Crack-wifi.com FORUM

LE FORUM DU SITE

Wifi, Backtrack, crack WEP et WPA...

Vous n'êtes pas identifié(e).  

Annonce

Visitez la boutique Wifi-highpower.com, votre revendeur agr Alfa Network: du matriel Wifi slectionn, cartes Wifi USB Awus036h et Awus036nh, antennes omnis, yagis, panel, amplis wifi, accessoires...

#1 12-08-2011 23:49:37

Master-one
Membre Indétronable
Inscription : 10-07-2011
Messages : 165

Tuto faille .htaccess utilisation de Temper et Telnet

Bonjour à tous

le principe de se tutoriels marche sur linux et Windows la démonstration sous (Windows vista Virtual)

Dans ce tutoriel je vais expliquer comment utiliser Telnet comme un outil pour tester la sécurité de votre htaccess configuré a votre site web. On connait tous surtout les webmasters le htaccess une des sécurités toute bête a installé  mais qui est extrêmement  fiable (si le webmaster a bien configurer ce htaccess ) . Voilà je vais parler de cette fiabilité que beaucoup pense quel est  100/100 impossible à passer.

Déjà savoir ce qu’est un htaccess :

Le fichiers .htaccess est un fichiers de configuration pour serveur Apache, permettant de définir des permission a un fichier précis ou à un dossier .on peut lui configurer grand nombre de paramètre privilégier ce qui est effectivement un sécurité les plus sur.


Mais voilà ! Et oui ! Je tien a le signaler beaucoup de webmaster professionnel ne se rende pas compte qu’une tel erreur  qui est celle-ci dans leur htacess :


AuthUserFile /chemin/vers/.htpasswd
AuthName "Zone à accès restreint"
AuthType Basic
    
<Limit GET POST>
    require valid-user
</Limit>

Peut permettre de passer outre imaginer que vous ailler des documents confidentiels etc …  et que vous pensez être protégé, après rien est jouer mais tout de même ! Des webmasters professionnels !
(Alors avant de me mettre tout le monde sur le dos je ne prends pas tous les webmasters pour une généralité que l’on soit bien d’accords).


Pourquoi on peut passer autre la sécurité du htaccess ?

on peut passer autre le htaccess car  Apache, a tendance à exécuter des requêtes qu’il ne comprend pas comme étant des requêtes GET.du fais qui ne comprend pas cette requête peut permettre à une personne mal intentionné de passer outre et donc imaginer que vous ailler mis des documents personnel dernier cette sécurité, imaginer ce que cela peut engendré a cette victime et honnête citoyen.


La corrections a cette faille est  bêtement simple a mettre en place , vous devez enlever  le limite get poste c’est-à-dire tout ça :

<Limit GET POST>
    require valid-user
</Limit>

En mettant ça dans votre htaccess vous demandez  à votre serveur apache d’envoyer  en requête GET et comme nous savons que les serveur apache ont du mal à gérer c’est requête  et bien cela n’est pas à faire, donc enlever tout ça,   cela forcera le serveur à envoyer en requête  Post et donc par conclusion de ne pas pourvoir bypasser cette sécurité :

la suite du tutoriel va porter sur l’attaque

Première étape est de lancer votre terminal linux ou invite de commande
sous Windows comme cela :

639643invitedecommander.jpg
Taille HD : http://img11.hostingpics.net/pics/47839 … mander.jpg

Ensuite taper ceci :

telnet votresite.fr 80

aperçu :

784466telnet.jpg
taille HD: http://img11.hostingpics.net/pics/603408telnet.jpg

puis faite entré une fois cette ligne tapé et validé vous serez connecter au site en Telnet la il faut faire très vite comme indiquer dans le tuto ci-dessus le serveur apache a du mal a interprété la requête GET  donc nous allons remplacer cette requête par une fausse requête exemple comme ceci :


nul http://votresite.fr/teste/index.php

Après avoir taper cela faite entrer ! Et si vous voyez apparaitre le code source de la page index.php sans  voir écrit erreur 500 ou 404 c’est que vous avez tout simplement bypasser la sécurité  exemple : là le code source de la page est codé  mais si je n’avais pas réussi et bien j’aurais obtenue  erreur 404 ou 505 etc …

aperçu :

737696telnet2.jpg
Taille HD : http://img11.hostingpics.net/pics/745825telnet2.jpg


Bien évidemment il y a plus simple que de passer par Telnet  mais bon moi j’aime bien me casser la tête, pour les plus fenian il existe un plugin Firefox nommé « tamper «  il vous permettra d’édité la requête afin de bypasser sans avoir à effectuer une seule commande nous allons voir ça de suite !


Vérifié la sécurité de vos fichier  Htaccess sous un navigateur tel qui soit :

Comme  vue ci-dessus  on passait par Telnet  maintenant nous allons utiliser un navigateur muni d’un plugin qui permettra de modifier cette requête GET par une autre

premièrement lancer votre navigateur, alors attention moi ici j’utilise Mantra mais chez vous vous prouver utiliser Firefox  je n’expliquerais pas comment procéder avec Firefox pour l’instant, maintenant nous allons utiliser Mantra, rendez-vous sur :

Le menue Tools ==> puis cliquer sur  ==> Client REST

Petit aperçu en image :


Taille HD: http://img11.hostingpics.net/pics/41185 … gateur.jpg

Une fois cliqué , vous devriez obtenir ceci :
867310sousnavigateur2.jpg
Taille HD: http://img11.hostingpics.net/pics/75255 … ateur2.jpg

Regarder  l’image  et suivez ce que je vais vous indiquer

1- champs méthode   utiliser une autre valeur que GET et POST  prenez  LOOCK par exemple
2- Entrer l’adresse de votre site
3- cliquer sur envoyer !

si le htaccess est mal configurer et que vous avez pu envoyez une fausse Requête vous decrier voir apparaitre ceci dans Entête de la page :

Status : Code : 200 ok

Comme ceci :

391275sousnavigateur3.jpg
Taille HD: http://img11.hostingpics.net/pics/21698 … ateur3.jpg

Et donc par conclusion vous pourrez accéder au dossier ou a la page protéger pour voir ça il suffit de cliquer sur les onglets

Corps de la Réponse et Page web

Corps : Affichera Le code source de la page
Et pour web page vous l’aurez deviné affichera la page qui a été mal protéger

Comme cela :

328204sousnavigateur4.jpg
Taille HD: http://img11.hostingpics.net/pics/92055 … ateur4.jpg


834858sousnavigateur5.jpg
Taille HD: http://img11.hostingpics.net/pics/76835 … ateur5.jpg

Et voilà dans ce tutoriels vous avez maintenant la capacité intellectuelle de faire cette technique manuellement en invite de commande et en utilisant des utilitaire gratuit sur la toils

prochainement ce tutoriel sera modifier pour  vous expliquer l’utilisation Firefox et le plugin templer



Alors pour finir configurer bien vos Htaccess !

Cordialement
Master-One

Dernière modification par Master-one (13-08-2011 13:21:30)


935761signiature.jpg

Hors Ligne

Annonce

Visitez la boutique Wifi-highpower.com, votre revendeur agr Alfa Network: du matriel Wifi slectionn, cartes Wifi USB Awus036h et Awus036nh, antennes omnis, yagis, panel, amplis wifi, accessoires...

#2 13-08-2011 13:15:19

Master-one
Membre Indétronable
Inscription : 10-07-2011
Messages : 165

Re : Tuto faille .htaccess utilisation de Temper et Telnet

Tutoriel modifier maintenant vous avez plusieurs méthode  que certain aurons acquis en lisant se tutoriels après pour les plus  fainéant  d'entre vous il y a des logiciels libre qui peuvent faire tout à votre place ! vive l'open source! smile

Dernière modification par Master-one (13-08-2011 13:56:28)


935761signiature.jpg

Hors Ligne

#3 13-08-2011 13:47:36

M1ck3y
Administrateur
Lieu : Lost in the darkness
Inscription : 14-02-2008
Messages : 6 362

Re : Tuto faille .htaccess utilisation de Temper et Telnet

Merci Master-one pour ce tuto sympa sur les failles des .htaccess qui démontre comment une protection mal configurée peut devenir un véritable risque pour la sécurité des données. Dans la mesure ou tu l'as completé, maintenant il ne concerne plus uniquement telnet donc on pourrais envisager de modifier le titre en conséquence, par exemple "Tuto faille .htaccess utilisation de Temper et Telnet". Tu ne peux plus éditer le titre mais si tu le souhaite on le fera pour toi.

J'ajouterais deux liens très intéresants sur le meme thème:

-Tuto de John Jean: Faille dans la création d’un .htaccess

-Burpsuite, une suite d'outils de pentest en java comprenant entre autres tools Burp Proxy, un proxy léger et pratique permettant d'intercepter et de modifier les requètes à la volée ou selon des règles précises. Cet outil est vraiment complet: interception des requètes du client, des réponses du serveur, modifications html, modifications à la demande de l'user agent, du referer, d'un cookie etc... Tout à fait approprié pour controler si un htaccess présente une faille de sécurité.

Au fait, bravo et merci pour ton deuxième tuto en deux jours, tu assures comme un chef smile

Hors Ligne

#4 13-08-2011 13:54:10

Master-one
Membre Indétronable
Inscription : 10-07-2011
Messages : 165

Re : Tuto faille .htaccess utilisation de Temper et Telnet

merci et ce n'est pas fini 

effectivement il faudrait modifier le titre  smile

le plus aberrant à mon sens c'est que des site tel que comment ça marche donne un tutoriel sur un htaccess mal configurer, étant donné que c'est un site de référence les webmasters pense que les donnée indiquer sont respectable (alors que pas du tout  il sont truffer de mal façon) smile
C’est pour cela que j’ai fait un tutoriel pour réellement donnée un point d’alerte, si des sites connus référencé, et très professionnel donne  des explications sur la création d’une tel sécurité et qu’au final  on remarque une tel faille (grand public en plus)  imaginer un peut.

Dernière modification par Master-one (13-08-2011 14:01:23)


935761signiature.jpg

Hors Ligne

#5 13-08-2011 14:04:12

M1ck3y
Administrateur
Lieu : Lost in the darkness
Inscription : 14-02-2008
Messages : 6 362

Re : Tuto faille .htaccess utilisation de Temper et Telnet

Et voila, j'ai modifié le titre pour tenir compte de tes ajouts sur le tuto.

Master-one a écrit :

merci et ce n'est pas fini

Merci à toi, comme l'a dit algerino en commentaire dans ton autre tuto on peut vraiment dire que tu nous régale, continues comme ça smile

Hors Ligne

#6 06-06-2015 19:21:41

chappie
N00b
Inscription : 06-06-2015
Messages : 1

Re : Tuto faille .htaccess utilisation de Temper et Telnet

Pardonner moi de remonter ce vieu post , alors j ai tut fait avec mantra , j ai lerreur 200 , je suis dans le site voulu , mais alors apres je plane , je suis passer en options pour creer l erreur , donc apres faut que je decrypt le html , faut que je trouve le mot de passe pour passer en VIP ou dans le site en tant qu admin , je galere javoue.

merci de vos reponses

Hors Ligne

Annonce

Visitez la boutique Wifi-highpower.com, votre revendeur agr Alfa Network: du matriel Wifi slectionn, cartes Wifi USB Awus036h et Awus036nh, antennes omnis, yagis, panel, amplis wifi, accessoires...

Sujets similaires

Discussion Réponses Vues Dernier message
1 195 06-12-2016 21:47:25 par spawn
35 1845 23-11-2016 16:31:33 par roofnat
Épinglée :
21 14721 20-11-2016 12:53:07 par richie
11 449 05-09-2016 15:07:25 par MiscL
8 500 30-08-2016 15:44:07 par kcdtv

Pied de page des forums


Le coin des bonnes affaires, achats informatiques:


|   Alfa 1000 mW AWUS036H   |    Linksys WRT54GL   |    Misco, informatique   |   
 |    Ebay   |    PC portables   |    PC Gamers & Tuning   |    Cles USB   |   
|   Disques durs externes 2 To   |   
|   Wifi-highpower.com   |   


Server Stats - [ Generated in 0.025 seconds ]   Forum Stat - [ Most users ever online on the forum was : 150 on 20-09-2009 17:06:59 ]