Faille de sécurité sur ce forum

[360matt]

J'ai la triste nouvelle de vous annoncer que ...
Il y a une faille de sécurité sur ce forum.

Quelle type de faille ? C'est une faille récupérant l'adresse IP des plusieurs membres.
Après libre aux hackers d'en faire ce qui en veulent.
Qui sait ... le DDoS ? (moi je le ferrais pas, mon but est juste d'avertir de cette faille).

Cette faille marche avec les images.
Vous voyez l'image ci-dessous? (seul vous pouvez la voir ne vous inquiétez pas)
Voici votre IP:

Je vous explique comment cela fonctionne:

• on récupère l'IP.
  

  $a = $_SERVER['REMOTE_ADDR'];

• On stocke l'IP dans un fichier si on est dans la peau d'un hacker
  

  $f = fopen('mon_fichier', 'a+');
  /* Ouvrir le fichier mon_fichier.
  Le mode a+ permet de le créer si l'es inexistant */
  
  fwrite($f, $a);
  /* Écrire dans le fichier ouvert dans la variable $f
  l'Ip inscrite dans $a */
  
  fclose($f);
  /* puis on ferme le fichier comme on ferme la porte car après ça caille dehors */

• Puis après on affiche l'image comme si rien n'était
  

  header('Content-Type: image/jpg');
  
  /* On dit au navigateur qu'il s'agit d'une image jpg */
  
  $image = file_get_contents('une_image.jpg');
  /* On recupère le contenu textuelle de l'image "une_image.jpg" */
  
  print($a);
  /* On affiche le contenu de l'image contenu dans $a */

• Ensuite on place le script dans un répertoire d'un nom de fichier comme:
  www.domaine.fr/dossier-non-suspect.png/index.php
  dont on est pas obligé de mettre index.php dans l'URL dans un navigateur web puisque le .htaccess le lit par défaut.
  Donc dossier-non-suspect.png pourrait ressembler à un fichier.
• Puis enfin on insert l'image avec l'URL similaire à l'exemple indiqué ci-dessus.

Je tiens encore une fois à dire que je ne sauvegarde pas votre adresse IP et que l'image varie en fonction de la personne.
Mon but est juste d'avertir de cette faille et de pousser les gens à utiliser un VPN pour contrer les abus comme le DDoS sur l'IP d'origine alors qu'en cachant l'IP avec un VPN il est plus difficile à DDoS et il suffit juste de changer d'IP en cas de réussite.

 

[Fizul]

Si ça peut aider les admins du forum voici un pdf sur la sécurisation contre les failles de file upload (MIME etc...) http://repository.root-me.org/Exploitation - Web/EN - Secure file upload in PHP web applications.pdf

PS : Juste, quand j'avais fais un challenge de ce genre sur le site "root-me", il fallait faire passer le script php en tant que jpg, mais la c'est juste un dossier appelé image.png et dedans il y a le fichier php ? Bizarre que ça passe.

 

[360matt]

Si ça peut aider les admins du forum voici un pdf sur la sécurisation contre les failles de file upload (MIME etc...) http://repository.root-me.org/Exploitation - Web/EN - Secure file upload in PHP web applications.pdf

PS : Juste, quand j'avais fais un challenge de ce genre sur le site "root-me", il fallait faire passer le script php en tant que jpg, mais la c'est juste un dossier appelé image.png et dedans il y a le fichier php ? Bizarre que ça passe.

Heu je parlais de mon hébergement à moi. Regarde la source de l’image.

 

[Fizul]

Heu je parlais de mon hébergement à moi. Regarde la source de l’image.

En fait ce que je voudrais savoir c'est comment t'a fais passer un fichier png (fakeimage.png) comme un dossier ^^ car c'est bien ça qui contribue à la faille

 

[360matt]

En fait ce que je voudrais savoir c'est comment t'a fais passer un fichier png (fakeimage.png) comme un dossier ^^ car c'est bien ça qui contribue à la faille

Bah vu que mon script de hack (psk ce topic c pas hack mais démonstratif) s’appelle index.php bah il est pas obligé de mettre index.php dans l’URL puisque il est indiqué dans la configuration de Apache ou .htaccess ducoup le nom du dossier donne un aspect moins soupçonnable. De plus certains CMS peuvent vérifier l’URL des importations d’images.

Genre il suffirait de MP un mec via un script à part pour que dès il ouvre son MP j’ai direct son IP. Puisque pas de confirmation ni soupçon que l’image s’affiche direct d’on le serveur a déjà traité l’image.

Mais sur ce forum les images en fichier php sont directement acceptées

 

[DiscowZombie]

Salut,

beau problème de configuration du forum effectivement, bien vu ! @robin4002

 

[360matt]

Vous voyez un jour je suis con un jour je trouve des failles

 

[DiscowZombie]

Salut,

je ne crois pas avoir dit ça de toi ; utiliser et redistribuer des cracks n'empêche pas d’être rusé ! Tu peut n'en avoir rien à faire du respect des créations des autres sans que ça ne t’empêche de réfléchir.

 

[360matt]

Salut,

je ne crois pas avoir dit ça de toi ; utiliser et redistribuer des cracks n'empêche pas d’être rusé ! Tu peut n'en avoir rien à faire du respect des créations des autres sans que ça ne t’empêche de réfléchir.

Non je parlais pas de ça tkt

Mais j’ai envoyé un MP à @robin4002 il va en faire une de ses gueule quand il verra son IP

 

[robin4002]

Humm, amusant, quelqu'un qui a découvert le fonctionnement du web.

Mais sur ce forum les images en fichier php sont directement acceptées

Oui et ?
En fait même si on bloquait ce qui finissait en .php, tu mets n'importe quel image (ou autre ressource) tout client qui passe par là va faire une requête sur la ressource en question et donc il y aura l'ip dans les logs.

C'est juste le fonctionnement normal du web.