vBulletin - BUG incredibile!

ho letto un articolo dove i hackers russi sono riusciti a crackare vbulletin fino a v.3.6.6; nn perkè sono stati bravi ma per 1 errore clamoroso di programmazione!

consiste nel fare il dump completo del vostro forum, ossia tutte le password, mails e quant'altro

di conseguenza ho provato a fare 1 piccolo test in locale... rislultato --> riuscito al 100%

NB: se stai legendo qst post e hai un forum vbulletin mandami un PM
proverò ad aiutarvi

Peccato che le password siano un hash di una combinazione di hash della password e di un salt unico a sua volta hashato!

Mi sa tanto di grandissima bufala quella che hai scritto...

Importante per chi legge: non date mai e a nessuno i vostri dati di accesso, di nessun sito e di nessun forum (o blog, o quant'altro)


ciao!

Mi sa tanto di grandissima bufala quella che hai scritto...

tu dici!?
guarda, qst è una password generata con vbulletin v3.0.1

pass "e10adc3949ba59abbe56e057f20f883e"

uno pensa chi mai potra decodificarla!?

eccola: http://tools.web-max.ca/encode_decode.php

(inserite quella pass nella finestrella e clickate md5 decrypt)

mi sa proprio che nn è una bufalata!!

HAHAHAH, bella barzelletta!

Prova a decodificare questa: 4726f56a68946a31023de57ce73e0073
e dimmi che parola ti esce fuori!


Ciao!

se fossi in te nn riderei + di tanto...

ovviamente quello era 1 esempio, in internet ci sono alcuni programmi molto potenti nel decifrare.. ci possono mettere giorni per decifrare ma alla fine riescono sempre...

[darkwolf]

Quoto con debug in merito alla "1845cd9889ec7e357f2e85602addf504"
-
This tool will allow you to either encode / encrypt a string to its MD5 hash, or decode / decrypt it from MD5 ( if it exists in our lookup tables ).
-
Ergo se non uso il loro sito per codificare la mia password non sarà decodificabile nel loro sito.
(almeno chè non sia stato un altro a codificare la medesima frase, per questo è estremamente importante usare password "univoche").
-
Fonte: http://it.wikipedia.org/wiki/MD5

L'MD5 (acronimo di Message Digest algorithm 5) è un algoritmo per la crittografia dei dati a senso unico realizzato da Ronald Rivest nel 1991 e standardizzato con la RFC 1321.

Questo tipo di codifica prende in input una stringa di lunghezza arbitraria e ne produce in output un'altra a 128 bit (ovvero con lunghezza fissa di 32 valori esadecimali, indipendentemente dalla stringa di input) che può essere usata per calcolare la firma digitale dell'input. La codifica avviene molto velocemente e si presuppone che l'output (noto anche come "MD5 Checksum" o "MD5 Hash") restituito sia univoco (ovvero si ritiene che sia impossibile, o meglio, che sia altamente improbabile ottenere con due diverse stringhe in input una stessa firma digitale in output) e che non ci sia possibilità, se non per tentativi, di risalire alla stringa di input partendo dalla stringa di output (la gamma di possibili valori in output è pari a 16 alla 32esima potenza).

Vabbè, non è una novità, esistono da parecchi anni, è una tecnica chiamata Brute Force.
Fatti una bella ricerca e una bella cultura sull'argomento.

EDIT: riguardo a quel sito che vorrebbe decriptare o decodificare (visto che md5 come lo sha1 non sono criptatori ma hashing), molto probabilmente ha un db (non molto grande a quanto vedo) con una manciata di stringhe hashate e il loro rispettivo valore in chiaro. ;)


Ciao!

mha... ho aperto il topic con l'intenzione di aiutare ad eliminare il bug...

cmq, io sono un professionista nel'hacking... nn mi serve nessun manuale per imparare in quanto sono 1 autodidatta...

da parole passiamo alla pratica...

1. faccio una ricerca su altervista: "powered by vBulletin v3.0.1"
...
2. voilà! il mal capitato si chiama "khonline.ilsupernet.altervista.org"
3. ecco un pezzo del dump della tabella "users"
(nb: ho modificato di proposito mail e password reali..)


"...INSERT INTO user VALUES('1','6','','0','Darklight','d55d30528d90d7c 3fghfgh6cc0f00354cd5d5f','2008-03-10','darklfgdfgfdgight000@gmdfail.com','0','','',' ','','','darklight000@hotmail.com','','2','2','Web master Amministratore','1','1173991734','0','1210539167', '1210676794','1210176908','59','10','1','0','0','0 ','0','0','2391','06-02-1986','1986-06-02','-1','1','','0','0','0','0','-1','30','0','`@g','0');
INSERT INTO user VALUES('2','5','','0','NeXus','aad1b438891fd10f12f ghf4bb598196b1d6e','2007-03-16','thenefhdxus@freemail.it','0','','http://khonline.ilsupernet.altervista.org/kh/','','','','thenexus@freemail.it','','1','2','Non-Existent Mod','2','1174054440','0','1201961989','1203801090 ','1203801078','56','10','5','1','1','0','0','0',' 3447','02-24-1992','1992-02-24','-1','1','84.223.148.193','0','2','0','0','-1','13','0','|eA','1');
INSERT INTO user ..."

NB: nn ho nessuna intenzione di divulgare il databese ai terzi ne tanto meno per uso personale.

ciò che hai appena visto è il possibile attaco dei hackers ai danni del tuo forum vbulletin

Aggiungo, per i curiosi, a quanto già detto...
Se si applica un certo algoritmo a una stringa di lunghezza arbitraria e si otterrà una stringa di lunghezza fissa, significa che "vengono perse (o eventualmente aggiunte) delle informazioni". Questo significa che non è possibile applicare l'algoritmo in modo inverso per riottenere la stringa di partenza; almeno teoricamente è così.
E' ovvio che se si codifica una stringa di 3-4 caratteri (o anche di più, dipende dal calcolatore) è facile provare tutte le combinazioni possibili...

Quel sito non è in grado di decodificare una stringa che non ha già codificato qualcuno!

EDIT
Strano che in questo momento ci sia qualcuno che cerca di fare una sql injection al mio forum (151.50.28.xx)...
A buon intenditore...

[silvermaledetto]

http://www.youtube.com/watch?v=ivkNztmYJNE

Strano che in questo momento ci sia qualcuno che cerca di fare una sql injection al mio forum (151.50.28.xx)...
A buon intenditore...

strano xke il mio IP è 151.50.49.xx

Sarà solo una strana coincidenza.

Meno male che il mio ip generalmente inizia con 87 o con 79

Provate questa: accb79a58313b799f19f040876744452

Comunque, mi avete convinto, avevo intenzione di passare da myBB a vBulletin, me meglio che lascio myBB, che avrà anche dei suoi bug, lo so, ma non credo che ci sono bug sulle password.


Grazie per non avermi fatto passare a vBulletin



Ciao...

anchio mi trovo bene con myBB ... oltretutto è molto personalizzabile e gratis.

Comunque tornando in argomento Vbulletin devo dire di essere sorpreso ... non pensavo ci fossero dei bug's cosi pericolosi ... oltretutto su un prodotto che costa caro!.

(p.s. quindi anche questo di AV è a rischio ???)

Si infatti anche io mi sono scioccato.

Comunque su questo forum nella barra degli indirizzi non vedo sessioni con $_GET, probabilmente saranno state impostate con $_POST così nessuno le può vedere e nessuno le decifra.



Ciao...

anchio mi trovo bene con myBB ... oltretutto è molto personalizzabile e gratis.

Comunque tornando in argomento Vbulletin devo dire di essere sorpreso ... non pensavo ci fossero dei bug's cosi pericolosi ... oltretutto su un prodotto che costa caro!.

(p.s. quindi anche questo di AV è a rischio ???)

anche qst di altervista nn è un'eccezione...
pensa 1 paio di settimane fa hanno fatto un "deface" al sito della apple....

Per favore finitela di sparare sentenze su ciò di cui capite/conoscete pochissimo!

Chi è a conoscenza di eventuali bug, lo segnali a quelli del vBulletin.

Il resto è aria fritta!


Ciao!