Friday, August 14
Moodle, RCE

Từ quyền teacher lên RCE như thế nào trong Moodle(CVE-2020-14321)

Lại là tháng 7, mình lại có dịp viết lên đôi điều. Lần này nhân tiện có chiến dịch tìm zero-days, thì có mục tiêu là Moodle. Sơ qua về em này thì là trang học trực tuyến hàng đầu thế giới :))) Thực ra khi khai tiến hành khảo sát thì về cơ bản để tấn công những trang Moodle này đều cần quyền người dùng, quyền chấp nhận được là teacher. Mình sẽ tập trung vào CVE-2020-14321 này luôn. Phiên bản khai thác là: Moodle core 3.9, 3.8 to 3.8.3, 3.7 to 3.7.6, 3.5 to 3.5.12 và các phiên bản trước đó. Và điều kiện là bạn là teacher của một khóa học. Sơ qua về CVE này là cho phép bạn từ quyền teacher lên quyền manager. Lại nói về các quyền thì ở Moodle sẽ có một số quyền như là: quyền người dùng thông thường, quyền học sinh(student) , quyền giáo viên(teacher) , quyền manager (Người dùng này nếu ...
Joomla, RCE

My Journey to find out Joomla’s CVE(Part 2)

Analysis of CVE-2020-10239 Requirement: A user with Manager group Joomla core from 3.7.0 to 3.9.15 Exploitation: A user with Manager group quick acesses: domain/administrator/index.php?option=com_fields&context=com_content.article Select New , at Type field as below picture and result : Fill in anything and result after  selecting Save button: Error: Only a Super User can create an SQL field! Scenario: Create a new field with allowed fields as text. After, intercept this request and change to sql field. Expected result: A new SQL field instead of text field. Create a new field with allowed fields as text as below picture: And Save button. Save again, intercep...
Joomla, RCE

Hành trình tìm kiếm CVE của Joomla (Phần 2)

Cũng khá lâu rồi chưa viết được thêm gì, nhân tiện thì cũng viết về CVE-2020-10239: Incorrect Access Control in com_fields SQL field CVSS 2.0:6.5 và CVSS 3.x :8.8 Bài này mình sẽ phân tích lỗi này. Mặc dù có nhiều lỗi nhưng đa phần đều yêu cầu quyền người dùng khá là cao, nên mình cũng đã quyết tìm cho mình một cái CVE xịn xò xíu. Như phần trước đã đề cập, ở Joomla cho quản trị backend sẽ là 3 quyền: Manager để quản lý các bài viết, Administrator để quản lý người dùng và thêm vài chức năng riêng, còn cấp cao nhất là người dùng Super User thì sẽ làm mọi thứ, bao gồm cả RCE. Yêu cầu: Với CVE này, thì chỉ cần yêu cầu người dùng là Manager thôi và phiên bản : Từ Joomla core 3.7.0 đến 3.9.15. Như phần mô tả của CVE thì đó là cho phép người với quyền M...
Joomla

Hành trình tìm kiếm CVE của Joomla (Phần 1)

Mô tả ngắn gọn về CVE mình tìm được: CVE-2020-10238: Incorrect Access Control in com_templates (Bài mình nói về cái này) CVSS 2.0:5.0 và CVSS 3.x :7.5 CVE-2020-10239: Incorrect Access Control in com_fields SQL field CVSS 2.0:6.5 và CVSS 3.x :8.8 CVE-2020-10241: CSRF in com_templates image actions CVSS 2.0:6.8 và CVSS 3.x :8.8 Và còn ... cái nữa nhưng họ đang thảo luận sửa lỗi sao cho đúng nên họ hẹn bản cập nhật sau. Đồng nghĩa là mình chưa thể public cách khai thác được :)) ----------------------------------------------------------------------------------------------------------------------------------------- Ban đầu thì mình được tham gia vào dự án của công ty để thực hiện quá trình pentest cho ứng dụng website. Thì tại website đó có sử dụng CMS là Joomla. Trước khi đi vào chi tiết ...
Joomla

My Journey to find out Joomla's CVE(Part 1)

Some of my CVEs : CVE-2020-10238: Incorrect Access Control in com_templates (This blog) CVSS 2.0:5.0 and CVSS 3.x :7.5 CVE-2020-10239: Incorrect Access Control in com_fields SQL field CVSS 2.0:6.5 and CVSS 3.x :8.8 CVE-2020-10241: CSRF in com_templates image actions CVSS 2.0:6.8 and CVSS 3.x :8.8 And more. —————————————————————————————————————————————– I have participated in my project company to pentest the customer's website. And this website used Joomla CMS. Before starting, the definition of some concepts: 1. CVE? Common Vulnerabilities and Exposures (CVE) is a dictionary-type list of standardized names for vulnerabilities and other information related to security exposures. CVE aims to standardize the names for all publicly known vulnerabilities and security exposures. The go...
Khai thác lỗ hổng ứng dụng Web qua Telerik Web UI trên Framework ASP.NET(CVE-2017-9248)
RCE

Khai thác lỗ hổng ứng dụng Web qua Telerik Web UI trên Framework ASP.NET(CVE-2017-9248)

Từ Cryptographic Issues - Generic tới RCE như thế nào? Đọc sơ qua và dịch lại đoạn mô tả từ CVE thì nôn na là như sau: "Telerik.Web.UI.dll trong Progress Telerik UI cho ASP.NET AJAX trước R2 2017 SP1 và Sitefinity trước 10.0.64-12.0,không bảo vệ đúng cách Telerik.Web.UI.Dialog-ParameterEncodingKey hoặc MachineKey, giúp kẻ tấn công từ xa dễ dàng đánh bại các cơ chế bảo vệ mật mã, dẫn đến rò rỉ MachineKey, tải lên hoặc tải xuống tệp tùy ý, XSS hoặc thỏa hiệp ASP.NET ViewState", hiểu một cách đơn giản là có thể giải mã và truy cập vào web UI đó, ta có thể upload file tùy ý. Vậy là đã hiểu sơ bộ rồi. Làm sao để phát hiện? Đầu tiên, đó là webserver đó phải sử dụng framework là ASP.NET Thứ 2: Sử dụng Telerik Web UI Thứ 3: Phiên bản phải nằm trong bảng sau: Để tìm phiên bản, các...