S'enregistrer | Rechercher | FAQ | Liste des Membres | Groupes d'utilisateurs | Connexion

  Nom d'utilisateur:    Mot de passe:       

  

Poster un nouveau sujet   Répondre au sujet Page 1 sur 1
Voir le sujet précédent :: Voir le sujet suivant  
Auteur Message
MessagePosté le: Lun Mar 26, 2012 8:29 am    Sujet du message: Site à tester Répondre en citant

SAVORY
Projets


 
Inscrit le: 26 Mar 2012
Messages: 5



Bonjour,

Pourriez vous tester ce site :
http://www.carteonline.org

Fichier prouvant que ce site nous (Sylvie38) appartient :
http://www.carteonline.org/hackbbs.html

Compte : hackbbs
Password : hackbbs

Serveur dédié, en grande partie virtualisé sur 3 machines, vous pouvez également tester le serveur (OVH) ( 87.98.171.140 - carteonline.org / 91.121.33.110 - aire.carteonline.org / 94.23.234.151 (Proxmox) )

Merci de vos conseils, et de vos tests Smile


Dernière édition par SAVORY le Mar Mar 27, 2012 7:05 am; édité 1 fois
Voir le profil de l'utilisateur Envoyer un message privés
MessagePosté le: Lun Mar 26, 2012 6:53 pm    Sujet du message: Répondre en citant

RIPTIDE
Projets


 
Inscrit le: 21 Avr 2011
Messages: 41



Alors, il y a une erreur SQL lorsque l'on modifie le champ 'avatar_select' (en changeant d'avatar)
Code:

[phpBB Debug] PHP Notice: in file /includes/functions_user.php on line 2386: getimagesize(./images/avatars/gallery/Amour/index.php): failed to open stream: No such file or directory


On peut heberger des images erronées
http://hosting.carteonline.org/img/1332784313-a.png

Autrement dit, j'ai rien trouvé d'interessant .
Voir le profil de l'utilisateur Envoyer un message privés
MessagePosté le: Mar Mar 27, 2012 8:21 am    Sujet du message: Répondre en citant

TorTukiTu
Site Admin


 
Inscrit le: 07 Fév 2008
Messages: 1960
Localisation: Devant son pc durant la redaction de ce message



Fais attention à ton phpBB et à ton livre d'or pour les 0-day.

aire.colorpseudo.html?sid=437d5d8e752074e95187e0a6a1949c32

On ne passe JAMAIS les identifiants de session via GET.

Sinon, RAS.

Tortue 974.
Voir le profil de l'utilisateur Envoyer un message privés Visiter le site web de l'utilisateur Compte AIM MSN Messenger Numéro ICQ
MessagePosté le: Mar Mar 27, 2012 1:42 pm    Sujet du message: Répondre en citant

SAVORY
Projets


 
Inscrit le: 26 Mar 2012
Messages: 5



Bonjour,

Le site utilise les fonctions de phpBB (en page principale), je pense que c'est à cause des sessions PHPBB qui sont transportées d'une page à l'autre, or qu'elles sont bien contenu dans $_SESSION.

Merci Cool

Si vous en avez d'autres, je suis preneur.

Les fonctions CURL ont été réactivés (php.ini) puis à un moment donné un tunisien à fait sa petite visite, en infectant de backdoor, modification de commande (ls, top, etc rootkit) j'ai donc nettoyé proprement la machine en réinstallant les paquets compromis, je n'ai jamais vraiment consulté les logs Apache pour me faire une idée de la faille exploitée. J'ai donc désactivé les fonctions les plus dangereuses dans php.ini (system(), exec(), curl() et bien d'autres). Il y en a une obligatoirement de faille, qui lui a permis de placer un Shell-PHP SSH.
Voir le profil de l'utilisateur Envoyer un message privés
MessagePosté le: Mar Mar 27, 2012 1:51 pm    Sujet du message: Répondre en citant

SAVORY
Projets


 
Inscrit le: 26 Mar 2012
Messages: 5



Si besoin, j'ai 2 GigaOctets de logs Apache. Mais à lire un par un, c'est très compliqué.
Voir le profil de l'utilisateur Envoyer un message privés
MessagePosté le: Mar Mar 27, 2012 6:40 pm    Sujet du message: Répondre en citant

RIPTIDE
Projets


 
Inscrit le: 21 Avr 2011
Messages: 41



Avec une backdoor et un minimum d'intelligence il a sûrement effacé les logs de l'attaque en elle même, mais si tu peux trier les logs pour avoir approximativement la semaine de l'attaque (et éviter de lire 2go de logs) je serai curieux de voir ça .
Voir le profil de l'utilisateur Envoyer un message privés
MessagePosté le: Mer Mar 28, 2012 5:41 am    Sujet du message: Répondre en citant

TorTukiTu
Site Admin


 
Inscrit le: 07 Fév 2008
Messages: 1960
Localisation: Devant son pc durant la redaction de ce message



Citation:
puis à un moment donné un tunisien à fait sa petite visite ... Il y en a une obligatoirement de faille, qui lui a permis de placer un Shell-PHP SSH


Typiquement, ce type de gars a le QI d'une huitre. Il est probable qu'il ait exploité une vulnérabilité connue dans un de tes scripts (phpBB, ton livre d'or etc...).

Faudrait faire un tour plus en profondeur à l'occasion, mais si tu as les logs, ça pourrai nous simplifier la vie.

Citation:
je pense que c'est à cause des sessions ... or qu'elles sont bien contenu dans $_SESSION.


C'est pas ça que je t'ai dit... Je t'ai dit de ne pas les passer en GET, au mois, envoie les en POST.

Citation:
Apache Tomcat/6.0.29

Ton tomcat n'est pas à jour. Il existe des vulnérabilités rendues publique pour cette version.

Citation:
hxxp://aire.carteonline.org/


Je tombe sur la page par défaut de tomcat.

XSS persistente possible dans ton script de changement de couleur à
Citation:
hxxp://www.carteonline.org/aire.colorpseudo.html

On peut injecter du HTML dans la couleur. Regarde le compte hackbbs pour voir le résultat. L'impact est limité, car l'affichage de la couleur ne semble avoir lieu que dans les cas où l'utilisateur est logué.


Tortue 974.
Voir le profil de l'utilisateur Envoyer un message privés Visiter le site web de l'utilisateur Compte AIM MSN Messenger Numéro ICQ
MessagePosté le: Mer Mar 28, 2012 9:50 am    Sujet du message: Répondre en citant

SAVORY
Projets


 
Inscrit le: 26 Mar 2012
Messages: 5



1) Pour le tunisien, à vrai dire, c'est pas super important.

2) Le passage de la session est réalisé par la reprise de la fonction "append_sid" de phpBB3.
http://wiki.phpbb.com/Function.append_sid

3) La mise à jour de Tomcat sera faite, prochainement. J'ai juste désactivé le contexte "/" pour ne plus voir la page d'index.

4) La XSS vient d'être corrigée.
Voir le profil de l'utilisateur Envoyer un message privés
MessagePosté le: Mer Mar 28, 2012 4:03 pm    Sujet du message: Répondre en citant

SAVORY
Projets


 
Inscrit le: 26 Mar 2012
Messages: 5



Tomcat a été mis à jour.

La version utilisée a également été cachée via : lib/org/apache/catalina/util/ServerInfo.properties
Voir le profil de l'utilisateur Envoyer un message privés
Poster un nouveau sujet   Répondre au sujet Page 1 sur 1

  


 
Sauter vers:  
Vous ne pouvez pas poster de nouveaux sujets dans ce forum
Vous ne pouvez pas répondre aux sujets dans ce forum
Vous ne pouvez pas éditer vos messages dans ce forum
Vous ne pouvez pas supprimer vos messages dans ce forum
Vous ne pouvez pas voter dans les sondages de ce forum



113976 Attacks blocked