Exploit per Vbulletin 3.5.4 ?

**y2ksw** · 01-07-2006, 00:41

Originariamente Scritto da edivad82

non proprio...solo i file residenti sul dominio possono accedere ai cookie, per questo è necessario l'upload del file image.gif, altrimenti sarebbe bastato linkarlo da remoto... quindi allegati e forse avatar...

per il resto, mi sto documentando di più su questo...

Forse mi sono espresso male ... succede in questi giorni combattuti prima delle ferie ...

E' chiaro che solo il sito che ospita lo script sia in grado di leggere i dati trasmessi clandestinamente tramite un file gif. Volevo dire che non c'è pericolo che si trasmettono i dati di un'altro sito.

Facciamo un esempio: Apro il browser e faccio il login su google adwords. Poi vado su vbulletin.it, con la sessione Google ancora aperta, e clicco sul fatale gif. I dati inviati riguardano soltanto i cookie di vbulletin.it, di Google non c'è traccia.

Se Google ospitasse un gif fatale, sarebbero trasmessi solo i dati di Google.

In altre parole, il flusso è: apertura sessione -> click sul gif -> chiamata dello script remoto -> reindirizzamento nascosto -> lettura dei dati dallo script sul server diverso -> eventuale invio di un gif vero -> ritorno al sito originale (forse).

Ora, se si dovesse rintracciare un gif manipolato, si potrebbe ribattere

. Ad esempio si potrebbe lanciare un thread separato (un po come funzionano i cron), ed inviare un cookie gigantesco, un po' meno di 3 MB, con dei dati assurdi. 3 MB perché la maggioranza dei mail server non accettano messaggi maggiori. Con una ventina di click la casella postale della spia è piena e non ci passeranno due giorni e lo script sarà disattivato

Il bello è che le caselle piene bloccano anche l'arrivo di altre mail, quindi la spia viene severamente punita

.

**Sergio** · 01-07-2006, 03:17

Mhh...

a) I cookies vengono presi, copiati e mandati dal codice contenuto nella gif ad exploit.php

o

b) Il finto gif indirizza solo il browser a exploit.php

a) Sarebbe grave ed è così che l'ho capita io.
b) Non è nenche un exploit perchè il file exploit.php non lo caricheranno mai sul server desiderato.

**y2ksw** · 01-07-2006, 12:56

c) Il finto gif indirizza il browser (IE) e i dati di sessione (cookie, session id) a exploit.php

exploit.php può fare quel che vuole con questi dati, e quindi anche aggiungere informazioni al cookie, per eventuali hack già installati sulla macchina della vittima.

Il meccanismo è abbastanza pericoloso, ma non nel contesto di vbulletin.

Consiglio però a tutti di munirsi di una password superiore ai 6 caratteri di lunghezza, che rende la decodifica della password impossibile per mezzi comuni.

**Sergio** · 01-07-2006, 13:54

Originariamente Scritto da y2ksw

c) Il finto gif indirizza il browser (IE) e i dati di sessione (cookie, session id) a exploit.php

Brutta roba allora

Originariamente Scritto da y2ksw

Il meccanismo è abbastanza pericoloso, ma non nel contesto di vbulletin.

In teoria posso rubare anche altre infrmazioni se riesco ad allegare l'immagine ad un altro sito, in generale saranno più o meno sempre boards.

Originariamente Scritto da y2ksw

Consiglio però a tutti di munirsi di una password superiore ai 6 caratteri di lunghezza, che rende la decodifica della password impossibile per mezzi comuni.

Questo non credo serva a nulla poichè la password criptata md5 va inserita direttamente nel cookies assieme al numero utente e voilà, si è già loggati automaticamente

L'ultima faccina la correggo...

**edivad82** · 01-07-2006, 14:17

Originariamente Scritto da y2ksw

Consiglio però a tutti di munirsi di una password superiore ai 6 caratteri di lunghezza, che rende la decodifica della password impossibile per mezzi comuni.

questo è sempre consigliabile, ma in questo caso viene rubato l'intero cookie...basta quello per rubare l'identità

rubando il cookie, salvandolo e mettendolo al posto del proprio per quel sito, ci troviamo loggati come quell'utente, provare per credere.

**mossss** · 01-07-2006, 14:31

purtroppo è vero... :-(

ma questo exploit è circoscritto agli user di IE?

**Sergio** · 01-07-2006, 15:45

Originariamente Scritto da mossss

purtroppo è vero... :-(

ma questo exploit è circoscritto agli user di IE?

Sembra di si.

**y2ksw** · 01-07-2006, 16:36

Originariamente Scritto da Sergio

Brutta roba allora

In teoria posso rubare anche altre infrmazioni se riesco ad allegare l'immagine ad un altro sito, in generale saranno più o meno sempre boards.

Questo non credo serva a nulla poichè la password criptata md5 va inserita direttamente nel cookies assieme al numero utente e voilà, si è già loggati automaticamente

L'ultima faccina la correggo...

A quest'ultima possibilità non ne avevo pensato, ma è vero ...

. Effettivamente lo script exploit.php potrebbe sfruttare la sessione già aperta per fare una qualsiasi cosa per conto del legittimo proprietario dell'account, quindi anche mandare dei messaggi (spam) o roba del genere.

Quindi il problema è più serio del previsto ... Eventualmente si potrebbe ovviare il problema con un plugin all'Internet Explorer. Comunque sono abbastanza protetto dal mio antivirus, che non permette questi reindirizzamenti ...

**edivad82** · 01-07-2006, 18:04

Originariamente Scritto da Sergio

Sembra di si.

non sembra, si

**Sergio** · 02-07-2006, 00:50

Originariamente Scritto da y2ksw

Quindi il problema è più serio del previsto ... Eventualmente si potrebbe ovviare il problema con un plugin all'Internet Explorer. Comunque sono abbastanza protetto dal mio antivirus, che non permette questi reindirizzamenti ...

Spazio pubblicitario ON
Vuoi un buon antivirus : www.apple.com
Spazio pubblicitario OFF

Scherzi a parte, molla, io l'ho fatto un anno fa, è come uscire dal tunnel della droga