نقاش حول ثغرات الريموت في برنامج ProFTPD الصادرتين مؤخرا

[b]بسم الله الرحمن الرحيم

السلام عليكم و رحمة الله و بركاته

من ايام منقطع عن النت بسبب الظروف و المشاغل و حال العودة وجدت اشياء كثيرة لفتت انتباهى و خصوصا انها

قوية جدا مثل الثغرتين الصادرتين في برنامج ال ProFTPD الموجودتين بموقع exploit-db .

رابط الثغرة الأولى : ProFTPD IAC Remote Root Exploit

رابط الثغرة الثانية : ProFTPD 1.3.3c compromised source remote root Trojan

صراحة شىء جميل و قوى جدا و اذا كانت الثغراتين شغالتين يعنى نتوقع سقوط العديد من السيرفرات بأيدى الأطفال.

اكثر ما عجبنى حين قرات خبر الثغرات الفقرة هذى :



Theattackers most likely used an unpatched security issue in the FTP daemonto gain access to the server and used their privileges to replace thesource files for ProFTPD 1.3.3c with a version which contained a backdoor.


يعنى حركة شبيهة بحركة اختراق موقع الأباش اي انو تم تلغيم التحديث الجديد الى كان النسخة ProFTPD 1.3.3c بالضبط ملف " help.c " .

المهم اي شخص عنده خلفية عن الموضوع او جرب الثغرة يناقش معانا الموضوع و ان شاء الله انحاولوا انجربوا الثغرة

متى بقى لنا وقت.

بالتوفيق ان شاء الله ايكون فيه افادة في الموضوع.
[/b]

ملاحضة: بالنسبة ل ProFTPD 1.3.3c compromised source remote root Trojan هذه ليست ثغرة باتم معنى الكلمة لكنها تلغيمة في النسخة الأصلية من الموقع ركبها اغلب

السيرفرات.

ثغرة قوية صرحة وخصوصا فى برنامج لا يخلو منه 90% من سيرفرات العالم تقريبا
ولكن لفت إنباهي فى الثغرة هذه النقطة Plesk binary
يعني ان ProFTPD المصاب هو لى السيرفرات الي تستخدم البليسك لوم يذكر cpanel او اي لوحة أخرى موش فهم شو المقصود بيها صرحة
وهدا منشر في موقع بليسك عن الموضوع :slight_smile:
http://www.parallels.com/products/plesk/ProFTPD
وكما شهدة فى النقشات فى الموقع الأجنبية
انا الدالة المصابة هذه الدالة pr_netio_telnet_gets() التي تسمح بتطبيق عداد كبير من أومر telnet iac مما يؤدي إلى فيظ فى البينات [COLOR=Black]buffer overflow تمكن المهاجم من تطبيق الأومر و السيطرة على السيرفر
http://bugs.proftpd.org/show_bug.cgi?id=3521
هذا مذكر فى الموقع الرسمي للبرنامج[/COLOR]

الثغرة الثانية ليست بثغرة إن صح التعبير لان المهاجم إستطاع أن يخترق الدومين ftp.protfpd.org
بواسطة ثغرة iac و هذا قبل إنتشار الثغرة ثم لغم السورس بوضعه أمر يعطيه شل روت إذا كتب الأمر HELP ACIDBITCHEZ

يعني ان proftpd المصاب هو لى السيرفرات الي تستخدم البليسك لوم يذكر cpanel او اي لوحة أخرى موش فهم شو المقصود بيها صرحة

ركبت البرنامج عندي وطبقتها ع سيرفري (مركب سي بنل ) والثغره ما اشتغلت
وجربتها ع كثير سيرفرات مركبه نفس الاصدار نفس المشكله

اتوقع زي ما انت قلت لو كان سي بنل … مش ح يمشي الموضوع

welcome back sec4ever

اولا حاب اقول ان الثغره قويه جدا واغلب السيرفرات مركبته

ثانيه اخي نسيم برامج ftp عامه جميعها مصابه مادري ليش والله اعلم عن ثغرات لم تنزل في المواقع وهي الترا برايفت لكن مع الايام
راح تترقع وينزلونها بعد التأكد من ان اي سيرفر لم يصب بها والدليل الثغره الي فوق ماضن احد جربها ونجحت معه في النهايه الاختراق
المتقدم هو هذا وتحتاج الى معرفه تامه بالبفر وانواعه ويكون لديك خلفيه قويه عن اللينكس ومحتوياته وبإذن الله راح تحصل ثغره قويه ومنها تخش السيرفر

وممكن لو واحد فاضي تكون مسابقه عن البفر مثل مسابقه استهداف المواقع و مسابقه الهندسه العكسيه

ممكن تكون مسابقه ينزل احد الاخوان برنامج ويتم الاكتشاف وشرح كيف اكتشف الثغره منها نفيد ونستفيد ونطور نفسنا

في المجال هذا وفي خلال شهر راح تحصل قسم البفر في exploit-db كله عرب :slight_smile:

في النهايه مجرد فكره وبحاجه الى دعم

تحياتي

اهلا اخى فوكس ان شاء الله ايصير و فكر جميل.

ان شاء الله نستغله ونخترق بها