Mensajes

[test.php?buscar=<script>alert(/XSS/);</script>]

Te cuento lo que sucede,
Cuando una aplicación wb está utilizando una codificación UTF-7 puedes hacer el bypass o sea poder escribir código html dentro del sitio web siempre y cuando te permita escribir en el como por ejemplo un buscador y cosas así donde lo que tu escribas quede reflejado en ese sitio.

Código (php) [Seleccionar] Expandir

<?php 
 header('Content-Type: text/html; charset=UTF-7'); 
echo htmlentities($_GET['buscar']); 
 ?>


Si en este ejemplo lo pones en un servidor puedes ver que te envía una cabezera UTF-7 asi que toda la codificación del sitio web estará en UTF-7.
Probamos..

Pedimos: test.php?buscar=<script>alert(/XSS/);</script>
Nos debuelve:

&lt;script&gt;alert(/XSS/);&lt;/script&gt;

Ahora si lo convertimos en utf7 antes de enviar nos queda así:

Código (php) [Seleccionar] Expandir

<?php echo mb_convert_encoding('<script>alert(/XSS/);</script>', 'UTF-7'); ?>

+ADw-script+AD4-alert(/XSS/)+ADsAPA-/script+AD4-

Tomamos eso y lo enviamos al script vulnerable:

Pedimos: test.php?buscar=+ADw-script+AD4-alert(/XSS/)+ADsAPA-/script+AD4-
Nos debuelve:

<script>alert(/XSS/);</script>

Pero solo sirven con sitios que declaren en sus cabezeras que están haciendo uso del UTF-7.

Ahora como dice sdc también es importante ver como está hecho el sitio antes de sacar conclusiones porque por ejemplo talves filtra las comillas dobles y las simples no y talves para encerrar sus variables html hace uso de comillas dobles y puede causar un xss como por ejemplo:

Código (php) [Seleccionar] Expandir

<input type='test' value='<?php echo htmlentities($_GET['nombre']); ?>' />
En este caso aunque esté haciendo uso de utf8 podrá causarse un xss escapando con las comillas simples:
test.php?nombre=x' onload(/xss/) id='x

Puedes encontrar la información acá:
http://us3.php.net/htmlentities

Example #1 Un ejemplo de htmlentities()

Código (php) [Seleccionar] Expandir

<?php
$str = "A 'quote' is <b>bold</b>";

// Outputs: A 'quote' is &lt;b&gt;bold&lt;/b&gt;
echo htmlentities($str);

// Outputs: A &#38;#039;quote&#38;#039; is &lt;b&gt;bold&lt;/b&gt;
echo htmlentities($str, ENT_QUOTES);
?>

Si te fijas en el caso de no declarar ENT_QUOTES estás dejando libre las comillas simples y es un error muy común.

Yo recomendaría hacer uso de htmlspecialchars($texto, ENT_QUOTES) previniendo este tipo de ataques aunque un buén uso de htmlentities debería dar casi el mismo resultado.

Eso depende de las configuraciones de administración del mismo smf, lo mismo que un visitante común.

El problema estaba en un control de diseño llamado SelectBox.ctl

[/vhost/sitiocompartido.com/httpdocs/]

Estaba bueno, se supone que cuando uno tiene acceso de una shell con host compartido se suponía que no tienes derechos de visualizar ni escribir pero vi que podias escribir donde habian permisos totales que es en el directoriod e imagenes, ahora.. cuando tienes un hosting pagado te dan los permisos por defecto asi que no tienes que modificar mas permisos porque ya pueden ser sobreescritos pero aun asi no tienes acceso a ellas desde otro usuario, eso significaría que solo tienes acceso a los que ponen permisos "totales" en el directorio?

También si te fijas puedes hacer un "INTO OUTFILE" hacia ese directorio sin la necesidad de volver a utilizar el sistema de uploads ya que por defecto debería tener los mismos permisos que php para escribir.

Una forma para subir la shell sin la necesidad de tener el sistema de uploads es crear un error forzado devolviendote un path disclosure como por ejemplo:

/vhost/sitiocompartido.com/httpdocs/
Así que con este dato puedes intentar hacer una sql inyección con INTO OUTFILE hacia:
/vhost/victima.com/httpdocs/images/test.php
/vhost/victima.com/httpdocs/logs/test.php <- Este directorio tiene por defecto escritura total en joomla
/vhost/victima.com/httpdocs/imagenes/test.php
/vhost/victima.com/httpdocs/img/test.php
o buscar el directorio de imagenes poniendo "ver imagen" desde el explorador.

Saludos

uuuuuuhhh! lo arreglaré XD

Edito -->
Ya lo actualicé, la descarga del archivo es la misma.

actualicé el programa, la ruta de descarga es la misma, los detalles los puse también en el mismo primer post.

Ahora si tyiene soporte para Petty's URL.
Para los que no le funcionaban era porque el control del checkbox no era compatible con algunos sistemas asi que en ves de repararlo lo eliminé y le di una sola opción escribiendo solamente la url total del post.
Otro detalle es que ya no utiliza WINSCK.OCX asi que ya no les dará problemas tampoco por las dependencias a exepción de los que usan Wine en linux y necesitan la dll de rutinas de vb.

dudas, consultas, reclamos, demandas?

No funciona con pretty url's

Si funciona pero no nativamente  , en donde dice "ruta" pon la ruta exacta del topic desde el primer slash hasta el final, luego terminas con "&?x=" para que lo que se pone de topic normal pase a ser una variable nula, mañana le daré soporte nativo para pretty.

Mira acá está explicado como está hecho:
http://mx.answers.yahoo.com/question/index?qid=20081023061809AATxutq

mm en realidad no hace un spoofing IP al Apache pero si pude lograr otro tipo de spoof un tanto inusual que me permitió aprobecharme y hacer que aparezcan este tipo de usuarios fantasmas, también sirve para el contador de joomla, vbulletin, ipboard, phpbb, etc etc. Solo sería cosa de modificar un poco el programa y ya.

Esto no sería similar a un DDoS?

Un Ddos significan múltiples conexiones y en este caso solo se utiliza un socket sin hilos ni fork ni nada, es mas.. creo que no alcanza a usar mas de 2 mega de ram ni mas de 45 kilos por segundo en ancho de banda (algo asi como conexión por telefono basica).

Si te fijas bién e intentas hacer iframes como dijo un usuario el smf reconocerá que eres la misma persona debido a tu ip y te contará como una sola visita única hasta pasado el minuto o dos aproximadamente, esto no funciona pero el programa si  .

¦nfêrnu§ intenta registrar el ocx ejecutando

Código (bash) [Seleccionar] Expandir

regsvr32 %systemroot%\system32\Mswinsck.ocx
suponiendo que el ocx está en tu system32.

Ah... yo pensé que era algo así como para meter visitas falsas al Foro y así conseguías aumentar el record o algo similar...

De eso se trata y eso hace, talves tu conexión hacia el servidor del foro está fallando y por eso no conecta, revisa bién el puerto y host.

Recuerda habilitar la opción seo4 si es que ese foro utiliza ese mod el cual es para que las urls se vean el nombre del post y esas cosas, si tiene otro sistema como petysurl tienes que ponerle la ruta exatca del post donde dice ruta.

Eso del mswinsck.ocx lo integré junto al zip, lo mas seguro es que le estas haciendo doble click al ejecutable dentro del mismo zip sion descomprimirlo, descomprime el ocx y el ejecutable y verás que si funciona.

si apuntas a la portada en ves de un post le subes las visitas a las estadisticas generales del foro.

Hola, retomé el proyecto y pude actualizar varias cosas, todavía tengo que resstructurar mucho pero por lo emnos pude reparar dos fallas que impedian que se pudiera debolver de forma adecuada un registro y una ejecución de comandos.

El primer post lo actualizaré con la fuente para no tener que ponerlo acá porque es muy largo.