+-----+---------+----------+-------------------------------+
| 001 | hacking | An-Mojeg | an-mojeg@mail-developpeur.com |
+-----+---------+----------+-------------------------------+
Hack expliqué + Faille apache inedite !!!
#########################################
Introduction :
--------------
Je me suis rendu compte de cette faille complètement par hasard lors d'une attaque contre un site
qui pouri notre internet un bon site a caractère facho, tout a commencé quand j'ai décidé de faire
quelque chose que je n'avais jamais fait auparavant modifier la redirection DNS d'un site. J'ai donc trouve
normal de faire un requete whois sur le site ce qui me fournit les nameserver s'en occupant et
là je tombe sur un gestionnaire de nom de domaine très connu (que j'appelerai www.cacanul.com, ben oui sans
imagination), jme décourage pas et y vait a la barbare.
Description de l'attaque :
--------------------------
Mon attention c'est dirigée automatiquement vers la possibilité de s'enregistrer gratuitement comme
utilisateur normal ( cette fonction est accessible si on ne s'occupe que d'une seule zone de name servers), après m'etre
enregistrer je me mis a osculter la partie membre :
http://www.cacanul.com/auth/
Cette partie membre était en fait protégée seulement par .htaccess qui devait ressembler a ceci :
;=====================================================;
AuthUserFile ...
AuthGroupFile /dev/null
AuthName ...
AuthType Basic
require valid-user
;=====================================================;
Maintenant j'ai voulu tester http://www.cacanul.com/auth/admin/ et là, bizare, on me re-demande mon pass
en fait pas si bizar que ça le fichier .htaccess situé dans le répertoire admin devait ressemler a cela :
;=====================================================;
AuthUserFile ...
AuthGroupFile /dev/null
AuthName ...
AuthType Basic
require admin, ... ou qqchose du genre bref un utilisateur admin koi !
;=====================================================;
Alors moi jme suis pas fait chier ... script-kiddie method powa j'ai tester divers url jusska tomber sur kelkchose
de pas mal :) (en fait j'ai juste ajouté des slasches au pif) :
http://www.cacanul.com/auth////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////admin/
ok c'est cool mais moi ce que je veux c'est du pass ;) alors je test :
http://www.cacanul.com/auth////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////admin.html
bingo !!! un bo chtit moteur de recherche avec tout les utilisateurs de zonnedit et leur mots de passe avec
d'ailleur celui d'un certain erik (l'admin du site) qui, il me semble, m'adore et ne peut plus se passer de
moi. ;)
Bon je n'aie pas vraiment de nombre exact de slaches a mettre (jme suis pas encore casser la tete a calculer)
mais je pense que selon le fichier ciblé cela varie, jme rappelle que c'était moins de slaches quand le serveur
renvoie interdit et plus quand il renvoie le document que vous recherchez est vide, bref je vous ait donné
la voie a vous de voir :).
Au fait 2 ou 3 bons mois après l'attaque je trouve une news sur zataz comme quoi il y aurait un faille sur les
serveurs apache au niveau de chépakoi l'autentification etc ... voyez vous çà ! (hin hin hin)
Voici la version du serveur www de cacanul faillible : Apache/1.3.20(WIN32) mod_ssl/2.8.4 OpenSSL/0.9.6b
Conclusion (je termine ma belle histoire commencée dans l'intro) :
------------------------------------------------------------------
J'ai pus trouver le mots de site dont on pourrait très facilement se passer et je les ais tous rediriger
vers une page de mon cru.
Ces site s'était regroupés sous la forme d'un sorte d'association nommée AIPJ.
Pour info leur nom d'utilisateur était CMartel, ...
An-Mojeg [ an-mojeg@mail-developpeur.com ]
PS : a ce jour j'ai toujours acces a la liste des utilisateurs de ce fameu gestionnaire.