Forum |  HardWare.fr | News | Articles | PC | S'identifier | S'inscrire | Shop Recherche
1287 connectés 

  FORUM HardWare.fr
  Programmation
  PHP

  Help site 'piraté'

 


 Mot :   Pseudo :  
 
 Page :   1  2  3  4
Page Précédente
Auteur Sujet :

Help site 'piraté'

n°1362626
mostyk
bzzzzzzz
Posté le 09-05-2006 à 17:32:11  profilanswer
 

Salut tout le monde !
 
Juste un petit souci (rien de bien grave à vrai dire, la personne qui a fait ça à été bien gentille et n'a rien fait de mal :) (vu de toute façon qu'il n'y a rien de spécial sur le site :D ) ) sur http://photohainaut.no-ip.info, il suffit de voir la première news et vous allez comprendre ...
 
dans le log du site, aucune erreur de login, comme si la personne s'était connectée directement , ce qui me fait dire que :
 
  - La personne qui a fait ça connaissait le mot de passe
  - le script de logging est buggé a mourrir  
 
si quel'qu'un sait y jetter un oeuil :)
 
merci :)


---------------
Infos et liens d'information sur les objos (toutes marques) - Galerie perso    
mood
Publicité
Posté le 09-05-2006 à 17:32:11  profilanswer
 

n°1362631
FlorentG
Posté le 09-05-2006 à 17:37:27  profilanswer
 

Ou alors il a trouvé le mot de passe par une attaque dictionnaire. Si t'es comme 98% des gens qui mettent leur date de naissance ou le prénom de leur chérie, alors c'est pas étonnant.
 
Un mot de passe administrateur doit être composé d'au moins, on va dire, 8 caractères, caractères qui doivent être une combinaison de lettres et de chiffres aléatoires. Sinon c'est trop facile de trouver :(


Message édité par FlorentG le 09-05-2006 à 17:37:36
n°1362634
chaced
Posté le 09-05-2006 à 17:39:11  profilanswer
 

Bon la base, tu controlles bien login et pass par un mysql_real_escape_string ?


---------------
CPU-Z | Timespy | Mes bd
n°1362636
mostyk
bzzzzzzz
Posté le 09-05-2006 à 17:40:01  profilanswer
 

non le mot de passe n'était pas un truc de ce genre ...
de plus si il avait testé plusieurs mot de passe je l'aurai vu dans les logs, mais là, rien ... c'est pour ça que je préfère quelques avis :)


---------------
Infos et liens d'information sur les objos (toutes marques) - Galerie perso    
n°1362637
FlorentG
Posté le 09-05-2006 à 17:40:39  profilanswer
 

Et tu connais ce soi-disant "Steph" ?

n°1362638
the big be​n
Posté le 09-05-2006 à 17:41:19  profilanswer
 

et quoi tu as mis admin / admin ?  :D
 
Tu sais ce qu'on dit! Un mot de passe devrait toujours etre composé de minimum 8 caractères donc au moins 1 majuscule, 1 minuscule, un chiffre, et un caractère spécial genre *, $, ...
 
Sinon il ne reste pas un autre compte bidon qui traine?

Message cité 1 fois
Message édité par the big ben le 09-05-2006 à 17:42:51
n°1362639
mostyk
bzzzzzzz
Posté le 09-05-2006 à 17:42:00  profilanswer
 

je connais(sait) un steph, possible que ça soit lui, mais j'ai un doute quand même ...
 
sinon pour le mysql_real_escape_string , le script est assez vieux, et non, je l'utilise pas dedans, je crois que je vais pouvoir m'amuser a faire quelques updates alors ;)


---------------
Infos et liens d'information sur les objos (toutes marques) - Galerie perso    
n°1362641
mostyk
bzzzzzzz
Posté le 09-05-2006 à 17:42:56  profilanswer
 

the big ben a écrit :

et quoi tu as mis admin / admin ?  :D
 
Tu sais ce qu'on dit! Un mot de passe devrait toujours etre composé de minimum 8 caractères donc au moins 1 majuscule, 1 minuscule, un chiffre, et un caractère spécial genre *, $, ...
 
Sinon il ne reste pas un autre compte bidon qui traine?


 
non qd mm pas ;)


---------------
Infos et liens d'information sur les objos (toutes marques) - Galerie perso    
n°1362643
FlorentG
Posté le 09-05-2006 à 17:43:13  profilanswer
 

Pas d'inquiètudes, doit y avoir magic_quotes_gpc d'actif, parce qu'une SQL Injection ne marche pas là :(

n°1362647
mostyk
bzzzzzzz
Posté le 09-05-2006 à 17:44:12  profilanswer
 

de plus ça à été fait avec mon compte, puisque la news est écrite à mon nom ...


---------------
Infos et liens d'information sur les objos (toutes marques) - Galerie perso    
mood
Publicité
Posté le 09-05-2006 à 17:44:12  profilanswer
 

n°1362648
FlorentG
Posté le 09-05-2006 à 17:45:54  profilanswer
 

Elle s'appelle comment ta meuf, pour voir :D

n°1362650
mostyk
bzzzzzzz
Posté le 09-05-2006 à 17:47:40  profilanswer
 

non ct pas ça non plus ;)


---------------
Infos et liens d'information sur les objos (toutes marques) - Galerie perso    
n°1362651
FlorentG
Posté le 09-05-2006 à 17:49:49  profilanswer
 

Bon bah, si y'a effectivement rien dans les logs, alors c'est que le gars le savait... Ou alors il te connait suffisamment bien pour pouvoir le deviner

n°1362657
mostyk
bzzzzzzz
Posté le 09-05-2006 à 17:51:31  profilanswer
 

ben oui tout me porte à croire à ca ... alors le steph qui a écrit la news je vois très bien c'est qui ... déjà que l'ambiance n'était pas bonne entre nous (ancien collègue ....) mais là je crois que ça va encore être pire :D


---------------
Infos et liens d'information sur les objos (toutes marques) - Galerie perso    
n°1362663
mostyk
bzzzzzzz
Posté le 09-05-2006 à 17:56:37  profilanswer
 

en tout cas merci pour vos réponses :)
si quelqu'un se sent d'humeur pour continuer à essayer de se logger, pas de prob pour moi, mais si vous y arrivez dites moi comment vous avez fait svp :D


---------------
Infos et liens d'information sur les objos (toutes marques) - Galerie perso    
n°1362669
FlorentG
Posté le 09-05-2006 à 18:00:53  profilanswer
 

Ouais ça peut être marrant :D J'ai pas encore réussi à trouver ;) ;)

n°1362675
mostyk
bzzzzzzz
Posté le 09-05-2006 à 18:03:34  profilanswer
 
n°1362683
bjone
Insert booze to continue
Posté le 09-05-2006 à 18:16:00  profilanswer
 

tu t'es pas loggué chez un de tes potes ?
 
moi j'avais un pote qui s'était loggué sur ma machine, je lui collé la CLUF de Windows dans sa signature :D

n°1362686
FlorentG
Posté le 09-05-2006 à 18:20:44  profilanswer
 

Bon bah ça à l'air blindé... Essayé des SQL Injections via le formulaire et via cookies (après avoir trouvé la page mod_admin.php?action_admin=start )

n°1362689
anapajari
s/travail/glanding on hfr/gs;
Posté le 09-05-2006 à 18:24:18  profilanswer
 

J'ai pas trouvé mais ça s'pas terrible [:mlc]
http://photohainaut.no-ip.info/mod_login.php
 
Du cou on peut faire des
http://photohainaut.no-ip.info/mod [...] n=POUEEEET

n°1362695
FlorentG
Posté le 09-05-2006 à 18:28:17  profilanswer
 

ouais, trouvé aussi, mais pas possible d'inclure des trucs louches... Tout est préfixé

n°1362704
anapajari
s/travail/glanding on hfr/gs;
Posté le 09-05-2006 à 18:36:54  profilanswer
 

en même temps je me demande ce qu'il se passe si tu trouves le "bon action" ( celui qui dit "je suis loggué" )

n°1362705
FlorentG
Posté le 09-05-2006 à 18:39:16  profilanswer
 

Hmmmm, le site n'envoi pas l'encoding : ni par header, ni par meta. Y'a moyen d'injecter des scripts en UTF-7, et d'obtenir le mot de passe + compte de quelqu'un de loggué... A essayer

n°1362772
mostyk
bzzzzzzz
Posté le 09-05-2006 à 20:27:18  profilanswer
 

je vois que ca y va sec :p  
 
bon ben je vois qui a fait le coup alors :p


---------------
Infos et liens d'information sur les objos (toutes marques) - Galerie perso    
n°1362778
mostyk
bzzzzzzz
Posté le 09-05-2006 à 20:38:50  profilanswer
 

FlorentG a écrit :

Hmmmm, le site n'envoi pas l'encoding : ni par header, ni par meta. Y'a moyen d'injecter des scripts en UTF-7, et d'obtenir le mot de passe + compte de quelqu'un de loggué... A essayer


 
tu peux développer stp ?


---------------
Infos et liens d'information sur les objos (toutes marques) - Galerie perso    
n°1362792
FlorentG
Posté le 09-05-2006 à 20:52:04  profilanswer
 

Normalement le serveur doit envoyer un entête pour indiquer le type mime et l'encodage :

Content-Type: text/html; charset=utf-8


Si y'a pas la partie charset, alors il regarde s'il y a une déclaration xml ou une balise meta (dans le cas de l'html) :

<?xml version="1.0" encoding="utf-8" ?>


Ou

<meta http-equiv="Content-Type" content="text/html; charset=utf-8" />


 
Et si y'a rien de tout ça, il auto-détecte. Alors pour IE par exemple, il regarde dans les 4096 premiers caractères s'il y a pas des trucs spéciaux, genre un BOM ou alors certaines séquences qu'on ne trouve que dans un encoding en particulier.
 
Donc par exemple s'il détecte des caractères en UTF-7, il va basculer en UTF-7.
 
Jusqu'ici rien de bien compliqué... Sauf qu'en PHP, les fonctions de base pour escaper de l'HTML ne gèrent pas l'UTF-7. Donc si par exemple dans ton forum on envoi comme titre de topic :

<script>alert(document.cookie)</script>


Et qu'on l'encode en UTF-7, PHP ne va rien voir... Juste des caractères bizarres à la place de < et >. Et cela même si on spécifie par exemple à la fonction htmlspecialchars qu'on veut de l'UTF-7, il va échouer en disant que cet encoding n'est pas supporté.
 
Donc IE va voir ces caractères bizarres, va basculer en UTF-7, et hop, va exécuter le script... Et comme y'a de charmantes infos dans document.cookie, on peut facilement les envoyer sur un autre site -> Cross Site Scripting (XSS).
 
DONC : toujours préciser quelque part l'encoding de la page, et surtout ne jamais reposer sur l'auto-détection offerte par le navigateur...

n°1362824
mostyk
bzzzzzzz
Posté le 09-05-2006 à 21:22:15  profilanswer
 

ok, pigé, je vais regarder pour modifier ça ;)


---------------
Infos et liens d'information sur les objos (toutes marques) - Galerie perso    
n°1363258
Kaitoyo
Life is for Rent
Posté le 10-05-2006 à 13:51:28  profilanswer
 

Salut mostyk.
Je viens de regarder ton site vite fait, et je t'annonce qu'on peut executer du code via l'url de ton site ( Unix Code Execution ).
Je ne mettrai pas d'exemple ici, pour t'eviter tout tracas ( surtout que c'est heberger sur une de tes machines .. on a facilement acces à tout tes fichiers.
Ajoute Kaitoyo@gmail.com et je te donnerai un exemple ;)

n°1363267
Kaitoyo
Life is for Rent
Posté le 10-05-2006 à 13:56:00  profilanswer
 

Au passage, y a des XSS aussi ...

n°1363273
The-Shadow
Développeur
T'as été voir dans ton profil?
Posté le 10-05-2006 à 13:57:39  profilanswer
 

Kaitoyo a écrit :

Salut mostyk.
Je viens de regarder ton site vite fait, et je t'annonce qu'on peut executer du code via l'url de ton site ( Unix Code Execution ).


Après lui avoir dit comment réparer son site, ce serait bien d'expliquer le principe, ça peut être utile à tout le monde.

n°1363276
Kaitoyo
Life is for Rent
Posté le 10-05-2006 à 14:00:21  profilanswer
 

J'expliquerai le principe, mais pas la méthode ... et bien entendu apres qu'il ai corriger ses problemes.
 
J'ai recensé :  
- 6 Possibilité d'execution de code Unix
- 4 XSS

n°1363301
FlorentG
Posté le 10-05-2006 à 14:11:33  profilanswer
 

P'tain, faut que j'aille fouiller à nouveau ce soir [:dawa] J'ai déjà choppé une XSS, reste à trouver les autres :D

n°1363305
The-Shadow
Développeur
T'as été voir dans ton profil?
Posté le 10-05-2006 à 14:15:42  profilanswer
 

C'est quoi une XSS ?

n°1363307
j_lecruel
☀ ☁ ☂
Posté le 10-05-2006 à 14:16:28  profilanswer
 

Réponse


---------------
♈ ♋ ♌ ♍ ♎ ♏ - Agora Fidelio | Galerie d'art Toulousaine
n°1363308
FlorentG
Posté le 10-05-2006 à 14:16:34  profilanswer
 
n°1363310
FlorentG
Posté le 10-05-2006 à 14:16:45  profilanswer
 

P'tain, à 7 secondes :(

n°1363316
Kaitoyo
Life is for Rent
Posté le 10-05-2006 à 14:18:46  profilanswer
 

Oué mais encore a la limite, la XSS est pas super grave. Je veux plus le voir pour la Unix code execution ... J'ai tester vite fait d'avoir un acces a /etc/passwd et ... :)

n°1363319
The-Shadow
Développeur
T'as été voir dans ton profil?
Posté le 10-05-2006 à 14:19:57  profilanswer
 


 


 
Okey merci, en fait je connaissais mais je ne savais pas qu'on appelait ça comme ça. :jap:

n°1363354
Djebel1
Nul professionnel
Posté le 10-05-2006 à 14:41:38  profilanswer
 

Kaitoyo a écrit :

Salut mostyk.
Je viens de regarder ton site vite fait, et je t'annonce qu'on peut executer du code via l'url de ton site ( Unix Code Execution ).
Je ne mettrai pas d'exemple ici, pour t'eviter tout tracas ( surtout que c'est heberger sur une de tes machines .. on a facilement acces à tout tes fichiers.
Ajoute Kaitoyo@gmail.com et je te donnerai un exemple ;)


+1 pour en savoir plus, je connais pas

n°1363357
The-Shadow
Développeur
T'as été voir dans ton profil?
Posté le 10-05-2006 à 14:42:23  profilanswer
 

Je viens de vous voir bande de petits malins à essayer de pirater mon site. :o

mood
Publicité
Posté le   profilanswer
 

 Page :   1  2  3  4
Page Précédente

Aller à :
Ajouter une réponse
  FORUM HardWare.fr
  Programmation
  PHP

  Help site 'piraté'

 

Sujets relatifs
[.NET] Mettre du 1.1 et du 2.0 sur le même siteProbleme affiche de mon site sous FireFox
Besoind 'aide ,bug sur mon siteCréér des menus dans un site
Faire de la pub pour mon siteVIRUS dl.exe Help
Cherche tuto pour creation de site a à zcomment creer une partie admin sur son site
Help ! lire des données serie RS232lire une video sur un site ....
Plus de sujets relatifs à : Help site 'piraté'


Copyright © 1997-2022 Hardware.fr SARL (Signaler un contenu illicite / Données personnelles) / Groupe LDLC / Shop HFR