаю?

А у меня - с cookie (даже под гостем). Что не так - не знаю.

Сообщение **Mr. Anderson** » 14.06.2005 23:01

Vovochka
Гм... А что он ВАМ выдает?

Vovochka · Сообщение **Vovochka** » 15.06.2005 0:25

Mr. Anderson,
Из того, что я знаю, там есть SID.
Подменяю свой SID на полученный, и я – не я.

Когда я в IE запрещал cookies, у меня окошко тоже пустым было.

Сообщение **Mr. Anderson** » 15.06.2005 9:01

Vovochka писал(а):Подменяю свой SID на полученный, и я – не я.

"Ой, чтоли правда? Да что ты говоришь?" (с)
А про привязку сессии к IP забыли?