elhacker.net cabecera Bienvenido(a), Visitante. Por favor Ingresar o Registrarse
¿Perdiste tu email de activación?.

 

 


Tema destacado: Usando Git para manipular el directorio de trabajo, el índice y commits (segunda parte)


+  Foro de elhacker.net
|-+  Seguridad Informática
| |-+  Hacking
| | |-+  Bugs y Exploits
| | | |-+  Nivel Web (Moderadores: sirdarckcat, WHK)
| | | | |-+  Codigo de ejecución PHP y XSS en IPBoard 3.0.5
0 Usuarios y 1 Visitante están viendo este tema.
Páginas: [1] Ir Abajo Respuesta Imprimir
Autor Tema: Codigo de ejecución PHP y XSS en IPBoard 3.0.5  (Leído 4,071 veces)
WHK
Moderador Global
***
Desconectado Desconectado

Mensajes: 6.605


Sin conocimiento no hay espíritu


Ver Perfil WWW
Codigo de ejecución PHP y XSS en IPBoard 3.0.5
« en: 21 Febrero 2010, 07:13 am »

Estaba viendo una demostración del IPBoard que pude obtener desde la web oficial y viendo algunas opciones me pude dar cuenta que puedes ejecutar código arbitrario y xss en dos lados diferentes.

Antes de comenzar a explicar debo decir que esto se encuentra solamente en el sistema de administración xD asi que solamente los que tengan acceso podrán ejecutar ambas cosas.

El xss se encuentra al editar el logo:
http://ejemplo/admin/index.php?adsess=[sesion]&app=core&&module=templates&section=easylogo&do=finish

En este lugar encontraremos un input para poner el logo del theme, pero no podemos inyectar código html porque nos filtra las comillas simples y dobles, asi que como lo podemos evadir?
VBulletín utiliza variables de esta forma: {style_image_url}/logo.png asi que dentro de {} no nos filtran nada asi que desde ahi podemos inyectar de la siguiente manera:
Citar
logo.png<{'onerror=alert(0) x='}

Con eso ya puedes ejecutar código arbitrario desde el theme.

El código de ejecución en php se encuentra en la edición del theme.
Por eejmplo si al theme le ponemos <?php echo 'x'; ?> no lo ejecutará sino que lo mostrará solamente ya que lanza un echo completo, pero si ejecuta las variables en php, por ejemplo {$x} ya que el theme completo se procesa en eval y echo.

Si no podemos usar tags de php como escapamos y ejecutamos código?....
así:
Código

Tube que encerrar la variabe en dos llaves diferentes porque vbulletin me filtraba las llaves sin un $.
También reemplaza los puntos a htmlentities y utiliza addslashses xD asi que le aplicamos las funciones inversas.

Demo online:
http://a133.ipsdemo.ipslink.com/index.php?x=echo file_get_contents('../../../../../../../etc/passwd');exit;
y
view-source:http://a133.ipsdemo.ipslink.com/index.php?x=system%28%27ls%20-la%27%29;exit;

Ojo que el demo que me dieron dura 24 horas asi que si no ven el enlace se hacen uno nuevo y lo prueban.

PD: a servidores como el del demo que tiene allow url open activo pueden subirse una c99 y hacer full backup :P
PD2: a vbulletín no les aviso de la vulnerabilidad porque ellos ganan dinero vendiendo el sistema y tienen el suficiente dinero como para contratar a auditores, yo no les hago el trabajo porque ellos nunca me han dado nada, no así los de libre pago como smf, ellos si aportan muchisimo a la gente asi que a ellos si les reportamos primero :P.
« Última modificación: 21 Febrero 2010, 07:24 am por WHK » En línea

Castg!
Wiki

Desconectado Desconectado

Mensajes: 1.191



Ver Perfil WWW
Re: Codigo de ejecución PHP y XSS en IPBoard 3.0.5
« Respuesta #1 en: 21 Febrero 2010, 07:23 am »

Qué buen metodo este!
Código

no lo conocia y puede ser muy practioco ;)! como siempre, impecable... te felicito, un saludo garnde ;)
En línea

~ Yoya ~
Wiki

Desconectado Desconectado

Mensajes: 1.125



Ver Perfil
Re: Codigo de ejecución PHP y XSS en IPBoard 3.0.5
« Respuesta #2 en: 21 Febrero 2010, 14:35 pm »

Bien hecho, se nota que tienes unas ganas de auditar algun otro CMS xD.
En línea

Mi madre me dijo que estoy destinado a ser pobre toda la vida.
Engineering is the art of balancing the benefits and drawbacks of any approach.
invisible_hack


Desconectado Desconectado

Mensajes: 978


Invisible_Hack™ Nick Registrado ^^


Ver Perfil WWW
Re: Codigo de ejecución PHP y XSS en IPBoard 3.0.5
« Respuesta #3 en: 21 Febrero 2010, 20:05 pm »

Muy cierto, VBulletin es de pago, y como tal, debería poner más empeño en reparar y revisar mas a menudo su código para intentar fixear nuevos bugs...y no lo han hecho...

Poco a poco se va desmoronando el lema ese de que los sistemas de pago, por el simple hecho de ser de pago son intocables  :xD

Saludos.
En línea

"Si no visitas mi blog, Chuck te dará una patada giratoria"
Páginas: [1] Ir Arriba Respuesta Imprimir 

Ir a:  

Mensajes similares
Asunto Iniciado por Respuestas Vistas Último mensaje
Ejecución de código en VLC Player
Noticias
wolfbcn 1 3,797 Último mensaje 27 Marzo 2011, 22:42 pm
por Guerrerohgp
Ejecución de código en Bluecoat ProxySG y ProxyOne
Noticias
wolfbcn 0 1,196 Último mensaje 3 Mayo 2011, 15:20 pm
por wolfbcn
Ejecución de código en Opera
Noticias
wolfbcn 0 1,235 Último mensaje 20 Mayo 2011, 13:15 pm
por wolfbcn
iTunes soluciona, sin mencionarlo, un problema de ejecución de código
Noticias
wolfbcn 0 1,243 Último mensaje 24 Junio 2012, 23:22 pm
por wolfbcn
Ejecución de código en productos F-Secure para servidores
Noticias
wolfbcn 0 1,485 Último mensaje 29 Abril 2013, 17:58 pm
por wolfbcn
WAP2 - Aviso Legal - Powered by SMF 1.1.21 | SMF © 2006-2008, Simple Machines