je précise avant tout :
ce post est à carractère informatif, je dégage toute responsabilité dans le cas d'une utilisation méchante de ces infos
 
 
yo les moules  
 
 
bon je vais vous expliquer comment j'ai reussi à hacker le forum.. je sais, ça fait longtemps que vous attendez.. j'ai eu pleins de mp et tout.. bref..
 
vous allez voir, c'est tout bidon.
 
Bon tout a commencé en observant le code source html du forum..
 
hop je vous montre ce qui m'a un peu choqué :
 

 
oui, vous n'avez pas rêvé :
 
name="password" value="monpitipassword"
name="pseudo" value="Mr yvele"  
 
votre login et votre mot de passes étaient visibles dans le code source de la page  
donc n'importe quel gugus qui ouvre une page du forum avec les cookies d'un autre, peu connaitre son mot de passe sans problemes.. bref..
 
maintenant le but, c'est que je puisse connaitre le mot de passe du gars sans avoir besoin de me glisser devant son pc pendant qu'il va pisser un bol  
 
 
bref.. j'me suis dit comme ça que je pourrais, via une page hebergée chez moi, inclure la page profil de hrf, qui contient le mot de passe, dans une iframe.. puis, via un javascript (je crois.. je sais plus trop), recuperer le code source de cette fameuse iframe
Puis, enfin, l'envoyer via GET, vers une page php qui s'occuperait de stocker le bazard..
 
exemple :
 
Dans ma page hebergée par free:

 
mais bon, j'avais pas pensé à un truc, c'est que le cookie de hfr ne marche pas, vu qu'il est appellé indirectement pas une page située autre part que sur http://forum.hardware.fr et c'est la page mère qui compte pour l'ouverture du cookie.
 
 
conclusion :
il est impossible de lire la valeur d'un cookie depuis un site web si ce cookie a été placé depuis un autre site web. meme pas par appel indirecte..
(le web c'est de la qualitay! c'est bien fait quand meme! )
 
 
 
bref.. donc, il faut que le script éxécuté par la cible, soit télechargé à partir de http://forum.hardware.fr..
donc uploader chez hfr, un michant fichier..
 
et quel moyen permet d'uploader des fichiers sur leur serveur?
- les avatars
- les smileys perso
 
les avatars requierent une validation du modo.. donc ça pourrait pas marcher..
par contre le smiley perso, on pouvait faire comme on voulait..  
 
donc j'ai fait un petit fichier swf (oui, flash )
avec ceci codé en actionscript :
 

 
bon, ça se passe de commentaires..  
on récupère le contenu de http://forum.hardware.fr/profile.php3, on cherche les trucs qui nous interresse et on envoie tout via POST ou GET, vers un page php.. qui s'occupe de tout stocker!
 
bon cool ça marche!
j'essaye d'uploader le .swf.. ça passe pas  
je renome le .swf en .gif .... ça passe!  
 
voila.. il suffit plus que de faire une vieille page html qui pointe vers mon fichier flash camouflé!  
 
hop :
 

 
maintenant j'utilise mon multi (le smiley perso à été uploadé chez lui bien sur, histoire qu'on sache pas que c'est moi)
je crée des topics bidon rameuteur de troupe chez mes copains de graphisme et programmation puis discussion aussi hein  
 
j'y poste mon liens, qui lui pointe vers le swf caché, qui lui meme pointe vers la page de profil et la page de sauvegarde    
 
hop j'attend 10-15 min..
ouèèèè plein de blaireaux tombent dans le piège à loup
 
hop pou rle fun, la liste :
 

 
yeah comme vous pouvez le voir, j'aivais le mot de passe de marc..
donc la possibilité de tout faire sur le forum..
y compris mettre "Mr yvele" en super admin!  
 
voici les screens :
http://iicrew.free.fr/hack%20hfr/
 
y a de tout..  
 
voila..
 
 
 
donc 3 grandes failles béantes :
 
1) présence du password login dans la source html
2) mauvaise vérification du fichier image uploadé (utiliser exif_imagetype() en php)
3) smiley perso non controllé par les modos
 
 
 
Encore un truc à signaler.. à propos des urls foireuse..
genre poser une url cachée sur un topic, qui pointe vers une page du forum qui, par exemple efface tout les drapos, ou, met des gens en ignore list
 
exemple :
http://www.google.fr/
 
donc la, joce n'a rien fait pour parer ce tour de passe passe.. mais il y a des solutions (que j'ai soumis à joce, mais il veut rien entendre.. )
genre genérer un muméro unique pour chaque forumeur, et le demander dans toutes ses urls (enfin juste les urls à rique, pas les viewtopic et compagnie)
 
du coup l'url pointant vers
http://forum.hardware.fr/suppressf [...] rid=564231
 
ne sera applicable que pour le forumeur ayant l'id 564231..
 
 
solution facile à mettre en place, pour eviter les pieges url de masse!  
 
(et puis je signale que j'ai toutes les urls de d'administration du forum.. et je pourrais donc les cacher en attendant qu'un modérateur maladroit clique dessus, puis effectue une action non souhaitée! )
 
 
lol bon..
alors voila.. je vous avez dit que c'était tout bidon!  

voila..
 
c'est la que je me suis autodésigné comme super administrateur :
 

 
 
 
 
edit: et en plus HFR 6eme plus grand forum mondial!  

C'est tout ? c'est nul !

quel w4rl0rd

roh le fou, ça donne des idées pour améliorer la sécu de mon futur forum ça
 
je t'engagerai comme betatesteur le moment venu

j'ai hésité à le mettre dans html

c'est pas mal

Bien joué le coup du swf

j'ai pas compris à quoi servait la page html ou le faux smiley
(un, oui, mais pas les deux)
et je suis surpris que flash gere les cookies du browser!?

putain on pourra plus se foutre de son actionscript a la con

ben faut bien que le faux smiley soit exécuté par flash.. faut bien l'appeller..  
 
si il est pas exécuté par un client (forumeur), il fait rien hein..

haaaa oook j'y suis..

en fait je me rends compte que j'ai pas tout compris

quoi?

Bref, Flash c'est Mal

impressionant javoue

ça va donner de mauvaises idées... pleins de forumphpbb proposent d'uploader du flash sur le serveur..
 
au lieu de recuperer le source, on pourrait attaquer directement le cookie.. bref.. jsuis trop paresseux pour essayer
 
 
edit: en tout cas faut faire circuler l'info rapidement apres des webmaster de forum

Donc si je comprend bien ton .swf était en fait un .gif, que le forum met dans un tag <img>. Ce qui signifie donc que certains browsers appellent le plugin Flash à partir d'un tag <img> ???

ben y'a des étapes que j'ai pas compris en fait...
une petite récap rapide étape par étape ?

 
nan c'est le contraire.. c'est un flash renomé en .swf..
 
apres j'ai une page perso comme ça :

 
qui, une fois appellée par le forumeur cible, lance mon faux smiley avec marcomdei flash player
 
 
regarde la :
<param name=movie value=http://forum.hardware.fr/images/Mr%20yvele.gif>
 

bon maintenant faut s'amuser a trouver d'autre faille sur le forum de joce

on pourrait essayer sur ton forum

 
okay...
 
 
en fait j'ai fait :
 
1 fichier flash renomé en .gif> que j'ai placé sur le serveur de hfr.. (via l'upload de smiley)
 
1 page html> qui demande à flash player d'ouvrir le fichier flash renomé en .gif, qui se trouve sur le serveur de hfr
 
1 page php> qui recupère le mot de passe et login envoyé par le fichier flash
 
 
 
1 page html> appelle 1 fichier flash renomé en .gif> qui lui, appelle 1 page php>

Ah ouais OK. C'est en fait le plugin Flash qui est pourryte et qui ne vérifie pas l'extension et/ou le type MIME du fichier en paramètre.
 
Bien joué
 
Edit: enfin le plugin Flash est pourryte mais c'est surtout le forum  qui a (eu) des problèmes

ok, c'est mieux, je ne saisis juste pas le lien entre le fichier gif et les mots de passe et login...

oui oui, j'attend
 
1er défi: pouvoir acceder à la cat 0

Comme tu l'as dit, actionscript permet d'accéder aux cookies à partir du moment où le script provient du même domaine que les cookies
 
Ah non j'ai rien dit il parse la page du profil

pourquoi les screens datent de juin ?

j'ai rien compris à tout ce merdier web à la con mais bravo

 
tu permets pas l'uload! alors forcement tu te mouilles pas trop    
 
 
essayez de hacker mes fichiers html    
 
 

 
parce que ça date de juin  

En tout cas c'est vieux, la faille a été corrigée depuis non ? Parce que je viens de vérifier, mon mdp est encodé dans le profile.php3.

http://forum.forum-mp3.net/list.php?cat=1-1
j'y suis presque ya ecrit "forum admin modo" a gauche

oui bien sur, en fait j'ai prevenu joce (le créateur du forum) tout de suite apres le hack...
 
il a réparé toutes ces failles.. et m'a demandé de ne rien dire à personne..
mais bon, la c'est abusé, ça va faire bientot 6 mois..    
 
 
faut que le peuple sache tout!

 
forummp3>

 
ca c'est du hack de haut vol