Vor ca. zwei Wochen habe ich auf der PayPal Labs Seite XSS Lücken gefunden und diese an die Site Security Stelle von PayPal weitergeleitet.
Einen Tag davor hatte ich noch eine Kleinigkeit an PayPal weitergeleitet, dabei warnten mich HooHead und Uwe davor, dass PayPal ziemlich streng bei so etwas vorgeht. Dieses Verhalten hatte man auch schon öfter in den Medien beobachten können.

Nicht einmal zwölf Stunden nach dem ich die Mail an PayPal gesendet hatte, bekam ich eine Antwort, mit der Bitte, den Anhang mit einem Passwort zu verschlüsseln und die Endung umzubenennen, weil die Anhänge sonst herausgefiltert werden würden. Gesagt getan. Danach lief alles sauber. Gestern bekam ich die Bestätigung, die ich angefragt hatte, um die Vuln zu veröffentlichen.

Ich bin sehr positiv überrascht von diesem Verhalten. Hätte ich ehrlich gesagt nicht von PayPal erwartet, die Leute beim SecTeam von PayPal scheinen wohl begriffen zu haben, dass solche Tipps nett gemeint sind und nicht provokativ etc.

Zur Vuln:
bursali's vulnerability database | www.paypal-labs.com ~ Cross Site Scripting

Wünsche Euch noch einen schönen Freitag,
~bursali

Seit langer Zeit mal wieder ein Blogbeitrag und dieses Mal auch ein schöner.
Ich habe letzte Woche ein paar Cross Site Scripting Vulns beim Adventskalender der Postbank gefunden und diese direkt gemeldet.
Als am nächsten Tag eine Antwort im Mailfach war, war ich erstaunt. So schnell, um genau zu sein, innerhalb von 24 Stunden, antworten die Kontaktleute eigentlich nie.
Und dieses Mal war es keine 'Lassen Sie uns damit in Ruhe'-Mail, Anklage-, Drohmail etc.
Es war eine nette eMail mit dem Hinweis, dass es direkt weitergeleitet wurde und man mich benachrichtigt, wenn alles gefixxt ist.
So ließ die zweite Mail nicht lange auf sich warten, mit einer Erklärung, einem Dankeschön und dem Hinweis, das man alles gründlich überprüft habe und alles sauber ist.

Genau SO einen Gesprächspartner wünscht man sich!

Zu der Vuln geht es hierlang:

bursali's vulnerability database | www.adventskalender.postbank.de ~ Cross Site Scripting

Mit freundlichen Grüßen,
~bursali

Zuallererst, vom Erdbeben in Türkei war ich nicht betroffen, weil ich nicht im Osten sondern eher im Nordwesten der Türkei wohne.

So, nun zum eigentlichen Thema. Die Happy Ninjas sind back und dieses Mal mit einem Riesenpaket!
Hier eine Liste:

• St0re.cc
• El-Basar.biz
• The Happy Ninja Faker alias 3lite
• Swissfaking.net
• Vpn24.org
• Undercover.su
• k!LLu's Botnet
• Secure-Host.in
• Unique-Crew.net
• Zion-Network.net
• Hackbase.cc
• "Some leftovers including union-district.cc, cyberbase.us and secret-network.biz"

Würde ich zu jedem Punkt etwas schreiben, würde ich wohl noch morgen abend hier sitzen.
Deshalb beende ich den Beitrag hier und wünsche Euch viel Spaß beim Lesen und Lachen. (;
Aber eines kann gesagt sein, dieses Mal gibt es einige interessante Informationen.

Happy Ninjas - exp03

Happy Ninjas - exp03 - Backup

Btw. das Outro ist sehr schön geschrieben.


It's been one and a half year since we pub-
lished exp01. Three ezines full of ownages and
stories isn't a bad figure, is it? At least we
think that those and especially this one will
cause enough fear for the feature and people will
realize that there are still some guys left who continue to preserve
the spirit of the underground, like real hackers used to. Hackers do
not sell credit cards. Hackers hack, that means breaking into
computer systems and striving for perfection. That's our opinion, even
if most don't believe that way. We ourselves will never stop hacking.
Designing new backdooring techniques and farming 0days has become a
way of life. Owning people who deserve it and collecting data has
become a mental belief. We will be prepared for the future, even if
the kids decide to switch to Windows 8. Our belts contain more 0day
bullets than ten glocks can carry and for exceptions we have our
special task force at the Gorch Fock. No matter what, "they" will be
owned.

In the meantime we started to think that it might be worth
concentrating on the international scene, but that does not mean that
we stop observing any movement in the German one, even if we are sick
of it. Really sick. This is going to be the hash
c949d6f078f9c0661d0e91cce74e4ad16b30e7c9 whose plaintext value we are
going to publish in our next release so you better watch out! With
these last words we finally close this ezine.

Ein Hoch auf die Happy Ninjas. *prost* (;

Mit freundlichen Grüßen,
~bursali

Die Seite www.unzensuriert.at ist sicher einigen Internetnutzer bekannt.
Bekannt ist das österreichische 'Newsportal' für das Veröffentlichen von ausländerfeindlichen, rassistischen und vor allem islamfeindlichen Nachrichten.

Ich zitiere hier Schlagzeilen von der Seite:

- ""Merhaba Türkiye": Türkenprodukte werden salonfähig"
- "Türken lieben Vergewaltigungen"
- "Feuchte türkische Träume von "Türkland""
- "Moslem-Eldorado Bundesheer"
- "Prozess wegen Massenvergewaltigung und Zwangsprostitution durch Muslime"
- "Türkei: Von der Militärrepublik zum Mullahregime?"

Nach etwas recherchieren kommt man auf das Ergebnis, dass dieses 'Newsportal' in einem sehr engen Zusammenhang mit der FPÖ [Freiheitliche Partei Österreichs] steht.
Auch benutzen einige FPÖ Politiker dieses 'Newsportal' für Meinungsäußerung, die in einigen Fällen sehr extrem ausfallen, was sehr unprofessionel ist.

Diese Seite ist mir schon oft aufgefallen und auch die Bitte der Bürger, diese - ich zitiere "Drecksseite" - solle doch bitte vom Netz verschwinden. Diesem Wunsch gehe ich jetzt nach.
Durch einen programmiertechnischen Fehler ist es mir gelungen, Zugriff auf den Server zu bekommen.

Näheres erfahrt Ihr auf dem Defacescreen.

www.unzensuriert.at - Defacescreen #1

www.unzensuriert.at - Defacescreen #2

Hier der Text:

Guten Tag,

Diese Seite ist aufgrund von beschämendem Jounalismus, Manipulation, ausländerfeindlichem und antiislamisitischem Inhalt offline.
Besonders der dreckige, manipulierte und erbärmliche Inhalt gegen Türkei, türkischstämische Personen und Muslimen auf dieser Seite ist sehr hoch.

Einige Beispiele für Schlagzeilen:
- ""Merhaba Türkiye": Türkenprodukte werden salonfähig"
- "Türken lieben Vergewaltigungen"
- "Feuchte türkische Träume von "Türkland""
- "Moslem-Eldorado Bundesheer"
- "Prozess wegen Massenvergewaltigung und Zwangsprostitution durch Muslime"
- "Türkei: Von der Militärrepublik zum Mullahregime?"

Diese Beipiele sollten ausreichend sein um zu verdeutlichen, dass es dieser Webpräsenz stark an Niveau und Verstand fehlt.
Entweder Sie, die Betreiber dieser Seite, lösen dieses Problem/unterlassen derartige Nachrichten oder ich werde wieder kommen.

Dieses Mal wurde die Datenbank und andere Dokumente nicht angerührt. Beim nächsten Vergehen, bei der nächsten rassistischen, rassenfeindlichen, islamfeindlichen und allen, in dieser Reichtung gerichteten Nachrichten, werde ich mir wieder Zugang zu Ihrem Server beschaffen und sämtliche Daten veröffentlichen.

Mit freundlichen Grüßen,
~bursali

Sollte sich das Verhalten der Seiteninhaber/Redakteure nicht ändern, werde ich mir wieder Zugang auf den Server beschaffen und sämtliche Dateien und Datenbanken veröffentlichen.

~Update.

So, wie einige schon gesehen haben, wollen die Damen und Herren wohl genau so weitermachen, mal abgesehen davon, dass ein Beitrag veröffentlich wurde, mit sehr netten Kommentaren.
Näheres erfahrt Ihr in der Releaseinfo.

Eigentlich sollte der Dump schon früher online sein, leider habe ich hier in Türkei im Moment nur lahmes Internet. Deshalb hat es so lange gedauert.
Die Dumpgröße beträgt etwas mehr als 3GB, die Downloadgröße ~1,6 GB.
Enthalten sind Webfiles + Datenbank.

Download:

VPS - Part 1 - 500MB
VPS - Part 2 - 500MB
VPS - Part 3 - 500MB
VPS - Part 4 - 47MB

Rapidshare - Part 1 - 500MB
Rapidshare - Part 2 - 500MB
Rapidshare - Part 3 - 500MB
Rapidshare - Part 4 - 47MB

Mit freundlichen Grüßen,
~bursali

Mal wieder auf Nazijagd.

www.intifada-naso.com - deface

Hier gehts zur Seite & hier zum Dump mit Datenbank und FTP-Dump.

Mit freundlichen Grüßen,
~bursali

Anfang des Monats bin ich über einen Tweet auf die Seite gestoßen und habe mich etwas damit beschäftigt. Das Ergebnis war nicht sehr erfreulich, nach der Rückmeldung, dass alles gefixxt ist, kann ich es nun veröffentlichen.

www.zecurion.com - SQL Injection - Proof

Nähere Informationen.

Mit freundlichen Grüßen,
~bursali

Ich habe vor ein paar Tage eine Mail an www.charts.de verschickt und habe heute morgen eine Antwort erhalten, dass alles gefixxt ist.

www.charts.de - SQL Injection - False

www.charts.de - SQL Injection - True

www.charts.de - Cross Site Scripting

Nähere Informationen.

Ein netter Kontaktpartner muss ich sagen, außerdem nettes Wortspiel in seiner Mail. (;

Hallo

Besten Dank für den Hinweis... und danke an Petrus für das Regenwetter.
[...]

Mit freundlichen Grüßen,
~bursali

Endlich habe ich kurz Zeit, diesen Beitrag zu schreiben.

Ich habe am 17.05.2011 eine Mail an slimtrade.com geschrieben, mit dem Inhalt, dass die Seite verwundbar ist.
Eine Anwort kam nicht, also verschickte ich - wie ich es immer mache - die Mail nach ca. 48 Stunden nochmal.
Am 22.05.2011 habe ich dann die Lücke benutzt, um mir den Fehler genauer anzusehen.
Ich habe, um ein Zeichen zu setzen, die Javascriptdateien aller Benutzer mit einem Script umgeändert und ein Iframe von dieser Seite hinzugefügt.
Die Dateien sollten - eigentlich - nach ca. einer Stunde vom Cronjob überschrieben werden, da dieser jede Stunde die Dateien aktualisierte, wahrscheinlich um die Statistik zu aktualisieren. Näher hatte ich mir das nicht angeguckt, da ich keine Zeit hatte.
Bevor ich dann meinen Zugriff verlies, habe ich die ausgenutzt Lücke gefixxt und damit meinen Zugang beendet.
Leider lief es nicht so, wie ich es erwartet hatte. Entweder der Cronjob war falsch konfiguriert oder ich hatte Pech und habe etwas übersehen. Somit wurden die Seiten für ca. den ganzen Tag angezeigt.
Entweder der Administrator hat die Dateien manuell neu erstellt oder der Cronjob ist nur später gelaufen, ich weiß es nicht, eine Mail kam übrigens bis heute nicht an.

Btw. an alle, die meinen, ich hätte und würde damit jemandem Schaden wollen.
Es sollte nur ein Zeichen sein und es war nur ein Zeichen, das würden diejenigen verstehen, wenn Sie meinen Text genauer lesen würden. Ich habe versucht, die angemeldeten Benutzer und deren Besucher zu schützen und nicht zu schaden. So eine Lücke hätte man bestimmt für gutes Geld verkaufen können, um damit zB. einen Drive By zu verteilen. Der Gewinn von Vics, Zombies etc. wäre enorm.
Ich hatte laut Statistiken innerhalb von 10 Minuten mehr als 1000 Zugriffe auf die Seite - von verschiedenen IP's. Und nun könnte Ihr Euch ausmalen, was passiert wäre, wenn ich kein Zeichen gesetzt hätte, diese Lücke jemand anderes benutzt hätte, um andere zu infizieren.

Was mir gerade noch einfällt.
Der bzw. mein Titel "Cyberterrorist",  den ich hier benutze, ist nicht wortwörtlich zu nehmen. Dieser Titel entstand früher auf einem IRC, als andere mich so nannten. Einen Bezug zwischen meinem Handeln und diesem "Titel" gibt es nicht. Damit wäre nun auch das geklärt, es ist krank, was in Foren über mich geschrieben wird.

Mit freundlichen Grüßen,
~bursali

Gerade laufen ja die Wahlen und man könnte, wenn man wöllte, auch etwas Spaß mit damit treiben.
Die Wahlseite der Tagesschau hat eine XSS Verwundbarkeit, durch die man theoretisch falsche Wahlstatistiken auf die Seite setzen könnte.
Mit dem von mir manipulierten Link zeige ich lediglich ein Frame und leite nach sieben Sekunden auf meinen Blog um.

wahlarchiv.tagesschau.de - Cross Site Scripting

Link

Außerdem zeigt hier hoohead noch eine Art die Wahlen zu "manipulieren".

Schönen abend noch,
~bursali

npd-erfurt.de - Screenshot

Link

Mit freundlichen Grüßen,
~bursali

spenden.cdu.de - document.cookie

spenden.cdu.de - frame

Mit freundlichen Grüßen,
~bursali

www.dinersclub.de - document.cookie

www.dinersclub.de - frame

www.dinersclub.de - simple xss alert

Mit freundlichen Grüßen,
~bursali

Mich hat heute ein alter Kollege aus dem asiatischen Gebiet angeschrieben und mich gefragt, ob ich für Ihn etwas erledigen könnte. Da er mir früher ein paar Mail geholfen hatte, habe ich es natürlich nicht abgelehnt.

Er gab mir den Link zu der Seite, www.nll.com - , ich wollte eigentlich gleich sagen, dass das wohl nicht möglich sein wird, wollte es aber doch kurz testen.

Das Ergebnis seht Ihr hier: Visit.. bzw. als Bild: Zum Bild.. | []

Habe mir die Seite danach noch kurz angeguckt, um herauszufinden, was die so auf dem Server haben & habe ein paar interessante Sachen gefunden.

Ich liste hier mal ein paar Sachen auf die Interessant sein könnten bzw. sind.
Ein paar Arbeiter der Seite haben Ihre Arbeitsverzeichnisse ungesichert gelassen, somit ist ein Zugriff für jedermann möglich, mal abgesehen davon, dass das online Verwalten sehr leichtsinnig ist.
In einigen Verzeichnissen gab es Maillisten von Redaktionen verschiedenster Weltmedien und Medienseiten, Mailbackups von Anfang 2010 bis heute, Sql Backups, Mitarbeiterlisten mit allen erdenklichen Daten usw.

• Andrea
  - http://nll.com/andrea/
• Scott
  - http://nll.com/scott/
  usw.

Dann gibt es da noch Videos zu Spielen etc.:

• http://nll.com/10games/
• http://nll.com/11games/

Außerdem verwendet die Seite sehr alte und unsichere Software..

• http://nll.com/jobboard/install.php
  usw.

Und natürlich die Datenbanken, diese bleiben aber bei mir, werde mir die mal genauer anschauen. (;

Zusammengefasst, eine extrem verwundbare Seite, habe bei der kurzen Suche SQLi, XSS und eine LFi gefunden.. Wenn man weitersuchen würde, würde man bestimmt noch einiges finden.

Schönen Abend noch,
~bursali

Ein Kollege hat mich darauf hingewiesen & mittlerweile geht es auch durchs Netz. (;
Wenn man einen bestimmten Wert einer Variable zuordnet und diesen dann per echo abruft, entsteht eine unendliche Schleife.

Folgende Varianten sind möglich bzw. verschieden Schreibformen des Wertes:

<?php $d = '2.2250738585072011e-308'; echo $d; ?> 
<?php $d = '0.22250738585072011e-307'; echo $d; ?> 
<?php $d = '22.250738585072011e-309'; echo $d; ?> 
<?php $d = '22250738585072011e-324'; echo $d; ?> 
<?php $d = '02.2250738585072011e-308'; echo $d; ?> 
<?php $d = '2.22507385850720110e-308'; echo $d; ?> 
<?php $d = '2.2250738585072011e-0308'; echo $d; ?>
 
Außerdem ist es möglich den Wert auszuschreiben, dies hat den gleichen Effekt.
Andere Möglichkeiten sind z.B. Kombinationen aus diesen Möglichkeiten/Werten etc.

Diese Nachricht geht schon durch einige Diskussionsforen/-seiten, wer mitlesen will kann dies auf folgenden Seiten machen, es ist auf jeden Fall sehr interessant.
Außerdem gibt es auf den Seiten Beweise und Systeminformationen, bei denen die Systeme sich aufhängen.

Die Seite wo es veröffentlich wurde: PHP Hangs On Numeric Value 2.2250738585072011e-308 - Exploring Binary

Diskussionsseiten:
- Reddit
- Hacker News (Beitrag 1) & (Beitrag 2)
- Der PHP bug report von dem Entdecker.

Mit freundlichen Grüßen,
~bursali

Habe heute beim Herumgucken eine XSS Lücke entdeckt. (;
Mail ging um 17.28 Uhr raus, die Antwort kam um 19.01 Uhr! Wirklich vorbildlich.
Ja, sogar ein Dankeschön war in der Mail. <3 Sieht man nicht oft. (;

Vielen Dank für den Hinweis!
Die Sicherheitslücke ist bereits geschlossen!

Mit freundlichen Grüßen
Jaxxxxx xxxxxxxx

Mit freundlichen Grüßen,
~bursali

Mit freundlichen Grüßen,
~bursali

Mit freundlichen Grüßen,
~bursali

Mit freundlichen Grüßen,
~bursali

Bin durch einen Freund auf die Seite gestoßen und hatte diese damals etwas untersucht.
Mehrere XSS Lücken, sowie eine SQL-Injection.

Schönen Sonntag,
~bursali

So wie es scheint hat die "0wned & exp0sed"-Crew einen großen Schlag gegen die genannten Seiten gemacht, all diese Seiten wurden gehackt, eine Datei mit allen Infos findet Ihr hier.

In der Datei findet Ihr alle Informationen, ich werde die Gründe kurz aufzählen bzw. aus der Datei zitieren:

Free-Hack.com

We owned free-hack because they are developing into one of the
largest, most arrogant script-kiddie breeding grounds on the
intertubez.

// Das Statement von Free-Hack ist nun auch da..

Interessanter Text, schöner Text. So kennt man Suicide.
Mal schauen was daraus wird. Wäre wirklich schade wenn Sie gehen würden.. =/

Carders.cc

We owned carders.cc (AGAIN) because they are unable to learn from
their mistakes and keep spreading garbage around the underground.

// Carders hat schon ein Statement gepostet, ein Dank für die Info geht an D4NT3, der dies per Kommentar gemeldet hat! (:

inj3ct0r.com

We owned inj3ct0r because they are lameass wannabe milw0rm kids whose
sole purpose in life is to disclose XSS 0dayz in Joomla (RSnake
anyone?).

Offsec - backtrack-linux.org & exploit-db.com

We owned offsec including backtrack and exploit-db because they are
fucking security "expert" maggots (oops s/m/f/) who just fail so hard
at security that we wonder why people really take their training
courses. We imagine it's like open mic night at the laughatorium.

Ettercap

We owned ettercap because we were tired of people firing that shit up
and pretending to be a l33th4x0r sheep who think they are the greatest
hackerz with their ARP spoofing toolkitz.. If you have installed
ettercap in the last 5 years you may want to check yo shit (;p).

## Update ##

Die Datenbanken sind nun pub..
carders.cc Datenbank
inject0r.com Datenbank
Free-Hack Datenbank werde ich nicht zur Verfügung stellen!

Mit freundlichen Grüßen,
~bursali