Архів за Листопад, 2008

Добірка експлоітів

16:17 24.11.2008

В даній добірці експлоіти в веб додатках:

  • Joomla Component beamospetition Remote SQL Injection Vulnerability (деталі)
  • SebracCMS <= 0.4 Multiple SQL Injection Vulnerabilities (деталі)
  • Catviz 0.4.0 beta1 Multiple Remote SQL Injection Vulnerabilities (деталі)
  • Pivot 1.40.5 Dreamwind load_template() Credentials Disclosure Exploit (деталі)
  • RCM Revision Web Development (products.php) SQL Injection Vulnerability (деталі)
  • BareNuked CMS 1.1.0 Arbitrary Add Admin Exploit (деталі)
  • eSHOP100 (SUB) Remote SQL Injection Vulnerability (деталі)
  • AcmlmBoard 1.A2 (pow) Remote SQL Injection Vulnerability (деталі)
  • pSys v0.7.0 Alpha (chatbox.php) Remote SQL Injection Vulnerability (деталі)
  • Exploits PHP-Nuke Module Advertising Blind SQL Injection (деталі)

Редиректори на популярних сайтах №4

23:54 22.11.2008

Продовжую розповідати вам про редиректори на популярних сайтах. Редиректори - це окремий різновид уразливостей в веб додатках, котрий відноситься до класу Abuse of Functionality. Дані уразливості можуть використовуватися зловмисниками для переадресації на небезпечні та фішинг сайти.

До наведених в попередньому записі, приведу ще декілька прикладів редиректорів на популярних веб сайтах.

Редиректори на популярних сайтах:

Yandex.ru (до раніше згаданих редиректорів на Яндексі):

http://fotki.yandex.ru/…&retpath=http://websecurity.com.ua

H.ua:

http://h.ua:8000/openads/…?dest=http://websecurity.com.ua

Techlabs.by:

http://file.techlabs.by/…?download=http://websecurity.com.ua

Post Persistent XSS (Saved XSS) уразливості

22:46 22.11.2008

В минулому році, 14.08.2007, я виявив новий тип Cross-Site Scripting уразливостей, що є підтипом Persistent XSS, який я назвав Post Persistent XSS (Saved XSS). Дані уразливості можуть використовуватися для доступу до локальної файлової системи. А також, як я виявив нещодавно, для виконання коду через браузери.

Всього я виявив Saved XSS уразливості в наступних браузерах: Internet Explorer (IE6 та IE7), Chrome та Opera. Про дані XSS я писав в проекті День багів в браузерах 2.

Спочатку я виявив 14.08.2007 дану XSS уразливість в Internet Explorer. А потім, 06.10.2008, виявив подібну уразливість в Google Chrome та Opera.

Проведення атаки.

При збереженні сторінки зі “спеціальним” URL, в коді сторінки зберігається XSS код. І відбувається виконання XSS коду при відкритті даної сторінки (причому її відкритті в будь-якому браузері, не тільки в тому, в якому вона зберігалася).

XSS:

http://site/?--><script>alert("XSS")</script>

Для прихованої атаки можна використати iframe в коді сторінки:

<iframe src='http://site/?--><script>alert("XSS")</script>' height='0' width='0'></iframe>

За допомогою даної атаки можна розмістити XSS код на будь-якому сайті. В тому числі й на сайтах на яких немає Cross-Site Scripting уразливостей (або вони ще не знайдені). І потім потрібно лише змусити жертву зберігти дану веб сторінку, щоб коли вона (або інший користувач) відкриє цю сторінку, виконався XSS код.

До речі, як я писав нещодавно в записах Code Execution через XSS та Міжбраузерний Code Execution через XSS, дані Saved XSS уразливості можуть бути використанні для проведення Code Execution атак. Коли через дані XSS проводиться виконання коду через браузери.

Численні DoS-умови в PHP

19:30 22.11.2008

В минулому році були виявлені численні DoS уразливості в PHP.

Уразливі версії: PHP 5.2.

Відмова в обслуговуванні в функціях stream_wrapper_register(), dgettext(), dcgettext(), dngettext(), gettext(), ngettext().

  • PHP <= 5.2.5 Gettext Lib Multiple Denial of service (деталі)
  • PHP <= 5.2.5 stream_wrapper_register() denial of service (деталі)

Добірка уразливостей

16:21 22.11.2008

В даній добірці уразливості в веб додатках:

  • Several XSS, Cross-domain Redirection and Frame Injection on Sun Java System Identity Manager (деталі)
  • Remote Shell Command Execution in “KB-Bestellsystem” (amensa-soft.de) (деталі)
  • MyBlog (MyCMS) Remote PHP Code execution / PHP Code injection (деталі)
  • Wheatblog (wB) Remote File inclusion (деталі)
  • NetAuctionHelp SQL Injection (деталі)
  • alstrasoft E-Friends <= 4.98 (seid) Multiple Remote SQL Injection Vulnerabilities (деталі)
  • GetBlog local File inclusion (деталі)
  • E-vanced Solutions Multiple Vulnerabilites (деталі)
  • GWextranet Multiple Vulnerabilites (деталі)
  • Ucms <= 1.8 Backdoor Remote Command Execution Exploit (деталі)

Міжбраузерний Code Execution через XSS

23:58 21.11.2008

Учора я писав про Code Execution через XSS в Internet Explorer (розроблену мною 14.11.2008) - це була атака лише через IE. А зараз я розповім про міжбраузерний Code Execution через XSS.

Дана атака через IE через Cross-Site Scripting уразливість в Opera.

Атака працює при збереженні веб сторінки в Opera як Web Archive файла з іменем .htm (.html) на комп’ютер користувача і наступному її відкритті в IE. Дана методика може використовуватися для обходу різних проксі й фаєрволів, що аналізують зміст веб сторінок на предмет шкідливого коду (тому що атакуючий код з’являється в сторінці вже після збереження). А також може використовуватися для обходу антивірусів.

Code Execution:

http://site/?--%3E%3Cscript%3Ec=new%20ActiveXObject('WScript.Shell');c.Run('calc.exe');%3C/script%3E

Для проведення прихованої атаки можна використати iframe:

<iframe src="http://site/?--%3E%3Cscript%3Ec=new%20ActiveXObject('WScript.Shell');c.Run('calc.exe');%3C/script%3E" height="0" width="0"></iframe>

На відміну від попередньої атаки (що відбувається лише через IE), дана міжбраузерна атака працює в IE навіть без ввімкненої опції “Initialize and script ActiveX control not marked as safe”.

Уразлива версія Opera 9.52 та попередні версії (і потенційно наступні версії). Запуск коду відбудеться в будь-якій версії Internet Explorer (IE6 та IE7).

Аналогічна атака також може бути проведена в браузері Google Chrome - через Cross-Site Scripting уразливість в Google Chrome. Тільки в Chrome треба зберігати сторінку не як Web Archive, а так само як і в IE, зберігти як Web Page, complete.

Але тільки в старих версіях (Chrome <= 0.2.149.30), бо в версіях починаючи з Chrome 0.3.154.9 дана XSS вже виправлена. Дані XSS уразливості в Opera та Chrome відносяться до типу Saved XSS.

Обхід захисту safe_mode в PHP

22:44 21.11.2008

Виявлена можливість обходу захисту safe_mode в PHP.

Уразливі версії: PHP 5.2.

Можна обійти захист через використання error_log, що задається через ini_set.

Уразливість на www.videoradar.ru

20:34 21.11.2008

12.05.2008

У жовтні, 18.10.2007, я знайшов Cross-Site Scripting уразливість на проекті http://www.videoradar.ru. Про що найближчим часом сповіщу адміністрацію проекту.

Детальна інформація про уразливість з’явиться пізніше. Треба дати час адмінам на реакцію з цього приводу.

21.11.2008

XSS:

Дана уразливість вже виправлена. Але виправлена неякісно, тому при невеликій зміні коду уразливість знову працює.

XSS:

Добірка експлоітів

17:24 21.11.2008

В даній добірці експлоіти в веб додатках:

  • Joomla Component jabode (id) Remote SQL Injection Vulnerability (деталі)
  • PowerAward 1.1.0 RC1 (LFI/XSS) Multiple Remote Vulnerabilities (деталі)
  • PHP-Fusion Mod classifieds (lid) Remote SQL Injection Vulnerability (деталі)
  • SePortal 2.4 (poll.php poll_id) Remote SQL Injection Vulnerability (деталі)
  • OTManager CMS 2.4 Insecure Cookie Handling Vulnerability (деталі)
  • W1L3D4 Philboard 1.2 (Blind SQL/XSS) Multiple Remote Vulnerabilities (деталі)
  • OTManager CMS 24a (LFI/XSS) Multiple Remote Vulnerabilities (деталі)
  • Joomla Component Xe webtv (id) Blind SQL Injection Exploit (деталі)
  • Online Booking Manager 2.2 (id) SQL Injection Vulnerability (деталі)
  • Exploits PhpNuke (add-on) MS TopSites Edit And Html Injection (деталі)

Code Execution через XSS

23:57 20.11.2008

В минулому і цьому році я знайшов Cross-Site Scripting уразливості в різних браузерах (IE, Chrome і Opera), що відносяться до типу Saved XSS. Про дані XSS я писав раніше, зокрема в проекті День багів в браузерах 2. І нещодавно, 14.11.2008, я розробив методику проведення Code Execution атаки через дані XSS уразливості.

Зараз розповім про Code Execution атаку через Cross-Site Scripting уразливість в Internet Explorer.

Атака працює при збереженні в IE веб сторінки на комп’ютер користувача і наступному її відкритті в IE. Дана методика може використовуватися для обходу різних проксі й фаєрволів, що аналізують зміст веб сторінок на предмет шкідливого коду (тому що атакуючий код з’являється в сторінці вже після збереження). А також може використовуватися для обходу антивірусів.

Code Execution:

http://site/?--><script>c=new/**/ActiveXObject('WScript.Shell');c.Run('calc.exe');</script>

Символи коментарю “/**/” потрібні, щоб обійти обмеження IE на пробіли, який замінює їх в URL на %20 і не конвертує назад при збереженні сторінки. Зате він робить це при використанні iframe в коді сторінки, тому в цьому випадку коментарі не потрібні.

Для проведення прихованої атаки можна використати iframe:

<iframe src="http://site/?--><script>c=new ActiveXObject('WScript.Shell');c.Run('calc.exe');</script>" height="0" width="0"></iframe>

Дана атака працює в Internet Explorer коли ввімкнена (Enabled чи Prompt) опція “Initialize and script ActiveX control not marked as safe” (для Local intranet). Це такий баг в дірці Microsoft :-) і це метод обходу багу. Дане налаштування потрібне лише при атаці через цю XSS, коли JS код знаходиться на тому ж рядку, де і коментар. Бо коли на іншому рядку (тобто без передуючого коментарю), то код спрацьовує і без цієї опції (Disable). Що може бути досягнуто у випадку, якщо атака проводиться не через XSS, а безпесередньо в тілі сторінки розміщений (відповідним чином) атакуючий код.

Уразлива версія Internet Explorer 6 (6.0.2900.2180) і попередні версії. Та Internet Explorer 7 (7.0.6000.16711) і попередні версії.