Bogdan Androidteam

Очередной кейс с вордпресс.Пользователя при переходе на сайт редиректит на сайт с фишингом.При осмотре сайта ,никакого вредоноса обнаружено небыло .Проганялось специализированным софтом несколько раз все директории .Все настройки по безопасности выдержаны в строгом порядке.Но в итоге ,проводился реверс всех файлов на сайте и вот тут вредонос и показал себя .
Строка которая редериктила пользователя нашлась в файле "иконки вордпресс".А вызывался этот файл ,как потом выяснилось файлом mdxsc.php ,который принадлежит системе сравнения снимков ,которая была на хостинге(Шаред хостинг),тобишь вредонос через хостера пролез в сайт одного из клиентов...Так как сайт корпоративного значения ,и была куплена антивирусная защита ,то в итоге хостеру предоставились все доказательства инциндента и в результате получена компенсация.Хостинг был сменен,по прошествию времени ,проблем нет
#Редиректит wordpress
#Переадресация
… #взломали
#Защита WordPress

При проверке популярного в Украине строительного магазина, интернет-реурса, на уязвимость, была найдена уязвимость owasp top 10 (SQL injection),для проверки и последующей эксплуатации использовался инструмент SQLmap .
При использовании нужного параметра который передавался .Сервер выдал информацию о двух БД.С которых можно снимать дамп или же также редактировать находу .Программисты исправили эту уязвимость,"добро" на публикацию данного кейса есть
#интернет-безопасность
#SQL injection
… #тестирование на проникновение
#кибербезопасность

У человека взломали сайт ,а так же увели админку хостинга. Для восстановления хостер просит ,доступ в админку сайта для подтверждения принадлежности сайта (а доступа как раз и нет, пароли уже поменяли). Все работы проводились через Burp Suite
И так имеем цель Joomla 3.6.3 в ней присутствуют уязвимости CVE-2016-8869, CVE-2016-8870,CVE-2016-9081 если использовать эту цепочку - то получим доступ ресурсу с правами "Суперпользователь"
.Используя уязвимый контроллер в "user.php" передаем task = user.register.В массиве jform мы передаем значения пароля ,логина . Таже нам нужен токен CSRF ,который мы можем взять в ХЕШЕ MD5 со страницы авторизации .Соответсвенно при передачи мы создаем нового пользователя.Остается только добавить его в группу "Суперпользователи".
Можно было и сразу пойти ,и просто отправить в массиве также параметр "groups" с id=7 ,соответственно значения перезаписіваются ипользователь становиться легитимным "Администратором".Но так не работает ибо есть проверка в файле libraries/joomla/user/user.php.По этому нам нужно узнать ИД суперпользователя ,для этого отправим пустую строку в user[groups][],а полученное значение подставим в новом запросе.После отправки данные попадут в метод bind , который превратит их в параметры класса создаваемого пользователя. ЭТО И ВСЕ !!Имеем пользователя с правами суперпользователя
… МОРАЛЬ ЭТОГО КЕЙСА ТАКОВ:ВСЕГДА ДЕРЖИТЕ CMS В ОБНОВЛЕННОМ СОСТОЯНИИ ,А ТАКЖЕ ВСЕГДА НАСТРАИВАЕМ ПРАВИЛЬНО СТРУКТУРУ БЕЗОПАСНОСТИ РЕСУРСА .ИБО ДАЖЕ ЧЕЛОВЕК С УЛИЦЫ, НЕИМЕЯ ЛОГИНА И ПАРОЛЯ ,СМОЖЕТ ЗАВЛАДЕТЬ ВАШИМ РЕСУРСОМ.А ВПРОЧЕМ В ДАННОМ СЛУЧАЕ СИТУАЦИЯ СЫГРАЛА НА РУКУ ВЛАДЕЛЬЦУ САЙТА ,КЛИЕНТ ДОВОЛЕН))
#кибербезопасность
#Joomla
#взломали
#аудит
#cybersecurity
#защита сайта
#Взлом сайта
#Аудит безопасности

После заражения,сайт на CMS Joomla прекратил работу ,восстанавливали по кусочкам.На сервере в директориях были созданы объекты с base64 , которые перенаправляли на сайт с фишингом ,а также был "открытый "Шелл .На восстановление работоспособности ушло порядка 1 дня.Это с учётом того ,что сайт не попал в "черный список".Уязвимости закрыты модули были обновлены до последней версии,к сожалению саму CMS не удалось обновить ,так как шаблон неподдерживался в новой версии,а заказчик не имел возможности переходить на другой шаблон,но решили это разграничением доступа на папки,и политике Фаерволла.

По итогу заказчику предоставил полный отчёт в текстовом формате ,со всеми "узкими местами" и путями их решений.
Естественно все позакрывали
… Сняли чистый бекап .
Проконсультировал по информационной безопасности