Jun 23, 2012

AT&T And Hostgator was hack.

Target: ATT.com
Vulnerable Link: REDACTED
Vuln. Type: Error-Based
Vulnerable paramater: sb=
DB: prod
Well; it just goes to show you, anything is vulnerable. You just have to know where to look. This DB has A LOT of information in it: names, addresses, mobile numbers

ect..  The information in this dump isn't even 1% of whats in here, I just didn't feel like dumping tens of thousands of names, emails, addresses, mobile numbers (you get my point).

 Source: http://pastebin.com/itm460Fj

[x] hostgator.com  : -  Site Exposure
say("#FreeTriCk #FreeMLT #FreePhantom");                             
say("Knowledge is power!"); 
say("HostGator, are you ready for a little exposure? Yes? Why thank you.");

Source: http://pastebin.com/bkqXZpAu


If you like my blog, Please Donate Me

Jun 22, 2012

Browsers Anti-XSS methods in ASP (classic) have been defeated!

If you want to see full article,please go to the Source.

Browsers Anti-XSS methods in ASP (classic) have been defeated!

This time, I want to start with the summary section first to break the rules!

The intention of this paper is to prove the client-side XSS protection methods must have rules for different web application languages, otherwise they will be bypassed. This research is based on ASP classic web applications, but it can be performed in other web application languages as well.

I researched different methods of sending inputs to an ASP (classic) page. I found out that almost all of the browsers’ Anti-XSS protection methods are not aware of different features of ASP that accept the inputs; therefore, all of them can be bypassed.

Note: NoScript has already added all of these rules to its application and it is more secure than the others currently (thanks to Giorgio Maone for patching the application as quickly as possible). IE9 has better sense about ASP than Google Chrome, but it does not still have all the rules.

In order to make you more interested, I will start with two examples:

Example 1: Do you think Anti-XSS methods should detect this easy XSS attack?


Please try it in IE8/9/10 and Google Chrome to see the result.

Example 2: What about this?


Example 3: Or, sometimes, the bypass can be complicated! This is how I solved my XSS1 and XSS2 questions with a single solution in SecProject.com Challenge Series 1:




As you see, I am only using 1 input parameter to bypass everything! (Note: this special page in xss1 converts “<” and “>” to “&lt;” and “&gt;” which was used to bypass NoScript as well – it is not a NoScript bug)

Why can you bypass XSS protections? I will tell you now.
Interesting ASP Input Features

1- HTTP Parameter Pollution (HPP): ASP is one of the web application languages which can receive several inputs with one single name. Although this feature was/is used legitimately in some of the web applications, it can be useful for attackers to bypass some restrictions as well [1].

2- Certain UTF-8 characters will be transformed to their ASCII equivalents [2], [3]. It can be used in both of parameter names and their values. Therefore, “inPut1=<scriPt/>” is equal to “%u0131n%u2119ut1=%u3008scr%u0131%u2119t>”

3- Parameter names in ASP are not case sensitive. Therefore, “input1” is equal to “InPuT1”.

4- Anything after the Null character will be ignored in parameter names and their values. Therefore, “input1=test” is equal to “input1Something=testAnything”

5- Percentage characters (“%”) will be ignored when there is no Hex value after them in parameter names and their values. Therefore, “input1=test” is equal to “%input1%=t%%est%”

6- When a parameter name after the ampersand character (“&”) is not followed by an equal sign (“=”), ASP does not count it as a separate input. As a result, in “?&input1=test” the parameter name is “&input1”; or, in “?&input1&input1=test” the parameter name is “&input1&input1”.
Bypassing browsers Anti-XSS protections

Now we know many different interesting features of ASP. We can mix these features together to bypass the browsers protections which do not understand these rules. Please see the above examples again to identify the feature types which have been used.

Note 1: URL Encoding can be used in ASP to obfuscate the attack.

Note 2: Many UTF-8 vectors such as “%u1111” will be translated to “?” in ASP which can be used in JavaScript.

Note 3: Normally, a UTF-8 encoded string should have a lowercase “u”. Therefore, “%u0041” (which is “A”) is not equal to “%U0041” (which is “U0041”). However, sometimes server configurations can make these equal!

Note 4: If you have more than 1 input (multi-injection), reordering the input parameters may bypass the protections (input disorder method [4]).

Please let me know via twitter or email if you know or have found any other interesting features.

This research was based on ASP classic language. However, other languages such as PHP can be studied in the same way; for example, PHP ignores spaces before the parameter names and anything after the “[]” or a null character (“”) in the parameter names, or in PHP, space, dot, and a lone square-bracket characters (“ .[”) in parameter names will be converted to an underscore character (“_”).

Source: http://soroush.secproject.com/blog/2012/06/browsers-anti-xss-methods-in-asp-classic-have-been-defeated/

If you like my blog, Please Donate Me

Jun 21, 2012


เขียนโดย นายสุเมธ จิตภักดีบดินทร์
                ถ้าหากนึกถึงคำว่าคนกลางคนส่วนใหญ่คงนึกถึงผู้ที่ช่วยงานต่างๆของเรา เช่น เรื่องการติดต่อประสานงาน การทำงานแทน และอื่นๆอีกมากมาย แต่หากพูดถึงคำว่าคนกลางในระบบเน็ตเวิร์คแล้ว เป็นอะไรที่อันตรายต่อผู้ใช้งานเน็ตเวิร์คนั้นๆมาก
Man-In-The-Middle คือ
                การใช้งานเน็ตเวิร์คทั่วไปนั้น เมื่อผู้ใช้งานต้องการจะส่งข้อมูลไปยังเน็ตเวิร์ควงอื่นหรือไปยังอินเตอร์เน็ต จะต้องส่งออกไปยังช่องทางออกของเน็ตเวิร์คนั้นๆ ซึ่งช่องทางออกดังกล่าวนั้นก็คือ Gateway นั้นเอง เมื่อ Gateway ได้รับข้อมูลต่อมาจากผู้ใช้งาน Gateway จะทำการค้นหาเส็นทางต่อว่าควรจะส่งข้อมูลดังกล่าวไปทางไหนดี เมื่อส่งสำเร็จก็จะทำการรอรับข้อมูลกลับมาจากปลายทาง แล้วนำส่งข้อมูลดังกล่าวให้กับผู้ใช้งานอีกทีหนึ่ง นั่นหมายความว่าหากมีการกรอก username, password, ข้อมูลบัตรเครดิต หรือข้อมูลใดๆก็แล้วแต่ที่มีความสำคัญออกไปสู่ภายนอก จำเป็นต้องผ่าน Gateway ก่อนทั้งสิ้น เมื่อ Hacker เห็นช่องทางดังกล่าว ก็เลยคิดหาวิธีการปลอมแปลงเครื่องของตนเองให้กลายเป็น Gateway ซะ เมื่อเครื่องผู้ใช้งานเห็นว่าเครื่อง Hacker เป็น Gateway จึงส่งข้อมูลทั้งหมดไปยังเครื่อง Hacker แทน ซึ่งทำให้เครื่องของ Hacker ได้รับข้อมูลที่สำคัญทั้งหมดเหล่านั้น จากนั้น Hacker จึงทำการส่งข้อมูลเหล่านั้นไปยัง Gateway ที่แท้จริงอีกครั้ง
รูปภาพจำลองการทำ Man-In-The-Middle
                สิ่งที่ Hacker ทำเพื่อให้ผู้ใช้งานคิดว่าเครื่อง Hacker เป็น Gateway นั้นมักใช้วิธีที่เรียกว่า ARP Poisoning โดยสรุปถึง ARP Poisoning แบบสั้นๆก็คือ Hacker จะสร้าง packet หนึ่งขึ้นมาแล้วส่งไปให้ผู้ใช้งานทั่วไป ซึ่งจะเป็นการไปบอกกับเครื่องผู้ใช้งานว่าที่อยู่ (MAC Address, Physical Addess) ของเครื่อง Hacker เป็นที่อยู่เดียวกับของ Gateway นั่นเอง
1.       เครื่องผู้ใช้งานทั่วไปจะใช้ IP เป็น มี MAC Address คือ 00:0C:29:86:7F:72
2.       เครื่อง Hacker จะใช้ IP เป็น มี MAC Address คือ 00:0C:29:FF:7D:61
3.       เครื่อง Gateway จะใช้ IP เป็น มี MAC Address คือ 00:50:56:E3:C7:22

ARP Table ก่อนจะที่โดนโจมตีด้วย arpspoof
ARP Table หลังโดนโจมตีด้วย arpspoof
               จากภาพจะเห็นว่า  IP address ซึ่งเป็น Gateway มี MAC address เหมือนกับ ซึ่งเป็นเครื่อง Hacker ทำให้ในขณะที่ผู้ใช้งานถูกโจมตีด้วย ARPSpoof ผู้ใช้งานจะทำการส่งข้อมูลไปที่ Hacker แทนที่จะเป็น Gateway  
               มีเครื่องมือสำหรับการทำ Man-In-The-Middle หลายตัวที่ Hacker ใช้ทำการดึงข้อมูลสำคัญๆของข้อมูลที่ได้รับจากผู้ใช้งานทั่วไปออกมา เพื่อให้ง่ายต่อการที่ Hacker จะนำไปใช้ต่อเช่น Hamster & Ferret, Middler เป็นต้น

                จากที่กล่าวมาข้างต้น จะเห็นว่าสิ่งที่ทำให้ Hacker สามารถดึงข้อมูลออกมาได้ เป็นเพราะการหลอกผู้ใช้งานสำเร็จ และสิ่งที่เราสามารถใช้เหตุการณ์เหล่านี้ได้ มีดังนี้
1.       การกำหนดค่า MAC Address ของ Gateway แบบถาวร
Windows:  arp -s 00-50-56-E3-C7-22
Linux:  arp -s 00:50:56:E3:C7:22
2.       ใช้โปรแกรมป้องกัน ARP Poisoning
หากเป็น Windows ให้ใช้โปรแกรม AntiARP และหากเป็น Linux ให้ใช้โปรแกรม ArpOn ครับ
3.       ควบคุมการเข้าถึงระบบเน็ตเวิร์คให้เข้มงวดมากขึ้น
วิธีนี้เป็นการกำหนดเรื่องของสิทธิ์ของ user มากกว่าว่าใครสามารถเข้าใช้งานระบบเน็ตเวิร์คนั้นๆได้บ้าง หากเป็นระบบ LAN จะสามารถกันได้ง่ายเพราะจะต้องเสียบกับช่อง LAN ซึ่งทำให้สามารถสังเกตุได้ง่ายและเข้าถึงได้ยากอยู่แล้วครับ แต่หากเป็นระบบ Wireless LAN ก็จำเป็นที่จะต้องเลือกใช้งานระบบการเข้ารหัสต่างๆแทนการเปิดแบบ Public ซึ่งมีให้เลือกหลายแบบคือ WEP, WPA, WPA2 ครับ
4.       ใช้อุปกรณ์เน็ตเวิร์คที่มีคณสมบัติป้องกัน ARP Spoofing
ในปัจจุบันมีอุปกรณ์หลายยี่ห้อที่เห็นถึงภัยอันตรายดังกล่าว จึงมีการเพิ่มฟังก์ชั่นการตรวจจับและป้องกันการโจมตีแบบ ARP Poisoning ไว้ด้วย แต่ราคาก็จะมากกว่ารุ่นปกติแต่ไม่มากครับ
                การใช้งานเน็ตเวิร์คภายในองค์กรอาจจะปลอดภัยและใช้งานได้อย่างสบายใจได้มากกว่าระบบเน็ตเวิร์คสาธารณะทั่วไปที่เปิดให้ใครก็สามารถเข้าใช้งานได้ซึ่งอาจจะมี Hacker แอบแฝงมาใช้งานก็เป็นได้ แต่ก็อย่าลืมเช่นกันว่าการเรียนรู้การโจมตีระบบต่างๆสามารถหาข้อมูลและเรียนรู้ได้โดยไม่ยากเย็นนัก ซึ่งอาจจะทำให้คนภายในเองที่ทำตัวเป็น Man-In-The-Middle ก็เป็นได้ ดังนั้นถ้าเป็นไปได้ก็ระวังการใช้งานให้มากขึ้นหรือเพิ่มการป้องกันต่างๆตามที่กล่าวมาด้วยก็จะดีครับ

If you like my blog, Please Donate Me