New 0day XSS - Retarded Injection

EN: 

Hey, first lodge I often talk to sl1nk yesterday sl1nk us to share some of her little 0day us a new magnière exploit XSS, sl1nk is decidedly the largest ... Even compared to Kevin Mitnick is a joke xD

I think it's a small payload in this video with a method to pass the WAF ("> <[..]) but it is not what interests us.
Enjoy!

http://www.youtube.com/watch?v=FOxsbn8MR_w

  FR:

Hey, en première loge je parle souvent à sl1nk, hier sl1nk nous a partager à quelques uns d'entre nous sa petite 0day, une nouvelle magnière d'exploiter une XSS, sl1nk est bien décidemment le plus grand... Même le comparé à kevin mitnick c'est de la rigolade xD

à mon avis c'est un petit payload avec dans cette vidéo une méthode pour passé le WAF ("><[..]) mais c'est pas ça qui nous interesse.
Enjoy!  

http://www.youtube.com/watch?v=FOxsbn8MR_w

Read more

XSS with QR-Code

XSS QR-Code injection

Comme vous devez normalement le savoir, il existe 3 sortes de XSS (du moins celles connues)

1. XSS réfléchi
2. DOM Based XSS
3. XSS Stocké

Aujourd'hui on va s’intéresser à la première, "XSS réfléchi"
On l'a dit "non permanente" du fait qu'elle n'est pas "stocké" dans le site contrairement à la XSS stocké.

C'est à dire que vous devrez faire exécuter un script à une victime sur le site en question pour récupérer son mot de passe peu importe la manière, on peut aussi par exemple récupérer ses données de localisations tels que son adresse IP etc...

Pour cet exemple, je vais m'attaquer à ce site:
https://www.esponce.com/

Comme vous le voyez, il est possible d'encoder/décoder des codes QR

Sans rentrer dans les détails voici une petite définition de ce qu'est un un code QR:

//beginning
Quick Response, dit "QR" est en fait une sorte de code barre en deux dimensions, on peut y lire l'information qui y sont stocké.

Il nous donne la possibilité d'envoyer un sms, rediriger vers un site ou même bien faire un paiement!
// End


Donc après avoir vu aspect général de ce qu'est le code QR, nous allons l'utiliser tout de suite :')

Rendez vous dans la page d'encodage, on va tout simplement injecter un code javascript et l'encoder avec les caractères HTML:

• Step one:

<script>alert('XSSED by Shirobi');</script>

• Step two:

<script>alert('XSSED by Shirobi');</script>

Op là, on a plus qu'à télécharger l'image du QR-Code sur notre bureau.

On se rend ensuite dans la page réservé au décodage de celui ci, puis nous sélectionnons notre fichier précédemment encoder.

Sans parlé de la faille UPLOAD, nous obtenons ceci:

http://img15.hostingpics.net/pics/364313xssed.png




Shirobi. Read more

Advanced WAF bypassing

//Si vous ne comprenez pas quelque chose, commentaire!

0x01~ Introduction
0x02~ WAF.. ouaf?!
0x03~ Application


0x01~ Introduction

Les injections SQL sont, je dirais, la faille la plus rependu sur le web, je dirais que cela représente entre 80/90 % des failles présentent sur le network.
Pour cela, les développeurs ont commencé à se méfier, ils ont mit en place se qu'on appelle des WAF ou bien des IDS*
Aujourd'hui, on va s’intéresser au WAF, et comme tout système, c'est faillible ou plutôt.. Bypassable?

* Système de détection d’intrusion

0x02~ WAF.. ouaf?!

Peut-être le prononcez vous juste à là, "ouaf" mais c'est en fait un acronyme, l'acronyme de "Web Application Firewall" (<= enfin je crois xD) ou mieux dit: filtres d’applications Web

Comme il l'indique, il filtre, mais quoi? du café?
Non, des mots (enfin presque).
Très utilisé par les développeurs notamment pour contrer les failles du type XSS ou SQLi.

0x03~ Application

Pour bypasser ce fameux filtre, il existe pleins de techniques dont je parlerais plus tard.

Aujourd'hui je vais vous parlé d'un moyen de bypass qui n'a pas de nom à ma connaissance (dîtes en commentaire si vous le savez), on va l’appeler "arobase" tout au long de ce tutoriel.

Alors justement vous'mdirez, pourquoi "arobase"?

Bon, pour ceux qui ne le savent pas encore, "arobase" est le signe "@".

Prenons l'exemple d'un site vulnérable à une injection sql, on va mettre notre strophe comme d'habitude etc.. etc.. mais il s'avère que celui si nous renvois "403 forbidden" Rahhh!

à votre avis, qu'est-ce que ça peut bien être Û_u ?
- Oui, bien joué! il s'agit bien d'un WAF!

Dans cet exemple, le WAF bloque les lettres après SELECT (et non pas les chiffres)

Comme ceci =>

Citation :id?=-2 UNION ALL SELECT 1,version(),3--

Donc, on voit bien la présence de "version()" qui est bien après SELECT, et qui je l'espère, vous l'aurez compris, sont des lettres.

On va donc utilisé l'arobase, qui va nous servir comme une sorte de préfixe.

Faites comme si vous programmer et que vous assignez une valeur à l'arobase (qui est un peu de la triche)

Citation :?id=-2 and (@:=version()) union select 1,@,3

Ainsi, nous n'avons plus de lettres après SELECT, et nous sommes donc en mesure de bypasser le filtre:


  Read more

How to creat a Proxy Server

Coucou, aujourd'hui on va s'amuser à créer un serveur proxy gratuitement grâce à Google App Engine et Python.

Voilà juste un uppercut avant de commencer (à vous de modifié l'interface graphique comme vous le souhaitez) Shirobi Proxy Server Free

Voici les outils requis:
- Google App Engine
- Python 2.5.* 

Premièrement, commencez par créer un dossier sur votre bureau et nommez le "proxy".
en suite, rendez-vous ici puis inscrivez vous si cela n'est pas déjà fait!

En suite, créez une application, vous arriverez avec une page de formulaire où il faut remplir les cases (c'est un peu logique, non?). Veuillez remplir comme ceci:

Application Identifier:  #nom du sous-domaine que vous souhaitez.
exemple proxyserver.appspot.com puis checker pour voir si c'est disponible

Application Title: #Vous l'aurez deviner, le nom de l'application. 
exemple Proxy Free Application

En suite des, se que l'on appelle radio button, sont présent, laissez par défaut le premier de coché.
"Creat Application" et votre application est dorénavant créée!

 Rendez vous maintenant dans votre dossier "proxy" que vous aviez créer auparavant. 
 C'est au rôle de python de jouer son tour maintenant, créer un fichier mirror.py, éditez-le, puis inscrivez y ce code. Sauvegardez puis créez un deuxième fichier python et nommez le cette fois "transform_content.py" et mettez y ce code
Très bien, s'en est fini avec python!

Je vous ai maintenant uploadé ces 3 fichiers dans un RAR, vous devrez les mettre dans le dossier proxy eux aussi.

Proxy tutoriel.rar
scan du fichier

Une fois les 3 fichiers bien rangé dans le dossier proxy, vous devez ouvrir Google App Engine, on va devoir le configurer de cette façon:

Faite Ctrl+Shift+N ou rendez vous dans file=>Add exisisting application
On vous demande le chemin de l'application (PATH) vous n'avez qu'à sélectionner le fichier proxy qui est normalement sur votre bureau.

Laissez le port par défaut et cliquez sur "ok"
En suite Edit=>Préférences=>
Python path: là où vous avez python. (l'url par défaut est mise, recopiez) idem pour App Engine SDK
Editor: Si vous  êtes sous windows => C:\Windows\notepad.exe

Une fois tout cela fait, cliquez sur ok, puis maintenant sur "Edit" changez juste le nom de l'application, ne touchez pas au reste si vous ne savez pas comment faire.
Maintenant que tout est configuré comme il faut, faites "Deploy". Connectez vous avec votre compte google et... et c'est bon. Vous n'avez plus qu'à vous rendre sur l'url de votre application et ça fonctionne normalement,rapidement,anonymement (ou pas) :').

Voilà pour moi:  http://shirobiproxy.appspot.com


Read more