Tales from the Machine Room


Home Page | Comments | Articles | Faq | Documents | Search | Archive | Tales from the Machine Room | Contribute | Login/Register

Secondo Round

Allora, ho gia' detto del sito web di $noiguardiamoivostriinteressi e di come lo avessi "hackato" in una mezza giornata. Dopo l'avvenimento DaBoss aveva passato una buona ora fregandosi le mani e ghignando come un satiro, poi aveva passato un'altra buona ora al telefono con l'SL in questione.

Io avevo preparato una bella mail con i miei suggerimenti per rendere il sito piu sicuro ed avevo considerato il discorso chiuso.

Poi stamattina mi arriva una bella maillina da un tizio, che risulta essere il sedicente "web-programmatore", il quale, sostanzialmente dice "il tuo lavoro ha fornito diversi spunti, nonostante cio non ho implementato tutti i tuoi suggerimenti perche' yada yada yada ma sono confidente che adesso i problemi sono risolti e non riuscirai piu a fare altri danni".

Hummm... ma e' una sfida o cosa? Domando a DaBoss.

DB - Ah si? E cosa ha fatto esattamente al sito?
IO - Non ne ho idea, spero che abbia aggiunto dei controlli seri all'input e rimosso quella chiavica di Javascript, ma qualche cosa mi fa pensare che non lo ha fatto. Comunque, cosa devo fare?
DB - (con ghigno satanico) Vai ed ammazza!

Cosi' ritorno a guardare quel coso. Ok, il tipo sembra aver aggiunto qualche controllo lato server, ma il Javascript e' ancora li'.

Va bene, e' il momento di mettersi il cappellino nero.

C'e' una funzione nel sito che consente di inserire un "profilo utente", a questo profile c'e' una fotografia annessa che puo' essere uploadata dall'utente.

Provo ad uploadare una foto e la foto finisce in http://noiguardiamoivostriinteressi/images/.

Ok, cosa succede se provo a fare l'upload di un file che non e' una immagine? Niente di eclatante: viene uploadato. E se io faccio l'upload di uno script in quella directory e lo richiamo via browser? Lo esegue!

Come pensavo. CL (il sedicente programmatore), continua a fidarsi di quello che l'utente inserisce e continua a fidarsi del suo schifoso Javascript per il controllo dei dati.

E' il momento di ricordarsi come si programma in ASP. Dopo aver smadonnato per un bel 3 ore ed essermi andato a rileggere i miei stessi articoli al riguardo, metto insieme un paio di scriptini che sono uploadati.

Dopo essermi scaricato il codice sorgente di tutto il sito (non si sa mai), ed il database degli utenti, cambio la password dell'utente "admin", mi stampo l'elenco degli utenti con le loro password (password in chiaro eh) e quindi creo uno script che mi consente di perlustrare in lungo ed in largo l'intero server.

Mentre sono li che penso che altro posso combinare arriva DaBoss.

DB - Allora, come andiamo con l'hacking?
IO - Che ti sembra questo?


Tables
MSysAccessObjects
MSysAccessXML
MSysACEs
MSysObjects
MSysQueries
MSysRelationships
tAccount
tArtikel
tArtikelType
tAutorisatieNiveau
tFacturen
tGefRechtsHulp
tGeslacht
tProfessional
tRol
tSectie

tAccount
nId
strLoginNaam
strWachtWoord
fkAutorisatieNiveau
strNaamOrganisatie
fkProfessional
strNaam
strTav
strFactuurAdres
strFactuurPostcode
strFactuurWoonplaats
strTelefoon
strFax
strEmail
strWebsite
bAccAlgemeneVW
bNieuwsBriefAbo
bActief
dtInschrijfDatum
mNotitie

admin AT admin.nl GuessWhat
jmgm.appel AT gmail.com test
info AT jurofoon.nl test
mark AT springvorm.nl klopklop
groetjes AT fromhollandwitlof.nl testen
vanwordragen AT arbeidsjuristennederland.nl wawawa4
DB - Quelli sono gli utenti?
IO - Sono gli utenti, con le loro password.
DB - (sempre fregandosi le mani) benebenebenebene... prepara la solita mail che adesso ci divertiamo... hehehehehe...

Vorrei sbagliarmi, ma mi sa che DB ha fatto una qualche scommessa con SL...

Davide
16/03/2009 08:00

Previous Next

Comments are added when and more important if I have the time to review them and after removing Spam, Crap, Phishing and the like. So don't hold your breath. And if your comment doesn't appear, is probably becuase it wasn't worth it.

42 messages this document does not accept new posts
anonymous*not* FirstPost! By anonymous - posted 16/03/2009 08:16
Fatti dare una percentuale sulla vincita

--
anonymous

Mauro PietrobelliPer DaBoss By Mauro Pietrobelli - posted 16/03/2009 08:37

Sarebbe il caso che ti passasse una percentuale sulla scommessa o almeno un'extra a fine mese.........
Ciao BigD e buona settimana

--
Mamo


maxxfiyada yada yada? By maxxfi - posted 16/03/2009 08:52

'mazza che web-programmatore :-\)

In breve qual'era la sostanza dello 'yada yada yada'?
"Non so come dirlo, ma non sono capace"
"Tsk tsk, il mio codice e' ormai supersicuro"
"Se implemento tutto ora, come vendo altri bugfix?"
"Devo tornare al corso serale per capire tutto quello che hai scritto"

P.S. sorry per il precedente commento vuoto, mi e' scappato un Enter

--
maxxfi


Davide Bianchi-AT- maxxfi By Davide Bianchi - posted 16/03/2009 08:55

> 'mazza che web-programmatore
> In breve qual'era la sostanza dello 'yada yada yada'?

Un mix dei 4

--
Davide Bianchi


Tommasosubject By Tommaso - posted 16/03/2009 09:02

Dicci la verità... ma il tipo lavora ancora come wl (web loser)?

--
Il saggio coltiva Linux...
Tanto Windows si pianta da solo.


Davide Bianchi-AT- Tommaso By Davide Bianchi - posted 16/03/2009 09:31

> Dicci la verità... ma il tipo lavora ancora come wl (web loser)?

Lo saprete nelle prossime eccitanti puntate...

--
Davide Bianchi


Davide Inglima-AT- Davide Bianchi By Davide Inglima - posted 16/03/2009 10:24

>> Dicci la verità... ma il tipo lavora ancora come wl (web loser)?

> Lo saprete nelle prossime eccitanti puntate...

So già come va a finire.

1) licenziano il tipo
2) fai tu il lavoro
3) installi una slackware sulla quale far girare il server
4) assumono un altro tipo per gestire app+slackware
5) ???
6) fra sette anni quando andrai a lavorare da un altra ditta troverai la stessa identica slackware installata :-\) :-\) :-\)

--
http://limacat.blogspot.com


Davide Bianchi-AT- Davide Inglima By Davide Bianchi - posted 16/03/2009 10:30

> >> Dicci la verità... ma il tipo lavora ancora come wl (web loser)?
> So già come va a finire.

...ne avessi imbroccata una...

--
Davide Bianchi


Davide Inglima-AT- Davide Bianchi By Davide Inglima - posted 16/03/2009 10:31

Appropò, continuo a leggere della tua honeypot al fondo della pagina: però non mi sembra che il dominio walterisookeensufferukker.nl sia attivo.

--
http://limacat.blogspot.com


Davide Bianchi-AT- Davide Inglima By Davide Bianchi - posted 16/03/2009 10:41

> Appropò, continuo a leggere della tua honeypot al fondo della pagina: però non mi sembra che il dominio walterisookeensufferukker.nl sia attivo.

Oh bella, allora la mail che mi arriva lo fa per magia? O magari sei tu che devi imparare le intricazioni di DIG? Prova con un bel -t mx e vedrai.

--
Davide Bianchi


Daniele C.-AT- Davide Inglima By Daniele C. - posted 16/03/2009 11:03

> So già come va a finire.

Mi sa di no, se gli idioti fossero sempre licenziati, noi avremmo più lavoro e meno casini, ma, si sa, gli SL e SUSL vari, tra il risparmio e la qualità, scelgono la prima, sempre e soltato la prima!!

Mi ricordo che mio padre mi ha detto che uno dei conslutanti nella ditta dove lavora, nel tempo libero, fa il WannaBe-WebDesigner, facendo siti interdet a 400 euri l'uno con (Squillo di trombe) FRONT PAGE!!! Non so perchè il mi babbo, che voleva citare una persona, a suo avviso, intraprendente e professionale, si è un po' alterato quando mi sono rotolato per terra dalle risate...

--
I can only please one person per day. Today is not your day. Tomorrow is not looking good either.
---
D.


argaar-AT- Davide Bianchi By argaar - posted 16/03/2009 11:36

> > >> Dicci la verità... ma il tipo lavora ancora come wl (web loser)?
> > So già come va a finire.
>
> ...ne avessi imbroccata una...
> --
> Davide Bianchi

si ma che tu sai già che succede e che sopratutto ci ricordi il fatto di saperlo non è per niente carino...comunque non sei l'unico che ha visto le password salvate in chiaro...se ti dico che in quel momento ero dentro un ministero poi...

--
argaar


Savoldi Claudio-AT- Davide Bianchi By Savoldi Claudio - posted 16/03/2009 12:12

> > >> Dicci la verità... ma il tipo lavora ancora come wl (web loser)?
> > So già come va a finire.
>
> ...ne avessi imbroccata una...
> --
> Davide Bianchi

Sapete come andrà a finire?
Che il buon D, dopo essersi accasato (a voi la scelta tra B o R) metterà su una sua $NetworkGestapo o verrà gentilmente "invitato" a far parte come socio dell'attuale società.
Il che mi farebbe immenso piacere.

Ciao D.

--
Savoldi Claudio


Gabriele Corrieri-AT- Davide Bianchi By Gabriele Corrieri - posted 17/03/2009 23:59

> > Appropò, continuo a leggere della tua honeypot al fondo della pagina: però non mi sembra che il dominio walterisookeensufferukker.nl sia attivo.
>
> Oh bella, allora la mail che mi arriva lo fa per magia? O magari sei tu che devi imparare le intricazioni di DIG? Prova con un bel -t mx e vedrai.
> --
> Davide Bianchi

a dire il vero basta un whois sul dominio ... che restituisce vita morte e miracoli del dominio ...

--
Gabriele


SimoneInsegnamento By Simone - posted 16/03/2009 10:16

Questa storia ci insegna molte cose che noi dobbiamo apprendere e tenerci strette. Queste perle di saggezza non vanno per niente ignorate ma preservate e custodite! La perla di oggi è: Mai dare il link del nostro sito web privato a D. o lui ce lo riempirà di link porno e ci sodomizzera i nostri utenti

--
- Simone


FDGsubject By FDG - posted 16/03/2009 10:29

> Vorrei sbagliarmi, ma mi sa che DB ha fatto una qualche scommessa con SL...

Ci dobbiamo aspettare un altro paio di braccia riportate all'agricoltura?

Purtroppo temo che troveranno comunque il modo per riciclarsi :-\(

--
FDG


FDGma... By FDG - posted 16/03/2009 10:30

p.s.: ma non è che ci passi l'indirizzo del sito?

:-) :-\) :-\)

;-)

--
FDG


skysysadmin BOFH vs (evil) programmer By sky - posted 16/03/2009 10:58

non c'è storia, dai... il povero CL(P) non sa nemmeno com'è fatto, il (suo) sistema... su su Dave, stai giocando (un pò-) sporco eh: rubare le caramelle ai bambini... sigh... che triste fine per un BOFH. -__-"
(ghghghgh... mi fai trooooppo morire XDDD)

Ah già... quasi dimenticavo: quand'è che pubblichi (qui o in cartaceo) un pò di "tecniche di hacking"? ;-\)
(ma forse te l'ho già chiesto ;-\))

--
sky


Davide Bianchi-AT- sky By Davide Bianchi - posted 16/03/2009 11:35

> Ah già... quasi dimenticavo: quand'è che pubblichi (qui o in cartaceo) un pò di "tecniche di hacking"?

Mai. Se ti interessa ti consiglio di leggerti "exploiting software" (http://www.amazon.co.uk/Exploiting-Software-How-Break-Code/dp/0201786958/ref=sr_1_1?ie=UTF8&s=books&qid=1237199723&sr=8-1)

--
Davide Bianchi


Eugenio Dorigatisubject By Eugenio Dorigati - posted 16/03/2009 11:45

Ma qusto è proprio furbo.

--
"Unix IS user friendly. It's just selective about who its friend are"


Daniele LupoYing nello Yang By Daniele Lupo - posted 16/03/2009 13:20

Io questa storia la guarderei dal un lato positivo, per la tua vittima.... Si sta facendo un sacco di esperienza per evitare gli stessi errori la prossima volta... Io terrei un po' di bug per me, giusto nel caso in cui voglia fare lo sborone anche per lavori successivi. Avesse risposto cortesemente no, ma se il tono della mail che hai ricevuto, come ho capito, era da 'sfida', allora insegnare un po' d'umiltà non fa mai male...

--
Daniele Lupo


Adriano-AT- Daniele Lupo By Adriano - posted 16/03/2009 20:00

> Io questa storia la guarderei dal un lato positivo, per la tua vittima.... Si sta facendo un sacco di esperienza per evitare gli stessi errori la prossima volta...

Farsi esperienza implica accettare gli errori, non dire 'grazie, ma questo non lo correggo perchè mi pare che [cazzola]'.

> Io terrei un po' di bug per me, giusto nel caso in cui voglia fare lo sborone anche per lavori successivi. Avesse risposto cortesemente no, ma se il tono della mail che hai ricevuto, come ho capito, era da 'sfida', allora insegnare un po' d'umiltà non fa mai male...

E questo non è per niente professionale. Più insegnamento di umiltà che scassargli il sito due volte (e può continuare ancora)...

--
--
Saludos
Adriano


Nik-AT- Daniele Lupo By Nik - posted 17/03/2009 09:52

> Io questa storia la guarderei dal un lato positivo, per la tua vittima.... Si sta facendo un sacco di esperienza per evitare gli stessi errori la prossima volta...
> --

seeeeeee, figurati.... da quel che pare di capire non sembra uno molto disposto ad imparare dagli errori, ammesso che li capisca (soprattutto poi quando glieli fa notare una terza persona)

--
certe volte reindirizzerei tutti a /dev/null


stecolnato be continued... By stecolna - posted 16/03/2009 14:00

davide, seguiranno altre puntate??? Spero di si, in quanto la cosa si sta facendo divertente!!
P.S. Ti ha pagato da bere DB???

--
stecolna


StefanoProblema con i feed rss By Stefano - posted 16/03/2009 14:57

Ciao Davide,
vedo i tuoi post vecchi segnalati come nuovi nel mio lettore di feed (liferea). Anche le date dei tuoi vecchi articoli mi sembrano nuove.
E' un problema solo mio?

Complimenti per allietare il mio lunedi mattina.

--
Stefano


anonymous-AT- Stefano By anonymous - posted 16/03/2009 15:12

> Ciao Davide,
> vedo i tuoi post vecchi segnalati come nuovi nel mio lettore di feed (liferea). Anche le date dei tuoi vecchi articoli mi sembrano nuove.
> E' un problema solo mio?
>
> Complimenti per allietare il mio lunedi mattina.
>
> --
> Stefano

Io con il lettore RSS integrato di Firefox non ho alcun problema...

--
anonymous


Paolo-AT- anonymous By Paolo - posted 20/03/2009 15:14

> > Ciao Davide,
> > vedo i tuoi post vecchi segnalati come nuovi nel mio lettore di feed (liferea). Anche le date dei tuoi vecchi articoli mi sembrano nuove.
> > E' un problema solo mio?
>
> Io con il lettore RSS integrato di Firefox non ho alcun problema...
Anche il lettore di feed di Maemo (~Nokia N800/N810) presenta lo stesso baco.

--
Paolo


EdenrozOcchio alle info By Edenroz - posted 16/03/2009 17:22

Davide occhio a quello che scrivi
se il loro merdaviglioso sito è xxxxxxxxxx.nl (preso dalle email della tabella che hai publicato) allora ci ho preso...

--
Edenroz

Davide Bianchi-AT- Edenroz By Davide Bianchi - posted 16/03/2009 17:34

> se il loro merdaviglioso sito è xxxxxxxxxx.nl

Non lo e'. No, guarda, se riesci ad individuare il loro sito dalle 4 cagate scritte li', TU sei meglio di Mitnick e James Bond messi insieme.

--
Davide Bianchi


FabioAllarme rosso By Fabio - posted 16/03/2009 20:18

Meno male che, giorni fa, ho tolto il link al mio sito dal profilo utente... :-\)

--
--
Fabio13


Eugenio Dorigati-AT- Fabio By Eugenio Dorigati - posted 17/03/2009 08:21

> Meno male che, giorni fa, ho tolto il link al mio sito dal profilo utente...
> Fabio13
Adesso lo puoi sistemare così non corri rischi a rimettere il link ^^

--
"Unix IS user friendly. It's just selective about who its friend are"


Alex ARNZProgrammazione... By Alex ARNZ - posted 17/03/2009 07:35

Chiunque fa errori durante la programmazione è normale, è impossibile pensare ad ogni singolo baco introducibile nel sistema. L'importante è che quando il baco viene trovato, ci si metta d'impegno e lo si risolve. Quando qualcuno (che evidentemente ne sa più di te) ti da suggerimenti, seguili e non pensare mai di essere meglio di lui.
Se non si segue questa regola, rimarrai sempre un (buon?) programmatore che scrive programmi bacati.

--
Alex ARNZ


Luca BG-AT- Alex ARNZ By Luca BG - posted 18/03/2009 09:44

> Chiunque fa errori durante la programmazione è normale

Sì, quello è normale. Ma se ad essere sbagliato è proprio il concetto base sul quale è stato sviluppato il programma (come pare proprio essere il caso qui), allora ce l'hai in un piede. Un programma strutturalmente valido con qualche bug si corregge; un programma sbagliato a monte hai voglia a rattopparlo...

--
Luca BG


skorpion-AT- Luca BG By skorpion - posted 19/03/2009 16:16

> > Chiunque fa errori durante la programmazione é normale
>
> Sé, quello é normale.


scusami, ma normale dove? non c'é niente di normale a non far il controllo sui tipi di file uplodati. O a fare il controllo dei dati inseriti in js invece che in php/asp. Vabbe mi pare di capire che e' gia' tanto che ci sia questo controllo in js visto il qi nemmeno da cl ma proprio da scimmia ammaestrata (male).

-AT- DB
Ma la psw universale ' or '1'='1 funziona?

--
skorpion


Luca BG-AT- skorpion By Luca BG - posted 20/03/2009 10:50

> scusami, ma normale dove?

Forse c'è un qui pro quo. Non intendevo dire che gli "errori" di questo sedicente Web-Programmatore sono normali, intendevo semplicemente dire che è normale che, nel programmare, qualche errore ti scappi. Se rileggi con attenzione il mio intervento precedente, ti accorgerai che quello che dicevo io non è diverso da quanto asserisci tu: ovvero, che questo accrocchio che passa per sito è sbagliato proprio nella concezione.

--
Luca BG


anonymousModestia By anonymous - posted 17/03/2009 09:45

>Dopo aver smadonnato per un bel 3 ore ed essermi andato a rileggere i miei stessi articoli al riguardo, (...)

Beh, che sei un Dio é vero, peré a "ingrossarti" cosé esageri! =;-P

--
anonymous


EnricoCha ha ha... By EnricoC - posted 17/03/2009 17:59

Adoro le sfide... l'altro ieri un tizio mi dice che è impossibile quello che sono riuscito a scoprire e mi da un milione di euro se gli dimostro il contrario...

...stavo preparando un contrattino a riguardo!

--
EnricoC


Simonemmm. By Simone - posted 20/03/2009 09:15

allora perchè non crackiamo tutte insieme www.soft-land.org ? io vado di layer 1.... dove ho messo la mazzetta da 5 kili?

--
- Simone


Davide Bianchi-AT- Simone By Davide Bianchi - posted 20/03/2009 09:31

> allora perchè non crackiamo tutte insieme www.soft-land.org?

Basta che mi segnali le cose cosi' le correggo.

--
Davide Bianchi


Simone-AT- Davide Bianchi By Simone - posted 20/03/2009 09:35

> > allora perchè non crackiamo tutte insieme www.soft-land.org?
>
> Basta che mi segnali le cose cosi' le correggo.
>
> --
> Davide Bianchi

sinceramente :-\) non ne sono capace, per questo vado di layer 1 . al massimo posso dirti "rifai la porta d'ingresso che ieri ho provato a crackarti il sito"

--
- Simone


Davide Bianchi-AT- Simone By Davide Bianchi - posted 20/03/2009 09:43

> sinceramente non ne sono capace, per questo vado di layer 1 . al massimo posso dirti "rifai la porta d'ingresso che ieri ho provato a crackarti il sito"

Ecco perche' il server l'ho in co-lo. Almeno la' c'e' la guardia armata...

--
Davide Bianchi


Simone-AT- Davide Bianchi By Simone - posted 20/03/2009 10:07

> > sinceramente non ne sono capace, per questo vado di layer 1 . al massimo posso dirti "rifai la porta d'ingresso che ieri ho provato a crackarti il sito"
>
> Ecco perche' il server l'ho in co-lo. Almeno la' c'e' la guardia armata...
> --
> Davide Bianchi

allora qui cade la mia teoria di "il layer 1 è sempre la giusta soluzione"

--
- Simone


42 messages this document does not accept new posts

Previous Next


This site is made by me with blood, sweat and gunpowder, if you want to republish or redistribute any part of it, please drop me (or the author of the article if is not me) a mail.


This site was composed with VIM, now is composed with VIM and the (in)famous CMS FdT.

This site isn't optimized for vision with any specific browser, nor it requires special fonts or resolution.
You're free to see it as you wish.

Web Interoperability Pleadge Support This Project
Powered By Gojira