Author Archives: esrever

0x09 – SANS Holiday Challenge 2014

Uzun zamandır siteyi güncellememişim, hazır içerik varken bir yazı yazayım dedim. SANS’ın her sene Noel döneminde düzenlediği güvenlik oyunu / yarışmasına bu sene ben de bir göz attım. Yolladığım çözüm ekte, ama bakmadan önce aşağıdaki linkten siz de oynayın. Sorularınız varsa yorum olarak gönderin vaktim oldukça cevaplarım.

http://pen-testing.sans.org/holiday-challenge/2014
Çözüm: AChristmasHackingCarol-KeremKocaer

0x08 – CVE-2013-5216 CapaSystems Performance Guard Path Traversal Vulnerability

Application Performance Guard
Vendor CapaSystems
Link http://www.capasystems.com/it-performance-monitorin

Discovered by Kerem Kocaer <kerem.kocaer(at)gmail(dot)com>

Problem
——-
Path traversal vulnerability in the “download logs” section allows remote attackers to read
arbitrary files by intercepting and modifying the file path in an HTTP request to “uploadreader.jsp”.

The vulnerability is confirmed to exist in version 6.1.27. Other versions may also be vulnerable.

Exploit
——-
This issue can be exploited with a web browser and a proxy tool to intercept and modify parameters
sent to: http://[address]/logreader/uploadreader.jsp

Fix

The vendor has reported fixing the problem in version 6.2.102.
Bug Fix PG-8050 (http://capawiki.capasystems.com/display/pgdoc/PG+6.2.102)

Timeline
——–
2013-05-16 Provided details to CapaSystems
2013-06-07 Performance Guard version 6.2.102 released (with Bug fix PG-8050)

Reference
———
CVE Number: CVE-2013-5216

0x07 – Digiturk

0x03 numarali yazimda, Digiturk’un yurtdisi WebTV hizmetini Macintosh bilgisayar ile nasil izlenebilecegini, ve varolan bir guvenlik acigini kullanarak hesap paylasmanin, hatta bedava izlemenin nasil mumkun oldugunu anlatmistim. Bu seferki yazimda ise WebTV’yi degil, evlere kurulan Digiturk hizmetiyle ilgili bir guvenlik sorununu paylasacagim.

Baslamadan once yine belirtmek isterim ki, bu “acik” (guvenlik acigi olarak yorumlanmayabilir bu olay, ama benim kisisel gorusum acik oldugu yonunde), Digiturk’e bildirildikten kisa bir sure sonra duzeltilmistir.

Kompozisyonumuza baslayabiliriz.

Giris

Yazin Turkiye’deyken ev ahalisine ufak bir hediye olarak eve Digiturk taktirmaya karar verdim. Her sirket gibi Digiturk de uye olmak isteyen insanlari hic uzmuyor, sagolsunlar aramamim ertesi gunu gelip kurulumu tamamladilar, haftasonu maclarina bile yetistik. Turkiye’den donme vaktim yaklasinca, yurtdisindan fatura odemelerini nasil gerceklestirebilecegimi incelemeye basladim, ve www.digiturk.com.tr’deki “Online Islemler” sayfasini buldum. Buraya basinca telefon numaraniz ve sifrenizi girerek giris yapabiliyor, fatura odeyebiliyor, uye bilgilerinizi gorup degistirebiliyor, yeni paket satin alabiliyorsunuz, vs vs.. Su ana kadar gayet normal.

Gelisme

Uyelik sirasinda bana herhangi bir sifre verilmemisti ve elimde sadece bir uyelik numarasi vardi. Ben de “Sifremi sms’le sifirla” linkine tikladim ve soyle bir yazi cikti karsima:

“Sayin Uyemiz,
Kayitli cep telefonunuzdan DIGISIFRE SIFIRLA yazip 3555’e gondererek sifrenizi safirlayabilirsiniz.”

(buraya kadar guzel)

“Kayitli cep telefonunuz yoksa veya ilk defa giris yapiyorsaniz UYELIKNO DIGISIFRE SIFIRLA yazip 3555’e gondererek sifrenizi alabilirsiniz.”

Oups. Bunu okuyunca kendi kendime bir “eyvah” patlatip hemen denemeye basladim. Rastgele bir uyelik numarasi kullanarak 3555’e XXXXXXX DIGISIFRE SIFIRLA yazdim, ve soyle bir cevap geldi:

“Sn KOLUNSAG; DIGIWEB’e giriste kullanacaginiz DIGISIFRE’niz dijital kartinizin son 5 hanesi (XXXXX) olarak guncellenmistir.”

Sn KOLUNSAG kim (kendisinden ozur dilerim sifresiniz resetledigim icin)? Ben niye onun sifresini sifirlayabiliyorum? Ben niye bu yeni sifre ile onun hesabina girebiliyorum? Ben niye Sn KOLUNSAG’in adina soyadina telefonuna adresine, hangi pakete uye oldugu, faturasini ne zaman odedigi gibi bilgilere ulasabiliyorum?

“Neyse artik bu uye nosu herhalde sms’i gonderen telefon numarasi ile eslesmistir, baska uye sifresi alamam” diye dusunup bir kez daha denedim, ve..

“Sn ISIK; DIGIWEB’e giriste kullanacaginiz DIGISIFRE’niz dijital kartinizin son 5 hanesi (XXXXX) olarak guncellenmistir.”

Hmmm.. Bu olayi abartsak ne yapabiliriz? Toplu sms atip uyelerin sifrelerini resetleyen, yeni sifrelerle sistem giris yapip uye bilgilerini toplayan bir uygulama yazilabilir mesela. Ya da “hangi takimin en fazla Digiturk uyesi var” sorusuna cevap bulunabilir (uyelik bilgilerinde tuttugu takim da var). Hatta herkes “Mega Super Ultra Pahali Paket”e gecirilebilir. Ama bunlari yapmiyoruz, cunku suc islemek istemiyoruz. Fakat boyle durumlarda, bilgileri koruyamayan site sahibinin de ayni derece suclu sayilmasi gerektigi kanaatindeyim.

Sonuc

Muhtemelen uyelere ve musteri hizmetlerine kolaylik saglamak amaciyla yaratilmis bir sifre sifirlama hizmetinin nasil kotu amacli kullanilabileceginin ornegini goruyoruz burada. Sorunu cozmek oldukca basit. “UYENO DIGISIFRE SIFIRLA” seklinde bir hizmet sunulmamali, telefonu kayitli olanlar sadece “DIGISIFRE SIFIRLA” ile yeni sifre alabilmeli, telefonu kayitli olmayanlar da musteri hizmetlerini arayarak kaydini yaptirmali, ya da ilk uyelik formu doldurulurken yazilan telefon numarasinin kaydi Digiturk tarafindan otomatik yapilmali.

Nitekim Digiturk’un sitesinde “sifremi sms’le sifirla”ya tikladiginizda artik soyle yaziyor:

“… Kayitli cep telefonunuz yoksa veya ilk defa giris yapiyorsaniz 0212 xxx xx xx Musteri Hizmetlerimizden sifrenizi alabilirsiniz”.

“Acaba hala 3555’e UYENO DIGISIFRE SIFIRLA yazip sifre elde etmek mumkun mudur” diye merak etmiyor degilim ama… :)

Edit: Mumkun olmadigi, “Sn. XXX, bu telefon uyeliginize kayitli degil. Bu telefonu kayit ettirmek için XXX’ten Musteri Hizmetlerini arayiniz” seklinde cevap geldigi yonunde bilgi geldi. Bunu da ekleyelim.

0x06 – NetWin Surgemail XSS

Application    NetWin Surgemail 4.3e
Vendor         NetWin – http://netwinsite.com

Discovered by  Kerem Kocaer <kerem.kocaer@bitsec.com>

Problem
——-
Cross-site scripting (XSS) vulnerability in the Surgemail webmail login page
(/surgemail) allows remote attackers to inject arbitrary web script or HTML.

Input passed to the “username_ex” parameter is not properly sanitised before
being returned to the user, therefore enabling the execution of arbitrary
script code in a user’s browser session, which can lead to cookie theft and
session hijacking.

The vulnerability is confirmed to exist in version 4.3e (latest version at
the date of vulnerability discovery). Previous versions may also be vulnerable.

Exploit
——-
http://[address]/surgeweb?username_ex=”/><scri<script>alert(document.cookie);</script><input type=”hidden
(tested on Firefox)

Fix

The vendor has reported fixing the problem in version 4.3g.

Timeline
——–
2010-05-13 Notified NetWin (ChrisP.)
2010-05-13 Received response from NetWin
2010-05-13 Provided details to NetWin
2010-05-26 Surgemail patched

Reference
———
CVE Number: CVE-2010-3201

0x05 – GS 1:0 FB

Ezeli rakipler, ebedi dostlar… Galatasaray – Fenerbahce rekabetini ozetlemenin en tatli yolu bu olsa gerek. Ben de bir Galatasarayli olarak firsat buldukca Fenerbahce ile ugrasmayi eglenmeyi seviyorum, ipin ucunu kacirmadan. Zira ipin ucunu kacirinca neler oldugunu goruyoruz: kufur, kavga, sporu spor olmaktan cikaran sahneler… Bu yazida, “tatli rekabet”imizin guzel bir ornegini okuyabilirsiniz.

Daha onceki tum yazilarimdaki guvenlik aciklarinda yaptigim gibi, bu sefer de bu yaziyi yazmadan once gerekli kisilere haber verdim ve acigin kapatilmasini bekledim. Hatta acigin kapatilmasina yardim ettim diyebilirim. Artik sorun kalmadigina gore de yazmakta bir sakinca gormuyorum.

Isvec Fenerbahceliler Dernegi

Isvec’te, Stockholm temelli bir FB dernegi bulunmakta. Web siteleri uzerinden mac skorlari, yorumlar, duyurular, vs yazarak uyelerine ulasiyorlar. Bu sitede biraz dolasirken “Hangi CMS sistemini kullaniyorlar acaba” diye merak ettim ve ana sayfanin kaynak koduna bir goz attim.  Bu kodda asagidaki gibi linkler gormek mumkun:

http://fenerbahce1907.se/admin

/admin sayfasina bir goz atinca, “CuteNews” isimli CMS (content management system, WordPress, Joomla gibi)  sisteminin kullanildigi,  1.3.1 versiyonunun kurulu oldugunu ogreniyoruz.

Guvenlik acigi

Google’da yapacagimiz basit bir “CuteNews v1.3.1″ aramasi ise karsimiza hemen su adresi cikariyor: http://www.waraxe.us/advisory-60.html

Burada belirtildigi gibi, CuteNews 1.4.6 versiyonu oncesinde onemli bir guvenlik acigi bulunmakta, ve bu acik sayesinde kritik bilgiler (kullanici adi, sifre gibi) elde edilebilmektedir. Yukaridaki adreste detayli bicimde acik anlatildigi icin tekrarlamak istemiyorum, direkt “saldiri” kismina gecelim..

Bu acigi kullanmak icin herhangi bir arac kullanmaya gerek kalmasa da, isimizi kolaylastirmak icin, yukarida sayfada linki verilen araclari kullanabiliriz. http://www.waraxe.us/tools/ adresinden indireceginiz cuteuser ve cutemd5 php scriptlerini, hafif ayarlar yaptiktan sonra (dosyanin icindeki adresleri degistirmek gibi), php calistiran bir web server’a upload ediyoruz, ve sirayla calistiriyoruz.

cuteuser.php sayesinde kullanici adini ogreniyoruz. Bu biraz zaman alabilir, cunku her bir harf icin bircok request yollaniyor web sayfasina, o yuzden isin icine biraz da “tahmin” katarak bu sureyi kisaltabiliriz. Ornegin ben calistirdigimda “fenerb” harflerini cikardiginda zaten kullanici adinin “fenerbahce” oldugunu anlamistim. Kendim manual olarak web sayfasina 1-2 request yollayip bunu kontrol edip emin olunca (‘fenerbahce’ ile bitmeyebilirdi kullanici adi, ‘fenerbahce1907′ ya da baska bir sey olabilirdi mesela) da scripti durdurdum.

Sirada parola var, bunun icin de cutemd5.php scriptini kullaniyoruz. Bu script size parolanin kendisini degil, md5 hash’ini verecektir. Bunu elde edince karsinizda iki secenek var. Ya rainbow tables’lar yardimiyla bu hash’i kirmayi deneyebilirsiniz (yazimizin konusu disinda), ya da CuteNews’a parolayi bilmeden sadece md5 hash’i ile login olabilirsiniz. Ikincisi daha zahmetsiz oldugu icin tabii ki onu sececegiz.

Sut…

Tek yapmamiz gereken, Firefox ve bir cookie editoru ile (Cookie Editor Firefox eklentisi olabilir mesela), fenerbahce1907.se domain’ine ait iki tane cookie yaratmak:

username=[buldugunuz kullanici adi];
md5_password=[buldugunuz md5];

… ve gol

Bu cookie’leri elde ettigim kullanici adi ve hash ile yaratip, http://fenerbahce1907.se/admin/ sayfasina girdigim zaman karsima su ekran cikti:

fenerbahce1907.se Admin sayfasi

Admin kullanici olarak (“fenerbahce” kullanicisi yani), resimden de anlasilacagi uzere, haber eklemek, kullanici eklemek, icerigi bosaltmak dahil her turlu islemi yapmak mumkun.

Bu asamada bir Galatasarayli olarak aklima binbir turlu senaryo gelse de, (maalesef) hepsini bir kenara attim ve sitenin sorumlusuyla konusup problemi anlattim, nasil duzeltilecegi konusunda bilgi verdim. Sorumlu da birkac gun icinde CuteNews’i 1.4.6 versiyonuna upgrade etti ve acigi kapatmis oldu.

Bu maceradan bana geriye kalan tek sey de, durumu 1-1 yapacak Fenerli cikip cikmayacagi meraki oldu :)

PS: Gelecek yazimda, birkac milyon kullanicisi olan bir sitede buldugum kritik aciktan bahsedecegim.. ama once acigin kapatilmasi lazim..