Архів за Листопад, 2009

Сайт Президента України піддався нападу

19:33 26.11.2009

Вчора прес-служба Секретаріату Президента України Віктора Ющенко повідомила, що працівники Секретаріату залишилися без зв’язку з Інтернетом. Він не працював в Секретаріаті із самого ранку, а служба технічної підтримки довго не могла знайти причини відсутності зв’язку.

Офіційне інтернет-представництво Президента України деякий час протягом дня також не було доступно (вірогідно через DDoS-атаку). Про що я вже згадував учора. Ранком представник Секретаріату затруднився назвати терміни поновлення роботи веб-ресурсу. А вдень сайт вже працював в звичайному режимі.

Зазначу, що два роки тому веб сайт Президента України Віктора Ющенко вже піддавався DDoS-атаці, ініційованою російською політичною організацією “Євразійський союз молоді”. Так що імовірність того, що на передодні президентських виборів сайт Президента “поклав” хтось зі сторони не виключається.

Окрім DDoS-атаки могли взагалі взломати ресурс. Показовою в цьому відношенні є ситуація із сайтом президента Латвії, чий сайт взломали на минулому тижні.

По матеріалам http://itua.info.

Добірка експлоітів

16:19 26.11.2009

В даній добірці експлоіти в веб додатках:

  • 2daybiz Custom T-shirt Design (SQL/XSS) Multiple Remote Vulns (деталі)
  • Rama CMS <= 0.9.8 (download.php file) File Disclosure Vulnerability (деталі)
  • my-Gesuad 0.9.14 (AB/SQL/XSS) Multiple Remote Vulnerabilities (деталі)
  • my-colex 1.4.2 (AB/XSS/SQL) Multiple Remote Vulnerabilities (деталі)
  • PHPenpals <= 1.1 (mail.php ID) Remote SQL Injection Exploit (деталі)
  • DMXReady Registration Manager 1.1 Database Disclosure Vulnerability (деталі)
  • Pluck 4.6.2 (langpref) Local File Inclusion Vulnerabilities (деталі)
  • Flyspeck CMS 6.8 Remote LFI / Change Add Admin Exploit (деталі)
  • Coppermine Photo Gallery <= 1.4.22 Multiple Remote Vulnerabilities (деталі)
  • httpdx <= 0.5b Multiple Remote Denial of Service Vulnerabilities (деталі)
  • Online Rental Property Script <= 5.0 (pid) SQL Injection Vulnerability (деталі)
  • PHP Dir Submit (Auth Bypass) SQL Injection Vulnerability (деталі)
  • Pc4Uploader 9.0 Remote Blind SQL Injection Vulnerability (деталі)
  • OpenSSL <= 0.9.8k, 1.0.0-beta2 DTLS Remote Memory Exhaustion DoS (деталі)
  • Cisco IOS FTP server remote exploit (деталі)

Похакані сайти №72

22:45 25.11.2009

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

  • http://www.president.gov.ua (невідомими хакерами) - 25.11.2009 - DDoS атака на сайт Офiцiйного представництва Президента України
  • http://obmen.zt.ua (невідомими хакерами) - 02.11.2009 - DDoS атака на obmen.zt.ua
  • http://www.velusk.ucoz.ua (хакером jankiy3)
  • http://www.horayetsky.lviv.ua (хакером MucaHit) - 15.11.2009, зараз сайт вже виправлений адмінами
  • http://plutka.at.ua (хакером jankiy3) - 13.11.2009, зараз сайт вже виправлений адмінами

Добірка уразливостей

16:27 25.11.2009

В даній добірці уразливості в веб додатках:

  • Version-independent IOS shellcode (деталі)
  • Step-by-step instructions for debugging Cisco IOS using gdb (деталі)
  • Cisco IOS shellcode explanation - additional (деталі)
  • glFusion <= 1.1.2 COM_applyFilter()/cookies remote blind sql injection exploit (деталі)
  • Q2 Solutions ConnX - SQL Injection Vulnerability (деталі)
  • OpenX 2.4.11, 2.6.5, 2.8.0 fix multiple vulnerabilities (деталі)
  • OpenX 2.6.4 multiple vulnerabilities (деталі)
  • OSCommerce Session Fixation Vulnerability (деталі)
  • Remote access vulnerability using File Thingie v2.5.4 (деталі)
  • Family Connections 1.8.2 Arbitrary File Upload (деталі)

Численні уразливості на www.banner.kiev.ua

23:52 24.11.2009

У березні, 20.03.2009, я знайшов численні Cross-Site Scripting уразливості на проекті http://www.banner.kiev.ua (банерна мережа UBN). Про що найближчим часом сповіщу адміністрацію проекту.

Раніше я вже писав про уразливості на forum.banner.kiev.ua.

У флеш баннерах на banner.kiev.ua є XSS уразливість. Якщо вони зроблені згідно з рекомендаціями УБН (попередніми рекомендаціями), то можлива XSS атака (strictly social XSS) через параметр url (при кліку на банер). Про подібну атаку я вже писав в записі XSS уразливості в 215000 флеш файлах.

XSS (флешка з target = “_blank”):

Зазначу, що флешки з target = “_blank” (в getURL) не дозволяють дістатися до cookies. А також вони не працють в IE6 (в деяких випадках при роботі з JS). Якщо target заданий не “_blank” (або зовсім не вказаний), то тоді флешки дають можливість дістатися до кукісів в усіх браузерах (та нормально працють в IE6). В УБН згідно з рекомендаціями (попередніми) target задається “_blank”, але якщо хтось не задав його, то можна буде дістатися і до кукісів.

XSS (флешка з target = “_top”):

В системі УБН зараз біля 150000 банерів, частина з яких - це флеш банери, що мають дану XSS уразливість.

Хак голосового VLAN

22:44 24.11.2009

Продовжуючи розпочату традицію, після попереднього відео про те, як зробити файл таким, що не виявляється антивірусами, пропоную новий відео секюріті мануал. Цього разу відео про хак голосового VLAN. Рекомендую подивитися всім хто цікавиться цією темою.

Anonymous Voice Vlan Hack

В даному відео ролику демонструється методика проведення хака анонімного голосового VLAN. Методика показана на прикладі обладнання Cisco. Рекомендую подивитися дане відео для розуміння методів атаки на VLAN.

Уразливості в Abton

19:32 24.11.2009

16.02.2009

У березні, 31.03.2008, я знайшов SQL DB Structure Extraction та SQL Injection уразливості в системі Abton (це українська CMS). Як раз коли виявив уразливості на uareferat.com, де використовується даний движок. Також про ще одну SQL Injection в даному движку мені нещодавно повідомив Alex (в коментарях).

Детальна інформація про уразливості з’явиться пізніше. Спочатку повідомлю розробникам системи.

24.11.2009

SQL DB Structure Extraction:

http://site/rus/details/13220/

http://site/rus/referaty/’/

http://site/rus/’/

http://site/rus/referaty/1/-1/

http://site/abton/

На сайті на даному движку є багато подібних уразливостей, що призводять до витоку структури БД.

SQL Injection:

http://site/rus/details/’+benchmark(10000,md5(now()))+’/

http://site/rus/referaty/1′+benchmark(10000,md5(now()))-’1/

http://site/rus/’+benchmark(10000,md5(now()))+’/

Дані уразливості вже виправлені розробниками. Але в системі є чимало нових уразливостей.

Добірка експлоітів

16:18 24.11.2009

В даній добірці експлоіти в веб додатках:

  • Java SE Runtime Environment - JRE 6 Update 13 Multiple Vulnerabilities (деталі)
  • EasyPHP 3.0 Arbitrary Modify Configuration File Vulnerability (деталі)
  • Family Connections CMS <= 1.9 (member) SQL Injection Exploit (деталі)
  • Password Protector SD 1.3.1 Insecure Cookie Handling Vulnerability (деталі)
  • TinyButStrong 3.4.0 (script) Local File Disclosure Vulnerability (деталі)
  • MaxCMS 2.0 (m_username) Arbitrary Create Admin Exploit (деталі)
  • Mlffat 2.1 (Auth Bypass / Cookie) SQL Injection Vulnerability (деталі)
  • My Game Script 2.0 (Auth Bypass) SQL Injection Vulnerability (деталі)
  • Ascad Networks 5 Products Insecure Cookie Handling Vulnerability (деталі)
  • MRCGIGUY Top Sites 1.0.0 Insecure Cookie Handling Vuln (деталі)
  • MRCGIGUY SimpLISTic SQL 2.0.0 Insecure Cookie Handling Vuln (деталі)
  • Harland Scripts 11 Products Remote Command Execution Exploit (деталі)
  • Joomla Component ArtForms 2.1 b7 Remote File Inclusion Vulnerabilities (деталі)
  • D-Link Products Captcha Bypass Vulnerability (деталі)
  • Family Connection <= 1.8.2 - Remote Command Execution (деталі)

Визначення Tomcat сервера

22:45 23.11.2009

Визначення сервера (fingerprinting), що використовується на конкретному сайті - це важлива задача в контексті безпеки (це відноситься як до веб серверів, так й іншого серверного ПЗ). І спеціальні методи ідентифікації потрібні у випадку, коли сервер не повертає банер (зі своєю назвою), або повертає підроблений банер, щоб ввести в оману дослідників чи зловмисників які визначають серверне ПЗ.

В своєму записі Tomcat SSL Fingerprinting RSnake розповів про виявлений ним метод визначення сервера Tomcat. Це популярний контейнер сервлетів, розроблений Apache.

Суть метода зводиться до того, щоб послати запит “GET / HTTP/1.0″ до SSL/TLS порта сервера. На це сервер відповість специфічним повідомленням про помилку, що дозволить ідентифікувати сервер.

З часом я оприлюдню власний метод визначення веб серверів, що я розробив ще в 2006 році.

Добірка уразливостей

16:22 23.11.2009

В даній добірці уразливості в веб додатках:

  • Re: PHP-Revista Multiple vulnerabilities (деталі)
  • New imp4 packages fix cross-site scripting (деталі)
  • Dynamic Flash Forum 1.0 Beta Multiple Remote Vulnerabilities (деталі)
  • Loggix Project 9.4.5 Blind SQL Injection (деталі)
  • PHP-agenda <= 2.2.5 Remote File Overwriting (деталі)
  • Multiple cross-site scripting (XSS) vulnerabilities in Horde IMP (деталі)
  • Cross-site scripting (XSS) vulnerability in Horde Turba Contact Manager H3 (деталі)
  • Remote Cisco IOS FTP exploit (деталі)
  • Cisco IOS shellcode explanation (деталі)
  • Cisco Security Advisory: Multiple Vulnerabilities in the IOS FTP Server (деталі)