Epuls.pl odcinek II

Epulsem miałem się już nie zajmować. Dostałem jednak maila o tym, że wprowadzone zostały nowe funkcje. Jak wiadomo, nowe funkcje to nowe błędy, nie mogłem więc takiej okazji przegapić.

Zanim przejdę do rzeczy chciałbym skrytykować bezmyślne komentarze do poprzedniego posta i do filmu na youtube.
1. Nie ma programu do hackowania epulsa. To czego używałem to prosty skrypt do generowania odpowiedniego kodu do wklejenia i zaoszczędzało to jedynie trochę czasu na wielokrotnym wklepywaniu tego samego. Ok, załóżmy, że taki program gdzieś sobie istnieje. Jego autor ma dwie możliwości: może go udostępnić lub nie. Jeśli nie udostępnia to sprawa jest zamknięta i nie ma sensu proszenie o ten program. Jeśli udostępnia to po pewnym czasie spora część ludzi byłaby w posiadaniu tego programu i używając go bez wahania spowodowałoby to zamieszanie i dziura zostałaby załatana. Sprawa zamknięta bo program stał się bezużyteczny.
2. “Ubijmy złoty interes, ty będziesz się włamywał na konta, które wskażę, a ja będę ci przelewał x pulsarów”. Totalnie bez sensu. Po pierwsze nie używam epulsa i te pulsary to sobie mogę w tyłek włożyć. Załóżmy nawet, że interesują mnie pulsary, wtedy włamując się na czyjeś konta mógłbym je sobie wziąć. Po drugie ja nie włamuję się na konta tylko udowadniam, że jest to możliwe i nie takie trudne.
3. “Mój nr/mail to xxx, jak chcesz to naucz mnie jak się włamywać”. Nie, nie chcę. Dlaczego miałbym chcieć?
4. “Znalazłem dziurę na epulsie. Moge ich puścić z dymem jednym kliknięciem” Woooow. Serio? Imponujesz mi. A tak serio, to dziur jest dużo i starczy dla wszystkich. I nie, nie będę się wymieniał znanymi przeze mnie dziurami. Jak uznam to za stosowne to po prostu je tu opublikuje.
5. “Filmik w kiepskiej jakości”. Rozumiem jakbym umieszczał jakieś rendery z blendera. Wtedy jakość się liczy. Tutaj chodziło jednak tylko o sam dowód na to, że to działa. Jak się dołożycie na lepszy sprzęt to mogę wam nakręcić i w HD.
6. “Jaki system operacyjny/program?”. Jestem zwolennikiem wolnego oprogramowania ale nie będę przecież kłamał, że się tego pod windowsem nie da zrobić.
7. “Ktoś mnie oszukał, pomóż mi.” Podobno niewiastom się nie odmawia. Ale pomyślmy, skąd wiadomo, że ja jej nie oszukam? Skąd wiadomo, że to ona nie chce kogoś dopiero oszukać? Poza tym, kim ja jestem, obrońcą uciśnionych?
8. Kończenie wypowiedzi “:*”. Jeśli będziecie się tak obcałowywać to w końcu jakiegoś choróbska się nabawicie. Mnie to nie rusza.

Ok a teraz do konkretów. Przedstawię 3 sposoby uruchamiania złośliwego kodu a na koniec w skrócie opiszę jak z tego zrobić pełny atak, aż do przechwycenia konta ofiary.

1. CSS injection. Dany jest tag <box>. Posiada on 2 atrybuty: width, color. Przykładowo: <box width=200 bgcolor=white>tekst</box>. Zobaczmy jak wygląda to w kodzie:

<div style="border: 1px solid rgb(0, 0, 0); width: 200px; background-color: white;”>
<div style="padding: 3px;">tekst</div>
</div>

Ok. A co się stanie jeśli jako kolor damy “white;display:none”. Tak, tekst po prostu zniknie. Dalsze postępowanie takie jak w przypadku Last.fm (-moz-binding(gecko) i background(IE)) i dochodzimy do javascript injection.

2. Javascript injection. Mamy tag <sound>. Posiada on 2 atrybuty: src, loop; Przykładowo: <sound src=http://server…moja_piosenka.mp3 loop=infinite>. A oto jak wygląda to w kodzie:

<script type="text/javascript" language="javascript">
var flo = new SWFObject('bgsndplayer_simple.swf', 'bgsndplayer_simple', '25', '25', '8');
flo.addVariable('loop', 'infinite');
flo.addVariable('sndsrc', 'http://server…moja_piosenka.mp3');
flo.addParam("allowScriptAccess", "always");
flo.addParam("wmode", "transparent");
flo.write('bgsndplayer_container');
document.getElementById('bgsndplayer_container').style.visibility = "visible";
</script>

A co jeśli jako src damy “piosenka.mp3′);alert(‘hacked!”? Tak, ten komunikat się wyświetli. No to mamy javascript injection.

3. Html injection. Mnie zaskoczyło. Myśleliście kiedyś o tym, żeby kontrolować wartość ciasteczek po stronie serwera? Ja nie. No wiec tak, epuls przechowuje ciasteczko EPULS_PL_SEARCH w którym trzyma ostatnio wyszukiwaną osobę. Wszystko byłoby ok ale ta wartość jest też wyświetlana w kodzie strony. Dokładnie w ten sposób:

<input type="text" value="EPULS_PL_SEARCH" name="strUserName" class="search">

To co robimy? Ustawiamy to ciasteczko na “”><script>alert(‘hacked!’);</script><input type=hidden ” i otrzymujemy piękny komunikacik. Co ciekawe jeśli ustawimy to ciasteczko ręcznie to nawet po wylogowaniu będzie ono cały czas się wyświetlało.

Ok. Mamy 3 ciekawe dziury. Nie do końca jasne jest jak za ich pomocą można przejąć konto na epulsie. Za pomocą dowolnego javascript injection możemy sobie przesłać ciasteczka ofiary, w których znajduje się identyfikator sesji. Ustawiając je u siebie jesteśmy zalogowani na koncie ofiary. Tak, fajnie ale nie możemy zmienić hasła (nie znamy starego), funkcja przypominania hasła też nie wchodzi w grę gdyż potrzebne jest potwierdzenie z konta mail ofiary przy zmianie maila. Zauważmy jednak, że 3 dziura ma ciekawą właściwość, zostaje nawet po wylogowaniu się. No to co robimy? Używając dziury 1 lub 2 przez javascript ustawiamy ciasteczko EPULS_PL_SEARCH na taką wartość aby ten skrypt wykrywał moment logowania się użytkownika, pobierał login i hasło prosto z dwóch inputów i przesyłał te dane na serwer atakującego. Wszystko to da się zrobić w sposób niewidoczny dla ofiary, a jedyny warunek konieczny dla powodzenia ataku to to by ofiara odwiedziła profil atakującego.

Ufff. Koniec. Acha, w momencie pisania te dziury działały.

~ - autor: niteria w dniu grudzień 9, 2007.