Can’t Stop

Niedługo minie rok od założenia mojego homepage’a. Dziękuje wszystkim, którzy odwiedzali przez ten czas moją stronę.

Ten wpis jest ostatnim w historii tego bloga. Niedługo planuje rozpocząć nowe projekty związane z siecią. Mam nadzieję że się Wam spodobają. pozdrawiam irk4z

Red Hot Chili Peppers – Can’t Stop

PHP-Fusion 7.00.1 (messages.php) Remote SQL Injection Exploit

Opublikowane dzisiaj na milw0rm. Działa przy wyłączonych magic_quotes.

uw-team.org DDos

Jak pisze Unknow, 17.11.2008 uw-team.org stało się ofiarą ataku DDos, który skutecznie sparaliżował serwer. Nieciekawa sprawa. Nie dosyć że agresor nieznany (albo znany tylko ekipie uw-team), to jeszcze panowie zostają zmuszeni do przeniesienia strony na serwer dedykowany. Muszę napisać że szczerze współczuje redakcji i życzę jak najszybszego powrotu serwisu do sieci. (oryginał w PNG)

Wiem że zbudowanie prywatnego botnetu nie jest rzeczą trudną, wystarczy chociażby wykorzystać błędy w popularnych skryptach php i zgrabnie połączyć je w sieć poprzez serwer głowny, sterowany za pomocą IRC. Przeprowadzanie ataków DDos sprowadza się do wpisania jednej komendy. Takie ataki, jak ten na uw-team, przypominają mi testy nuklearne, pomagające zmierzyć siłe własnego arsenału i w przyszłości często mogą posłużyć do poważniejszych ataków na istotne miejsca w internecie.

hack.pl owned

Ktoś „odwiedził” hack.pl i skromnie napisał czerwono na czarnym
„OWNED BY H3X” hihi Ciekawe jak to się odbije na i tak słabej reputacji portalu..

Screen

Skype extension for Firefox BETA 2.2.0.95 Clipboard Writing Vulnerability

Znalazłem błąd w dodatku skype’owym do Firefoxa. Pozwala on na zapisanie własnej wartości do schowka systemowego. Co ciekawe, dodatek jest domyślnie instalowany wraz z programem Skype, zatem można się spodziewać dużej ilości zagrożonych komputerów. Oczywiście powodzenie ataku zależy od pewnej interakcji z użytkownikiem, więc luka nie jest krytyczna.

Luka jest podobna do niedawno odkrytego problemu związanego z dostępem do schowka systemowego poprzez Adobe Flasha i ActionScript. W tym wypadku napastnik również może manipulować zawartością schowka.

Tutaj możesz przetestować błąd.

prawiczek25 czyli naciąganie ludzi..

Część z Was być może słyszała (i może nawet ją odwiedziła) o stronie zemsta-za-zdrade.pl, ‚na której pewien mężczyzna opowiada historię swojej niewiernej partnerki’. Nie było by w tym nic dziwnego, gdyby nie to, że cała ta historia została wymyślona by wyłudzać pieniądze. W jaki sposób? W treści strony można było wykonać ‚Test IQ’ za wynik którego trzeba było oczywiście zapłacić, wysyłając sms’a na podany numer (koszt 23.18 zł).

Sprawę nagłośnił i opisał między innymi hacking.pl: http://hacking.pl/pl/news-15001-Zemsta_za_zdrade_To_test_IQ.html

Tymczasem przed chwilą natknąłem się na nową stronę, z równie szaloną misją; cytuje: ‚Apel prawiczka! Pomóż mi stracić dziewictwo!’. Rzekomy prawiczek opowiada o potwornej zdradzie swojej niedoszłej żony, okropnym bólu i ranie, jaką pozostawił ten związek w jego życiu. I tutaj dochodzimy do sedna sprawy. Autor pisze: „(…) dlatego założyłem się z moją przyjaciółką — jeśli uda mi się uzbierać 5 milionów odwiedzin na tej stronie, w ciągu 1 miesiąca, ona pomoże mi z moim „problemem” i spędzi ze mną noc. Jeśli przegram, przez tydzień będę jej niewolnikiem wykonującym wszystkie jej polecenia.”.

Doświadczeni użytkownicy internetu od razu wyczują podstęp. Jeżeli myślisz że ta historia jest prawdziwa, czytaj dalej, postaram się zdemaskować prawdziwy cel istnienia tej strony.

Zobaczmy na początku jakich sąsiadów posiada strona. Użyjmy do tego narzędzia typu reverse IP domain check. Wynik jest trochę zaskakujący, prawda?

…
prawiczek25.pl has the IP address: 91.121.167.135
3 found with the IP 91.121.167.135

1) zemsta-za-zdrade.pl (view site)
2) prawiczek25.pl (view site)
3) ns202934.ovh.net (view site)
…

Cóż… zemsta-za-zdrade.pl, witryna wyłudzająca pieniądze, na jednym serwerze. Przypadek?

Drugą ciekawą sprawą są statystyki. Naprawdę wierzycie że od 1 października do 2 października (czyli w sumie przez dwa dni) stronkę odwiedziło ponad 80000 osób? Sprawdziłem ruch na stronie w ciągu 5 minut (od godz 22.03 do godz 22.08). Licznik strony wzrósł w tym czasie dokładnie o 1649 odwiedzin. Jeżeli nadal nie wzbudza to w Was wątpliwości, spróbujcie co sekunde odświeżać stronę i sprawdzać stan licznika. Średnio 6 osób na sekunde. Wiadomość szybko się rozchodzi albo zapewnienie autora: ‚gdybym chciał oszukiwać, to sam bym sobie ten licznik podkręcił ‚ powinny brzmieć raczej ‚gdybym nie chciał was oszukac, nie podkręcałbym licznika ‚.

Reasumując, uważajcie na co wchodzicie w sieci 😉 A ja czekam aż na stronce prawiczka25 pojawi się możliwość przetestowania swojego IQ za ‚drobną’ opłatą… pozdrooo

REQUEST_URI i mały trik

Czy można ominąć poniższe zabezpieczenie, tak żeby wyświetliło się ‚tajne haslo’ (skrypt nazywa sie config.php)?

<?php
   if ($_SERVER['REQUEST_URI'] == '/config.php') {
      die("nie mozna odwolac sie do tego skryptu bezposrednio!");
   }
   echo 'tajne haslo ';
   //inne tajne dane
?>

Pewnie już domyślacie się odpowiedzi. Wystarczy zamiast config.php wywołać w requescie config%2ephp. Taki mały trik. Zaczerpnięte ze (od niedawna mojej ulubionej) strony suspekt.org. ;]

SQL Column Truncation Vulnerability po polsku

Kiedy dostałem linka od mojego znajomego do notki Stefana Essera na temat ciekawych podatności MySQL, od razu zacząłem testować popularne skrypty pod kątem tego typu błędów. Oczywiście rozpocząłem od WordPress ;] Niestety, najprawdopodobniej nie byłem pierwszy, bo (co w sumie logiczne) Stefan dużo wcześniej przetestował ten skrypt i poinformował o usterce programistów WordPress.

W każdym razie, poniżej postarałem się ująć w kilku przykładach istotę tej klasy podatności.

mysql> CREATE TABLE test (login varchar (20) );
Query OK, 0 rows affected (0.39 sec)

mysql> INSERT INTO test VALUES ( 'admin' );
Query OK, 1 row affected (0.36 sec)

mysql> select * from test;
+-------+
| login |
+-------+
| admin |
+-------+
1 row in set (0.01 sec)

próba wstawienia 21-znakowego ciągu do pola 20 znakowego
powoduje obcięcie i wyrzucenie nadmiaru znaków (czyli
w tym wypadku wyrzucenie znaku 'x')

mysql> INSERT INTO test VALUES ( 'admin               x' );
Query OK, 1 row affected, 1 warning (0.00 sec)

mysql> select * from test;
+----------------------+
| login                |
+----------------------+
| admin                |
| admin                |
+----------------------+
2 rows in set (0.00 sec)

mysql> select hex(login) from test;
+------------------------------------------+
| hex(login)                               |
+------------------------------------------+
| 61646D696E                               |
| 61646D696E202020202020202020202020202020 |
+------------------------------------------+
2 rows in set (0.03 sec)

mysql> select * from test where login='admin';
+----------------------+
| login                |
+----------------------+
| admin                |
| admin                |
+----------------------+
2 rows in set (0.02 sec)

mysql> select * from test where login='admin                ';
+----------------------+
| login                |
+----------------------+
| admin                |
| admin                |
+----------------------+
2 rows in set (0.00 sec)

Poza tym MySQL w standardowej konfiguracji ma ustawioną opcje max_packet_size na jeden megabajt. Jest to maksymalny rozmiar pakietu możliwego do przesłania pomiędzy serwerem SQL a klientem. Zatem gdy zapytanie przekroczy tą wartość, nie zostanie w ogóle wykonane. Najczęściej spowoduje to błąd w aplikacji webowej która wykona takie query.

Poprzez odpowiednią manipulację rozmiarem danych, można doprowadzić do sytuacji w której część zapytań nie wykona się, właśnie z powodu przekroczonego rozmiaru zapytania, a część z zapytań wykona się normalnie. W konsekwencji aplikacja może np. przestać działać poprawnie, utworzyć błędy bypass, w ogóle przestać działać itp.

szukanie błędów

niewątpliwie ciekawe zajęcie, choć czasami frustrujące. najbardziej nie lubie znajdywać błędów przez które właściwie mało co można zdziałać np. takie full path disclosure. rzadko kiedy informacje zdobyte tą drogą prowadzą do krytycznych nadużyć. Wpis inspirowany znalezionym błędem full path disclosure w najnowszej Joomli. Screen na dowód żeby nie było że pisze bajki (sory za mało przyjazną cenzure, miałem pod ręką tylko painta ;p)

WordPress 2.6.1 SQL Column Truncation Vulnerability

Opublikowane na milw0rm. Na dniach postaram się napisać coś więcej apropo tej klasy podatności. Jeżeli chcesz wiedzieć więcej teraz, przeczytaj notke (po angielsku) na blogu Stefana Esser’a.

Quicksilver Forums 1.4.1 forums[] Remote SQL Injection Exploit

Błąd opublikowany na milw0rm.com. W sumie nic szczególnego, skrypt jest opensource’owy i niezbyt popularny ;] ale może komuś się przyda.

Blind SQL-injection

blind sql injection zmusza do myślenia. kiedy można odpytywać bazę danych tylko przy pomocy stwierdzeń czy zapytanie zwróciło PRAWDĘ lub FAŁSZ, z dużą cierpliwością selekcjonuje sie najbardziej optymalne zapytania. znalazłem ostatnio blind sql-a, zapytanie wyglądało mniej więcej tak:

SELECT id,tytul,tresc,data FROM tabela_jakas_tam WHERE tytul='jakis' ORDER BY $id

jak to wykorzystać? UNION nie dołączymy, bo zwróci nam Incorrect usage of UNION and ORDER BY. Ja rozwiązałem to w taki sposób, że zapytanie wyglądało tak:

SELECT id,tytul,tresc,data FROM tabela_jakas_tam WHERE tytul='jakis' ORDER BY (SELECT id FROM INFORMATION_SCHEMA.tables WHERE 1=1)

SELECT id,tytul,tresc,data FROM tabela_jakas_tam WHERE tytul='jakis' ORDER BY (SELECT id FROM INFORMATION_SCHEMA.tables WHERE 1=2)

Można stwierdzić prawdę i fałsz ;] Teraz tylko dopisać kod, który wyciągnie potrzebne info z mysql.user lub INFORMATION_SCHEMA i można wejść w głąb systemu.

p.s jak macie lepsze pomysły wykorzystania albo spotkaliście się z podobnymi problemami – piszcie ;P

projektowanie.org i okładka płyty O.S.T.R.

Dzisiaj krótki wpis o nieprzeciętnej okładce ostatniej płyty OSTR wykonanej przez pracownie graficzną projektowanie.org. „Inspiracją formy była stylistyka komiksów z lat 80.” – piszą na stronie jej twórcy.

Todd Francis

Sprawdźcie stronę toddfrancis.com . Generalnie artysta najwyższych lotów, tworzy naprawdę dobre grafiki (głównie deskorolkowe). Kocham ten styl rysunków.

praca

Jest czas na odpoczynek, jest czas na prace. Cały sierpień pracuje w Allegro (w Poznaniu ofc). Nie pierwszy i mam nadzieję nie ostatni raz. Oczywiście przy bezpieczeństwie ;]

Poza tym niedługo może uraczę Was jakąś ciekawą podatnością, żeby nie było że nic nie robie. Szukam czegoś naprawdę oryginalnego i ciekawego. Bo po co publikować trywialne błędy w nic nie znaczących skryptach?

Ostatnio dotknął mojego znajomka nieprzyjemny atak DoS. Ktoś uwziął się na jego homepage. Sprawa jest nieciekawa, ponieważ przed atakami tego typu trudno się bronić, kiedy ma się jedynie konto www na serwerze.