7Sk1: Hack expliqué + Faille apache inedite !!!
Introduction
Je me suis rendu compte de cette faille complètement par hasard lors d'une attaque contre un site qui pouri notre internet un bon site a caractère facho, tout a commencé quand j'ai décidé de faire quelque chose que je n'avais jamais fait auparavant modifier la redirection DNS d'un site. J'ai donc trouve normal de faire un requete whois sur le site ce qui me fournit les nameserver s'en occupant et là je tombe sur un gestionnaire de nom de domaine très connu (que j'appelerai www.cacanul.com, ben oui sans imagination), jme décourage pas et y vait a la barbare.
Description de l'attaque
Mon attention c'est dirigée automatiquement vers la possibilité de s'enregistrer gratuitement comme utilisateur normal ( cette fonction est accessible si on ne s'occupe que d'une seule zone de name servers), après m'etre enregistrer je me mis a osculter la partie membre :
Cette partie membre était en fait protégée seulement par .htaccess qui devait ressembler a ceci :
;=====================================================;
AuthUserFile ...
AuthGroupFile /dev/null
AuthName ...
AuthType Basic
<limit GET>
require valid-user
</Limit>
;=====================================================;
Maintenant j'ai voulu tester http://www.cacanul.com/auth/admin/ et là, bizare, on me re-demande mon pass en fait pas si bizar que ça le fichier .htaccess situé dans le répertoire admin devait ressemler a cela :
;=====================================================;
AuthUserFile ...
AuthGroupFile /dev/null
AuthName ...
AuthType Basic
<limit GET>
require admin, ... ou qqchose du genre bref un utilisateur admin koi !
</Limit>
;=====================================================;
Alors moi jme suis pas fait chier ... script-kiddie method powa j'ai tester divers url jusska tomber sur kelkchose de pas mal :) (en fait j'ai juste ajouté des slasches au pif) :
http://www.cacanul.com/auth////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////admin/
ok c'est cool mais moi ce que je veux c'est du pass ;) alors je test :
http://www.cacanul.com/auth////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////admin.html
bingo !!! un bo chtit moteur de recherche avec tout les utilisateurs de zonnedit et leur mots de passe avec d'ailleur celui d'un certain erik (l'admin du site) qui, il me semble, m'adore et ne peut plus se passer de moi. ;)
Bon je n'aie pas vraiment de nombre exact de slaches a mettre (jme suis pas encore casser la tete a calculer) mais je pense que selon le fichier ciblé cela varie, jme rappelle que c'était moins de slaches quand le serveur renvoie interdit et plus quand il renvoie le document que vous recherchez est vide, bref je vous ait donné la voie a vous de voir :).
Au fait 2 ou 3 bons mois après l'attaque je trouve une news sur zataz comme quoi il y aurait un faille sur les serveurs apache au niveau de chépakoi l'autentification etc ... voyez vous çà ! (hin hin hin)
Voici la version du serveur www de cacanul faillible : Apache/1.3.20(WIN32) mod_ssl/2.8.4 OpenSSL/0.9.6b
Conclusion (je termine ma belle histoire commencée dans l'intro)
J'ai pus trouver le mots de site dont on pourrait très facilement se passer et je les ais tous rediriger vers une page de mon cru.
Ces site s'était regroupés sous la forme d'un sorte d'association nommée AIPJ.
Pour info leur nom d'utilisateur était CMartel, ...
An-Mojeg [ an-mojeg@mail-developpeur.com ]
PS : a ce jour j'ai toujours acces a la liste des utilisateurs de ce fameu gestionnaire.