Salut tout le monde !
 
Juste un petit souci (rien de bien grave à vrai dire, la personne qui a fait ça à été bien gentille et n'a rien fait de mal (vu de toute façon qu'il n'y a rien de spécial sur le site ) ) sur http://photohainaut.no-ip.info, il suffit de voir la première news et vous allez comprendre ...
 
dans le log du site, aucune erreur de login, comme si la personne s'était connectée directement , ce qui me fait dire que :
 
  - La personne qui a fait ça connaissait le mot de passe
  - le script de logging est buggé a mourrir  
 
si quel'qu'un sait y jetter un oeuil
 
merci

Ou alors il a trouvé le mot de passe par une attaque dictionnaire. Si t'es comme 98% des gens qui mettent leur date de naissance ou le prénom de leur chérie, alors c'est pas étonnant.
 
Un mot de passe administrateur doit être composé d'au moins, on va dire, 8 caractères, caractères qui doivent être une combinaison de lettres et de chiffres aléatoires. Sinon c'est trop facile de trouver

Bon la base, tu controlles bien login et pass par un mysql_real_escape_string ?

non le mot de passe n'était pas un truc de ce genre ...
de plus si il avait testé plusieurs mot de passe je l'aurai vu dans les logs, mais là, rien ... c'est pour ça que je préfère quelques avis

Et tu connais ce soi-disant "Steph" ?

et quoi tu as mis admin / admin ?  
 
Tu sais ce qu'on dit! Un mot de passe devrait toujours etre composé de minimum 8 caractères donc au moins 1 majuscule, 1 minuscule, un chiffre, et un caractère spécial genre *, $, ...
 
Sinon il ne reste pas un autre compte bidon qui traine?

je connais(sait) un steph, possible que ça soit lui, mais j'ai un doute quand même ...
 
sinon pour le mysql_real_escape_string , le script est assez vieux, et non, je l'utilise pas dedans, je crois que je vais pouvoir m'amuser a faire quelques updates alors

 
non qd mm pas

Pas d'inquiètudes, doit y avoir magic_quotes_gpc d'actif, parce qu'une SQL Injection ne marche pas là

de plus ça à été fait avec mon compte, puisque la news est écrite à mon nom ...

Elle s'appelle comment ta meuf, pour voir

non ct pas ça non plus

Bon bah, si y'a effectivement rien dans les logs, alors c'est que le gars le savait... Ou alors il te connait suffisamment bien pour pouvoir le deviner

ben oui tout me porte à croire à ca ... alors le steph qui a écrit la news je vois très bien c'est qui ... déjà que l'ambiance n'était pas bonne entre nous (ancien collègue ....) mais là je crois que ça va encore être pire

en tout cas merci pour vos réponses
si quelqu'un se sent d'humeur pour continuer à essayer de se logger, pas de prob pour moi, mais si vous y arrivez dites moi comment vous avez fait svp

Ouais ça peut être marrant J'ai pas encore réussi à trouver

tu t'es pas loggué chez un de tes potes ?
 
moi j'avais un pote qui s'était loggué sur ma machine, je lui collé la CLUF de Windows dans sa signature

Bon bah ça à l'air blindé... Essayé des SQL Injections via le formulaire et via cookies (après avoir trouvé la page mod_admin.php?action_admin=start )

J'ai pas trouvé mais ça s'pas terrible
http://photohainaut.no-ip.info/mod_login.php
 
Du cou on peut faire des
http://photohainaut.no-ip.info/mod [...] n=POUEEEET

ouais, trouvé aussi, mais pas possible d'inclure des trucs louches... Tout est préfixé

en même temps je me demande ce qu'il se passe si tu trouves le "bon action" ( celui qui dit "je suis loggué" )

Hmmmm, le site n'envoi pas l'encoding : ni par header, ni par meta. Y'a moyen d'injecter des scripts en UTF-7, et d'obtenir le mot de passe + compte de quelqu'un de loggué... A essayer

je vois que ca y va sec  
 
bon ben je vois qui a fait le coup alors

 
tu peux développer stp ?

Normalement le serveur doit envoyer un entête pour indiquer le type mime et l'encodage :

Si y'a pas la partie charset, alors il regarde s'il y a une déclaration xml ou une balise meta (dans le cas de l'html) :

Ou

 
Et si y'a rien de tout ça, il auto-détecte. Alors pour IE par exemple, il regarde dans les 4096 premiers caractères s'il y a pas des trucs spéciaux, genre un BOM ou alors certaines séquences qu'on ne trouve que dans un encoding en particulier.
 
Donc par exemple s'il détecte des caractères en UTF-7, il va basculer en UTF-7.
 
Jusqu'ici rien de bien compliqué... Sauf qu'en PHP, les fonctions de base pour escaper de l'HTML ne gèrent pas l'UTF-7. Donc si par exemple dans ton forum on envoi comme titre de topic :

Et qu'on l'encode en UTF-7, PHP ne va rien voir... Juste des caractères bizarres à la place de < et >. Et cela même si on spécifie par exemple à la fonction htmlspecialchars qu'on veut de l'UTF-7, il va échouer en disant que cet encoding n'est pas supporté.
 
Donc IE va voir ces caractères bizarres, va basculer en UTF-7, et hop, va exécuter le script... Et comme y'a de charmantes infos dans document.cookie, on peut facilement les envoyer sur un autre site -> Cross Site Scripting (XSS).
 
DONC : toujours préciser quelque part l'encoding de la page, et surtout ne jamais reposer sur l'auto-détection offerte par le navigateur...

ok, pigé, je vais regarder pour modifier ça

Salut mostyk.
Je viens de regarder ton site vite fait, et je t'annonce qu'on peut executer du code via l'url de ton site ( Unix Code Execution ).
Je ne mettrai pas d'exemple ici, pour t'eviter tout tracas ( surtout que c'est heberger sur une de tes machines .. on a facilement acces à tout tes fichiers.
Ajoute Kaitoyo@gmail.com et je te donnerai un exemple

Au passage, y a des XSS aussi ...

Après lui avoir dit comment réparer son site, ce serait bien d'expliquer le principe, ça peut être utile à tout le monde.

J'expliquerai le principe, mais pas la méthode ... et bien entendu apres qu'il ai corriger ses problemes.
 
J'ai recensé :  
- 6 Possibilité d'execution de code Unix
- 4 XSS

P'tain, faut que j'aille fouiller à nouveau ce soir J'ai déjà choppé une XSS, reste à trouver les autres

C'est quoi une XSS ?

Réponse

Cross Site Scripting : http://fr.wikipedia.org/wiki/XSS

P'tain, à 7 secondes

Oué mais encore a la limite, la XSS est pas super grave. Je veux plus le voir pour la Unix code execution ... J'ai tester vite fait d'avoir un acces a /etc/passwd et ...

 
Okey merci, en fait je connaissais mais je ne savais pas qu'on appelait ça comme ça.

+1 pour en savoir plus, je connais pas

Je viens de vous voir bande de petits malins à essayer de pirater mon site.