Архів за Січень, 2010

Істинна сила кешу

22:33 30.01.2010

Кеш пошукових систем може бути корисним інструментом в умілих руках. Існує чимало можливостей використання кешу для хакерів.

Можливості кешу пошуковців:

1. Пошук уразливостей сайта в кеші.
2. Пошук уразливостей сайта в сніпеті.
3. Немає записів в логах сайта.
4. Обхід обмежень на доступ до сайта.
5. Наявність уразливостей в кеші.
6. Завжди можна отримати інформацію з сайта.
7. Визначення часу, коли сайт працював востаннє.
8. Визначення часу, коли сайт був взломаний.
9. Розповсюдження шкідливого коду.

Пошук уразливостей сайта в кеші.

В кеші пошуковців можна знайти уразливості сайта, наприклад Full path disclosure та інші Information Leakage уразливості, що вже були виправлені на сайті. Зокрема подібну уразливість я виявив на www.stat24.com.ua.

Тобто кеш дозволяє обійти дане виправлення уразливостей (на деякий час). Так що варто не допускати витоків інформації ;-) , бо навіть виправлення дірок одразу не допоможе, потрібно буде також дочекатися оновлення кешу в пошуковцях. Подібний випадок мав місце на Twitter.

Пошук уразливостей сайта в сніпеті.

В сніпетах пошуковців (дані з кеша, що виводяться в результах пошуку) можна знайти уразливості сайта, наприклад Full path disclosure та інші Information Leakage уразливості, що вже були виправлені на сайті.

Немає записів в логах сайта.

Якщо потрібно дістати інформацію з сайта, але не хочеться залишати записів в логах (про відвідання сайта), то можна дістати інформацію з кеша. І таким чином не залишити слідів. Але це можливо тільки при відключеній графіці і плагінах (або використовуючи “текстовий” кеш Гугла), щоб не було реферерів з кеша пошуковця при доступу до зображень та інших включених файлів розміщених на сайті.

Обхід обмежень на доступ до сайта.

Якщо для вас обмежений доступ до сайта (по IP), але дозволений доступ для ботів пошуковців, то можна дістати інформацію з кеша пошуковця.

Наявність уразливостей в кеші.

В самому кеші пошукових систем також можуть бути уразливості. Зокрема я знаходив XSS уразливість в Яндексі, що мала місце в кеші пошуковця.

Завжди можна отримати інформацію з сайта.

Можна отримати інформацію з сайта навіть якщо він в даний момент не працює (зовсім перестав працювати чи тимчасово, наприклад в результаті атаки).

Визначення часу, коли сайт працював востаннє.

Коли сайт перестав працювати (наприклад, в результаті DDoS атаки), то за допомогою кеша можна визначити коли останній раз бот пошуковця, наприклад Google, заходив на сайт. І відповідно коли сайт востаннє працював.

Визначення часу, коли сайт був взломаний.

Для своїх досліджень похаканих сайтів я використовую Гугл, і відповідно в кеші пошуковця я визначаю дату, коли сайт був взломаний. І навіть, якщо адміни сайта вже прибрали дефейс, через кеш я все рівно виявлю, що сайт був взломаний.

Розповсюдження шкідливого коду.

Якщо пошукова система занесе в свій кеш сторінку сайта зі шкідливим кодом, то всі хто відвідає цей кеш будуть атаковані, так само як при відвіданні даного сайта. І можна буде, наприклад, по емайлу посилати лінки на кеш пошуковця, щоб використати його ім’я для збільшення кількості людей, що перейдуть по цим лінкам.

Уразливості в Hydra Engine

19:46 30.01.2010

28.08.2009

Нещодавно, 26.08.2009, я знайшов Full path disclosure, SQL Injection та Cross-Site Scripting уразливості в системі Hydra Engine. Це українська CMS. Дані уразливості я виявив на одному сайті, де використовується даний движок. Про що найближчим часом повідомлю розробникам.

Детальна інформація про уразливості з’явиться пізніше. Спочатку повідомлю розробникам системи.

30.01.2010

Full path disclosure:

http://site/search/’/

SQL Injection:

http://site/search/'%20and%20version()%3E5--%20/

XSS:

http://site/search/'1%3Cbody%20onload=alert(document.cookie)%3E/

Дані уразливості виправлені. Але виправлені неякісно, тому всі три уразливості знову працюють при невеликій зміні коду. Про що я вже повідомив розробнику Hydra і він працює над їх виправленням.

Уразлива версія Hydra Engine 1.0.

Добірка експлоітів

15:32 30.01.2010

В даній добірці експлоіти в веб додатках:

  • Ebay Clone 2009 Multiple SQL Injection Vulnerabilities (деталі)
  • Opial 1.0 Arbitrary File Upload/XSS/SQL Injection Vulnerabilities (деталі)
  • d.net CMS Arbitrary Reinstall/Blind SQL Injection Exploit (деталі)
  • Censura 1.16.04 (bSQL/XSS) Multiple Remote Vulnerabilities (деталі)
  • Php AdminPanel Free version 1.0.5 Remote File Disclosure Vuln (деталі)
  • Traidnt UP 2.0 Remote Blind SQL Injection Exploit (деталі)
  • Mobilelib Gold v3 Local File Disclosure Vulnerability (деталі)
  • Virtualmin < 3.703 Multiple Local/Remote Vulnerabilities (деталі)
  • DJ Calendar (DJcalendar.cgi TEMPLATE) File Disclosure Vuln (деталі)
  • Blind (SQLi) EXPLOIT Online Grades & Attendance v3.2.6 (деталі)

Уразливість на www.google.com

23:58 29.01.2010

У червні, 15.06.2009, я знайшов Insufficient Anti-automation уразливість на сайті http://www.google.com. Подібна уразливість також є на http://www.google.com.ua, як і на інших регіональних доменах Гугла.

Раніше я вже писав про уразливості на www.google.com (в тому числі й про інші Insufficient Anti-automation уразливості). Зазначу, що подібні уразливості поширені на сайтах Google і з часом компанія їх виправляє (зокрема додає капчі), як й інші дірки. Але їх все ще вистачає у Гугла.

Insufficient Anti-automation:

http://www.google.com/quality_form

В даній формі немає захисту від автоматизованих запитів (капчі).

Новини: прості паролі, атака на Twitter та взлом Citibank

22:43 29.01.2010

Пропоную вашій увазі добірку цікавих новин на тему безпеки.

За повідомленням itc.ua, New York Times заявляє, що прості паролі як і раніше популярні. В результаті аналізу 32 мільйонів незашифрованих паролів, що були викрадені в результаті атаки на RockYou, було виявлено, що користувачі все ще надають перевагу простим паролям.

Перша п’ятірка найпопулярніших паролів:

1. 123456.
2. 12345.
3. 123456789.
4. password.
5. iloveyou.

За повідомленням techlabs.by, наприкінці грудня відбувся взлом DNS Twitter. Тоді Twitter став жертвою хакерської атаки, що зробила сервіс недоступним для мільйонів власників мікроблогів.

Після детального аналізу атаки було виявлено, що тоді мало місце перенаправлення DNS. Атаки через захоплення домену стали поширеними в останні роки.

За повідомленням techlabs.by, російські хакери допомогли обікрасти американський Citibank. Американська влада зайнята розслідуванням великої крадіжки з банку Citibank, збиток від якої оцінюється в десятки мільйонів доларів. Крадіжка виконувалася через комп’ютери за допомогою спеціального програмного інструментарію, створеного російськими хакерами.

Інфіковані сайти №13

19:22 29.01.2010

Після попереднього дослідження інфікованих сайтів, приведу нову інформацію про заражені сайти. З числа українських сайтів.

  • http://oboz.ua - інфекція була виявлена 28.01.2010. Частина цього сайта була внесена до переліку сайтів із підозрілою активністю 4 рази протягом останніх 90 днів. Зараз сайт не входить до переліку підозрілих.
  • http://heraldry.com.ua - інфекція була виявлена 01.12.2009. Частина цього сайта була внесена до переліку сайтів із підозрілою активністю 1 раз протягом останніх 90 днів. Зараз сайт не входить до переліку підозрілих.
  • http://kinosvit.com.ua - інфекція була виявлена 27.01.2010. Частина цього сайта була внесена до переліку сайтів із підозрілою активністю 38 разів протягом останніх 90 днів. Зараз сайт не входить до переліку підозрілих.
  • http://i.com.ua - інфекція була виявлена 20.12.2009. Частина цього сайта була внесена до переліку сайтів із підозрілою активністю 4 рази протягом останніх 90 днів. Зараз сайт не входить до переліку підозрілих.
  • http://eila-club.com.ua - інфекція була виявлена 24.01.2010. Частина цього сайта була внесена до переліку сайтів із підозрілою активністю 2 рази протягом останніх 90 днів. Зараз сайт не входить до переліку підозрілих.

Зазначу, що я вже писав про уразливості на oboz.ua та на інших проектах Обоза. Тому не дивно, що на oboz.ua був виявлений шкідливий код.

Добірка уразливостей

16:06 29.01.2010

В даній добірці уразливості в веб додатках:

  • ZeroShell <= 1.0beta11 Remote Code Execution (деталі)
  • Cross-site scripting (XSS) vulnerability in the Passwd module before 3.1.1 for Horde (деталі)
  • 3Com OfficeConnect Wireless Cable/DSL Router Authentication Bypass (деталі)
  • mimeTeX and mathTeX buffer overflows and command injection (деталі)
  • MULTIPLE ARBITRARY INFORMATION DISCLOSURE AND EDITION ILIAS LMS <= 3.10.7/3.9.9 (деталі)
  • Admin News Tools 2.5 Remote File Download Vulnerability (деталі)
  • Virtualmin Multiple Vulnerabilities (деталі)
  • LifeType 1.2.8 Remote File Inclusion Vulnerability (деталі)
  • New fckeditor packages fix arbitrary code execution (деталі)
  • HP Select Access Running on HP-UX, Linux, Solaris, and Windows, Remote Cross Site Scripting (XSS) (деталі)

Захоплення сервера через SQL Injection

21:23 28.01.2010

Продовжуючи розпочату традицію, після попереднього відео про атаку на акаунт Yahoo!, пропоную новий відео секюріті мануал. Цього разу відео про захоплення сервера через SQL Injection. Рекомендую подивитися всім хто цікавиться цією темою.

Rooting a box via MySQL Injection

В даному відео ролику демонструється використання SQL Injection уразливості на сайті, що використовує MySQL, для захоплення сервера (на Windows XP). Раніше я вже наводив відео про захоплення сервера через SQL ін’єкцію де використовувався Microsoft SQL Server.

Для цього на сервер через SQL ін’єкцію заливається шел (простий шел, подібний до мого MustLive Remote Shell). Після чого додається новий акаунт адміністратора в систему та через Remote Desktop Connection під’єднується до сервера. Рекомендую подивитися дане відео для розуміння SQL Injection атак.

Уразливості на intradayinvestmentgroup.com

19:33 28.01.2010

20.08.2009

У грудні, 24.12.2008, я знайшов Cross-Site Scripting та Insufficient Anti-automation уразливості на проекті https://www.intradayinvestmentgroup.com (це інвестиційний сайт, власники якого заявляють про високий рівень його безпеки). Про що найближчим часом сповіщу адміністрацію проекту.

Детальна інформація про уразливості з’явиться пізніше. Треба дати час адмінам на реакцію з цього приводу.

28.01.2010

XSS:

POST запит на сторінці https://www.intradayinvestmentgroup.com /reg_ru.php в полях: E-Mail, Имя, Фамилия.

XSS (persistent):

Окрім того, що код виконується одразу, в подальшому код автоматично спрацьовує на сторінці reg_ru.php.

Insufficient Anti-automation:

https://www.intradayinvestmentgroup.com/reg_ru.php

На сторінці реєстрації відсутній захист від автоматизованих запитів (капча).

Зараз сайт не працює. Цілком можливо, що саме через дірки сайт і припинив свою роботу. Про такі випадки я згадував неодноразово.

Добірка експлоітів

16:19 28.01.2010

В даній добірці експлоіти в веб додатках:

  • ToyLog 0.1 SQL Injection Vulnerability/RCE Exploit (деталі)
  • Morcego CMS <= 1.7.6 Remote Blind SQL Injection Exploit (деталі)
  • LionWiki (index.php page) Local File Inclusion Vulnerability (деталі)
  • Ebay Clone 2009 (SQL/bSQL) Multiple Remote Vulnerabilities (деталі)
  • HTC / Windows Mobile OBEX FTP Service Directory Traversal Vuln (деталі)
  • Digitaldesign CMS 0.1 Remote Database Disclosure Vulnerability (деталі)
  • Joomla Component com_propertylab (auction_id) SQL injection Vuln (деталі)
  • Jobbr 2.2.7 Multiple Remote SQL Injection Vulnerabilities (деталі)
  • Joomla Component com_category (catid) SQL Injection Vulnerability (деталі)
  • EXPLOIT Online Grades & Attendance v3.2.6 (деталі)