op verzoek (xploit voor t.net code)

Waarom ik toch altijd
Trouwens, mag ik vragen waarom je dit nog post, als het al gefixed is?

Ik had 'm naar een pentagon mail adres in z'n profile gestuurd.

Anyway, nadat Luite zei dat er een exploit was heb ik zelf ff die scriptjes nagekeken en toen zag ik ook dat die controle ID/username niet klopte.

Dat is aangepast en verder nog wat andere dingetjes aan de user controle.

RickJansen: Er staat bij, "op verzoek" in de topic dus heeft er iemand om gevraagd.

Ik heb wel degelijk een mail teruggestuurd naar femme, ik had hem ook zelf aangeboden om het probleem uit te leggen, dus dat lijkt me ook niet vreemd....

de volgende mail heb ik op 2-1-2001 om 19:08 verstuurd, en ik heb verder geen foutmeldingen gehad hiervan.....


----- Original Message -----
From: Femme Taken - Tweakers.net
To: luite@the-pentagon.com
Sent: Wednesday, January 03, 2001 2:56 AM
Subject: vulnerability

> Femme: Als je even op icq online komt kan ik zo even uitleggen
> wat wij gevonden hebben, en hoe je dit kunt fixen.
> Ik heb geen ICQ op m'n laptop, dus als je dit ook via mail zou kunnen
doen?..

Geen probleem....

het gaat om een input checking probleem van het php-script waarmee je je
profile kunt aanpassen....
zoals je zag was het mogelijk het email adres van rick te veranderen. Dit
kan je in principe met elk account doen, en dan kun je dat account dus ook
gewoon gebruiken....

we hebben het 2x gedaan, 1x met 2 van onze eigen accounts, en 1x met die van
rick, verder wilden we niet gaan, omdat het nogal snel fout kan gaan en we
niets verder wilden beschadigen.....

op de volgende manier kun je te werk gaan:

maak een user account aan.....(wij hebben de user jaapaap aangemaakt)
ga naar change profile

dan krijg je het een en ander door bij stap 3....
daarvan kun je dus het volgende veranderen:
id= het id van de username van wie je het account wilt hebben
etc, de rest snap je denk ik wel ongeveer, er wordt niet goed gecheckt of
het oude password wel bij het nieuwe account hoort, misschien alleen op de
oude username ofzo, lijkt me dus nuttig om ook even te checken op id....
verder moet je eigenlijk ook alle numerieke waarden tussen quotes (single
quotes, 'nummer' dus) zetten, omdat je anders verder SQL kunt uitvoeren,
dat was eigenlijk de bedoeling van deze check, maar dat bleek niet eens
nodig te zijn.....we hebben het nog niet geprobeerd, maar anders was het
misschien mogelijk geweest om bij id=1225 iets in de richting van id=1225 OR
id>1, en daarmee alle accounts in 1x te kunnen veranderen.....(dit omdat je
ook in de faq die id-waarde zonder quotes hebt neergezet....

met de volgende url kun je zien hoe we vanaf het jaapaap account ricks email
konden veranderen....het nieuwe password werd overigens niet rick, maar een
random gegenereerd password, dat ging een beetje anders dan toen we met onze
eigen accounts gingen testen....hoe dit komt, hebben we verder niet
uitgezocht
http://www.tweakers.net/ext/reg.dsp?oldpassword=5ef3345bc5292891a4fb5d2d2a89
e278&oldusername=jaapaap&id=1225&username=RickJansen&email=rick12890@hotmail
.com&password=rick&Action=Preferences&Step=3

misschien is het hiermee dus ook mogelijk om alle pwds ineens te resetten,
maar aangezien ik denk dat je dan met deze methode ook alle emails moet
resetten, weet ik niet hoe het precies gebeurd is, maar ik heb toch het
vermoeden dat als het een hack is, dat het via dit script gedaan is.....

ik hoop dat je er wat aan hebt.....

groeten,

Luite en xoror

Aha, daarom moest een groot deel van de Tweakers.net bezoekers een nieuw password aanvragen, heeft er blijkbaar toch iemand mee zitten spelen

misschien is het hiermee dus ook mogelijk om alle pwds ineens te resetten,
maar aangezien ik denk dat je dan met deze methode ook alle emails moet
resetten, weet ik niet hoe het precies gebeurd is, maar ik heb toch het
vermoeden dat als het een hack is, dat het via dit script gedaan is.....

Dan zou je verwachten dat de veranderde passwords enigzins op elkaar lijken, maar dat is niet het geval.

Dan zou je verwachten dat de veranderde passwords enigzins op elkaar lijken, maar dat is niet het geval.

Heh, hoe weet je dat? Je kunt aan de hashes toch alleen zien of een pwd exact gelijk is?

Als iemand een query bouwt waarmee alle passwords aangepast worden (die passwords worden niet telkens opnieuw door md5 gehaald).

magic quotes is enabled.

als $id geen integer is dan wordt-ie trouwens niet meer geaccepteerd en gaat het hele profile update verhaal niet door.

dat id een integer moet zijn kan wel, maar controleer je dat expliciet ?

Jep, probeert bijv. http://www.tweakers.net/ext/reg.dsp?Action=Preferences&Step=3&username=jaap&password=aap&id=geeninteger

als je nou '$id' van maakt is alles opgelost.

Ook dat was reeds gebeurd (of was altijd al zo).

Op dinsdag 09 januari 2001 23:20 schreef xoror het volgende:
mooi dat magic quotes enabled is...
maar gebruik je het ook

Uuhhm, als magic_quotes_gpc aan staat hoef je daar zelf toch niet bijzonder veel meer aan te doen wel?