12:10
2/4/2012

Część z Was (ta z włączonym JavaScriptem) zapewne zauważyła, że wczoraj każdy mógł zostać adminem Niebezpiecznika. Mogliście publikować na naszych łamach posty o dowolnej treści — problem w tym, że nikt oprócz Was nie miał szans ich zobaczyć… ;)

Koncepcja

W górnej belce z menu umieściliśmy następujący link: ”> WITAJ ADMIN | DODAJ NOWY NEWS!”. Miało to wyglądać, jak przypadkowy błąd programistyczny (złe domknięcie tagu), który spowodował “ujawnienie” panelu administracyjnego.

Niebezpiecznik - Prima Aprilis 2012

"Wiataj Admin!"

Jak można się było zorientować, że coś jest nie tak?

Po pierwsze, panel zarządzania w WordPressie wygląda odrobinę inaczej niż to, co można było zobaczyć po kliknięciu w linka:

Niebezpiecznik - Prima Aprilis 2012

Prima Aprilisowe dodawanie newsa

Po drugie, kiedy złożycie po kolei wszystkie litery wypisane “kursywą”, wyjdzie tajny przekaz. Po trzecie, kiedy złamiecie podany w instrukcji dodawania posta hash do “FTP”, wyjdzie tajny przekaz. I wreszcie po czwarte – kiedy rzucicie okiem na to jak osadzany jest ten link do “panelu” w źródle, zauważycie, że jest on ładowany dynamicznie dzięki funkcji z pliku https://niebezpiecznik.pl/AF.js …która zapisuje treść dodanego przez Was newsa nie do naszej bazy danych, a do ciastka na waszym komputerze. Następnie ciasto to jest odczytywane i news pokazywany wyłącznie autorowi.

Niebezpiecznik - Prima Aprilis 2012

Prima Aprilisowy news jest widoczny ...ale tylko dla chakiera :)

Po piąte, data publikacji wpisu i tagi też zdradzają o co chodzi…

Statystyka

Ile osób dało się złapać?

    Do panelu weszło ok. 2500 osób, a hasło do FTP chciało pobrać 835 osób.
    Tylko 467 osób zapragnęło zrobić deface’a Niebezpiecznika i spróbowało sklecić własnego newsa.
    27 z nich próbowało dodać “złośliwą” treść (ataki XSS, SQLi)
    8 wpisów zawierało słowa powszechnie uważane za obelżywe
    3 osoby próbowały spamować linkami do swoich “superserwisów”
    Tylko 1 osoba zajrzała do źródeł primaaprilisowego .js i rozszyfrowała zawarty w nim komunikat.

Byli też tacy, którzy zamiast atakować, wybrali podejście responsible-disclosure (to się chwali! ;). I tak, w sprawie “błędu na naszej stronie pozwalającego na edytowanie newsów” odebraliśmy 17 telefonów i 56 e-maili. Niestety, adresy IP praktycznie połowy z osób, które wysłały nam informację o “błędzie” były wcześniej widoczne jako te, które próbują dodać newsa — rozumiemy, najpierw p0c, potem informacja do vendora ;)

Spostrzeżenia

Niektóre z osób informujących nas o “poważnym błędzie bezpieczeństwa pozwalającym na dodawanie newsów” …to doświadczeni pracownicy działów IT, w tym administratorzy sieci (background checki wykonaliśmy za pomocą LinkedIn i Facebooka). Mało kto weryfikował, czy dodany news jest widziany u innych osób.

Jeden z usilnie próbujących szukać SQL injection w polu “tytuł” newsa robił to z adresu IP, po wejściu na który zobaczyć (i ściągnąć) można było:

Niebezpiecznik Prima Aprilis 2012

Chakierujący nas chakier został zchakierowany ;)

Inne ciekawe przypadki prezentujemy poniżej:

Cos poszło nie tak chyba.. lubie was wiec nie dodam newsa ale chyba byłbym w stanie :)

To jest nowy news | Nie wiem, czy cała reszta świata też to widzi, ale być może właśnie włamałem się przez przypadek na niebezpiecznika! :D Klawy.(ciach) (z adresu na Gmailu) pozdrawia :P!!

hacked, pozdro dla torowiska i polskiego black marketu Użytkownik VykEzG9RW7v3

dziwny bład na niebezpieczniku xD

test (jesli ten news jest widoczny prosze o usuniecie i naprawienie bledu jakim są moje (nie mam zadnych uprawnien) uprawnienia admina

HaCked By Ramzi Null

Taka okazja….. wiec dlaczego nie spróbować ;-)

Adminie spierdoliłeś sprawę… =/ Obiecuję nic nie broić, ale popraw to szybko

…sory Nie mogłem się powstrzyamać

“>\”>\”> TABALUGA GROUP

Ciekawe co się stało że mam dostęp do dodawania postów???

NIEBEZPIECZNIK HACKED BY CYBERMANET

Czemu mam widoczne \’\’> Witaj admin | dodaj nowy news!

Ojoj… Ktoś Wam zrobił psikusa :-)

Można dodać nowy post poprzez \”WITAJ ADMIN | DODAJ NOWY NEWS!\” link który się pojawia w nagłówku. Widać złe zamknięcie tagów

hehe chyba się wkradłem

Co się dzieje z Waszą stroną?
Myślałem, że link “Witaj Admin” na górze to jakaś ściema…

coś chyba nie tak macie z CMS’em bo loguje wszystkich jako admin po wejściu na stronę główną, mam screena jak coś.

Chciałem tylko Wam zgłosić że jest moim zdaniem problem bo chyba nikt nie powinien mieć takiego info jak wejdzie na stronę. Jeżeli tak ma być i każdy może zamiszczać posty to przepraszam za zamieszanie – chciałem tylko poinformować o tej sytuacji bo wydawała mi się podejrzana.

Witam, nie jestem do końca przekonany, czy to jakaś podpucha, czy jakieś inne ustrojstwo, ale powitanie “> Witaj ADMIN … ” nie specjalnie przypadło mi do gustu :) Za bardzo lubię czytać wasze newsy, żeby nie zwrócić na to uwagi.

dziś po wizycie na niebezpieczniku uzyskałem komunikat ”> Witaj admin | dodaj nowy news! ” chciałem sprawdzić czy to zwykły bug czy coś się namieszało więc wszedłem na strone wyskoczyło pole Temat oraz zawartość gdzie widniał napis null, napisałem jako temat i zawartość aaa/aaa. Przepraszam za to, odrazu piszę aby was poinformować i abyście coś zdziałali. Nic nie zrobiłem, i nie mam zamiaru.

Przed chwilą wszedłem na niebezpiecznika i jakież było moje zdziwienie, gdy okazało się, że mam aktywny panel dodawania newsów.

Chciałam wam napisać, że spieprzyliście zabezpieczenia, ale skapnęłam się że to żart na 1 kwietnia.
Gratuluję, nabraliście mnie =)

Dzięki wszystkim, którzy zareagowali na błąd i próbowali się z nami kontaktować. Tym razem to był prima aprilis, ale dobrze wiedzieć, że jeśli kiedyś coś sknocimy, to mamy rzeszę chętnych do pomocy i szybko reagujących Czytelników. Mamy nadzieję, że niektórych z Was udało się wczoraj uśmiechnąć ;)

PS. Podziękowania za wsparcie programistyczne osobie, która nie chciała być wymieniona z imienia i nazwiska.

PPS. Kto wie, dlaczego na Firefox nie dało się zrobić XSS-a, pomimo wpisania w treści newsa “złośliwego” JavaScript (np. <script>alert(1)</script>) i pomimo tego, że treść ta nie była w ogóle filtrowana ani encodowana?

Przeczytaj także:


86 komentarzy

Dodaj komentarz
  1. Niebezpiecznik++

    Pozytywna akcja Prima Aprilisowa :) Ubaw po pachy :)

  2. Po tym, jak Piotrek pisał gdzieś w komentarzach, że żarty na Prima Aprilis są takie oklepane (czy coś w ten deseń), ten “witaj admin” był niesamowicie przyjemnym i całkiem ambitnym żartem (ambitny żart na poziomie to wczasach świętującego triumfy chamstwa prawdziwa rzadkość).

    Gratulacje! :D

  3. Strzelam FF nie wykonuje kodu JS z ciasteczka ?

  4. od razu było wiadomo, że to fake :P
    jakbyście jakiś fake post jeszcze wrzucili, rzekomo dodany przez jakiegoś ciekawskiego użytkownika, to efektywność byłaby o wiele lepsza :>

    • +1

    • tak, tak, teraz to nagle wszyscy wiedzieli, że to żart :)

  5. Noscripts forever ;)

  6. Panowie, żart Cheat Enginea ( że licencja wygasła ) wydawał mi się śmieszny, ale dopiero teraz odebrałem należną primaaprilisową salwę śmiechu : D

    Tak genialnego kawału dawno nie widziałem XD

  7. rewelacyjny zart ;) best ever. gratulacje. niestety nie mialem okazji sie na niego zalapac :(

  8. no proszę mój localhost na screenshocie

  9. Ja już wczoraj się zorientowałem jak zobaczyłem “> Witaj Admin, że jest żart apilisowy :D Z ciekawości zajrzałem jak żart wygląda. Newsa nie dodałem, ani nie kontaktowałem się z Wami bo byłem przekonany na 1000% że to żart, szczególnie, że po 1. panel WP tak nie wygląda po drugie jeżeli to by był Twój panel to meeega biedny, tak się nie da dodać nic porządnego, chyba że sam wszystko w HTML piszesz co by było głupie. Myślę Piotrze, że spokojnie znalazła by się dużo większa rzesza ludzi, która by Was poinformowała o błędzie, gdyby takowy był na prawdę :) Poza tym, żart naprawdę mega fajny :D

  10. heh…, jestem zszokowany, że tyle osób mogło się nabrać i uwierzyć, że niebezpiecznik mógł szczelić taką gafę i w dodatku 1 kwietnia. Ok, uwierzyłbym, jakby zalogowali się na pudelka lub inne cudo. A wpisy hackjerufff typu „HaCked By….tralalala” powaliły mnie na max-a. Dotychczas pierwsze miejsce na mojej liście miały bmw-uuu jeżdżące na halogenach w dzień, od dzisiaj są powyżsi (cytowani) hackjerzy news-ufff…
    Niebezpiecznik gratuluje mega wkręty! – pozdro :)

    • “szczelić” to powinieneś sobie w głowę.

  11. Ludzie są idiotami. Najlepsze pseudohackerskie timy, ktory myslaly, ze cos zrobily.

  12. to my sie wlamalismy
    nie wybaczamy nie costam

  13. reasumując w/w “statystyki” widać że jest dużo chętnych do takich “zabaw”
    może czas na wprowadzenie (może trochę to śmieszne) niebezpiecznikowego hackme ;)
    nie takiego jak znamy z większości serwisów związanych z tego typu zabawą tylko takiego bardziej “ukrytego” schowanego na stronie przekazu, sugestii, zaszyfrowanego teksu prowadzącej do oczekiwanego wyniku :)

    • A może już jest ? ;)

  14. Teraz wyszło ile trolli siedzi na niebezpieczniku, którzy są pro hakjerami :)

  15. Jestem tym z jednych co bluzgowało na newsie ;D

  16. To na to się ktoś nabrał? oO :D

  17. Gratulacje za pomysł! Przytoczone komentarze świadczą, że się nieźle udał.
    Kiedyś zrobiliśmy taki numer na forum lokalnym. Ludzie, którzy ostro jechali po innych (sieć lokalna) pisali tylko dla samych siebie :) W prawdzie po pewnym czasie zauważyli, że nikt im nie odpowiada, ale mimo wszystko lokalny poziom nienawiści spadł :)

  18. To do tego szukaliście Hakiera od JAVY:)? No nieźle.

  19. Ja się dałem nabrać. Kurde a już myślałem, że pomogę informując. ; ] ( owszem nic nie sprawdzałem, czy to może być fake, myślałem, że ktoś wam zrobił psikusa ).

  20. Niesamowicie fajna akcja, nieprzyziemny dowcip i kupa śmiechu z hakierów :D

  21. noscript popsuł pewnie wielu zabawę :P szkoda!

  22. Człowiek chce się zabezpieczyć, a przez to traci dobrą zabawę:)

  23. ten kto ma AdBlocka , wie , że wczoraj był to CatBlock :D

  24. Wystarczyło zajrzeć w źródło “tajemniczego” i po zabawie.
    Ktoś rozszyfrował wiadomość z komentarza?

    • Wystarczalo to sie spojrzec na kalendarz:-) Sam napisalem niusa, w ktorym gratuluje pomyslu. Jestem w szoku ze tyle ludzi sie nabralo:-)

    • @Snap: tak, “prima aprilis”…

  25. lol to o to chodziło na facebooku:D
    chyba bym był kiepskim chakierem, nie zauważyłem nawet:D
    catblock też był fajny:D

  26. “Zchakierowałem” człowieku “żondziż”! :)

  27. a co będzie jak ktoś kiedyś doda kilka postów od siebie :D ? Przewidujecie nagrodę czy karę :P ?

    • Napisze wcześniej – nagrodę, napisze po fakcie – ABW o 6am ;)

  28. W pytaniu o Firefoksa i XSS pewnie chodzi o CSP header?
    https://wiki.mozilla.org/Security/CSP
    i draft specyfikacji:
    https://dvcs.w3.org/hg/content-security-policy/raw-file/tip/csp-specification.dev.html

  29. ad PPS. Prawdopodobnie wklejaliście treść artykułu z ciasteczka do DOM strony poprzez .innerHTML (np. jQuery.html() ) . W tym przypadku [script] nie zadziała.

  30. Tzn ze wchodza tutaj roniez “madrzy ludzie” :)

  31. HA HA

    • Ten jacobs z od legend janowskich? :)

  32. Nie wierzę. Są ludzie o takim poziomie nołlajfizmu, że raportowali to jako błąd? 1 kwietnia? Komedia.

  33. kurcze ale dowcip, nabralem sie myśląc, że mam kontrole nad niebezpiecznikiem

  34. Mogliście napisać, żeby włączyć js. Poadminowałbym sobie.

  35. poproszę o liczbę powiadamiających bez prób zmian czegokolwiek – zobaczmy ilu ich było (ciekaw jestem ilu powiadamiaczy pomyślało tak jak ja )

    • Połowy mają to do siebie, że są równe…

  36. omg, zaglądałem wczoraj, a nie zauważyłem tego :D

  37. W sumie taki news to dobra metoda w przypadku deface’a. Piszesz, że to był umyślny żart i wszyscy wierzą:d Swoją drogą to do tego potrzebny był ten “programista JavaScript”, którego ostatnio szukaliście na FB?

  38. Najlepszy w tym wszystkim jest marketingowy punkt f) w zasadach dotyczących postowania ;)

  39. jaki jest sens surfować po sieci bez adblocka i noscripta? hello! to minimum…..:)
    czy Niebezpiecznik wie, że prędzej czy później i tak padnie ofiarą ataku?…..:-) …

    • ad 1: google niebezpiecznik +noscript
      ad 2: https://niebezpiecznik.pl/post/jeden-0day-na-wordpressa-i-lezymy/ – wiemy i dlatego nie trzymamy na webserverze niczego ciekawego ;)
      Na marginesie, były już 2 okazje do zhackowania N. – jedną podatność (do wyexploitowania przez każdego) wykryliśmy sami, załataliśmy zanim ktoś ją wykorzystał, drugą (do wyexploitowania tylko przez naszych klientów z grupy szkolenia) wprowadziliśmy przez przypadek sami, wykrył ją klient.

    • @PK: Piotr, jak sie pojawi AI zdolne skutecznie hackowac wtedy i niebezpiecznika polozy a tak .. no gdzie zabijac chwile czasu ;) ..

  40. Od razu wiedziałem że to podpucha, może dlatego że już wcześniej kilka razy zostałem strollowany? A newsa “trolololo” dodałem żeby sprawdzić czy przygotowaliście coś jeszcze :)

  41. Najlepsza akcja jaką kiedykolwiek spotkałem ;-)
    2. Gratulacje dla autorów za świetny pomysł i realizację
    3. Kursywych literek bym nigdy się nie domyślił
    4. Masa naiwnych ludzi tutaj + gimbusy

  42. ale adres IP zchakowanego chakera mogliście lepiej zanonimizować ;).

  43. wyciekly kody do pewnej gry steam, na oko kilka tysiecy. dzialaja, gdzie to zglosic?

    • do steam, czasami nawet daja ciekawe nagrody
      albo jak chce ci sie poszukac to do magazynu gier [ angielski ] z ktorym steam cooperuje, nie pamietam teraz tytulu

  44. niebezpiecznik to bloguś oparty na wordpress-ie. Nie ma sensu dostawać się do bazy bloga, hackowanie ma sens tylko aby zrobić botnet-a, a do tego naprawdę nie trzeba niebezpiecznika. defejs może najwyżej dzieciaka podniecić. Admin jak się dopatrzy włamania to i tak przywróci starą bazę i stare pliki. A więc jeśli sensowne włamanie do was będzie to nie będziecie o tym wiedzieć no chyba że robicie codziennie diff-a wszystkich plików co jest zalecane.

  45. A do wyznań miłosnych od czytelników się nie przyznajecie… (a specjalnie wyłączałam wtyczki, żeby je przekazać… :( )

    • Nie przyznajemy się, bo przecież to standard ;)

  46. “Tylko 1 osoba zajrzała do źródeł primaaprilisowego .js i rozszyfrowała zawarty w nim komunikat.”
    Miło mi, że jestem jedynie tak przybitym no-lifem żeby zaraz zaglądać tam ;d To chyba już jest odruchowe… No cóż ale pociechą jest, że jestem również na liście osób która wpisała tam obraźliwe słowa :)

  47. Ja tam od razu wiedziałem, że 1 kwietnia bo mam kilka serwisów na wp i żaden nie ma takiego panelu. Niby można takie coś zrobić ale regulamin dodawania newsów był ewidentnie na jaja zrobiony. Pomimo tego spróbowałem dodać newsa i się trochę zaskoczyłem, czyżby działało? Jednak za chwilę sprawdziłem ciastka bo coś mi tu nie grało i zobaczyłem treść newsa w jednym z nich ;d.

  48. Ale to było dobre… A tak na poważnie to brawa dla was. Ja wchodziłem wczoraj na niebezpiecznika ale nawet tego nie zauważyłem… Fajna inicjatywa.

  49. Tylko od kiedy w WordPressie dodawanie newsów realizowane jest w taki sposób ;-)

  50. A tak z ciekawości, jak stwierdziliście, że tylko jedna osoba przejrzała .js? Przecież chyba nagłówki wysyłane są takie same jak do ładowania strony albo nie wysyłane są w ogóle jeśli cache jest ustawiony.

    • W js był w komentarzach task do wykonania. 1 osoba go wykonała.

  51. nmap -p 80 84.38.103.1-254
    miałem napisać więcej, ale nie będę psuł Wam zabawy ;)

  52. Zróbcie z tego kodu normalną paczkę (plugin) do WP :)

    WP nigdzie nie używam, ale przeportuję sobie, bo żart wyśmienity :) Gratulacje, numer 1 w polskich mediach.

    Nie nabrałem się, bo nie zauważyłem tego linka, aż żałuję braku emocji. Zwiódł mnie P. Konieczny, który dobrze zablefował o głupocie żartów PA…. to nie szukałem.

  53. dodałem do NIEBEZPIECZNIK HACKED BY CYBERMANET usmieszek typu :P
    odrazu widać było że to specjalnie zrobione po przekierowaniu na Mari0
    i wpisach na stronie

  54. swietne, gratuluje :)

  55. hmm…wordpressowy panel wygląda inaczej.
    Nie sądzę aby wam się chciało zmieniać jego wygląd bo jest z nim więcej roboty niż z frontendem,
    Nie pofatygowaliście się aby pozmieniać standardowe ścieżki wordpressa do pluginów, templatki czy katalogu z uploadem.
    Panel także fizycznie istnieje pod tym urlem a przecież można byłoby go przepisać.
    Brawo za htaccess bo chyba nie od zawsze tutaj był ;)

    • Nie, sądże, nigdy nie było “htaccessa”, jak ty to nazywasz. Zawsze mieliśmy otwarte zarządzanie Niebezpiecznikiem na świat :>
      Po czym w ogóle wnioskujesz co jest pod tym URL-em, nie widząc niczego prócz HTTP Authentication? :>

  56. Na Wykopie podobny joke zrobili, można było m.in. “zrestartować” serwery co powodowało pokazywanie się strony “Wrócimy za parę minut” na podobnej zasadzie jak Wasze newsy ;)

  57. Teraz pewnie VykEzG9RW7v3 sie ze wstydu na torowisko nie pokaże :D

  58. Specjalnie napisałem o jagódce myśląc, że w tym podsumowaniu się pojawi:)
    Widocznie nie było “zbyt oryginalne”

    • Chronimy dane osobowe wszystkich Jagódek ;)

  59. Ale cycków nie było, oszukaliście nas. ;(

  60. Panie Piotrze, niech Pan nie kłamie! To moj TURBODEVASTEAM zhackował stronkę (bo nie wygraliśmy noclegu w GDA) a teraz Pan obraca wszystko w żart. Proszę pamiętać że nasz botnet 500k+ nie śpi i za rok może znów się uda ;)

  61. Hmm czyżby wgrania db z backupu? Dałbym rekę, że było więcej newsów ;)

    • Nie, najnowszy news, którego teraz nie widać na głównej (tweetdeck) spadł do *ptr, bo nasz algorytm pokazał, że tam będzie dla niego lepsze miejsce :)

  62. dos to zrobili sobie w nordea w sobote (szkoda ze nie 1go) do platnosci kartami kredytowymi (via BZWBK chyba) i momentalnie userowie zdosowali infolinie i przez moment www .. ale zadnego oficjalnego komunikatu nie bylo widac do dzis w tej sprawie :) jakby komus przyszlo na mysl zastrzec karte wtedy .. ups .. no such number :)

  63. Kiedyś coś podobnego było było na WP, można było zrobić atrykulik o wybranej osobie (że poszukiwana czy cuś) i wysłać tej osobie link.
    Zabawa była przednia jak się ludziki pruły “co ty zrobiłeś hakierze jeden! usuń to bo zgłoszę cię na policję!”

    • http://oniet.o0o.pl/
      nie chodzi ci przypadkiem o to?

    • Nie, normalna główna się pojawiała z normalnym adresem ale fejkowy news był na samym środku.
      Nie jestem tylko pewien czy to napewno WP było.

    • Aha, całość była widoczna tylko pod konkretnym wygenerowanym linkiem ktory raczej nie podpadał tak jak ten.

    • Tak, to było WP. Na początku za free, później SMS 3 z groszem. Wreszcie na koniec to wycofali, a szkoda.

  64. Ach, ta /dupa wszędzie się wciśnie :)

  65. […] czym jest Content-Security-Policy; jeśli nie pamiętacie zeszłorocznego numeru, zachęcamy do odświeżenia sobie pamięci […]

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: