Privilege escalation

Powie · 06. Januar 2007, 11:57:56

Aha... noch ein alter Freund aufgetaucht der gern Inkognito bleiben wollte.
-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA512
Hallo Thomas,
anbei findest Du den Bugreport für eine Funktion des PForum. Ich werde den Bug in einer Woche bei Bugtraq und in deinem Forum posten.
Gruß,
Christoph aka Statler
+--------------------------------------------------------+-------------+
| Powies PHP Forum - Privilege escalation | |
| © Christoph Jeschke, 2007-01-05 | !!!! |
+--------------------------------------------------------+ !!!! |
| Dork: | !!!! |
| Powies PHP Forum >= 1.28 | !!!! |
| | !!!! |
| Vendor: | !!!! |
| Thomas \'Powie\' Ehrhardt, | |
| | 0000 |
| | 0000 |
| Versions affected: | |
| >= 1.28 | |
| | |
| Vulnerability: | |
| Privilege escalation | |
| | |
| Criticality: | |
| Less Critical | |
| | |
| Where: | |
| From remote | |
+--------------------------------------------------------+-------------+
| Download: |
| (Redirects to download section at powie.de) |
| |
| |
| MD5: |
| 72d54812169bc88114450f4117c62faf pforum_1.30.zip |
+----------------------------------------------------------------------+
| Description: |
| If a user logs themselve in and sets the \"Login speichern\" (Remember |
| Login) checkbox, a 32-byte string with random data is stored in |
| database, session and cookie. As long as the user doesn\'t log out, |
| this 32-byte string of random data is sufficent to takeover any |
| users account, including the admin account, only by sending a |
| stolen string to the server via cookie. So the string is saved in |
| a cookie, this data can be stolen via XSS or XST. |
| |
| How to: |
| 1. Steal the cookie, set by the forum, from a loged in user |
| 2. Send a cookie to the server: |
| name: loginkey |
| value: |
| 3. Visit the forum. |
| 4. You haven taken over the victims account. |
| |
| notate bene: |
| A similar vulnerability was discovered in 2004. The vendor replaced |
| the old modus operandi, which contains saving username and password |
| plain text in a cookie, with the modus operandi described above. |
| |
| In the past, two XSS vulernabilites, relating the Powies PHP Forum, |
| came to public. |
+----------------------------------------------------------------------+
| Solution suggestion: |
| Disable remember login function with the loginkey.patch.gz you can |
| get on |
| 739ab0bce114c660dd50e8f9e7315d94 *loginkey.patch.gz |
| |
| Vendor status: |
| ... |
| |
| Vendor solution: |
| ... |
| |
+-------------------------------------------------------------- EOT ---+
- --
\"The sky above the port was the color of
television, tuned to a dead channel.\" o
-- William Gibson, Neuromancer, o -- A Geek\'s View
Chiba City Blues ooo
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.4.6 (MingW32)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=VdyF
-----END PGP SIGNATURE-----

06. Januar 2007, 12:57:12

was wirst Du tun?

mahe · 06. Januar 2007, 14:15:45

Ja ne ...
Das Problem gibts dann wohl überall wo man sein Login speichern kann, egal was da in dem Cookie abgelegt wird ...

Powie · 06. Januar 2007, 18:21:18

nach der ersten Überlegung: Garnichts...... denn wenn man es schafft das Cookie zu klauen ist es reichlich egal was da drin steht.... Dann kann man auch ein Cookie von jemanden seinem Online Banking klauen etc...
Christoph Jeschke war früher einmal unter einem anderen Account hier online. Jetzt nutzt den den Nick statler. Er war auch früher mir bereits darin bekannt lediglich nur Kritiken zu verbreiten aber nichts zu Poblemlösungen oder Weiterentwicklungen beizutragen.
Das Posten von \"vermeintlichen Bugreports\" auf Bugtraq nutzen halt mittlerweile viele Leute um sich selbst zu profilieren. Das Beispiel hier zeigt ja mit welchen Mitteln. Somit könnt man eigentlich für \"alle\" Dinge die Logins per Cookie speichern diesen Bugreport posten.... .Offensichtlich scheint ja der Cookie Klau so einfach zu sein :gaga:

06. Januar 2007, 18:23:44

Ok, danke für die Info. Mit welchem Nick war er denn früher unterwegs?

Powie · 06. Januar 2007, 18:38:33

Original von IndoorJo Ok, danke für die Info. Mit welchem Nick war er denn früher unterwegs?
[/quote]
Ponder

06. Januar 2007, 22:38:23

Das war einer davon...

07. Januar 2007, 08:47:44

Jepp, ich erinnere mich schwach, da war was... danke für den Hinweis.

07. Januar 2007, 10:16:51

Ponder Stibbons findet man beim Suchen nach Username noch hier im Forum. Alles aus 2004 und davor...

... · 07. Januar 2007, 12:16:40

Hm...ich weiß nicht, was ihr habt. Die Beiträge waren immer auf höchstem wissenschaftlichen Niveau, zwar ist/war er ein bisschen arrogant, aber man kann ja nicht sagen, dass er lügt oder div.
Wo liegt jetzt das konkrete Problem, dass er Bugs findet, diese meldet/publiziert und nicht hilft, diese auszumerzen (was er bei seinem Können sicherlich könnte) oder wo? Kann nicht so folgen...oder sind die Bugs einfach zu abstrus?

Powie · 07. Januar 2007, 12:32:00

Ich habe nichts dagegen das jemand Sachen sucht, findet und hier diese hilft zu beheben. Ist eine gute Sache. Ich finde aber es ist eine Frage der \"Art und Weise\".
Darüber kann sich jeder sein eigenes Bild machen......

powie.de Tech Forum

Neuigkeiten:

Privilege escalation

Powie

mahe

Powie

Powie

...

Powie