Test IGame, fichiers étrangers [Non Résolu]

by **IGSTAFF** » Thu Sep 10, 2009 7:30 pm

Bonjour,

D'abord, ce message est probablement mal placé mais je ne savais pas trop où le mettre. Déplacez si nécessaire.

Il y a quelques mois, un de mes [url=http://igstaff.com/igame/alpha/login.php]sites[/url] s'est fait pirater.
Le pirate a gentilment laissé des fichiers de noms aléatoires type #^[0-9]{5}\.php$# (Regex powa) dans tous les dossiers de mon site.
Ces fichiers contenaient des requetes Curl menant vers des sites externes et exécutant les commandes reçues.
Aucun dégat ne semble avoir été fait et après test, les commandes reçues via Curl étaient vides.
Ce pirate est surement un sagouin mais je en sais pas comment il a réussi à déposer des fichiers sur mon site.

Je me suis orienté vers les failles MySQL mais je n'ai aucun droit FILE sur le serveur et le serveur MySQL est distant.

Des failles XSS sont encore présentes sur le site mais je ne doute qu'on puisse faire quelque chose avec ça.

Auriez vous une idée sur la manière dont il a procédé afin que cela ne recommence pas ?

EDIT: [url=http://igstaff.com/hackbbs.html]Autorisation.[/url]
EDIT : Ne pas employer le mot "Hacker" a tort et a travers :p Skorm.

by **GHOSTX_0** » Thu Sep 10, 2009 7:53 pm

Salut IGSTAFF,
Il faudrait déplacer ton post dans la catégorie "Faites tester vos sites DE TEST" se serait mieux!!

Si il existe des failles sur ton site il les a surement utilisé! A vérifier... (je regarderais plus tard)

Cordialement

Ghostx_0

by **IGSTAFF** » Thu Sep 10, 2009 8:48 pm

Oui mais d'un failles XSS, je vois pas comment il peut envoyer des fichiers au serveur.
Et puis si je fais une copie de ce message dans un autre forum, ca sera pas propre, je préfère un déplacement par un modo.

by **baltazare** » Thu Sep 10, 2009 10:25 pm

Aussi dit, aussi tôt fait. ;)

Bonne résolution.

Baltazare.

by **THE-DEATH** » Thu Sep 10, 2009 10:47 pm

Pourrais tu juste nous créer un compte "test" "test" ou autre de ce type pour ne pas en creer 1 pour chacun souhaitant faire l'audit. Aussi, aucun fichier ne prouve que c'est ton site => lire les regles (mettre un fichier donnant la permission d'execution d'un audit de sécurité)
Meme si l'on peut avoir confiance, le probleme ne se pose pas car nimporte qui derriere un pseudo peut se faire passer pour nimporte qui d'autre donc rien de personnel.

by **GHOSTX_0** » Thu Sep 10, 2009 11:19 pm

Merci baltazare ;)
+1 THE-DEATH

Par ailleurs j'ai créé un compte pour les futurs test:
Login: test
Pass : azerty

IGSTAFF: MielWar est aussi à tester?
Y'a des liens mort comme:
hxxp://www.igame-project.com/index.php

Cordialement

Ghostx_0

by **IGSTAFF** » Fri Sep 11, 2009 7:30 am

A la base, je n'avais pas prévu que vous testiez le site :lol:
Mais juste que vous me disiez comment il aurait pu s'y prendre.
Je m'occupe de ça juste après.

Notre hébergeur n'a pas renouvelé igame-project.com alors évidemment...
igame-project.com pointait vers igstaff.com/igame/alpha

MielWar n'est pas à tester pour le moment, ce serait inutile car c'est une très vieille version et y'a assurément plein de failles.

EDIT: [url=http://igstaff.com/hackbbs.html]Autorisation.[/url]
Je l'ai mis à la racine de igstaff.com comme ça vous avez autorisation pour tester igame et les autres sites si nécessaire.

THE-DEATH, J'avais compris le principe.

by **Sliim** » Fri Sep 11, 2009 9:37 am

Salut IGSTAFF,

Index of ici :http://igstaff.com/igame/alpha/skin/

Dans les options/skins si on met un fichier .txt, .php etc.. il le prend en compte et plus de css. Je ne sais pas ce que tu fais derrière, mais l'interdiction des fichiers autres que des fichiers de skins serait la bienvenue :P.

De même pour l'avatar, .txt, .php sont pris en compte, je n'ai pas encore réussi à exploiter mais ça m'a tout l'air dangereux. Tu devrais filtrer ce que mettent les utilisateurs.

J'ai effectué plusieurs tests sur ces champs, pas réussi à les exploiter. Si tu trouves un fichier "TesT" dans ton site dis le moi, ça voudrait dire que ces champs sont vulnérables.

Pour répondre à ta question, je pense plus à une faille include ou upload. Etant donné que tu as trouvé des fichiers malveillants sur ton site.. Après ça peut être un mot de passe FTP trop court ou autres.

++
[u:54d3719449]Sliim[/u:54d3719449]

by **IGSTAFF** » Fri Sep 11, 2009 11:26 am

Oui j'avoue, il n'y a aucune protection à ce niveau.
Je ne l'ai pas fait moi même et je n'ai rien corrigé.
Quant à l'avatar, il n'est affiché nul part.

Bien merci pour ce rapport.

by **GHOSTX_0** » Fri Sep 11, 2009 12:59 pm

Bon j'ai repéré une faille dans les options :
Dans l'input Avatar j'ai mis "<script type="text/JavaScript">alert("hello");</javascript>
Problème maintenant c'est que l'on ne peut plus rien modifier ^^

Je vais peaufiner mes recherches ;)

by **THE-DEATH** » Fri Sep 11, 2009 3:57 pm

Je sais qu'a l'origine tu ne pensais pas a ce que l'on teste le site, neanmoins on ne peut pas affirmer la façon dont une personne a pu detourner le systeme de ses fonctions principales sans que l'on teste celui ci justement car il existe des milliers (voir plus) de façons pour faire ce qu'il a fait, qui sont favorisés ou non selon l'architecture, configuration...
bref je jettes un oeil et j'edit ce poste pour noter les possibilités que j'ai pu trouver.

Page : http://igstaff.com/igame/alpha/overview.php?mode=renameplanet&pl=11086
<input type="text" maxlength="20" size="25" name="newname"/>
Taille de la saisie non précise, bof eventuellement possible???

http://igstaff.com/igame/alpha/overview.php?mode=//%27%22/%3E%27%3Cscript%3Ealert(0);%3C/script%3E

A eviter => Apache/2.0.63 (Unix) mod_ssl/2.0.63 OpenSSL/0.9.8e-fips-rhel5 mod_auth_passthrough/2.1 mod_bwlimited/1.4 FrontPage/5.0.2.2635 mod_jk/1.2.25 Server at igstaff.com Port 80
A eviter => maito:xxx

Je finis plus tard

by **IGSTAFF** » Sat Sep 12, 2009 8:23 am

La faille dans les options a été corrigée.
Même si les liens sont déjà "hackés", ca n'affichera aucun design (pour le lien vers le design) et vous pourrez les rechanger.
Autrement, l'ajout de tels liens est impossible à l'enregistrement.

Pour vérifier tout ça, l'url passe par strip_tags(urldecode()) puis elle est filtrée à travers 2 preg_match(), un pour les liens relatifs et un pour les liens http absolus.

EDIT: Hack sur la variable GET "mode" de la page overview.php rendu impossible.
La variable passe d'abord par strip_tags() puis si la valeur n'est pas une valeur connue, elle est remplacée par 'normal' (rendant strip_tags() inutile en fait...)

by **GHOSTX_0** » Sat Sep 12, 2009 9:54 am

OK cool, j'avais foutu un sacré bordel dans la partie option ^^
Je test à nouveau et je te dis!

by **GHOSTX_0** » Sat Sep 12, 2009 10:25 am

C'est bon pour la partie option je vois rien à exploiter!
Par contre où est afficher l'avatar?
Et puis évite les mailto dans la partie "Contacter un administrateur" comme te la souligné THE-DEATH!!!
Met une image contenant les adresses mail à la place ;)

by **IGSTAFF** » Sat Sep 12, 2009 5:38 pm

[quote:d51c820aa5="IGSTAFF"]Oui j'avoue, il n'y a aucune protection à ce niveau.
Je ne l'ai pas fait moi même et je n'ai rien corrigé.
[b:d51c820aa5]Quant à l'avatar, il n'est affiché nul part.[/b:d51c820aa5]
[/quote:d51c820aa5]

Test IGame, fichiers étrangers [Non Résolu]

Test IGame, fichiers étrangers [Non Résolu]

Who is online