OWASP VBScan


Off Topic    Konuyu Açacağın Bölüm Yoksa Konunu Buraya Açabilirsin :)

Yazar: İmpala    0 Yorum    125 Görüntüleme
  • Derecelendirme: 0/5 - 0 oy

Paylaşım Tarihi: 30.05.2016, 18:27:21 #1
İmpala Cezalı Üye
Cezalı Üye
Status: Çevrimdışı Yorumları:28 Konuları:14 Kayıt Tarihi:30.05.2016

Sitemize kayıtlı değilseniz linkleri görebilmeniz İçin Kayıt Olun veya Giriş Yapın
Konu başlığından da anlaşılacağı gibi vBulletin forum sistemindeki zaafiyetleri tespit edebilmek kullandığımız bir araç.
Kullanım için konu bitiminde linkini vereceğim.

Konsoldaki kullanımı oldukça basit;
vbscan.pl Sitemize kayıtlı değilseniz linkleri görebilmeniz İçin Kayıt Olun veya Giriş Yapın
şeklinde komutumuzu girdiğimizde vBulletin forumunda OWASP’ın belirlemiş olduğu tüm zaafiyetleri tarıyor.
Ayrıca zaafiyet datası güncel tutulmaktadır ayrıca packetstormsecurity.com ve exploit-db.com üzerinden POC linki vermektedir.

Ben herhangi bir vBulletin forumunu kullanan site üzerinde deneme yaptım ve orda çıkan sonuçları vermek istiyorum.
Ayrıca tarama işlemi bittikten sonra reports klasöründe sonuçları txt biçiminde vermektedir.
Hemen örnek sonuçları inceleyelim; (Sadece sonuç veren kısımları alıyorum)


[+] Processing Sitemize kayıtlı değilseniz linkleri görebilmeniz İçin Kayıt Olun veya Giriş Yapın ...

[+] Detecting vBulletin Version
[++] vBulletin Version : vBulletin 4.2.2 Patch Level 2

[+] Checking vBulletin YUI 2.9.0 XSS
[++] uploader.swf is vulnerable 
http://forum.hedefsite.net/vb//clientscript/yui/uploader/assets/uploader.swf?allowedDomain=\"})))}catch(e){alert(/XSS/);}//
POC : Sitemize kayıtlı değilseniz linkleri görebilmeniz İçin Kayıt Olun veya Giriş Yapın

[+] Finding common backup files name
[++] Backup file is found 
Path : Sitemize kayıtlı değilseniz linkleri görebilmeniz İçin Kayıt Olun veya Giriş Yapın

vBulletin sürümü, xss zaafiyeti ve yedekleme dosyalarının yerini tespit etmiş.
vBulletin kullanan hedef siteler için kısa sürede etkili sonuçlar verebilecek bir araç olduğunu düşünüyorum.
Ayrıca vbscan.pl --help komutu ile tüm parametreleri görebilirsiniz..

Sitemize kayıtlı değilseniz linkleri görebilmeniz İçin Kayıt Olun veya Giriş Yapın










Konuyu Okuyanlar:
1 Ziyaretçi