www.conrad.de - Expression Language Injection

Posted by bursali | Posted in Misc | Posted on 19.06.2012

1

'Nabend.

Heute mal eine 'neue' Vulnerability, von der viele wahrschenlich noch nie gehört haben. :)
Diese wird auch kaum bei Vulnerability-Statistiken verzeichnet, weil der Anteil verschwindend klein ist.

Trotzdem gibt es diese Lücke vereinzelt zu finden. :)
Wie zum Beispiel auf www.conrad.de.

Näheres zu der ELI [Expression Language Injection] Vulnerability findet ihr in dem ausführlichen Paper [Mirror] von Stefano Di Paola (Minded Security) und Arshan Dabirsiaghi (Aspect Security).
Meiner Meinung nach eine interessante und je nach Fall auch gefährliche Vulnerability.
In diesem Fall hier aber kaum gefährlich, weil bestimmte Zeichen und Begriffe wie zum Beispiel das Plus-Zeichen gefiltert werden.

Da wie schon erwähnt die Möglichkeiten gering sind etwas großes mit dieser Vuln anzustellen, können wir uns die Sache von der eher lustigen Seite anschauen.
Wir nutzen die Vuln quasi aus und benutzen die Conrad-Seite als Taschenrechner oder als Vergleicher. ;)

Beispielrechnung - 2*2:

www.conrad.de - Beispiel - 1

www.conrad.de - Beispiel - 1

Beispielrechnung - 32/5:

www.conrad.de - Beispiel - 2

www.conrad.de - Beispiel - 2

Beispielrechnung - 13+3:
Auch wenn das Pluszeichen gefiltert wird, kann man mit zwei Minusen eine Plusrechnung durchführen. :)
Wie schön die einfache Mathematik ist.

www.conrad.de - Beispiel - 3

www.conrad.de - Beispiel - 3

Vergleicherbeispiel - 'bursali'=='bursali':
Auch zwei Strings vergleichen ist kein Problem.

www.conrad.de - Beispiel - 4

www.conrad.de - Beispiel - 4

Oder eben falsch. :)

www.conrad.de - Beispiel - 4.1

www.conrad.de - Beispiel - 4.1

Und so weiter.
Es sind auch komplexere Rechnungen möglich.
Wer will kann sich ja 'austoben'. :P

Schönen Abend noch,
Deniz.

Google Accounts & Facebook - Remote Post SQL Injection

Posted by bursali | Posted in Allgemeines | Posted on 18.06.2012

3

Huhu.

Vor ca. einer Stunde flatterten folgende zwei Sachen in den Reader:

1. Google Accounts - Remote Post SQL Injection
2. Facebook - Remote Post SQL Injection

Da scheint wohl jemand die zwei großen ge0wned zu haben! :o
Schlimm, jetzt wird er bestimmt alles dumpen und dann auf dem Schwarzmarkt verticken oder doch eher die Accounts seiner Freunde 0wnen, weil Facebook alle Hashes nur in MD5 abgelegt hat. :(

Ok, genug.
Ich denke 1337core trifft es gut:

1337core - Tweet

1337core - Tweet

Und gescherzt wird auch etwas - natürlich. :D
gehaxelt zeigt uns seine Künste:

Gehaxelt - Tweet

Gehaxelt - Tweet

Google - Owned

Google - Owned

Schon lustig, wie amüsant so etwas werden kann. ;)
Versüßt wenigstens etwas den Arbeitsalltag.

Jetzt nochmal zu der Veröffentlichung.
Schaut man sich die PoC's genauer an, findet man sehr oft folgenden String "WCRTESTINPUT" mit einer steigenden Zahlenreihe dahinter, wie zB. "WCRTESTINPUT000001".
Laut Google und einigen Foren handelt es sich hier um Platzhalter der Software WebCruiser.
Bekannt ist die Software anscheinend für eine miserable Erkennung und viele, sehr viele False Positives.

Schönen Tag noch,
Deniz.

www.opensc.ws - Defaced

Posted by bursali | Posted in Scene | Posted on 07.06.2012

5

'Nabend.

Das uns allen bzw. vielen bekannte Forum OpenSC.ws wurde gestern Nacht defaced.
Besucht man die Seite www.opensc.ws, erscheint folgende Meldung:

OpenSC.ws - Deface Screenshot

OpenSC.ws - Deface Screenshot

Nähere Informationen sind nicht bekannt.
Auf einigen Foren wird gerätselt, wer hinter diesem Hack stehen könnte.

Laut dem Eintrag bei Zone-H könnte die Gruppe "Albania Radicals Elite" dafür verantwortlich sein
oder doch GOA, 3lite und M-$p33d? ;)

Update:
Mittlerweile ist die Seite bzw. der Server komplett offline.

Mit freundlichen Grüßen,
Deniz.