Tag Archives: mybb

CSRF in SpiceFuse Shoutbox (MyBB)

Leave a reply

bagi sape2 yg ade forum yg berasaskan MyBB, dan yg menggunakan SpiceFuse Shoutbox, baik korg baca bnd ni..
sbb ade bnd yg menarik kat sini.. 🙂
bnd ni Johnburn dr tbd.my yg jmp.. jd aku share kn kat sini..
special thanx to Johnburn utk artikel & solution ni.. 🙂

The stories:
Tadi xda keje aku tgk2 code mybb dengan target nk bypass xss filter mybb melalui bbcode dia. dlm aku tgk2 tu aku nmpk satu bnda yg agak menarik pada code shoutbox (aku install plugin SpiceFuse Shoutbox yg sama mcm kt TBD and my0d). Plugin ni vulnerable kepada CSRF melalui image tag.

PoC:
Jika user post yang berikut kat shoutbox, mana2 user len yg view shoutbox secara automatik akan turut post sebarang post jika browser diset untuk load image (default).

http://www.tbd.my/v2/xmlhttp.php?action=add_shout&shout_data=sebarangPost

Quick Fix:
Bleh elak dengan menggunakan token pada shoutbox. Untuk tmbah token, bleh ikut yg berikut:

Edit file ni:

cari line berikut:

dan gantikan dengan line ni:

Edit file ni:

cari line:

tambah line berikut selpas code di atas:

cari line berikut:

dan gantikan dengan line ni:

Edit file ni:

cari line berikut:

tambah code berikut selepas baris code di atas:

p/s: mungkin perlu reactivate blk shoutbox supaya apa yg diubah pada template untuk take effect.

Cara menggunakan SpiceFuse AJAX Shoutbox Beta dekat MyBB v1.6

Leave a reply

Bagi sapa-sapa yang selalu setup/bermain-main dengan forum, korang ada tak guna plugin ni?
Korang pernah tak nak try plugin ni? Plugin ni gunanya untuk letakkan shoutbox kat index forum kita. So kawan-kawan kita boleh ‘terjerit-jerit’ kat situ.
Juga nak mempercepatkan pertanyaan. Kalau tak nak kene bukak thread, nak kena tunggu orang reply. Tak ke leceh tu.

Tapikan.. Plugin ni untuk mereka yang setup kan MyBB diorang dengan menggunakan MyBB version 1.4++. Adoi.. Habis bagi mereka yang pakai MyBB versi 1.4 > keatas macam mana?
Mesti tak best kan sebab tak dapat guna. So, kat sini saya nak share kan macam mana kita nak guna SpiceFuse ni kat MyBB versi yang latest-latest. Saya test kat MyBB versi 1.6.

Pertama korang upload dulu plugin ni mengikut tempat dia..
Lepas tu korang edit file “spicefuse_shoutbox.php” ni.
Cari line yang ada tulis macam ni..

Lepas tu korang tukarkan no. 14* tu ke 16*.
Maksudnya 14* tu dia just compatible dengan MyBB versi 1.4 je. Kalau korang tukar 16*, jadi dia compatible dengan MyBB versi 1.6.. :p
Lepas tu korang save kan file tu.

Pergi kat Template Sets, AfreshBlack Templates (ikut theme yang korang pakai), klik kat Options, Expand Templates, dekat Index Page Templates tu korang klik Expand kat belah kanan tu, Cari Index, lepas tu klik Full Edit.
Dekat-dekat situ cari line:

Betul-betul bawah dia tu korang bubuh code ni;

Lepas tu korang save kan file tu. Lepas tu korang try aktifkan plugin tersebut.
Tada.. Da boleh guna da shoutbox korang.. Kalau tak boleh jugak, cuba check bebetul.

Bridging Joomla with MyBB

6 Replies

Assalamualaikum dan Salam Sejahtera semua..

Korang pernah tak terpikir macam mana kalau korang ada dua jenis website yang berbeza,
tapi korang nak user2 korang kat kedua-dua belah site tu sama?
Pernah tak korang fikir?

Benda ni jadi kat aku baru-baru ni.
Lepas aku launch kan portal dan forum group aku.
Lepas tu ada kawan aku tanya kat aku soalan macam ni.
So, aku pun terpikir jugak macam mana caranya dan cuba cari la solution nya.

Akhirnya, aku jumpa benda ni.
JFusion.
Plugin untuk memudahkan korang integrate/bridging site korang.
So, pada entry kali ini aku nak share ngan korang semua macam mana nak integrate kan Joomla ngan MyBB.
Sebenarnya korang boleh jugak nak integrate kan dengan benda lain.
Contohnya, Joomla ngan phpBB3, Joomla ngan SMF, Joomla ngan vBulletin.
Tapi aku just nak tunjukkan kali ni cara nak bridging Joomla ngan myBB.

So, langkah pertama, korang download dulu plugin yang bernama JFusion.
Download lah yang paling latest.

Lepas korang dah download, korang login ke Joomla administrator.
Pegi ke tab Extension, dan klik Install/Uninstall.
Kat tempat bertulis “Upload Package File”, korang klik “browse”, dan cari file JFusion yang korang download tadi(bentuk .zip file). Pastu korang klik “Upload File & Install”.


So, tunggulah kejap sementara dia upload kan file tu & install.
Lepas dah selesai sume tu, die akn keluar page macam ni (lebih kuranglah).


Korang pegi kat bahagian configure.
Edit configuration untuk myBB.



Description Biarkan default
Full URL to Software http://... (url mybb)
Full Path to Software /home/public_html/... (path ke mybb folder)
Cookie Domain .www.url_mybb... (yang korang letak masa install mybb)
Cookie Path /mybb*/ (*kat mana mybb di install)
Cookie Prefix Biarkan default (empty)

Database Type (ie mysql) mysql(biasanya)
Database Host localhost(biasanya)
Database Name nama database mybb tu
Database Username username database mybb tu
Database Password password database mybb tu
Table Prefix mybb_ (biasanya)
Database Charset (defaults to utf8) Biarkan default

Login Identifier Pilih macam mana user korang nak dikenal-pasti

Default Usergroup Registered(biasanya)
Usergroup for users awaiting activation Guest(biasanya)

Auto Update Activation Yes
Auto Update Bans Yes
Auto Update Email Yes
Create new user in this software for inactive users? Yes
Create new user in this software for blocked users? Yes

Lepas dah configure, korang save benda tu.
Lepas tu kita configure pulak Current Joomla Site(joomla_int).

Lepas dah configure kedua-duanya, kita kenalah enable kan plugin ni.
So, kita pilih kat master untuk joomla_int dan slave untuk mybb.
Dia akan jadi macam ni la.


Lepas korang dah configure benda alah ni,
Dan configuration tu ada masalah, dia akan bagitau kat bahagian atas sekali.

So, kalo configuration pun da betul, memang akan keluar 1 error mengatakan kat slave tu korang kena disable kan registration.

So, korang login ke mybb punya admin,
Pergi kat tab Configuration, Settings, User Registration and Profile Options.
Pastu tick kan Yes.


Lepas korang da disable kan registration kat mybb,
Barulah korang enable kan plugin JFusion ni.


Selepas korang dah enable plugin ni,
Korang synchronize la user-user korang.
Tapi sebelum korang start meng-synchronize-kan  table user korang,
Back-up la dulu ye sebelum apa-apa perkara yang korang ‘sangat suka’ berlaku.

Synchronization ni ada dua cara.
1. Import slave users ke master database
2. Synchronize kan master user database dengan slave databases.

Step 1 tu kalo korang da ada user sebelum ni kat mybb/slave db korang.
So korang pilih step 1 tu untuk import kan user dari slave ke master db.
Senang cite, korang run je la dua-dua step tu.
Baru balance sikit user korang untuk kedua-dua belah punya db.. :p

So, sampai sini je la tutorial aku ye.
Aku pun dapat benda ni masa dok cari kat Google.
Tapi yang itu cara dia lain.
Maybe sebab dia pakai JFusion version lama kot.
Tapi tak pa. Tak da apa-apa masalah pun.

Nak Tanya apa-apa, komen je la kat sini ye.

*Credit to ZoomCities! untuk tutorial ni.