vBulletin® 3.8.6 faq.php Vulnerability

Posted by bursali | Posted in Exploits | Posted on 22.07.2010 @ 11:42:32

9

Habe gerade einen interessanten Beitrag von J0hn.X3r in meinem RSS Fach gefunden. (:
Es ist wirklich erstaunlich, wie der Jelsoft Enterprises Ltd. so ein leichtsinniger Fehler unterlaufen ist.

Ist vllt schon dem ein oder anderen bekannt, aber ich find das echt interessant, dass einer großen und maechtigen Forensoftware wie vBulletin der Fehler unterlaufen kann, dass die MySQL Zugangsdaten fuer jede beliebige Person sichtbar werden kann.

Die Luecke wurde heute nachmittag veroeffentlicht und vBulletin reagierte mit einem Patch darauf.

Die faq.php wurde nur indirekt davon betroffen und dient eher als “Ausgabe”, da ein Fehler in den phrases dafuer verantwortlich war.

Wo befindet sich die Luecke?

Schauen wir uns mal die /install/vbulletin-language-de-du.xml Datei an und suchen nach “database_ingo” – was finden wir? Ah, interessant:

1
2
3
4
5

<phrase name="database_ingo" date="1277901074" username="Adduco" version="3.8.6"><![CDATA[Datenbank-Name: {$vbulletin->config['Database']['dbname']}<br />
Datenbank-Server: {$vbulletin->config['MasterServer']['servername']}<br />
Datenbank-Port: {$vbulletin->config['MasterServer']['port']}<br />
Datenbank-Benutzername: {$vbulletin->config['MasterServer']['username']}<br />
Datenbank-Kennwort: {$vbulletin->config['MasterServer']['password']}]]></phrase>

Es werden uns also unsere MySQL Datenbank Daten ausgegeben.

In der englischen Version sieht das ganze aehnlich aus /install/vbulletin-language.xml line 3701:

1
2
3
4
5

<phrase name="database_ingo" date="1271086009" username="Jelsoft" version="3.8.5"><![CDATA[Database Name: {$vbulletin->config['Database']['dbname']}<br />
Database Host: {$vbulletin->config['MasterServer']['servername']}<br />
Database Port: {$vbulletin->config['MasterServer']['port']}<br />
Database Username: {$vbulletin->config['MasterServer']['username']}<br />
Database Password: {$vbulletin->config['MasterServer']['password']}]]></phrase>

Wie nutze ich das nun aus?

Wir suchen uns ein Forum, welches von dieser Luecke betroffen ist, klicken oben auf “Hilfe”/”FAQ”, geben bei “Suchbegriffe” bzw. “Search Word(s):” dann “Datenbank” (bzw. database) ein und sehen dann, aha, erster Treffer:

Datenbank-Name: vbulletin
Datenbank-Server: localhost
Datenbank-Port: 3306
Datenbank-Benutzername: root
Datenbank-Kennwort: my4moo

Bzw. auf nem englischen Board:

Database Name: pro_astrogaming_com
Database Host: localhost
Database Port: 3306
Database Username: pro_astrogaming
Database Password: gitl0st

Screenshot

Auf das, was man damit anfangen kann, brauche ich denk ich nicht weiter drauf eingehen.

Wie schuetze ich mich davor?
Wie oben bereits gepostet durch einen Patch von der offiziellen vBulletin Seite, oder durch ein MySQL Query:

1

DELETE FROM `vb_phrase` WHERE `varname`='database_ingo'

Soviel dazu erstmal, wuensch euch noch eine schoene Woche :D

Danke für diesen interessanten Beitrag J0hn.X3r (:
Quelle..

Mit freundlichen Grüßen
~bursali

Tweet this!

Copy the Link:

Comments posted (9)

Cobra says... on 22.07.2010 @ 11:54:00
avatar

loooool XD
danke johnxer und bursali für diesen lachflash. :D

Antworten
lalala says... on 22.07.2010 @ 21:50:54
avatar

Nur mal so aus Interesse:
Man kann doch damit nichts anstellen, wenn man sie nicht irgendwo eingeben kann :D

Antworten
Tweets that mention vBulletin® 3.8.6 faq.php Vulnerability | bursali's Blog | Home of the CyberTerrorist! -- Topsy.com says... on 23.07.2010 @ 05:17:46
avatar

[...] This post was mentioned on Twitter by bursali, bursali. bursali said: vBulletin® 3.8.6 faq.php Vulnerability http://is.gd/dBTX1 [...]

Antworten
Anonymous says... on 23.07.2010 @ 14:45:53
avatar

[...] http://j0hnx3r.org/?p=623 oder http://blog.bursali.eu/2010/07/22/vbulletin%C2%AE-3-8-6-faq-php-vulnerability/Wer sucht findet nach Tagen immer noch diverse verwundbare Foren. Schon ziemlich extrem, das so [...]

Antworten
bursali says... on 23.07.2010 @ 16:41:01
avatar

@Lalala

Wenn Ich das richt verstanden habe fragst Du, wie Du die Zugangsdaten verwenden kannst.

Du kannst nach einem PMA Zugang suchen & die Daten zum Einloggen verwenden. (;

Mit freundlichen Grüßen,
~bursali

Antworten
Cyberpirat says... on 23.07.2010 @ 17:47:34
avatar

Ja das ist ja mal Interessant ^^. Jetzt wird wahrscheinlich eine vbulletin Pown Welle anrollen.

Zu lalala:
also fast jeder hat ein PHPMyAdmin oder einen Dumper am laufen. Wenn alles Passt stimmen die Daten fast überein ;) . Wenn man da mal drin ist, dann hat man alles was man braucht :D . Aber die Betonung liegt auf fast alle.

Antworten
Tweets that mention vBulletin® 3.8.6 faq.php Vulnerability | bursali's Blog | Home of the CyberTerrorist! -- Topsy.com says... on 24.07.2010 @ 14:15:11
avatar

[...] This post was mentioned on Twitter by Zikke von Hoven, bursali. bursali said: Kommentar zu vBulletin® 3.8.6 faq.php Vulnerability von Anonymous: [...] http://j0hnx3r.org/?p=623 oder http://blo... http://bit.ly/9NMAAx [...]

Antworten
lalala says... on 24.07.2010 @ 23:00:21
avatar

ok ist klar, nur wie soll man darauf kommen? man hat von http://www.abc.de die daten, nur man kann doch nicht wissen, wo man den php manager aufruft?

Antworten
lala says... on 22.08.2010 @ 21:56:13
avatar

hab leider nich ein einziges board gefunden bei dem das nocvh funktioniert. komme wohl zu spät. -.-

Antworten

Write a comment

Note: Only the first 8 digits of your IP will be stored and used for spam- & fakecomment check.

Mail
Twitter
Facebook
YouTube