He visto por ahi esto:
<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<
Simple Machines Forum (SMF) 1.1.6 Code Execution Exploit
http://milw0rm.com/exploits/6993Simple Machines Forum <= 1.1.6 (LFI) Code Execution Exploit
http://milw0rm.com/exploits/7011En ambos casos es posible causar la ejecución de códigos o subir directamente una shell como un r57 o un c99 aunque es necesario que el atacante pueda subir archivos adjunto en un post para poder ejecutar cualquiera de estos dos exploits donde uno se trata de un LFI y el otro de paquetes autoinstalables sin la verificación de un sesc.
En el primer exploit aparece lo siguiente:
Citar
$this->url->package = '../attachments/' . $this->url->package;
SMF te devolverá un error ya que filtra si alguien intenta escapar del directorio de paquetes, modificamos por lo siguiente:
Citar
$this->url->package = './../attachments/' . $this->url->package;
Solo verifica que los primeros tres carácteres no sean '../' asi que le anteponemos './' y ya.
También descubrí otro bypass que permite instalar paquetes sin verificar la extension del archivo, ahora dicen 'para que sirve?'... supongamos que nuestro foro objetivo solo deja subir archivos jpg, renombramos el paquete con la shell a *.jpg y listo, luego decimos las palabras mágicas..
http://127.0.0.1/foro/index.php?action=packages;sa=install2;package=... ...test.jpg
dentro de un xsrf ovbio hacia el admin y ya está instalado bypaseando el path antihacking
y la extensión del archivo.
Algo muy curioso es que después de tres dias nadie se haya dado cuenta, ni los de simplemachines ya que no hay parche ni post en la sección de bugs ni en ninguna otra comunidad.
No pierdan el tiempo, ya probé con foros amigos y no dejan subir nada
El admin de este foro ya tomó las medidas necesarias para evitar catastrofes :xD
>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>
No se que version teniais pero para la 1.1.6 como veis parece que existe fallo de ejecucion de codigo. Si la maquina sobre la que correis es linux ,supongo que ya lo habreis hecho pero si no, yo echaria un vistazo a los procesos que teneis y si teneis el servidor web corriendo con el usuario root, si no podeis reinstalar pasad al menos un chrootkit y un rkhunter. Mirar nuevos usuarios creados y procesos corriendo con dicho usuario y con el usuario donde corre apache. Si no pues lo equivalente en windows ^^.
Ultimamente hay un huevo de ataques de enumeracion y passwords por ssh. Si lo teneis configurado para entrar por password en lugar de por clave publica y privada yo echaria un vistazo a /var/log/auth.log (si es debian) vereis un monton de entradas del palo de:
<<<<<<<<<<<<
Invalid user matt from XX.XX.XX.XX
>>>>>>>>>>>>
Si una de esas da acceso pues al menos ya teneis la ip del fulano, de todas formas probablemente sea de otro ordenador infectado si es con este tipo de ataque. :S
A mi una vez me entraron y eso sirvio para que me volviese un jodido paranoico, como les pille en el proceso consegui passwords, usuarios e ips de los pipiolos que me entraron.
Muchos animos y espero que algo de lo que pongo aqui sirva de algo(aunque seguro que todo esto ya lo habeis mirao ^^). de todas formas convendria que quitaseis la version y tipo de foro que sale abajo. Es para evitar ,Aunque sea de una manera muy burda, google hacking y que los gusanos que hacen esto de forma automatica puedan acceder de forma muy sencilla.
PD: se me olvidaba hace relativamente poco pillaron lo de las claves con los aleatorios fallidos de debian. Desde la version woody hasta no me acuerdo cual. Si no estaba actualizado todo y se cambiaban la generacion de claves, generaba claves con las que era facil entrar. Si no teneis puestas claves de acceso en known host nada pero si no seria para mirar si os afectó o no ese problema, ya que si las claves estaban generadas antes de la fecha de actualizacion eran faciles de crackear.
