Deface mon site !

[thxer]

Coucou !
Bon je propose un petit jeu pour la communauté, le but du challenge est de deface mon site word press.

Règles :
Ne pas utiliser d'exploits
Pas de Dos

Le site est réellement défaçable.

PAR CONTRE SAUVEGARDER L' INDEX et ne touchez pas la DB et merci de respecter mon taf

POUR VALIDER PUBLIEZ UN ARTICLE A MA PLACE.

Amusez-vous bien

labo-logo.com

PS : Quand je vais avoir le temps je vais rajouter de fausses pistes ; )

[Di0Sasm]

Mais un texte dans la source comme quoi tu certifie que le site est bien à toi, et que tu autorise N-PN à faire des teste.

Après vouloir avoir une deface ce n'est pas trop du gout de N-PN ou l'éthique du forum.

Au pire fil les sources de ton wordpress et avec les modules que tu utilise pour les tests en local ça seraient mieux , si tu as peur pour tes user supprime les de la sauvegarde SQL.

[thxer]

Le deface c'est un exemple de "preuve" d'intrusion, le mieux c'est de poster un article à ma place . Pour le message c'est fait.

[CyberSee]

Avant que le pentesting du site puisse commencer, tu dois suivre les règles de la section.

http://n-pn.fr/forum/showthread.php?tid=1888

Quand ce sera fait, les membre pourront commencer a tester.

[thxer]

Je ne fais pas une demande d'audit, je propose mon site pour les membres qui souhaitent tester le crawling etc .. par exemple et si il en résulte un accès ou des accès ils peuvent laisser une trâce de leur passage. C'est une sorte de challenge grandeur nature, les failles présentes le sont pour la plupart volontairement.
Pour la config du site etc... je pense que le mieux est la black box c'est plus réaliste.

On voit que c'est sous word press.
Après comme je l'ai déjà dit c'est pour l'amusement et le l'apprentissage, pas pour un réel audit.

J'ai mis un article disponible ici : http://labo-logo.com/n-np/
Autorisant les membres qui le souhaite à s'amuser sur mon site.

Au risque de me répéter je propose mon site pour apprendre et s'amuser par pour un audit donc ce message ne rentre pas dans la case "tester vos sites" , je ne demande pas un test => je propose mon site pour ceux qui veulent apprendre et se divertir sans risque de poursuites vu que je suis le propriétaire.

Après j'ai posté ma proposition ici car je n'ai pas trouvé de place ailleur, je pense qu'un membre proposant son site pour permettre aux membres de tester le crawling, brute-force etc ... c'est signe de bon état d'esprit.

[ark]

Plop.

J'aime pas trop l’idée de proposer aux gens de deface, le deface en soi est une pratique illégale, sauf la parce que tu l'autorise, mais ça n'est pas dans l'esprit de la communauté. Faire un audit de sécurité, oui. mais le deface est de trop a mon avis. Apres ça a l'air de choquer que moi donc bon... Je vois bien que tu veux faire un genre de challenge. Mais pour moi ca ne rentre pas dans l'esprit whitehat.
Et, un autre truc que je ne comprends pas, c'est pourquoi interdire l'utilisation d'exploit ? Dans le cas d'une véritable attaque, l'attaquant utiliseras tous les moyens a sa disposition. Et word press + modules est probablement faillible.

[thxer]

Tant pis alors.

[notfound]

Ce qu'il propose, c'est pas vraiment un deface mais plutôt un challenge réaliste. J'aime bien l'idée, mais le but du truc devrait plutôt être la création de sa propre page, genre http://labo-logo.com/pseudo.php (i.e http://labo-logo.com/notfound.php) , au lieu d'écrase ton index.php.
J'aime assez le concept, mais comme le dit Ark, interdire l'utilisation d'exploit, c'est un peu bête imo !

[thxer]

Je suis content que tu suives l'idée ! le deface c'était juste une preuve de validation pas trop inspirée ! Et c'est vrai que ne pas utiliser d'exploit c'est bête , du coup l'idée d'un pseudo.php avec pourquoi l'heure d'entrée, l'exploit ou la faille utilisée et un petit message serait plus white-hat.

[gruik]

l'IP indique qu'il s'agit d'un mutualisé OVH, donc on oublie nmap et l'idée d'attaquer par autre chose que le site lui même (OVH n'a pas donné son autorisation lui pour se faire auditer, right ?)

quant au site web y'a uniquement un wordpress, donc en clair l'audit revient à chercher une faille dans le wordpress si il est pas à jour et/ou chercher quels plugins sont installés et s'ils ont des failles

autant dire que c'est quand même pas gagné, tu prends assez peu de risques

[thxer]

Oui j'ai oublié de préciser c'est du mutualisé ! désolé.

Donc la "faille" qu'il y' a actuellement est toute de bête :

L'admin a laissé dans un fichier une sauvegarde de son .htpasswd

; )

Liste des modules :
-GD Star Rating 1.9.22
-WP Complete Backup 3.0.5
-WP Smiley 1.4.1
- WassUp 1.8.3.1

[gruik]

Ce qu'il propose, c'est pas vraiment un deface mais plutôt un challenge réaliste

dsl j'avais pas percuté en fait, je viens de comprendre.

[thxer]

J'annonce : NotFound et Gruik ont trouvé ... j'admet que c'est facile mais cela sera de plus en plus dur

[Luxerails]

Euh... le but c'est bien de se connecter sur le compte de "ThXer" ? parceque j'ai bien réussi a me connecter en tant qu'"admin" ("n-pn challenge") mais je peux pas faire grand chose. y'a une faille à trouver dans tableau de bord ou..?

[thxer]

Normalement une fois connecté en tant qu'admin vous pouvez poster, le compte tHxer n'est pas accessible normalement

La semaine prochaine je vais réaliser plusieurs niveaux de faille, là c'est très facile (voire trop :p)

Si quelqu'un arrive à se connecter sous mon compte super admin (ThXer), c'est qu'il a trouvé une faille pas prévue ! ET je dit chapeau :p