Hackerare un forum phpbb2

Vorrei intanto precisare che l’attacco che analizzeremo funziona solamente con forum non fixati per i cookie ..

Ecco i procedimenti per diventare amministratore in un forum PHPBB v.1 e v.2
(utilizzando Mozilla Firefox)

1 )Andiamo su un motore di ricerca (tipo Goog1e http://www.Google.it) e cerchiamo Powered By
Phpbb 1.0.12
2 )Una volta trovato il forum andiamo nella pagina iniziale del forum ( es: www.forum.it/index.php)
3 )A questo punto consiglio di svuotare tutti i cookie , andando su Strumenti -> Opzioni -> Privacy
-> Svuota i cookie adesso
4 )Andiamo in C:\Documents And Settings\User\Dati Applicazioni\Mozilla\Firefox\Cartella*(dopo
Firefox avremo una cartella con lettere e numeri messi a casaccio , ogni utente ha un proprio nome
di cartella)
5 )Apriamo il file cookie.txt e troviamo la stringa phpbb2mysql_data seguita da un’altra stringa tiipo
questa a%3A0%3A%­7B%­7D , che dobbiamo sostituire con
a%3A2%3A%­7Bs%3A11%3A%22autologinid%22%3Bb%3A1%3Bs%3A6%3A%22userid%22%
3Bs%3A1%3A%222%22%3B%­7D
6 )A questo punto salviamo il file facendo File->Salva , quindi chiudiamo
7 )Chiudiamo TUTTE le sessioni di Mozilla Firefox
8 )Riapriamo Firefox e ritorniamo nella pagina del forum
9 )A questo punto siamo amministratori , possiamo andare sul pannello di amministrazione del
forum se vogliamo , così possiamo lasciare un messaggino all’amministratore consigliandogli di
aggiornare il forum

Come fare per usare il bridge phpbb3/phpnuke

by linuxap.it
http://www.linuxap.it

Passaggi sintetici attuati
—————————————

1] scaricare una versione del file phpBB 2.x
2] installarlo su una dir
3] scaricare il file conv_nuke
4] mettere il file conv_nuke.php nella dir principale del phpBB 2.x appena installato
5] procedere con l’installazione guidata del phpBB 2.x
6] lanciare conv_nuke.php
7] scaricare phpBB 3.x
8] metterlo su una dir del nuke /forums
9] installare il db nel nuke
10] scaricare il file phpBB3_phpnuke.zip
11] decomprimere la dir html della dir pubblica del nuke
12] lanciare l’install del phpBB 3.x e scegliere converti
13] convertire il phpBB2
14] ripulire il tutto:
a- cancellare la dir phpBB2 e il relativi sql
b- cancellare la dir install del phpBB 3.x
c- cancellare le vecchie tabelle del nukebb

e il gioco e’ fatto

Note: l’unico problema che ho riscontrato è stato che alla fine del processo di trasformazione ho dovuto reinserire a mano nellla tabella db un amministratore.
Inoltre , una volta installato il phpBB e traslati gli utenti, il collegamento tra i due programmi avviene per l’autentificazione e per la registrazione del nuovo utene.
Tutti i passaggi di modifica dei dati degli utenti registrati avvengono in maniera autonoma tra i due sistemi.

luciano AT aniene DOT net

6 maggio 2007

############# fine doc

Pensare dunque essere