vendredi 29 mars 2013

Advanced WAF bypassing

//Si vous ne comprenez pas quelque chose, commentaire!

0x01~ Introduction
0x02~ WAF.. ouaf?!
0x03~ Application


0x01~ Introduction

Les injections SQL sont, je dirais, la faille la plus rependu sur le web, je dirais que cela représente entre 80/90 % des failles présentent sur le network.
Pour cela, les développeurs ont commencé à se méfier, ils ont mit en place se qu'on appelle des WAF ou bien des IDS*
Aujourd'hui, on va s’intéresser au WAF, et comme tout système, c'est faillible Smile ou plutôt.. Bypassable?

* Système de détection d’intrusion

0x02~ WAF.. ouaf?!

Peut-être le prononcez vous juste à là, "ouaf" mais c'est en fait un acronyme, l'acronyme de "Web Application Firewall" (<= enfin je crois xD) ou mieux dit: filtres d’applications Web

Comme il l'indique, il filtre, mais quoi? du café?
Non, des mots (enfin presque).
Très utilisé par les développeurs notamment pour contrer les failles du type XSS ou SQLi.

0x03~ Application

Pour bypasser ce fameux filtre, il existe pleins de techniques dont je parlerais plus tard.

Aujourd'hui je vais vous parlé d'un moyen de bypass qui n'a pas de nom à ma connaissance (dîtes en commentaire si vous le savez), on va l’appeler "arobase" tout au long de ce tutoriel.

Alors justement vous'mdirez, pourquoi "arobase"?

Bon, pour ceux qui ne le savent pas encore, "arobase" est le signe "@".

Prenons l'exemple d'un site vulnérable à une injection sql, on va mettre notre strophe comme d'habitude etc.. etc.. mais il s'avère que celui si nous renvois "403 forbidden" Rahhh!

à votre avis, qu'est-ce que ça peut bien être Û_u ?
- Oui, bien joué! il s'agit bien d'un WAF!

Dans cet exemple, le WAF bloque les lettres après SELECT (et non pas les chiffres)

Comme ceci =>


Citation :id?=-2 UNION ALL SELECT 1,version(),3--

Donc, on voit bien la présence de "version()" qui est bien après SELECT, et qui je l'espère, vous l'aurez compris, sont des lettres.

On va donc utilisé l'arobase, qui va nous servir comme une sorte de préfixe.

Faites comme si vous programmer et que vous assignez une valeur à l'arobase (qui est un peu de la triche)

Citation :?id=-2 and (@:=version()) union select 1,@,3

Ainsi, nous n'avons plus de lettres après SELECT, et nous sommes donc en mesure de bypasser le filtre:


 [Image: 112168Sanstitre.png]

0 commentaires:

samedi 9 mars 2013

How to creat a Proxy Server

Coucou, aujourd'hui on va s'amuser à créer un serveur proxy gratuitement grâce à Google App Engine et Python.

Voilà juste un uppercut avant de commencer (à vous de modifié l'interface graphique comme vous le souhaitez) Shirobi Proxy Server Free

Voici les outils requis:
- Google App Engine
- Python 2.5.* 

Premièrement, commencez par créer un dossier sur votre bureau et nommez le "proxy".
en suite, rendez-vous ici puis inscrivez vous si cela n'est pas déjà fait!

En suite, créez une application, vous arriverez avec une page de formulaire où il faut remplir les cases (c'est un peu logique, non?). Veuillez remplir comme ceci:

Application Identifier:  #nom du sous-domaine que vous souhaitez.
exemple proxyserver.appspot.com puis checker pour voir si c'est disponible

Application Title: #Vous l'aurez deviner, le nom de l'application. 
exemple Proxy Free Application

En suite des, se que l'on appelle radio button, sont présent, laissez par défaut le premier de coché.
"Creat Application" et votre application est dorénavant créée!

 Rendez vous maintenant dans votre dossier "proxy" que vous aviez créer auparavant. 
 C'est au rôle de python de jouer son tour maintenant, créer un fichier mirror.py, éditez-le, puis inscrivez y ce code. Sauvegardez puis créez un deuxième fichier python et nommez le cette fois "transform_content.py" et mettez y ce code
Très bien, s'en est fini avec python!

Je vous ai maintenant uploadé ces 3 fichiers dans un RAR, vous devrez les mettre dans le dossier proxy eux aussi.

Proxy tutoriel.rar
scan du fichier

Une fois les 3 fichiers bien rangé dans le dossier proxy, vous devez ouvrir Google App Engine, on va devoir le configurer de cette façon:

Faite Ctrl+Shift+N ou rendez vous dans file=>Add exisisting application
On vous demande le chemin de l'application (PATH) vous n'avez qu'à sélectionner le fichier proxy qui est normalement sur votre bureau.

Laissez le port par défaut et cliquez sur "ok"
En suite Edit=>Préférences=>
Python path: là où vous avez python. (l'url par défaut est mise, recopiez) idem pour App Engine SDK
Editor: Si vous  êtes sous windows => C:\Windows\notepad.exe

Une fois tout cela fait, cliquez sur ok, puis maintenant sur "Edit" changez juste le nom de l'application, ne touchez pas au reste si vous ne savez pas comment faire.
Maintenant que tout est configuré comme il faut, faites "Deploy". Connectez vous avec votre compte google et... et c'est bon. Vous n'avez plus qu'à vous rendre sur l'url de votre application et ça fonctionne normalement,rapidement,anonymement (ou pas) :').

Voilà pour moi:  http://shirobiproxy.appspot.com


1 commentaires:

mardi 5 mars 2013

Point-to-Point Tunneling Protocol

Le PPTP (Point-to-Point Tunneling protocole) est, comme son nom l'indique, un protocole réseau qui va permettre le transfert sécurisé de données d'un client vers un serveur d'entreprise en créant un virtual private network, dit "VPN". 

Ce protocole à été créé par Microsoft, il est inclue dans toutes les machines Windows depuis W2000, il existe des dérivés comme le L2TP et IPsec. Si vous n'avez pas compris la définition du dessus, en fait, le tunnel PPTP va permettre de rester anonyme par le simple biais de deux canaux de communication:
TCP/IP.

Maintenant que vous avez une bonne idée de ce qu'est le protocole PPTP, on va apprendre à le configurer sous windows (7) de façon à se que l'on soit anonyme :).




Ouvrez le menu démarrer puis lancer y "Panneau de Configuration", un petit clique sur "Réseau et Internet" puis sur "Centre Réseau et partage" temps qu'on y est. Nous voilà avec nos configurations de connexions, puis sur "Configurer une connexion ou un Réseau" et vous n'avez plus qu'à cliquer sur le 4 eme choix "Configurer un point d'accès VPN à votre espace de travail" puis pour la dernière fois (ou presque)
sur le premier choix, voilà, le tour est joué! vous n'avez plus qu'à configurer l'accès!

Pour ceux qui sont sous Linux, allez voir ceci :)
Pour ceux qui veulent plus d'information sur ce protocole, allez voir le rfc2637
Pour ceux qui veulent un point de connexion pour le PPTP Voilà!

Je vais éditer pour rajouter qqs trucs, merci de votre lecture :) 

Shirobi

2 commentaires:

PHP - Générateur + Resolver de Sudoku

Salut à tous, je suis Mazaki, un des nouveaux rédacteurs!

Étant spécialisé dans le langage PHP / SQL ainsi que dans les Failles Web, c'est dans ces catégories la que vous me verrez très souvent!

Pour commencer, j'ai décidé de vous proposer un générateur et un résolveur du Sudoku développé par mes soins pour le blog :D


Sans mentir, je n'avais jamais fait un tel code auparavant, ça m'a permis d'apprendre une nouvelle chose, qui m'a vraiment plu!


Pour ce faire, j'ai développé un script qui va, en quelque sorte, calculer une possibilité grâce a l'algorithme du simplexe, et en fonction du résultat, va garder le nombre ou annuler la tentative, et ce pour toutes les cases.

Voici le pastebin: http://pastebin.com/qrc9g3eE

Si vous avez des questions au sujet du script, n'hésitez pas à me les demander par commentaire en dessous :)


2 commentaires:

dimanche 3 mars 2013

xpl0zion + news


 Salut à tous, je vous présente mon nouveau partenaire qui, ma fois, est fort sympathique (shit pourquoi j'parle comme un bourge)  je vous le présente ici même, xpl0ze!

xpl0ze a créée un site web où il regroupe toutes ces vidéos concernant l'informatique en général, vous pourrez y apprendre pleins de choses passionnantes dont des cours de crack bien expliqués (ceux que je préfère) !

Vous pourrez lui proposez des tutoriels, ainsi que les votre (en vidéo), tout ça grâce à son site!
xpl0zion.com

----

NEWS

J'ai décidé de recruter quelques rédacteurs qui publierons des articles de temps à autres!
Je l'ai remercie!

leur pseudos:

bp0n0x58
Mazaki
psymon

 Merci à tous nos lecteurs, ça me fait en tout cas à moi, énormément plaisir de voir que les gens s'intéressent
à notre passion des 0 et des 1!


0 commentaires: