SYN, SYN-ACK, ACK …

Steal This Blog

Archives Posts

LFI Scanner

octobre 15th, 2010 by Corbier

L’utilisation de scripting et d’outil développé sur mesure, est courant dans le domaine du test d’intrusion.

Afin de répondre à un besoin spécifique et surtout pour le faire la main en python, j’ai développé un scanner de vulnérabilité de type LFI (Local File Inclusion). Ce scanner est développé en python, pour sa portabilité et sa facilité d’écriture. Les fonctionnalités sont encore sommaire mais elles ne demandent qu’a être améliorées (selon le temps que j’aurai de dispo, si vous n’avez rien a faire ?). Les dépendances sont quasiment toutes satisfaites mise à part optparse qu’il vous faudra installer.

J’ai embarqué une version de BeautifullSoup car il subsiste un bug lors du « parsing » des pages m’obligeant à utiliser une version inférieur à la version stable. Le scanner utilise donc une ancienne version de BeautilFullSoup cela le temps de corriger le bug. La lib termcolor n’est pas indispensable, mais elle apporte un gain en lecture.

Le tools fonctionne de la manière suivante.

root@corbier-laptop:/home/corbier/Dropbox/python/LfiScan# ./main.py -h

Usage: main.py -h for help

Options:

-h, –help show this help message and exit

-U HOST, –url=HOST Set url to scan http://exemple.com/

-P PROXY, –proxy=PROXY

Set proxy localhost:9050 for Tor

Le support de tor est complet, j’ai donc utiliser la lib pycurl car urllib et urllib2 ne supporte pas les proxy sock. Voici l’utilisation du scanner dans un exemple :

root@corbier-laptop:/home/corbier/Dropbox/python/LfiScan# ./main.py -U http://127.0.0.1/

+[Crawler]+ Trying to get page ==> http://127.0.0.1/

+[Crawler]+ Trying to get page ==> http://127.0.0.1/40ff8f74f40925e361f150ca6999ddeb.php?pages=test

+[Crawler]+ Trying to get page ==> http://127.0.0.1/

+[Crawler]+ Trying to get page ==> http://127.0.0.1/40ff8f74f40925e361f150ca6999ddeb.php?pages=test&t=o&d=k

+[Crawler]+ Mail Found ==> aito@fw.ipsj.or.jp

+[Crawler]+ Trying to get page ==> w3mhelp-w3m_ja.html

+[Crawler]+ Trying to get page ==> http://127.0.0.1/40ff8f74f40925e361f150ca6999ddeb.php?pages=test&x=p

+[Crawler]+ Mail Found ==> aito@fw.ipsj.or.jp

+[Crawler]+ Mail Found ==> aito@fw.ipsj.or.jp

+[Main]+ Trying LFI attack !!!

+[Injector]+ Trying to get page ==> http://127.0.0.1/40ff8f74f40925e361f150ca6999ddeb.php?pages=../../../../../../../../etc/passwd&t=../../../../../../../../etc/passwd&d=../../../../../../../../etc/passwd&x=../../../../../../../../etc/passwd&

+[Injector]+ Trying to get page ==> http://127.0.0.1/40ff8f74f40925e361f150ca6999ddeb.php?pages=../../../../../../../../etc/passwd%00&t=../../../../../../../../etc/passwd%00&d=../../../../../../../../etc/passwd%00&x=../../../../../../../../etc/passwd%00&

+[Injector]+ LFI dectected !!! on http://127.0.0.1/40ff8f74f40925e361f150ca6999ddeb.php?pages=../../../../../../../../etc/passwd%00&t=../../../../../../../../etc/passwd%00&d=../../../../../../../../etc/passwd%00&x=../../../../../../../../etc/passwd%00&

Ici le scanner commence par « crawler » la page principale du site . Ensuite, il enregistre tout les liens de la page dans une liste et enregistre les paramètres et scripts dans un dictionnaire. Les liens seront scannés si et seulement si ils n’ont pas déjà été scannés. Les scripts seront scannés si il y a apparition d’une nouvelle variable (cela évite que le scanner tourne en boucle sur les forums). Une fois que le site est crawlé dans son intégralité, le scanner va se constituer une série de url pour tenter d’exploiter une potentiel LFI.

La méthodologie n’est pas parfaite mais c’est la plus rapide à mettre en œuvre que j’ai trouvé.

Vous pouvez télécharger le scanner ici.

http://data.stealthisblog.fr/tools/LfiScan.zip

Il est vous est fourni sous la licence JMB (Je M’en Branle) Vous pouvez le garder pour vous, le redistribuer, le donner à votre chien, à votre grand mère.

Toutes les remarques bonnes ou mauvaises sont les bienvenues. : )

Enjoy !

Filed under Non classé having No Comments »

Archives Posts

Oh rage, Oh désespoir, Oh vieillesse ennemies !!!

juin 29th, 2010 by Corbier

Voila ce qui m’est venu à l’esprit ce soir la quand j’ai découvert ce qui va suivre.

Un cas d’école, voila ce que je vais soulever ici. Un buzz sort, fait beaucoup de bruit, un développeur malin (où pas) reprend le concept, sort une copie francophone et le tour est joué. Mais qu’en est-il de la sécurité ? Application développée rapidement, fonctionnelle mais non sécurisée. Mais trêve de bavardage, passons au concret.

Ce soir la, j’étais d’humeur maussade, je me suis dis voyons un peu la sécurité des sites de mises en relation rapide avec des inconnus. Vous l’aurez deviné, chatroulette. L’un des premiers résultats que l’on rencontre lorsque l’on fait une petite recherche sur le fameux moteur de recherche est roulettechat.fr.

Une pale copie de chatroulette.com, qui en reprend le concept mais le décline en deux facettes. La première permet que le chat écrit (un peu comme msn sauf que vous ne connaissez pas le correspondant). La deuxième est un triste plagiat de chatroulette.com avec toujours autant de verge verve.

Je me suis un peu penché sur la première partie. En effet, la seconde nécessite une webcam. Hors je ne suis pas équipé sur mon portable d’un tel équipement, qui est en passant fort indispensable à tous internautes qui se respect.

Donc le chat écrit, j’ai pu en quelques minutes mettre en évidence 3 vulnérabilités critique. Deux SQL injection, et une vulnérabilités de Cross Site Scripting dans les messages que vous envoyé !!! Oui vous avez bien lu, dans les messages.

Alors on va commencer doucement avec les deux SQL injections

L’application Web, fonctionne en plusieurs temps. Dans un premier temps, nous récupèrons un ID utilisateur « aléatoire » afin de pouvoir dialoguer avec. Ensuite, à intervalle régulier, (toutes les secondes) le navigateur va chercher les messages en fonction de l’ID. Première bizarrerie,

cette requête envoyée via la méthode Http POST, passe les paramètres au script dans l’URL (fonctionnement classique d’une méthode GET). Ne cherchons pas plus loin. Nous avons donc une url comme ci-dessous qui est envoyée.

listenToReceive.php?userId=1337

A partir d’ici, nous recevons en format texte le résultat de la requête. Il est donc facile via un « OU » booléen toujours vrai de voir tous les messages postés par les utilisateurs dans toutes les conversations. Nous pouvons aussi exploiter cette vulnérabilité en Blind Sql Injection.

Voici un extrait des messages à haute dose humoristique que l’on peut récupéré.

[...]

slt, je suis une jeune femme de 20ans mais je reste pas ici dsl, rejoin moi sur msn g une cam (….@live.fr)

cc moi c joé et toi?

bonjour nico et toi ?

je chercher une jolie fille avc ki je pe parler et echanger nos msn

[...]

La deuxième SQL injection se trouve dans un autre script. Ce script permet d’envoyer le texte que vous voulez à un utilisateur. Voyons url.

randomChat.php?userId=1337

Via une sql injection classique nous pouvons dumper directement la base de donnée.

Et enfin, un vulnérabilité de type XSS qui pourrait permettre à un attaquant de prendre la contrôle du navigateur de la personne via un beef par exemple.

Conclusion où presque.

L’engouement pour ces sites est grandissant, le pseudo anonymat qu’il procure et les utilisations détournées que l’on peut en faire sont nombreuses. Il parait assez évident que ce genre de site sauvegarde les conversations. Cependant, les internautes laisse passer beaucoup d’information personnel (mail, N° de téléphone, parfois même des sites avec des photos).

A l’heure où HADOPI ne menace plus rien et de la généralisation de la perte de la vie privée, beaucoup de dérives sont à prévoir. Des utilisateurs malveillants peuvent ici détourner les communications des internautes, espionner les conversations, récolter les mails en masse etc… Il pourrait être trivial de créer un bot donnant le change aux internautes. Avec quelques mots clés salace et en jouant sur la détresse affective, l’affaire serait vite réglée.



Filed under Non classé having No Comments »

Archives Posts

Phishing ou pas …

mai 16th, 2010 by Corbier

Je viens de recevoir un mail assez sympa dont voici la copie :

Pourquoi l’accs mon compte est-il restreint ?

Bonjour,

Dans le cadre de nos mesures de scurit, Nous vrifions rgulirement l’activit de l’cran PayPal.

L’accs votre compte a t restreint pour la ou les raisons suivantes :

Nous avons dtermin que quelqu’un a peut-tre tent d’accder votre compte PayPal sans votre autorisation. Pour votre protection, nous avons restreint l’accs votre compte. Pour enlever cette restriction, connectez-vous votre compte PayPal et suivez la procdure indique dans le Gestionnaire de litiges.

C’est le dernier rappel pour vous connecter PayPal, le plus tt possible. Une fois que vous serez connect, PayPal vous fournira des mesures pour rtablir l’accs votre compte.

La procdure est trs simple :

1. Cliquez sur le lien ci-dessous pour ouvrir une fentre de navigateur scurise.

2. Confirmez que vous tes bien le titulaire du compte et suivez les instructions.

Accder votre compte

Une tentative de phishing grossière qui ne marche pas vraiment. Mais ce qui a retenu mon attention c’est le lien dans le mail.

http://earnafrica.org/components/but/tmp/cgi-bin/un&dispatch=5885d80a13c0db1fb6947b0aeae66fdbfb219927117e3a6f876e112aqqa/

Quand on va sur l’url ci-dessus on obtiens ceci :

Bref on a affaire a du phishing paypal, classique.  Cependant lorsque l’on remonte dans l’arborescence on tombe sur ceci:

Et oui ce petit malin (pas tant que ca) a laisser son kit de phishing en téléchargement… Après quelques recherches dans les sources, on obtient des informations intéressantes.

[corbier@fedora un&dispatch=5885d80a13c0db1fb6947b0aeae66fdbfb219927117e3a6f876e112aqqa]$ cat moSier/header.js
<?
$IP = ‘m_s_@hotmail.fr,spamozar@gmail.com’;
?>[corbier@fedora un&dispatch=5885d80a13c0db1fb6947b0aeae66fdbfb219927117e3a6f876e112aqqa]$

Donc nous avons ici deux adresses mail. Mais ce n’est pas tout. en recherchant le mot clé fopen dans les sources la on rigole très fort.

[corbier@fedora un&dispatch=5885d80a13c0db1fb6947b0aeae66fdbfb219927117e3a6f876e112aqqa]$ grep -R fopen *
moSier.php:$file = fopen(« moSier.txt », »a »);

et la si on chercher ce fichier sur le serveur.

J’ai volontairement flouter les coordonnées de la pauvre victime. Quand on pense à la bétise des phishers…

Un peu de formation auprès de vos proches leurs enlèveras beaucoup de souci.

Quand a m_s_@hotmail.fr et spamozar@gmail.com vous avez mon autorisation pour les inscrire à tout les sites porno, gay, trash, zoophile etc…  et je sais que vous en connaissez des gratinés : )

Filed under Non classé having No Comments »

Archives Posts

Nuit du Hack 2010

janvier 29th, 2010 by Corbier

La Nuit du Hack est un des plus ancien rendez-vous underground de Hacking Francophone. Depuis 2003, cet évènement vise à rassembler les hackers et les professionnels de la sécurité autour de conférences, d’ateliers et de challenges.

Dates :

19 Juin 2010 de 16 heures jusqu’a 7 heures du matin

Lieu :

http://www.nuitduhack.com

Péniche Concorde Atlantique en plein centre de Paris, France

PORT SOLFERINO
FACE AU 23 QUAI ANATOLE FRANCE
75007 – PARIS

ACCES – Métro ligne 12 ASSEMBLEE NATIONALE
RER C MUSEE D’ORSAY

Le bateau Concorde Atlantique vous reçoit sur ces 3 niveaux dans un cadre prestigieux et historique au pied de Assemblée Nationale et du musée d’Orsay, avec sur sa terrasse extérieure une vue imprenable sur le Grand Palais, le jardin des Tuileries, le musée de l’Orangerie, et le Pont Alexandre III.

Filed under Non classé having No Comments »

Archives Posts

3ème numéro d’HZV Mag

janvier 29th, 2010 by Corbier

Bonjour à tous,
Le staff HZV est fier d’annoncer le 3ème numéro d’HZV Mag, avec au sommaire :

  • .infecteur Win32 : de la théorie à la pratique par Kernel Junky
  • .Prévention de l’exploitation de stack overflows : implémentation d’un SeHOP-like par Lilxam
  • .Bypassing SeHOP sur Windows 7 : encore une protection en carton par Heurs & Virtualabs
  • .Système de cassage distribué par G0uz
  • .exploitation des Session iDs : for fun and profit par F|UxIus
  • .Streaming vs. Hadopi par Virtualabs
  • .Sniffer portable sur Nintendo DS : transformer votre Nintendo DS en sniffer WiFi par Virtualabs
  • .Future exposed – La BD par IOT-Record

Bonne lecture ;)

http://www.hackerzvoice.net/hzv_magz/download_hzv.php?magid=03

Filed under Non classé having No Comments »

« Previous Entries