ASP-Nuke : RC1, RC2
					*******************

Produit :
*********
ASP-Nuke
http://www.asp-nuke.com

Versions :
**********
RC1, 27 mars 2002
RC2, 03 avril 2002


Date :
******
28 mars, 07 avril, 08 avril 2002
=p


Problemes :
***********
RC1 & RC2 :
- Accès aux comptes users/admins
- Cross Site Scripting
- Path Disclosure
uniquement RC1 :
- Problèmes dans les filtres anti-html (balise [img][/img])


Developpement :
***************

ASP-Nuke est un service web qui propose, tout comme PHP-Nuke, des editions de news,
des sondages, des forums, etc...
Plus d'infos : http://www.asp-nuke.com/comments.asp?id=2

Contournement des filtres
~~~~~~~~~~~~~~~~~~~~~~~~~
Commencons par les problemes anti-tags htmls de la version RC1. Je tiens à preciser que ces bugs
ont été corrigés dans l'heure.

Il nous est donc interdit de poster du html dans les forums, que ce soit une balise <a>, <b>, 
<script>, <img>, <center> ou n'importe quoi d'autre.
Pour néanmoins mettre un peu d'animation, asp-nuke offre plusieurs balise BB :
[b] [i] [u] [s] [url] [img] [cit] 
ainsi qu'une 20aine de smileys.

La balise qui nous interesse est la balise [img], souvent cause de problemes (par exemple
dans phpBB). 
On sait qu'en html on peut faire appel au protocol javascript: grâce à la balise <img>.
Par exemple pour faire apparaitre une page en popup :
<img src="javascript:window.open('http://www.url.com');"> .

La balise [img] a la même fonctionnalité; on peut voir dans le fichier
/includes/functions-inc.asp les lignes :

-------------------------------------------------------------------------------
If bEncodeHTML Then sMessage = Server.HTMLEncode(sMessage)
sMessage = Text2HTML(sMessage)
sMessage = ReplaceTag(sMessage, "[img]", "[/img]", "<img src=""%REPLACE%"" border=""0"">")
sMessage = ReplaceTag(sMessage, "[url]", "[/url]", "<a href=""%REPLACE%"" target=""_blank"">%REPLACE%</a>")
sMessage = ReplaceTag(sMessage, "[cit]", "\[/cit]", "<blockquote><font size=""-1""><i>%REPLACE%</i></font></blockquote>")
sMessage = ReplaceTag(sMessage, "[b]", "[/b]", "<b>%REPLACE%</b>")
sMessage = ReplaceTag(sMessage, "[i]", "[/i]", "<i>%REPLACE%</i>")
sMessage = ReplaceTag(sMessage, "[u]", "[/u]", "<u>%REPLACE%</u>")
sMessage = ReplaceTag(sMessage, "[s]", "[/s]", "<s>%REPLACE%</s>")
-------------------------------------------------------------------------------

Remarquons juste que la ligne 'If bEncodeHTML Then sMessage = Server.HTMLEncode(sMessage)' nous 
empeche d'utiliser des <, >, etc...

La premiere façon de sauter le filtre fût donc celle-ci :
[img]javascript:alert('Trou de sécu.');[/img]
Ce qui a donc comme effet de faire apparaitre le message 'Trou de sécu.' à la lecture du message.

Le webmaster a alors trouvé comme moyen d'empecher cela de supprimer le mot 'javascript'.
Le script etait alors transformé en :
[img]:alert('Trou de sécu.');[/img]
ce qui ne donne evidemment rien.

Il suffisait alors d'inscrire ce script pour qu'il soit executé :
[img]javajavascriptscript:alert('Trou !');[/img]

On peut egalement executer du vbscript :
[img]vbscript:location.replace(escape(document.cookie))[/img]
Celui ci avait pour effet de rediriger vers le cookie...

Ces trous de sécurité ne se trouvaient que dans la version RC1.


Cross Site Scripting (xss)
~~~~~~~~~~~~~~~~~~~~~~~~~~
Voyons maintenant maintenant les trous de cross site scripting qui eux sont actifs sur RC1 et
RC2.
Rappelons que le cross site scripting (xss) est une categorie de trou de sécurité
qui permet d'executer du javascript, du code html, vbscript ou autres directement
sur un site, par exemple via une url.

La premiere se trouve dans le formulaire de recherche des downloads (downloads.asp). Si on 
recherche par exemple à 'fgjfhgj', on verra s'afficher sur la page :

Rechercher - Téléchargements (fgjfhgj)

Et l'url sera :
http://website.with.ASP-Nuke/downloads.asp?Do=search&name=fgjfhgj

L'url du xss sera donc :
http://website.with.ASP-Nuke/downloads.asp?Do=search&name=<script> ANYSCRIPT </script>


Le deuxieme trou xss se trouve dans l'option "Preview" d'ASP-Nuke. Elle permet donc de donner
un aperçut de ce que sera le message que l'on veut envoyer sur les forums.
L'url est http://www.site.com/Post.asp.

Si le message est "hop", on verra dans la source du preview :

<input name="message" type="hidden" value="hop">

On va donc utiliser un petit 'truc' qui va refermer la balise <input>puis ecrire un code.
Il faudra donc envoyer comme message :
"><script>unscript</script>
et il le script sera executé; la source sera :
<input name="message" type="hidden" value=""><script>LESCRIPT</script>">
et le "> final sera pris pour du texte.


Il reste enfin le xss qui permet de realiser un 'profil piégé'.
Pour acceder au profil d'une personne, il faudra se rendre à l'url
http://www.website.com/profile.asp?id=lepseudodelapersonne.

Dans ce profil, on a entre autre la possibilité de mettre l'url de son site.
a l'affichage du profil, on pourra voir dans la source :

<a href="http://www.sonsiteperso.com" target="_blank">http://www.sonsiteperso.com</a>

Il suffit donc de changer sur son profil l'adresse de son site web en par exemple :
"><script>alert('hop')</script>

Ce qui executera le script à chaque visite du profil.

La source sera alors :
<a href=""><script>alert('hop')</script> target="_blank">"><script>alert('hop')</script></a>
Ce qui est alors pris comme balises html est :
<a href=""><script>alert('hop')</script></a>
et comme texte (hyperliens) :
 target="_blank">"><script>alert('hop')</script>

Si ça ne marche pas, il se peut que la case "profil visible" ne soit pas cochée.


Les cookies : accès aux comptes et Path disclosure
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

Viennent maintenant differents problemes liés aux cookies.
Quand on se logge, des cookies sont envoyés au site, dont
role, email (contenant l'email de l'user),pseudo (contenant le pseudo de l'user),...

Voyons une partie du code de /includes/signup-inc.asp :

-----------------------------------------------------------------------------------
Sub DoSignup()
	If Request.Form("pseudo") <> "" Then
		If AddAccount(Request.Form("pseudo"), Request.Form("mdp"), Request.Form("email")) Then
			sInfoPage = LANG_ACCOUNT_CREATED
			Response.Cookies("pseudo") = Request.Form("pseudo")
			sPseudo = Request.Form("pseudo")
		Else
			sInfoPage = LANG_ACCOUNT_ERROR
		End If
	End If
End Sub
-----------------------------------------------------------------------------------

On voit ici que le pseudo de l'user est envoyé par cookies si le compte a bien été créé :
Response.Cookies("pseudo") = Request.Form("pseudo")

Voyons maintenant une partie du code de /includes/authentication-inc.asp : 

-----------------------------------------------------------------------------------
Function Authentication(ByRef sLogin, ByRef sMyPassword, ByVal bKeepalive)
	Dim oCn, oRs, rSQL
	Authentication = False // On donne une valeur par defaut à Authentication
		rSQL = "SELECT uLogin, uEmail, uPassword, uRole FROM users WHERE uLogin LIKE '" & SQLEncrypt(sLogin) & "'" 
	Set oCn = DBConnexion(DB_MAIN)
	Set oRs = DBRecordSet(oCn, rSQL) // on envois une requete sql avec les données entrées
	If Not oRs.EOF Then // si il n'y a pas d'erreur niveau sql...
		If oRs(2) = sMyPassword Then // si le password est le bon
			Authentication = True // Autentication vaut true
			Response.Cookies("pseudo") = oRs(0) // on envois le pseudo par cookie
			Response.Cookies("email") = oRs(1) // on envois l'email par cookie
			If IsNull(oRs(3)) Then
				Response.Cookies("role") = "0"
			Else
				Response.Cookies("role") = oRs(3)
			End If // on donne une valeur au cookie role
-----------------------------------------------------------------------------------

Stupeur !! ASP-Nuke authentifie les users/admins uniquement avec le cookie "pseudo" .
Il suffit donc d'envoyer un cookie avec comme nom "pseudo" et comme valeur le pseudo
d'un user sur la page http://www.website.com/forum/MyAccount.asp pour pouvoir rentrer dans 
son compte.
Si le pseudo envoyé est un pseudo admin, on aura les droits admin.


Voyons maintenant ce qui se passe si on envois un cookie "pseudo" contenant un pseudo n'existant
pas dans la base de donnée.

Tout d'abord, on pourra voir dans la liste des membres connectés :

Pseudo	      Date 
admin         07/04/2002 13:41:50 
TeSt          07/04/2002 14:15:21 
user          07/04/2002 14:17:06 

Si on essaye d'ecrire un message, l'option preview fonctionnera. Imaginons un cookie pseudo=TeSt,
on pourra voir dans preview : "Auteur : TeSt".

Si maintenant on essaye de poster ce message, on pourra voir s'afficher la faille Path Discolsure
disant :

-----------------------------------------------------------------------
Microsoft OLE DB Provider for ODBC Drivers error '80040e14' 

[Microsoft][Pilote ODBC Microsoft Access] Vous ne pouvez pas ajouter ou 
modifier un enregistrement car l'enregistrement associé est requis dans 
la table 'Users'. 

C:\WEBSITEPATH\FORUM\INCLUDES\../../includes/database-inc.asp, line 40 
-----------------------------------------------------------------------

Une autre faille Path Disclosure dans le même fichier mais n'ayant rien a voir avec les cookies :
http://www.website.com/forum/Post.asp?forum=1&section=1&post=1&myAction=post


Patch :
*******
Dernieres versions

Greetz :
********
Le créateur d'ASP-Nuke.

Credits :
*********
frog-m@n
(leseulfrog@hotmail.com)