XMB Magic Lantern & DevBB
					*************************

Date :
******
11/05/02

Produit 1 :
***********
XMB Magic Lantern forum
http://www.xmbforum.com
http://www.aventure-media.co.uk

Version :
*********
1.6b Final

Problèmes :
***********
- Récupérations de fichiers logs
- XSS
- Path Disclosure
- Récupération des comptes users/admins
- Contournement de log

Developpement :
***************
Deux fichiers .log nous permettent de récuperer quelques informations sur les visiteurs
et les admins du site.
Les fichiers sont index_log.log et cplogfile.log.
cplogfile.log est utilisé pour logger les activités admins. A l'interieur se trouve :
USER|#||#|IP|#||#|DATE|#||#|URL

index_log.log est utilisé pour loggé les activités des users et contient dans l'ordre :
REMOTE_ADDR,HTTP_CLIENT_IP,host,HTTP_USER_AGENT,HTTP_REFERER,HTTP_COOKIE,date

Les opérations pour écrire dans ce fichier se trouvent dans index_add.php, fichier
inclut dans index.php.
Voici sa source complète :
----------------------------------------------------------------
<?
if (empty($analized)){
$agt=$HTTP_USER_AGENT;
$ip= $REMOTE_ADDR;
$host=gethostbyaddr($REMOTE_ADDR);
$ref=$HTTP_REFERER;
$cip=$HTTP_CLIENT_IP;
$cookie=$HTTP_COOKIE;
$time= date("d/m/Y H:i:s");
$from=$DOCUMENT_ROOT;
$fp=fopen("index_log.log", "r");
$raw=fgets($fp, filesize("index_log.log"));
fclose($fp);
$new=explode("|", $raw);
$nb=count($new);
$new[$nb]="<tr bordercolor=\"#FFFFFF\"><td>$ip<br>$cip</td><td>$host</td><td>$agt<br><b>$ref      $cookie</b></td><td>$time</td></tr> ";
$raw=implode("|", $new);
$fp1=fopen("index_log.log", "w+");
fwrite($fp1, $raw);
fclose($fp1);
setcookie("Analized", "XMB Index Log" ,time()+900);
};
?>
----------------------------------------------------------------

Comme il est dit dans /Documents/Notes For IIS.txt, le fichier add_index.php ne se trouve 
pas dans les sites sous IIS, et donc index_log.log est vide.

Dans ce fichier se trouve une autre faille. Si on ne veut pas être loggé en visitant un forum
XMB, il faudra taper l'url http://www.site.com/forumpath/index.php?analized=huhu.

On peut parfois aussi avoir un path disclosure...
Si index_log.log n'est pas en chmod 777, on pourra voir sur le fichier add_index.php une 
erreur du style :
--------------------------------------------------------------------------------------
Warning: fopen("index_log.log", "w+") - Permission denied in 
/home/username/public_html/forums/index_add.php on line 29 

Warning: Supplied argument is not a valid File-Handle resource in 
/home/username/public_html/forums/index_add.php on line 30 

Warning: Supplied argument is not a valid File-Handle resource in 
/home/username/public_html/forums/index_add.php on line 31 

Warning: Cannot add header information - headers already sent by (output started at 
/home/username/public_html/forums/index_add.php :29) in 
/home/username/public_html/forums/index_add.php on line 32 
--------------------------------------------------------------------------------------


Voyons maintenant l'authentification. Elle se fait par cookie; on peut par exemple
voir dans member.php :
-------------------------------------------------------------------------
[...]
$password = md5($password);
[...]
setcookie("xmbuser", $username, $currtime, $cookiepath, $cookiedomain);
setcookie("xmbpw", $password, $currtime, $cookiepath, $cookiedomain);
[...]
-------------------------------------------------------------------------

Des failles cross site scripting seront donc fort interessantes.
Il y en a plusieurs non-permanentes, comme par exemple :
member.php?action=viewpro&member=<form%20name=o><input%20name=u%20value=XSS></form><script>alert(document.o.u.value)</script>

Mais le plus interessant est le permanent.
Le premier se trouve dans le profil. Dans toutes les cases à remplir, si on entre un <,
il sera affiché &lt;, donc un '<script>' ne sera pas executé.
Mais le filtre n'a pas été placé pour la case MSN, on peut donc y inscrire un script
qui sera executé par ceux qui visiteront le profil piégé.

Un autre se trouve dans les messages posté dans les forums.
On peut utiliser la balise [img] pour inclure un script.
Par exemple [img]javascript:alert('hop'+document.cookie)[/img] sera executé dans la source car 
inscrit comme ceci :
<img src="javascript:alert('hop'+document.cookie)" border=0>.
Ou encore la balise plus discrete [img]" onerror="alert('hum')" width="0[/img]
qui donnera dans la source
<img src="" onerror="alert('hum')" width="0" border=0>
Comme l'image est vide, elle n'existe pas, il y a donc un erreur et le script sera executé.

Le dernier XSS permament se trouve à l'inscription, à l'url member.php?action=reg .
On ne peut pas utiliser de caractère < ou > dans son pseudo. Mais bien des %.
Si on s'inscrit avec par exemple le pseudo %3Cscript%3E, il suffira d'ajouter la personne
qui doit executer le script dans ses amis pour qu'elle l'execute.
Attention ! Si on utilise un url pour s'inscrire, il faudra remplacer les % par %25,
ce qui donnera une url du style member.php?action=reg&username=%253Cscript%253E&... .

Produit 2 :
***********
DevBB 
http://www.mybboard.com

Versions :
**********
1.0 Final

Problèmes :
***********
- Récuperation de fichier log.
- XSS
- Récupération des comptes users/admins
- Vidage de la DB

Developpement :
***************
DevBB est exactement le même code que XMB ML forum, à quelques petites differences pret. 
Je ne sais pas qui à copié le code de l'autre et ça ne me concerne pas :)

Dans DevBB, index_log.log et index_add.php n'existent pas.
Le seul fichier .log est /admin/cplogfile.log .

Une autre difference avec Magic Lantern, c'est qu'il y a un fichier d'installation : install.php.
Le problème est que ce fichier n'est pas supprimé après installation et
ne vérifie pas si l'installation a déjà été faite.
On peut donc tout remettre à zero, et le premier membre inscris est administrateur.

Les trous de XSS sont les même que dans M.L., et les conséquences (récuperation du compte
par les cookies) aussi.


Greetz :
********
Acide-C4

Credits :
*********
frog-m@n
leseulfrog@hotmail.com