http://www.lexpress.fr/actualite/high-tech/le-fisc-condamne-a-verser-24-millions-a-microsoft-france_1097670.html

http://www.scoop.it/t/fukushima-informations/p/1520150783/un-groupe-de-hackers-prend-le-controle-de-la-centrale-de-civaux-86

Paulo Pinto (CrashFR) durant la Nuit du Hack 2008

« C’est l’histoire d’un mec » .- Coluche

La nouvelle tombée ce week-end est longtemps restée privée par égard pour la famille. Ce soir, la communauté HZV annonce l’information sur son site internet. Un sacré bonhomme s’en est allé, vendredi soir, après un dramatique accident de deux roues.

Durant les trente-et-une années de sa vie, Paulo a créé et contribué à la création de nombreuses entités liées au Hacking. Il participa à la création de la communauté HackerzVoice via un magazine éponyme. Avant d’être contraint de défendre ses idées, devant la justice, puis de changer le nom de HackerzVoice pour The Hackademy. Fier du travail accompli et fort de sa volonté de faire émerger le mouvement du Hacking, Paulo avait participé à la création de nombreuses Hackademy School, des associations locales arborant le drapeau de The Hackademy et agissant au niveau de leur région respective.

ACISSI est née en 2004 de cette volonté, avec le soutien indéfectible de Paulo depuis toutes ces années. Les schoolz ont fait entrer en résonance son idée. Il lui fallut un événement pour nous rassembler tous annuellement, il organisera avec HZV la Nuit du Hack et en 2011 Hack In Paris.

Toujours avec son opiniâtreté, Paulo ira défendre son bébé sur tous les fronts quand la société d’édition qui possédait la marque The Hackademy fit faillite et que le nom (marque, nom de domaine, logo…) du groupement allait être vendu. CrashFr avait encore une fois sauvegardé sa communauté, et lui rendit son image originale : The Hackademy revenait aux sources et redevenait HZV, The HackerzVoice.

Depuis ce temps, les Hackademy School avaient continué leur chemin, de manière autonome. Ainsi, ACISSI continua son chemin, sans jamais perdre contact avec Paulo qui avait lancé depuis la société Sysdream. La société emploie aujourd’hui des experts issus du véritable monde du Hacking. Sysdream défend comme trop peu d’entreprises l’idée d’une véritable sécurité offensive, tout droit issue de l’Ethical Hacking. Et régulièrement, Paulo faisait la promotion d’un monde ouvert, où les hackers discutent avec les décideurs, où le mot Hacking n’a pas une consonnance péjorative mais au contraire la connotation d’un monde d’innovation et de synergies.

Paulo, c’était ce type qui savait bosser 20h puis vous témoigner toute son amitié autour d’un verre et d’une cigarette partagés : il était resté joignable, accessible, et simple à l’extrême. C’était un homme doué, doté d’une force de courage à laquelle seule son intelligence pouvait faire de l’ombre. Il laisse derrière lui sa conjointe, sa famille, son associé et ses employés ainsi que des centaines d’amis qui pleurent son tragique départ et dont certains ont souhaité anonymement s’associer à ce court témoignage.

Toutes nos condoléances vont à son amie, à sa famille, à son associé Olivier et à toutes celles et ceux qui l’ont appellé Polo, Paulo, Paolo ou CrashFr, mais qui ont tous connu l’être généreux et attachant qu’il était.

Cliquez sur cette bannière pour laisser un message à la famille de CrashFR

Après avoir fait le tri dans l’ensemble des trames, deux appels ressortaient :

• GET /index.php/api/users
• POST « token=Z2lubnk6Nzg0NTFiMjAxMDQ0ZTZlMzUxNTg1NWFjMGZlZjZhNGY= » /index.php/api/validate

Les résultats de ces appels étaient visibles dans les trames. Dans le premier cas la liste des utilisateurs était affichée, dans le second cas l’appel nous retourner « You must be admin… » :

Remarque : les appels dans mes screenshots sont effectués en local. Lors du Hacknowledge les appels étaient évidemment fait sur l’IP donnée dans le dump Wireshark

L’idée était de voir que le token était encodé en base64. Celui-ci étant réversible, le token Z2lubnk6Nzg0NTFiMjAxMDQ0ZTZlMzUxNTg1NWFjMGZlZjZhNGY= devenait ginny:78451b201044e6e3515855ac0fef6a4f

On remarque facilement qu’il s’agit du nom d’utilisateur suivi du mot de passe encodé en md5 (32 caractères), le couple étant séparé par deux points.

Il ne servait à rien de déchiffrer le mot de passe, l’objectif était juste de savoir comment le token était construit. Partant de ce principe il fallait utiliser le token d’un utilisateur ayant le flag admin à true. Malheureusement aucun utilisateur n’avait ce flag. Il fallait donc en créer un.

Les web services admettent communément 4 verbes : GET, POST, PUT et DELETE. Dans notre cas le verbe PUT servait à créer un utilisateur. Par exemple l’utilisateur toto avec le mot de passe toto, l’appel était :

L’utilisateur toto est désormais capable de valider le challenge. Il ne reste plus qu’à construire son token. En md5, toto donne f71dbe52628a3f83a77ab494817525c6.

On convertit toto:f71dbe52628a3f83a77ab494817525c6 en base64 et on obtient : dG90bzpmNzFkYmU1MjYyOGEzZjgzYTc3YWI0OTQ4MTc1MjVjNg==

On peut maintenant appeler la validation de l’épreuve avec ce token :

Le code source de l’épreuve et la base de données sont disponibles ici.

La première étape consistait donc à se logger sur l’interface en bypassant le formulaire de login. Il y avait deux points d’entrée : le système de login et l’affichage des news par catégorie. L’astuce consistait à lire les mentions légales et à constater que le site était réalisé avec le framework CodeIgniter et le système de stockage MongoDB. Ce dernier étant du NoSQL, les injections SQL étaient donc inefficaces.

En revanche MongoDB est vulnérable à l’injection d’objet. Il fallait donc utiliser cette faille pour bypasser le système de login :

La deuxième étape consistait maintenant à afficher la page Admin. Il fallait pour cela avoir le flag admin à 1 :

Plusieurs points d’entrée étaient possible :

• L’ajout et la suppression des articles
• L’ajout et la suppression des catégories
• La modification des informations du compte

La seconde vulnérabilité se trouvaient dans la modification du compte. A l’inverse des bases de données relationnelles, le système de stockage MongoDB autorise l’ajout de nouvelles colonnes à la volée. C’est à dire que le squelette d’une table n’est pas fixé pour chaque enregistrement : dans une même collection une entrée peut contenir 5 colonnes alors qu’une autre peut en contenir 10 !

Partant de ce principe le flag Admin pouvait être rajouté dans la modification du compte :

La page admin contenant le pass de validation était désormais disponible :

Le code source du site web et le dump MongoDB peuvent être téléchargés ici.

Le Salon Informatique de Maubeuge, devenu en 2009 les RSSIL, accueille depuis 6 ans des particuliers et des professionnels du milieu de la sécurité informatique et de l’informatique libre.

En 2010, nous avons accueilli :

• 1500 visiteurs
• 40 exposants
• 200 concurrents pour les challenges

D’année en année, le salon ne cesse d’accroître sa popularité, de repousser ses limites, d’apporter de nouvelles choses : des visiteurs informés, des exposants satisfaits, des challengers épuisés et une organisation éprouvée !

À l’écoute de ses visiteurs et participants, les RSSIL mettront l’accent en 2011 sur l’aspect sécurité et technique, avec au programme :

• le challenge d’Ethical Hacking, Hacknowledge
• des ateliers pratiques qui se tiendront durant les deux journées
• des conférences tenues par des spécialistes
• le déroulement de l’événement IAWACS 2011 en parallèle, pour la première fois à Maubeuge !
• sans oublier les logiciels libres, et le trophée Syntec des IUT informatique de France

Le logiciel libre, la sécurité, les challengers, les visiteurs, les exposants et les conférenciers de haut vol… tous les ingrédients d’un rendez-vous à ne surtout pas manquer !

Il reposera sur des sessions de formations ainsi que des conférences et se clôturera par La Nuit Du Hack événement grand public que proposait déjà Sysdream son organisateur.

Lien de l’évènement : http://www.hackinparis.com/