Aatque WEB atraves de subdominios

Iniciado por WHK, 21 Febrero 2009, 04:03 AM

0 Miembros y 1 Visitante están viendo este tema.

WHK

Nota inicial: webdedescargas.com no es un sitio real, solo es un ejemplo. webdedescargas.com actualmente es un dominio parqueado sin actividad alguna.

estuve investigando un poco sobre una falla de seguridad poco común que pude encontrar en un sitio web de descargas donde el archivo se mostraba como subdominio, por ejemplo:

Web normal ---> http://firefox.webdedescargas.com/

al crear mi propia petición GET con netcat pensé "que pasaría si modifico el header 'host:' ?" y al hacerlo pude darme cuenta que al igual que otros sitios similares sus valores de respuesta se reflejan en ese header y no necesariamente en el subdominio al que le hize GET. Por ejemplo:

Código (bash) [Seleccionar]
nc -v www.webdedescargas.com 80
GET / HTTP/1.1
connection: close
host: <h1>XSS.webdedescargas.com



Luego el servidor me responde con cada valor como si mi xss fuera el subdomino válido.
Busqué si había alguna información al respecto y encontré una forma:
http://serhost.com/blog/comments.php?y=06&m=10&entry=entry061022-154634
donde puedes hacerlo con un .htaccess de la siguiente manera:
Options +FollowSymLinks
RewriteEngine On
RewriteCond %{ENV:REDIRECT_STATUS} ^$
RewriteCond %{HTTP_HOST} !^(www\.)?serhost\.com$ [NC]
RewriteCond %{HTTP_HOST} ^(www\.)?([^\.]+)\.serhost\.com$ [NC]
RewriteRule ^(.*)$ pruebas/$1 [QSA,L]


Justamente en este ejemplo los subdominios son convertidos en directorios según la request.

Con este dato ya podemos causar desde un XSS persistente como SQL inyecciones dentro de cualquier header utilizando cualquier herramienta de conexión remota.



El resultado del test.html fue justamente el contenido del software llamado nero pero reemplazemos eso por un XSS y verás como se ejecuta, en tagboards y chats eso podría causar un xss persistente o en algunos casos inyecciones sql donde normalmente no tienes acceso a mayores modificaciones para ejecutar las sentencias sql donde por lo visto la constante $_SERVER['SERVER_NAME'] también es afectada (justamente donde no se pensaba que podría llegar algún tipo de ataque en sistemas cms conocidos) asi que ojo al momento de programar.

Karcrack

#1
Muy interesante ;D
A ver si puedo y lo pruebo :P




Consegui hacerlo con hxxp://esgai.com pero con la que tu gastas no puedo :-\ :P

Algo hare mal :xD

Saludos ;D

WHK

#2
Código (bash) [Seleccionar]
nc -v lol.esgay.com 80
GET / HTTP/1.1
connection: close
host: Karcrack.esgay.com



Citar... <span class="t14">REDACCION - En una entrevista concedida en e
xclusiva al menda  Karcrack declara estar muy orgulloso de su salida del armario
, se lo dedica a todos los mariquitas y locas del pais que no se atrevieron toda
via a dar el salto y salir del armario, ha sido tal la alegria y el alivio exper ...

Fijate que pedí como subdominio a "lol" pero en el header envié "Karcrack".
Ahora probemos el xss  :P

Código (bash) [Seleccionar]
nc -v lol.esgay.com 80
GET / HTTP/1.1
connection: close
host: <h1>XSS.esgay.com



Citar... <span class="t14">REDACCION - En una entrevista concedida en e
xclusiva al menda  <h1>xss declara estar muy orgulloso de su salida del armario,
se lo dedica a todos los mariquitas y locas del pais que no se atrevieron todav
ia a dar el salto y salir del armario, ha sido tal la alegria y el alivio experi
mentado por  <h1>xss que se ha marcado una jota aragonesa en pelota picada. Prox
imamente,  <h1>xss sera invitado a la proxima celebracion de &quot;La cena de lo
s gays&quot;, una popular celebracion popular, en la que se reunen un conjunto d ...

pero inyección sql no encontré.

:D

Karcrack

#3
 :laugh:

No respondiste mi duda...

Porque no me funciona con webdedescargas.com? :huh:

Yo utilizo Tamper Data, no creo que haya problema no?

MOD:Creo que es por que no es vulnerable a XSS... osea, no muestra los datos que pongo en el dominio, sino que carga en la BD... entonces podria ser Vuln. a SQL?

Saludos :D

W.H.K.esgay.com

WHK

#4
Eso lo conviertes en subdominio :P

http://webdedescargas.com/s/df'"><h1>lol

PD: tube que editar tu mensaje para evitar problemas con los dueños de esa web  :P recuerda que esa web acá es webdedescargas.com  :rolleyes:
no es sql inyección ya que como no encuentra el software adecuado te lo manda al buscador.

PD2: tengo vista de rayos x :¬¬

Karcrack

Cita de: WHK en 21 Febrero 2009, 18:13 PM
Eso lo conviertes en subdominio :P

http://webdedescargas.com/s/df'"><h1>lol

PD: tube que editar tu mensaje para evitar problemas con los dueños de esa web  :P recuerda que esa web acá es webdedescargas.com  :rolleyes:
no es sql inyección ya que como no encuentra el software adecuado te lo manda al buscador.

PD2: tengo vista de rayos x :¬¬
Gracias por tu respuesta ;)

Si, eso queria decir, WebDescargas :rolleyes: :xD

Saludos ;-)