هاست لینوکس

آخرین بسته‌ی MyBB: نسخه‌ی 1.8.27 MyBB منتشر شد


امتیاز موضوع:
  • 0 رأی - میانگین امتیازات: 0
  • 1
  • 2
  • 3
  • 4
  • 5
mybb cms crss-site scripting to all version
#1
Thumbs Up 
سلام و درود.
امروز دیگه چسبیدم به باگ ها.خواستن توانستنه.کم کم دارم همرو پابلیک میکنم.این باگ هم برای mybb می باشد که باید با یوزر ادمین وارد شین.این مشکل امنیتی,فقط با وارد شدن در کنترل پنل می باشد و توضیحات تکمیلی و نحوه عملکرد,داخل اکسپلوین توضیح داده شده :


کد:
#################################

#
#     @@@    @@@@@@@@@@@    @@@@@           @@@@@@@@@@            @@@  @@@@@@@
#     @@@    @@@@@@@@@@@    @@@  @@         @@@     @@            @@@  @@@@@@@@  
#     @@@    @@@            @@@    @@       @@@       @@          @@@  @@@  @@@  
#     @@@    @@@            @@@      @@     @@@     @@            @@@  @@@  @@@  
#     @@@    @@@@@@@@@@@    @@@       @     @@@@@@@@@@            @@@  @@@@@@
#     @@@    @@@@@@@@@@@    @@@     @@      @@@     @@            @@@  @@@@@@
#     @@@    @@@            @@@   @@        @@@       @@   @@@    @@@  @@@ @@@
#     @@@    @@@            @@@ @@          @@@     @@     @@@    @@@  @@@  @@@
#     @@@    @@@@@@@@@@@    @@@@@           @@@@@@@@@@     @@@    @@@  @@@   @@@
#

#####################################

#####################################

#         Iranian Exploit DataBase

#سلام و درود.
امروز دیگه چسبیدم به باگ ها.خواستن توانستنه.کم کم دارم همرو پابلیک میکنم.این باگ هم برای mybb می باشد که باید با یوزر ادمین وارد شین.این مشکل امنیتی,فقط با وارد شدن در کنترل پنل می باشد و توضیحات تکمیلی و نحوه عملکرد,داخل اکسپلوین توضیح داده شده :


#################################

#
#     @@@    @@@@@@@@@@@    @@@@@           @@@@@@@@@@            @@@  @@@@@@@
#     @@@    @@@@@@@@@@@    @@@  @@         @@@     @@            @@@  @@@@@@@@  
#     @@@    @@@            @@@    @@       @@@       @@          @@@  @@@  @@@  
#     @@@    @@@            @@@      @@     @@@     @@            @@@  @@@  @@@  
#     @@@    @@@@@@@@@@@    @@@       @     @@@@@@@@@@            @@@  @@@@@@
#     @@@    @@@@@@@@@@@    @@@     @@      @@@     @@            @@@  @@@@@@
#     @@@    @@@            @@@   @@        @@@       @@   @@@    @@@  @@@ @@@
#     @@@    @@@            @@@ @@          @@@     @@     @@@    @@@  @@@  @@@
#     @@@    @@@@@@@@@@@    @@@@@           @@@@@@@@@@     @@@    @@@  @@@   @@@
#

#####################################

#####################################

#         Iranian Exploit DataBase

# Mybb Cms (create forum Page) Cross-Site Script Vulnerability

# Vulnerability : xss Vulnerability

# Vulnerability on : (create forum Page And Edit Forum)

# Version : 1.6* and 1.8.*

# tested : 1.6.18 and 1.8.7

# Vendor site : http://mybb.com/

# pic : http://kkli.ir/K9dwT

# Author : IeDb.Ir

# Site : Www.IeDb.Ir   -   Www.IeDb.Ir/acc   -   xssed.Ir   -   kkli.ir

# Vulnerability attack information site : http://xssed.Ir/

# Archive Exploit = http://kkli.ir/tZa6l

#####################################

# Bug :

http://www.site.com/mybb/admin/index.php?module=forum-management

-----------------------------


# Description :

Enter your admin user the first control panel.
Then go to the forums and posts.
Then click on the Add Forum.
Create your community and forum.
Then into that section, and then click on Edit Profile.

pic : http://kkli.ir/NYHS7

After getting into the community editing and form,
At the Forum, as well as forums, you can put your xss code.

pic : http://up.iedb.ir/uploads/mybb-bug3.jpg

Then, an association is made we store.
Then we just go logged in.
As you can see, you xss code is executed.

pic : http://kkli.ir/1pDlv

Your use of this Bug and security problems, can a small program, you can use cookies to users who come to this forum, to take theft.

The bug in all versions is responsive and is a medium security problem.

--------------

Exploit is private.
The exploit only to send the news and is also in the process of this vulnerability.
To request exploits, stay tuned with us:

http://iedb.ir

http://iedb.ir/acc/

http://irist.ir

http://xssed.ir

email : iedb.team@gmail.com

tnks to : All Member In Iedb.ir and Iedb.ir/acc and And all the other friends that are associated with our team.

#####################################

#  Archive Exploit = http://iedb.ir/exploits-5031.html

#####################################

لینک اثبات : http://iedb.ir/exploits-5031.html

ورژن هایی که تست شده,1.6.18 و 1.8.7

لطفا مدیران mybb و مسئولین,این باگ رو گزارش بدهند.ممنون میشم بد از ثبت,لینک این موضوع رو در داخل سایت اصلی برای من ارسال کنید.
من نتونستم صبت نام کنم.اما مدیران mybb ایرانی و کسانی که داخل فروم هستند,لطفا این را داخل اونجا قرار بدین و لینک بهم بدین.

باگ های بعدش در روز های آینده.:13:

این کار فقط جنبه اطلاع رسانی می باشد. :13::13:

موفق باشید.با تشکر ** مدیریت تیم امنیتی IeDb.Ir **y

# Vulnerability : xss Vulnerability

# Vulnerability on : (create forum Page And Edit Forum)

# Version : 1.6* and 1.8.*

# tested : 1.6.18 and 1.8.7

# Vendor site : http://mybb.com/

# pic : http://kkli.ir/K9dwT

# Author : IeDb.Ir

# Site : Www.IeDb.Ir   -   Www.IeDb.Ir/acc   -   xssed.Ir   -   kkli.ir

# Vulnerability attack information site : http://xssed.Ir/

# Archive Exploit = http://kkli.ir/tZa6l

#####################################

# Bug :

http://www.site.com/mybb/admin/index.php?module=forum-management

-----------------------------


# Description :

Enter your admin user the first control panel.
Then go to the forums and posts.
Then click on the Add Forum.
Create your community and forum.
Then into that section, and then click on Edit Profile.

pic : http://kkli.ir/NYHS7

After getting into the community editing and form,
At the Forum, as well as forums, you can put your xss code.

pic : http://up.iedb.ir/uploads/mybb-bug3.jpg

Then, an association is made we store.
Then we just go logged in.
As you can see, you xss code is executed.

pic : http://kkli.ir/1pDlv

Your use of this Bug and security problems, can a small program, you can use cookies to users who come to this forum, to take theft.

The bug in all versions is responsive and is a medium security problem.

--------------

Exploit is private.
The exploit only to send the news and is also in the process of this vulnerability.
To request exploits, stay tuned with us:

http://iedb.ir

http://iedb.ir/acc/

http://irist.ir

http://xssed.ir

email : iedb.team@gmail.com

tnks to : All Member In Iedb.ir and Iedb.ir/acc and And all the other friends that are associated with our team.

#####################################

#  Archive Exploit = http://iedb.ir/exploits-5031.html

#####################################

لینک اثبات : http://iedb.ir/exploits-5031.html

ورژن هایی که تست شده,1.6.18 و 1.8.7

لطفا مدیران mybb و مسئولین,این باگ رو گزارش بدهند.ممنون میشم بد از ثبت,لینک این موضوع رو در داخل سایت اصلی برای من ارسال کنید.
من نتونستم صبت نام کنم.اما مدیران mybb ایرانی و کسانی که داخل فروم هستند,لطفا این را داخل اونجا قرار بدین و لینک بهم بدین.

باگ های بعدش در روز های آینده.:13:

این کار فقط جنبه اطلاع رسانی می باشد. :13::13:

موفق باشید.با تشکر ** مدیریت تیم امنیتی IeDb.Ir **
پاسخ
 سپاس شده توسطfirstboy000 (۱۳۹۵/۱/۲۶، ۱۵:۳۰:۳۳ عصر)
#2
اول جا داره تشکر کنم از شما که مشکلات رو میگید. Heart

بله درسته، متاسفانه این گونه باگ های ایکس اس اس زیاده. حتی توی توضیحات انجمن هم این مشکل هست(چند وقت پیش دیدم اما نه روی نسخه 1.8.7)، اما خب باید اینو بگم که اصلا خطری برای خود سایت نداره، چون اولا تو این مورد و چند مورد مشابه همه چیز دست شماست چون
نقل‌قول:  باید با یوزر ادمین وارد شین

 و باید استاندارد و اصولی عمل کنید. دوم اینکه اگر این نوع باگ رو خودتون زدید نگران نباشید زیاد. چون قاعدتا با کاربر و مرورگرش سرکار داره نه سایت و سرورتون


پس درست عمل کنید(جایی که باید متن بنویسید، متن بنویسید و کاراکتر های مجاز استفاده کنید و اگر دانشتون زیاد نیست کدی نزنید) و بعد دیگه نگران هیچی از بابت این باگ نباشید.

موفق باشید
نصب و آپدیت انجمن مای بی بی | پلاگین و پوسته | تغییرات داخلی انجمن
نصب و بروزرسانی وردپرس طراحی پوسته های وردپرسی سبک با سئوی بالا
شخصی سازی پوسته های مای بی بی و وردپرس
طراحی سیستم مدیریت محتوای اختصاصی و خاص با برترین زبان های برنامه نویسی دنیا
جهت سفارش در تلگرام: firstboy000@
پاسخ
 سپاس شده توسطIeDb (۱۳۹۵/۱/۲۶، ۱۸:۱۳:۵۹ عصر)
#3
(۱۳۹۵/۱/۲۶، ۱۵:۴۱:۳۸ عصر)firstboy000 نوشته است: اول جا داره تشکر کنم از شما که مشکلات رو میگید. Heart

بله درسته، متاسفانه این گونه باگ های ایکس اس اس زیاده. حتی توی توضیحات انجمن هم این مشکل هست(چند وقت پیش دیدم اما نه روی نسخه 1.8.7)، اما خب باید اینو بگم که اصلا خطری برای خود سایت نداره، چون اولا تو این مورد و چند مورد مشابه همه چیز دست شماست چون
نقل‌قول:  باید با یوزر ادمین وارد شین

 و باید استاندارد و اصولی عمل کنید. دوم اینکه اگر این نوع باگ رو خودتون زدید نگران نباشید زیاد. چون قاعدتا با کاربر و مرورگرش سرکار داره نه سایت و سرورتون


پس درست عمل کنید(جایی که باید متن بنویسید، متن بنویسید و کاراکتر های مجاز استفاده کنید و اگر دانشتون زیاد نیست کدی نزنید) و بعد دیگه نگران هیچی از بابت این باگ نباشید.

موفق باشید


سلام داداشی.خوبی؟ممنون از جوابت
نگاه کنید,این قسمت من گفتم که وارد ادمین شین.خوب بعدش رو خوندین؟داخل خود اکسپلویت توضیح دادم.
یک ادم بلانسبت همگی بی مغز و سواستفاده گر,میدونید چکار میکنه؟میاد سایت میزنه یا سایت داره
یک کد درست میکنه که یک چیزی رو دانلود کنه یا اجرا شه و ....
بعد طرف میره توی اون بخش.هیچی دیده نمیشه.اما در اصل ادمین یک سوء استفاده کرده.درسته؟
من تلاشم اینه که به حداقل برسونیم این مشکلات رو.
الان پروژه mybb امن,که نیاز به آپدیت نداشته باشه,همه چی داشته باشه,امنیت هم تضمینی,80% رو طی کرده.بخاطر همین راحت کلی باگ از مای بی بی زدم.و یکی یکی دارم میذارم.اما مهم هاش رو نه.ولی میزارم.
الانم یک باگ dos روی مای بی بی میذارم.
شما اولین تیمی هستین دارین منو حمایت میکنید و انرژی میدین که بتونم منم کمکی کرده باشم.

لطف میکنید این باگ های مای بی بی رو به سایت خود رسمی ببرید؟
یکی این باگ یکی باگ http://community.mybbiran.com/thread-19174.html و یکی دیگه که الان توی همین قسمت میذارم
اگه بتونید بذارید.امیدوارم واسه یکبار که شده اسم ما توی آپدیت باشه.ههههههههه
ممنون میشم انجام بدین.اسممون بیفته توی مای بی بی.باث افتخاره.
مرسی.
پاسخ
#4
با سلام
این باگ و دوتا باگ دیگه در mybb.com به ثبت رسید.با تشکر از firestboy عزیز بابت کمکشون و راهنماییشون
ایین باگ و چنوتا باگ دیگه به ثبت رشید و نتیجه رو مثبت اعلام گردند و تصمیماتی برای یوزر من گرفتند و فعالیت هایی کا دارم با mybb میکنم که تایید کردند و  یوزر من به درجه ای رسید و .....
دوبارهومسئولیت جدید و باز سنگین اونوبه دوشمون افتاد
با تشکر.
پاسخ
 سپاس شده توسطfirstboy000 (۱۳۹۵/۲/۵، ۰۸:۳۸:۰۵ صبح) ، شماره مجازی (۱۴۰۱/۸/۲۶، ۰۱:۵۲:۲۸ صبح) ، گراف مسنجر (۱۴۰۱/۱۰/۳، ۰۴:۱۴:۳۲ صبح) ، چارتر ۴۲۴ (۱۴۰۲/۹/۱۲، ۱۵:۱۵:۴۶ عصر)


موضوع‌های مشابه…
موضوع نویسنده پاسخ بازدید آخرین ارسال
Exclamation باگ جدید MyBB 1.8.6 Cross-Site Scripting Vulnerability IeDb 0 1,225 ۱۳۹۵/۸/۲۱، ۱۸:۵۹:۵۷ عصر
آخرین ارسال: IeDb

پرش به انجمن:


کاربرانِ درحال بازدید از این موضوع: 1 مهمان