Test de mon site

Nos experts testeront vos sites avec attention.
Postez ici vos liens. Et fournissez les accès de bases (login et mot de passe 'simple utilisateur' par exemple si vous souhaitez voir ce qu'un utilisateur peux exploiter)

Moderators: Mod, Mod, Mod

Test de mon site

Postby ROB2 » Sat Mar 19, 2011 12:07 pm

Bonjour,

J'aimerais que vous testiez mon site, si possible : http://jelix.salledejeux.net/
Et la permission : http://jelix.salledejeux.net/hackbbs.html

Merci d'avance.
ROB2
Projets
 
Posts: 15
Joined: Mon Aug 31, 2009 6:28 pm

Postby TorTukiTu » Sat Mar 19, 2011 6:16 pm

Ce serait bien que tu nous donnes un compte de test que tu supprimeras une fois tout terminé.

La tortue du 974.
User avatar
TorTukiTu
Site Admin
 
Posts: 1960
Joined: Thu Feb 07, 2008 10:24 pm
Location: Devant son pc durant la redaction de ce message

Postby ROB2 » Sat Mar 19, 2011 7:44 pm

Tu peux utiliser shrek avec le mot de passe azerty ou Bart S. avec le mot de passe simpson. C'est un site de test alors n'aie pas peur de tout casser.
ROB2
Projets
 
Posts: 15
Joined: Mon Aug 31, 2009 6:28 pm

Postby GHOSTX_0 » Sat Mar 19, 2011 7:53 pm

Salut Robin,
Ouais ça serait pas mal un petit compte de test (pour entre autre tester le chatbox) ;)

Alors sinon j'ai pas trouvé grand chose!
A part une erreur SQL:
[code:1:846f059275]
[exception 403] Erreur dans la requête (You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near '-1,20' at line 1(SELECT `games`.`id`, `games`.`name`, `games`.`description`, `games`.`note`, `games`.`current_note`, `games`.`filename`, `games`.`image`, `games`.`width`, `games`.`height`, `games`.`played`, `games`.`contest`, `games`.`disclaimer`, `games`.`closed`, `games`.`num_favorites`, `games`.`cat_id`, `cat`.`name` as `cat_name` FROM `games` AS `games` LEFT JOIN `games_cats` AS `cat` ON ( `games`.`cat_id`=`cat`.`id`) WHERE `games`.`cat_id` = 1 ORDER BY `name` asc LIMIT -1,20)) /homez.120/salledej/jelix/lib/jelix/plugins/db/mysql/mysql.dbconnection.php 116
[/code:1:846f059275]

Trouvé via l'url:
http://jelix.salledejeux.net/categorie-jeux/1/divers?page=-1

Il aime pas trop les valeur négative ^^

Et une petite "Directory Traversal Attack" est réalisable:

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-2938

Bon je ne sais pas trop comment l'exploiter mais bon on ne sait jamais! Mieux vaut être prudent et mettre à jour Tomcat!

Cordialement
User avatar
GHOSTX_0
Projets
 
Posts: 263
Joined: Mon Aug 24, 2009 6:06 pm

Postby kit50 » Sat Mar 19, 2011 8:02 pm

je n'ai pas le niveau pour tester , mais il y a pas de page quand on clique sur "mot de passe oublié" ^^
kit50
Projets
 
Posts: 41
Joined: Tue Jan 29, 2008 11:24 pm

Postby ROB2 » Sat Mar 19, 2011 8:07 pm

Merci pour l'erreur sql, je viens de la corriger. Pour la page mot de passe oublié, je suis en train de la faire, elle sera en ligne bientôt. ;)
ROB2
Projets
 
Posts: 15
Joined: Mon Aug 31, 2009 6:28 pm

Postby GHOSTX_0 » Sat Mar 19, 2011 9:00 pm

Même erreur dans la section admin:
http://jelix.salledejeux.net/admin/auth/users?offset=-2

Et puis évite d'afficher le phpinfo de ton site (aussi accessible pour les users de base):
http://jelix.salledejeux.net/admin/phpinfo

Ah oui et pourquoi t'as une fonction modification du mot de passe accessible par tout le monde?

http://jelix.salledejeux.net/admin/auth/user/*nb*/password

Avec *nb* l'id du membre ;)

Bon je continu mon investigation :p
User avatar
GHOSTX_0
Projets
 
Posts: 263
Joined: Mon Aug 24, 2009 6:06 pm

Postby ROB2 » Sat Mar 19, 2011 9:41 pm

Section admin corrigée. En fait Bart S. est modérateur, c'est pour ça qu'il a accès au phpinfo et à la fonction de modification du mot de passe. Mais j'avoue que c'est inutile de lui laisser l'accès au phpinfo... Je vais changer ça.
Merci à toi.
ROB2
Projets
 
Posts: 15
Joined: Mon Aug 31, 2009 6:28 pm

Postby GHOSTX_0 » Sat Mar 19, 2011 9:48 pm

Ouais mais même Shrek à accès au phpinfo et à la section modification des mots de passe (pour les membres de base) ;)
User avatar
GHOSTX_0
Projets
 
Posts: 263
Joined: Mon Aug 24, 2009 6:06 pm

Postby ROB2 » Sat Mar 19, 2011 10:03 pm

Effectivement... C'est corrigé. ;)
ROB2
Projets
 
Posts: 15
Joined: Mon Aug 31, 2009 6:28 pm

Postby TorTukiTu » Sun Mar 20, 2011 2:02 pm

Problème lorsque le nom d'un avatar uploadé comporte un caractère null (%00):

[code:1:a8f534086c]
[notice 8] Undefined variable: ext /homez.120/salledej/jelix/lib/jelix/utils/jImageModifier.class.php 114
[/code:1:a8f534086c]

Les avatars comportant ces caractères ne sont pas non plus supprimés correctement.
Leur accumulation sur ton serveur pourrait poser des problèmes.

[b:a8f534086c][color=red:a8f534086c]J'AI REUSSI A DEPOSER UNE BACKDOOR PHP SUR TON SITE EN UTILISANT UN FICHIER GIF MAL FORMATE CONTENANT DU CODE PHP ET EN JOUANT SUR LE MAUVAIS FILTRAGE DU CARACTERE %00[/color:a8f534086c][/b:a8f534086c]

POC

[code:1:a8f534086c]http://jelix.salledejeux.net/img/avatars/326.php?param=ls%20../../[/code:1:a8f534086c]

Le code binaire de l'image est affichée suivi du résultat d'un print_r(exec($_GET["param"]));

Ce qui implique que j'ai un accès illimité à ta base de données, que j'ai pu télécharger l'intégralité des sources de ton site, et qu'en gros, je fais ce que je veux de ton serveur...

D'une façon générale, on n'autorise jamais à l'éxécution un répertoire où les utilisateurs peuvent uploader des fichiers.

La tortue du 974.
Last edited by TorTukiTu on Sun Mar 20, 2011 3:16 pm, edited 1 time in total.
User avatar
TorTukiTu
Site Admin
 
Posts: 1960
Joined: Thu Feb 07, 2008 10:24 pm
Location: Devant son pc durant la redaction de ce message

Postby GHOSTX_0 » Sun Mar 20, 2011 2:49 pm

Ah ouais pas mal La tortue ;)
J'avais remarqué qu'on pouvait jouer avec l'extension du fichier uploadé mais je n'arrivais pas à mettre du code dans les images!

Comment as-tu fait?
As-tu ouvert ton fichier gif avec notepad et changé la fin? Ou as-tu procédé différemment?

Cordialement
User avatar
GHOSTX_0
Projets
 
Posts: 263
Joined: Mon Aug 24, 2009 6:06 pm

Postby TorTukiTu » Sun Mar 20, 2011 3:31 pm

Oui, GHOSTX_0, j'ai juste fait un coup de nano et rajouté du code à la fin du fichier.

J'ai vu que tu avais aussi essayé d'injecté du code php, mais tu ne t'y es pas pris de la bonne façon.

La tortue du 974.
Last edited by TorTukiTu on Sun Mar 20, 2011 4:12 pm, edited 1 time in total.
User avatar
TorTukiTu
Site Admin
 
Posts: 1960
Joined: Thu Feb 07, 2008 10:24 pm
Location: Devant son pc durant la redaction de ce message

Postby ROB2 » Sun Mar 20, 2011 4:10 pm

Oula... Va falloir que je fasse du plâtre pour colmater la brèche.
[quote:16ae4ae4ff]que j'ai pu télécharger l'intégralité des sources de ton site[/quote:16ae4ae4ff]
J'espère que tu vas vite me supprimer tout ça de ton PC.
ROB2
Projets
 
Posts: 15
Joined: Mon Aug 31, 2009 6:28 pm

Postby TorTukiTu » Sun Mar 20, 2011 4:14 pm

Pas de souci, tu peux avoir confiance en les modos du forum, la plupart d'entre nous sont des professionnels et font ça depuis un certain nombre d'années, nous sommes tous intraitables sur l'éthique.

En réalité, j'ai eu la flemme de tout récupérer, je n'ai pris que quelques fichiers pour regarder en diagonale.
La preparse_tags() de ton parser est monstrueuse... :?

Si tu désires aller au dela d'un simple pentest, tu peux envoyer les sources à un des modos pour un audit du code.

La tortue du 974.
User avatar
TorTukiTu
Site Admin
 
Posts: 1960
Joined: Thu Feb 07, 2008 10:24 pm
Location: Devant son pc durant la redaction de ce message

Next

Return to Faites tester vos sites <b>DE TEST</b>

Who is online

Users browsing this forum: No registered users and 1 guest

cron