Voila ce qui m’est venu à l’esprit ce soir la quand j’ai découvert ce qui va suivre.

Un cas d’école, voila ce que je vais soulever ici. Un buzz sort, fait beaucoup de bruit, un développeur malin (où pas) reprend le concept, sort une copie francophone et le tour est joué. Mais qu’en est-il de la sécurité ? Application développée rapidement, fonctionnelle mais non sécurisée. Mais trêve de bavardage, passons au concret.

Ce soir la, j’étais d’humeur maussade, je me suis dis voyons un peu la sécurité des sites de mises en relation rapide avec des inconnus. Vous l’aurez deviné, chatroulette. L’un des premiers résultats que l’on rencontre lorsque l’on fait une petite recherche sur le fameux moteur de recherche est roulettechat.fr.

Une pale copie de chatroulette.com, qui en reprend le concept mais le décline en deux facettes. La première permet que le chat écrit (un peu comme msn sauf que vous ne connaissez pas le correspondant). La deuxième est un triste plagiat de chatroulette.com avec toujours autant de verge verve.

Je me suis un peu penché sur la première partie. En effet, la seconde nécessite une webcam. Hors je ne suis pas équipé sur mon portable d’un tel équipement, qui est en passant fort indispensable à tous internautes qui se respect.

Donc le chat écrit, j’ai pu en quelques minutes mettre en évidence 3 vulnérabilités critique. Deux SQL injection, et une vulnérabilités de Cross Site Scripting dans les messages que vous envoyé !!! Oui vous avez bien lu, dans les messages.

Alors on va commencer doucement avec les deux SQL injections

L’application Web, fonctionne en plusieurs temps. Dans un premier temps, nous récupèrons un ID utilisateur « aléatoire » afin de pouvoir dialoguer avec. Ensuite, à intervalle régulier, (toutes les secondes) le navigateur va chercher les messages en fonction de l’ID. Première bizarrerie,

cette requête envoyée via la méthode Http POST, passe les paramètres au script dans l’URL (fonctionnement classique d’une méthode GET). Ne cherchons pas plus loin. Nous avons donc une url comme ci-dessous qui est envoyée.

listenToReceive.php?userId=1337

A partir d’ici, nous recevons en format texte le résultat de la requête. Il est donc facile via un « OU » booléen toujours vrai de voir tous les messages postés par les utilisateurs dans toutes les conversations. Nous pouvons aussi exploiter cette vulnérabilité en Blind Sql Injection.

Voici un extrait des messages à haute dose humoristique que l’on peut récupéré.

[...]

slt, je suis une jeune femme de 20ans mais je reste pas ici dsl, rejoin moi sur msn g une cam (….@live.fr)

cc moi c joé et toi?

bonjour nico et toi ?

je chercher une jolie fille avc ki je pe parler et echanger nos msn

[...]

La deuxième SQL injection se trouve dans un autre script. Ce script permet d’envoyer le texte que vous voulez à un utilisateur. Voyons url.

randomChat.php?userId=1337

Via une sql injection classique nous pouvons dumper directement la base de donnée.

Et enfin, un vulnérabilité de type XSS qui pourrait permettre à un attaquant de prendre la contrôle du navigateur de la personne via un beef par exemple.

Conclusion où presque.

L’engouement pour ces sites est grandissant, le pseudo anonymat qu’il procure et les utilisations détournées que l’on peut en faire sont nombreuses. Il parait assez évident que ce genre de site sauvegarde les conversations. Cependant, les internautes laisse passer beaucoup d’information personnel (mail, N° de téléphone, parfois même des sites avec des photos).

A l’heure où HADOPI ne menace plus rien et de la généralisation de la perte de la vie privée, beaucoup de dérives sont à prévoir. Des utilisateurs malveillants peuvent ici détourner les communications des internautes, espionner les conversations, récolter les mails en masse etc… Il pourrait être trivial de créer un bot donnant le change aux internautes. Avec quelques mots clés salace et en jouant sur la détresse affective, l’affaire serait vite réglée.

Je viens de recevoir un mail assez sympa dont voici la copie :

Pourquoi l’accs mon compte est-il restreint ?

Bonjour,

Dans le cadre de nos mesures de scurit, Nous vrifions rgulirement l’activit de l’cran PayPal.

L’accs votre compte a t restreint pour la ou les raisons suivantes :

Nous avons dtermin que quelqu’un a peut-tre tent d’accder votre compte PayPal sans votre autorisation. Pour votre protection, nous avons restreint l’accs votre compte. Pour enlever cette restriction, connectez-vous votre compte PayPal et suivez la procdure indique dans le Gestionnaire de litiges.

C’est le dernier rappel pour vous connecter PayPal, le plus tt possible. Une fois que vous serez connect, PayPal vous fournira des mesures pour rtablir l’accs votre compte.

La procdure est trs simple :

1. Cliquez sur le lien ci-dessous pour ouvrir une fentre de navigateur scurise.

2. Confirmez que vous tes bien le titulaire du compte et suivez les instructions.

Accder votre compte

Une tentative de phishing grossière qui ne marche pas vraiment. Mais ce qui a retenu mon attention c’est le lien dans le mail.

http://earnafrica.org/components/but/tmp/cgi-bin/un&dispatch=5885d80a13c0db1fb6947b0aeae66fdbfb219927117e3a6f876e112aqqa/

Quand on va sur l’url ci-dessus on obtiens ceci :

Bref on a affaire a du phishing paypal, classique.  Cependant lorsque l’on remonte dans l’arborescence on tombe sur ceci:

Et oui ce petit malin (pas tant que ca) a laisser son kit de phishing en téléchargement… Après quelques recherches dans les sources, on obtient des informations intéressantes.

[corbier@fedora un&dispatch=5885d80a13c0db1fb6947b0aeae66fdbfb219927117e3a6f876e112aqqa]$ cat moSier/header.js
<?
$IP = ‘m_s_@hotmail.fr,spamozar@gmail.com’;
?>[corbier@fedora un&dispatch=5885d80a13c0db1fb6947b0aeae66fdbfb219927117e3a6f876e112aqqa]$

Donc nous avons ici deux adresses mail. Mais ce n’est pas tout. en recherchant le mot clé fopen dans les sources la on rigole très fort.

[corbier@fedora un&dispatch=5885d80a13c0db1fb6947b0aeae66fdbfb219927117e3a6f876e112aqqa]$ grep -R fopen *
moSier.php:$file = fopen(« moSier.txt », »a »);

et la si on chercher ce fichier sur le serveur.

J’ai volontairement flouter les coordonnées de la pauvre victime. Quand on pense à la bétise des phishers…

Un peu de formation auprès de vos proches leurs enlèveras beaucoup de souci.

Quand a m_s_@hotmail.fr et spamozar@gmail.com vous avez mon autorisation pour les inscrire à tout les sites porno, gay, trash, zoophile etc…  et je sais que vous en connaissez des gratinés : )

La Nuit du Hack est un des plus ancien rendez-vous underground de Hacking Francophone. Depuis 2003, cet évènement vise à rassembler les hackers et les professionnels de la sécurité autour de conférences, d’ateliers et de challenges.

Dates :

19 Juin 2010 de 16 heures jusqu’a 7 heures du matin

Lieu :

http://www.nuitduhack.com

Péniche Concorde Atlantique en plein centre de Paris, France PORT SOLFERINO FACE AU 23 QUAI ANATOLE FRANCE 75007 – PARIS ACCES – Métro ligne 12 ASSEMBLEE NATIONALE RER C MUSEE D’ORSAY Le bateau Concorde Atlantique vous reçoit sur ces 3 niveaux dans un cadre prestigieux et historique au pied de Assemblée Nationale et du musée d’Orsay, avec sur sa terrasse extérieure une vue imprenable sur le Grand Palais, le jardin des Tuileries, le musée de l’Orangerie, et le Pont Alexandre III.

Bonjour à tous,
Le staff HZV est fier d’annoncer le 3ème numéro d’HZV Mag, avec au sommaire :

• .infecteur Win32 : de la théorie à la pratique par Kernel Junky
• .Prévention de l’exploitation de stack overflows : implémentation d’un SeHOP-like par Lilxam
• .Bypassing SeHOP sur Windows 7 : encore une protection en carton par Heurs & Virtualabs
• .Système de cassage distribué par G0uz
• .exploitation des Session iDs : for fun and profit par F|UxIus
• .Streaming vs. Hadopi par Virtualabs
• .Sniffer portable sur Nintendo DS : transformer votre Nintendo DS en sniffer WiFi par Virtualabs
• .Future exposed – La BD par IOT-Record

Bonne lecture

http://www.hackerzvoice.net/hzv_magz/download_hzv.php?magid=03

Il est parfois difficile de trouver l’information que l’on souhaite. C’est pourquoi j’ai mis en place un mirror du site http://www.exploit-db.com/

En effet, ils proposent un svn pour télécharger les mises à jours (beaucoup plus pratique que l’archive en passant)

The Exploit Database can now be downloaded via SVN. We figured it would be easier to download and track exploits this way, rather than re-downloading the whole archive. We will be adding the exploit-db archive as a package in BackTrack4, but for now you can:

root@bt4:# cd /pentest/exploits/
root@bt4:# svn co svn://devel.offensive-security.com/exploitdb

Le mirror est disponible ici