Remote Exploit unter 2.0.20 und .21?

[Underhill]

Hi,

koennen die Cracks hier bitte mal unter milw0rm nachschauen? Ich verstehe den Eintrag von rgod von gestern so das alle 2.0.20 betroffen sind.

Bitte berichtigt mich wenn es nicht so ist...


Danke und Gruss
Underhill

PS: Ich habe erstmal die "admin_db_utilities.php" umbenannt...

EDIT: Titel

[fanrpg]

Das scheint nen wirklich ausgewachsener Exploit zu sein.
Was den Leuten nicht alles einfällt.

Mal gucken wie man das fixen kann.. denn die Datei umbennen halte ich nicht auf Dauer für eine sichere Aktion.

[Underhill]

Hi,

ich habe auch die Cookies umbenannt und werde ggf. erstmal die Avatare abschalten...


Gruss
Underhill

[fanrpg]

Also hier mal ein Fix, damit kann der Exploit nicht ausgeführt werden:
öffne common.php
suche

Code: Alles auswählen

if ( !defined('IN_PHPBB') )
{
	die("Hacking attempt");
}

füge dannach ein:

Code: Alles auswählen

if( file_exists( $phpbb_root_path . 'suntzu.php') or file_exists( $phpbb_root_path . 'admin/suntzu.php' ) ) 
{ 
   die('hacking attempt'); 
}

Das dürfte schonmal die Scriptkiddies aufhalten.

[Underhill]

Ok,

ich habe es zwar nicht hinbekommen das Script auf einem vanilla phpBB 2.0.20 auszufuehren (dazu fehlt mir wahrscheinlich die erforderliche Kriminalitaet ) aber ich bin mir sicher das es erstmal reichen sollte

1. Den Cookienamen anders als "phpbb2mysql" zu nennen (Der wird von phpBB als STD verwendet)
2. Die "admin/admin_db_utilities.php" erstmal umzubenennen (Darueber wird das "Paket" ausgeliefert)
3. Und ggf. die Avatare erstmal abzuschalten (So kommt man an die SessionID)
4. Die Hotfixes von Fanrpg sollten auch erstmal Ruhe in das Thema bringen

bis die phpBB-Group einen Fix bringt..


Gruss
Underhill

[TK]

Wo ist denn die Schwachstelle? Verstehe ich es richtig, dass die Session-IDs von jedem Betrachter des präparierten Avatars ausgelesen wird, wenn jemand ein Avatar als Remote eingerichtet hat, das Avatar-Bild also auf einem anderen Server liegt?

Ich habe diese Möglichkeit generell abgeschaltet: Also, meine Mitglieder können nur Avatare von der Festplatte aus auf meinen Webspace hochladen, und dann liegen alle Avatare ja zwangsläufig auf meinem Webspace...

Bin ich jetzt auf der "sicheren" Seite?

[cYbercOsmOnauT]

Man beachte in der Beschreibung folgendes

Code: Alles auswählen

you need an admin sid

Nun sagt mir bitte, wie jemand, der nicht gerade denselben PC nimmt, wie ein Admin eines Boards (und somit in der History nachsieht) die SessionID eines Admins erraten soll.

Viele Grüße,
Tekin

[Underhill]

Also, meine Mitglieder können nur Avatare von der Festplatte aus auf meinen Webspace hochladen, und dann liegen alle Avatare ja zwangsläufig auf meinem Webspace...

Genau da liegt das Problem... Boese Leute laden dir da andere Sachen als Bilder hoch..

Nun sagt mir bitte, wie jemand, der nicht gerade denselben PC nimmt, wie ein Admin eines Boards (und somit in der History nachsieht) die SessionID eines Admins erraten soll.

Ich jetzt nicht Profi in sowas aber auf milw0rm gibt es ein Video wie es geht....

Die laden dir eine Datei als Avatar hoch das in Wirklichkeit ein Cookietracker ist, wenn du als Admin das Bild dann anschaust (PN: Hallo mein Avatar geht nicht) haben die deine akuelle Session...


Gruss
Underhill

[cYbercOsmOnauT]

Die laden dir eine Datei als Avatar hoch das in Wirklichkeit ein Cookietracker ist, wenn du als Admin das Bild dann anschaust (PN: Hallo mein Avatar geht nicht) haben die deine akuelle Session...

Also in meiner URL steht keine SessionID, ein Cookie kann von einer externen Quelle nicht ausgelesen werden.

Ich schau mir das Exploit mal genauer an und "melde" mich danach wieder.

Tekin

[Underhill]

Hi,

wie gesagt - Ich bin nicht der Crack in diesen Dingen - aber schau dir doch mal das z.B. Video "(WBB Portal) Cross-Site Scripting Using Unsanitized jpg File" unter milw0rm an... dann wird dir sicher auch ganz anders

Gruss
Underhill